Bilişim teknolojilerindeki ilerlemeler ile birlikte, günümüzde en küçük günlük ihtiyaçların dahi elektronik ticaret kanalı ile karşılanması, mal ve hizmetlerin reklam ve pazarlamasının da ağırlıklı telekomünikasyon ağları üzerinden yapılması sonucunu doğurdu. Covid-19 salgınının da etkisi ile birlikte son yıllarda ciddi bir potansiyele ulaşan elektronik ortamda gerçekleşen mal ve hizmet satışları aynı zamanda mal veya hizmetin alıcısı konumunda bulunan gerçek kişilere ait kişisel veri işleme faaliyetlerinin de yoğunlaşmasına neden olmuştur.
Ticari Elektronik İleti Gönderimi Hakkında Kişisel Verileri Koruma Kurulu Kararları
Mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla arama, kısa mesaj ve e-posta vb. iletişim kanalları üzerinden alıcılar ile iletişime geçmek isteyen hizmet sağlayıcılar, bu kapsamda alıcıların ad, soyad, e-posta, cep telefonu, doğum tarihi gibi kişisel verilerini işlemektedir. Dolayısıyla ticari elektronik ileti gönderimi ve kişisel verilerin işlenmesi birbiri ile sıkı ilişki içerisindedir.
Ticari İletilere İlişkin Mevzuat Hakkında Özet Değerlendirme
Gerçek ve tüzel kişilerin ticari faaliyetleri doğrultusunda mal ve hizmetlerini tanıtmak, pazarlamak ya da işletmesinin tanınırlığını arttırmak amacıyla elektronik iletişim araçlarıyla yapılan her türlü ticari iletişim olarak tanımlanan ticari elektronik iletiler, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (“E-Ticaret Kanunu”) ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik (“Yönetmelik”) kapsamında düzenlenirken, ticari elektronik ileti gönderimi kapsamında kişisel verilerin işlenmesi, ayrıca, kişisel veri işleme şartları bakımından 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında değerlendirilmelidir.
Yönetmelik, hizmet sağlayıcılara ve aracı hizmet sağlayıcılara, Yönetmelik çerçevesinde yapmış olduğu işlemler ve sunduğu hizmetler nedeniyle elde ettikleri kişisel verilerin, ilgili mevzuat hükümleri saklı kalmak kaydıyla muhafazası ve hukuka aykırı olarak bunlara erişilmesi ve işlenmesini önlemek amacıyla gerekli tedbirlerin alınması yükümlülüğü getirmiştir. Kişisel verilerin korunması mevzuatı bakımından ise, kişisel veri işleme faaliyetlerine ilişkin KVKK’nın getirdiği yükümlülükler oldukça kapsamlı ve önemlidir.
KVKK kapsamında, hizmet sağlayıcılar, veri sorumlusu olup, kişisel verileri işleyebilmeleri için açık rıza almaları veya KVKK’da sayılan ve açık rıza alınmasına gerek bulunmayan işleme şartlarından biri veya birkaçı kapsamında kişisel verileri işliyor olmalıdırlar.
Yönetmelik uyarınca, hizmet sağlayıcıların alıcıların elektronik iletişim adreslerine gönderdiği ticari elektronik iletiler için Yönetmelik de belirtilen istisnalar hariç önceden onay alınması gerekmektedir. İstisnalar, (i) alıcının kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini vermesi halinde, temin edilen mal veya hizmetlere ilişkin değişiklik, kullanım ve bakıma yönelik ticari elektronik iletiler, (ii) herhangi bir mal ve hizmetin özendirilmemesi veya tanıtımının yapılmaması şartıyla devam eden abonelik, üyelik veya ortaklık durumu ile tahsilat, borç hatırlatma, bilgi güncelleme, satın alma ve teslimat veya benzeri durumlara ilişkin bildirimleri içeren iletiler ile hizmet sağlayıcıya ilgili mevzuatla getirilen bilgi verme yükümlülüğü durumları, (iii) ilgililerin çıkma hakları saklı kalmak kaydıyla tacir veya esnaf olan alıcıların elektronik iletişim adreslerine gönderilen ticari elektronik iletiler ve (iv) sermaye piyasasına ilişkin mevzuat uyarınca aracılık faaliyetinde bulunan şirketlerce müşterilerine bilgilendirme amaçlı gönderilen ticari elektronik iletiler ile sınırlıdır.
Ayrıca, Yönetmelik uyarınca hizmet sağlayıcıların mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla ticari elektronik ileti gönderdiği alıcıların onaylarını ve onay gerekmeyen hallerde dahi ticari elektronik iletişim yaptığı iletişim adreslerini İleti Yönetim Sistemi’ne (“İYS”) bildirmesi gerekmektedir. İYS kayıt yükümlülüğü hakkındaki makalemizi incelemek için lütfen tıklayınız.
Güncel Kişisel Verileri Koruma Kurulu Kararlarının Değerlendirilmesi
Yukarıda işaret edildiği üzere elektronik ticari ileti gönderilmesi ile KVKK mevzuatı tüm hizmet sağlayıcılar tarafından birlikte değerlendirilmelidir. Ticari elektronik iletilere ilişkin pek çok konu Kişisel Verileri Koruma Kurulu’nun (“Kurul”) da önüne gelmektedir ve Kurul da her iki mevzuatı değerlendirerek konu hakkındaki görüşlerini ve yönlendirmelerini hizmet sağlayıcılarla paylaşmaktadır.
Kurul, 16/10/2018 Tarihli ve 2018/119 Sayılı İlke Kararı’nda, ilgili kişilerin rızalarını almadan veya KVKK’nın 5/2 maddesinde hüküm altına alınan işleme şartlarını sağlamadan, ilgili kişilerin telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları ile veri sorumluları adına reklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerini derhal durdurması gerektiğinin altını çizmiştir.
Ticari elektronik ileti gönderimi kapsamında reklam veya tanıtım amaçlı kişisel veri işleme faaliyetlerine ilişkin olarak, uygulama ve doktrinde hangi veri işleme şartına dayalı olarak kişisel verilerin işleneceği tartışmalıdır. Bu kapsamda, E-Ticaret Kanunu kapsamında onam alınması halinde ya da istisnalar kapsamında onam alınmadan ileti gönderilen hallerde kişisel verilerin bir hakkın tesisi, kurulması, korunması kapsamında veya ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması nedeniyle KVKK Madde 5/2’de sayılan hukuka uygunluk nedenlerinin mevcut olduğu ileri sürelebilmektedir ve KVKK anlamında bir açık rıza alınması gerekmediği ifade edilebilmektedir. Farklı bir görüş ise, E-Ticaret Kanunu kapsamında onam alınmasına gerek olmayan hallerde KVKK anlamında da açık rızaya gerek olmadığına katılmakla birlikte onam alınan hallerde bu onamın KVKK açısından da açık rıza anlamına gelebileceğini savunmaktadır. Bu hususla ilgili katı bir yaklaşımdan ziyade, reklam ve pazarlama amaçlı kişisel veri işleme faaliyetlerinde, açık rıza dışında bir hukuka uygunluk nedeninin bulunup bulunmadığının her somut olay özelinde ele alınması gerekmektedir. Nitekim yakın zamanda konuya ilişkin olarak yayımlanan muhtelif Kurul kararlarında da, Kurul’un yaklaşımının bu yönde olduğu görülmektedir.
Kurul güncel kararlarında aşağıdaki hususlara işaret etmektedir:
Veri sorumlusu tarafından reklam ve pazarlama amaçlı, izinsiz ticari elektronik ileti gönderilmesi suretiyle ilgili kişinin kişisel verisi niteliğinde olan e-posta adresinin işlenmesinde KVKK’nın 5. maddesinde öngörülen kişisel veri işleme şartlarının bulunması gerekmektedir.Aksi halde bu durum, veri sorumlusunun kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı anlamına geleceği ve idari para cezasına hükmedileceği belirtilmektedir. Örneğin, veri sorumlusu tarafından internet sitesinde kendi rızasıyla e-posta/SMS alabilmek için onay veren müşterilere/üyelere iletilmesi gereken mesajın sehven hedef alıcı grubundan farklı kişilere gönderilmesine ilişkin hedef alıcı grubunun dışındaki kişiler için KVKK’nın 5. maddesinde yer alan işleme şartlarının bulunmadığı tespit edilmiş ve veri sorumlusu hakkında idari para cezasına hükmedilmiştir.
KVKK kapsamında uyulması gereken bir diğer önemli yükümlülüğün aydınlatma yapılması gerektiği olduğu kararlarda vurgulanmıştır. Onam gerekmeyen hallerde dahi kişisel verilerin işlenmesine ilişkin KVKK uyarınca aydınlatma yapılması gerekmektedir.
İlgili kişinin internet arama motorlarında yapılan aramalardan elde edilen iş yeri e-postasının açık rızası alınmaksızın veri sorumlusu bir pazarlama şirketi tarafından ticari elektronik ileti gönderilmesi suretiyle işlenmesi örneğinde kişisel veri işleme faaliyetinin “ilgili kişinin kendisi tarafından alenileştirilmiş olması” şartına dayanamayacağı tespit edilmiştir. Alenileştirme hakkındaki daha önceki Kurul kararlarına paralel olarak ilgili kişinin kişisel verisini alenileştirmiş olması, her işleme amacı için aleni verilerin kullanılabileceği anlamına gelmemektedir. Kişinin kişisel verisini hangi amaçla alenileştirildiği de değerlendirilmelidir.
Yukarıda atıfta bulunulan Kurul kararlarında, İlke Kararı’na uygun olarak, ticari elektronik ileti gönderimi kapsamında reklam ve pazarlama amaçlı kişisel veri işleme faaliyetlerinde Kurul’un yaklaşımının mutlaka açık rızaya dayanılması yönünde olmadığı görülmektedir. Kurul kararlarında, bu kapsamda gerçekleştirilen veri işleme faaliyetlerinde, KVKK’nın 5/2 maddesinde sayılan işleme şartlarının var olup olmadığının da sorgulandığı görülmektedir. Kurul’un aynı konuya ilişkin geçmiş kararlarında da benzer bir yaklaşımı benimsediği görülmektedir.
Özet Değerlendirme
Her ne kadar ticari elektronik iletilere ilişkin ayrı bir mevzuat bulunmakla birlikte, telefon numarası, e-posta adresi gibi bilgilerin bir veri kayıt sisteminde depolanması suretiyle arama, kısa mesaj ve e-posta vb. iletişim kanalları üzerinden kişilere ticari elektronik iletiler gönderilmesi bir kişisel veri işleme faaliyetidir ve ticari elektronik ileti gönderimi uygulamalarının aynı zamanda kişisel verilerin korunması mevzuatına da uygun olması gerekmektedir.
Ticari elektronik ileti gönderimi kapsamında, aydınlatma yükümlülüğüne uyulması ve KVKK kapsamında hangi işleme nedenine dayanıldığı da veri sorumlusu hizmet sağlayıcılar tarafından belirlenmelidir. E-Ticaret Kanunu kapsamında alınan onamların KVKK anlamında açık rıza anlamına gelip gelmeyeceği konusunda da net bir değerlendirmede bulunulmamaktadır. Doktrindeki ve uygulamadaki tartışmaları ve farklı uygulamaları sona erdirecek bir yaklaşım Kurul tarafından henüz belirlenmemiştir. Ancak doktrin ve pratikteki her iki görüş de E-Ticaret Kanunu kapsamında onam alındığı hallerde KVKK uyarınca ayrı bir açık rıza alınmasına gerek olmadığı sonucuna varmaktadır. Her somut olay özelinde bu konunun veri sorumlularınca özel olarak değerlendirilmesi ve aydınlatma metinlerinin bu çerçevede şeffaflığı sağlayacak detayda düzenlenmesi önemlidir.
Günce Güneş Ceylan’a katkılarından dolayı teşekkür ederiz.
-----
Kişisel Verilerin Korunması ve Gizlilik
Begüm Yavuzdoğan Okumuş, Yalçın Umut Talay & Seda Öztürk