Reklam Amaçlı Gönderilen Elektronik İletilerin Kişisel Verilerin Korunması Kanunu’na Uygunluğu
Bilgi ve iletişim teknolojilerinin giderek yaygınlaşmasıyla birlikte yaşanan teknolojik gelişmeler bireylere ait bilgi ve verilerin toplanmasını ve işlenmesini büyük ölçüde kolaylaştırmıştır. Bu gelişmeler kişilerin özel yaşamının ve verilerinin çeşitli düzenlemeler ile koruma altına alınması ihtiyacını doğurmuştur. Her ne kadar bu düzenlemeler 60’lı yıllardan itibaren başlasa da sürekli gelişen iletişim ve teknoloji araçları mevcut kuralların güncellenmesini ve yeni dünyayla uyumlu hale getirilmesini zorunlu kılmıştır.
Bu düzenlemeler Avrupa Birliği Hukuku’nda 1995 yılında yürürlüğe giren Veri Koruma Direktifi ve 2016 yılında kabul edilen AB Genel Veri Koruma Tüzüğü (“EU General Data Protection Regulation” – “GDPR”) ile gerçekleşirken ülkemizde de yine 2016 yılında yürürlüğe giren ve GDPR ile benzerlikler gösteren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ve “Kanun”) ile hayata geçmiştir.
6698 sayılı kanun bir yandan özel hayatın gizliliği gibi anayasa ile de güvence altına alınmış kişilerin temel hak ve özgürlüklerini korurken diğer yandan verilerin işlenmesinden sorumlu kişilerin yükümlülüklerini düzenlemektedir. Bu makale ile kanunun günümüz çağındaki etkileri reklam amaçlı gönderilen SMS ve e-maillerin hukuka uygunluğu kapsamında incelenecek ve Avrupa Birliği mevzuatı ile birlikte değerlendirilecektir.
KVKK’ya göre belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri niteliğindedir ve veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi eylemi olarak kabul edilir. Kanun’un getirdiği temel kural, Kanun’da sayılı haller dışında, kişisel verilerin yalnıza kişinin rızası ile işlenebileceğidir. Bu rıza Kanun metninde ‘açık rıza’ olarak düzenlenmiştir. İlgili 5. maddenin 2. fıkrasında ise rızanın aranmayacağı hukuka uygunluk halleri sınırlı şekilde sayılmıştır. Fakat her halükârda veri sorumlusunun ilgili kişiyi aydınlatma yükümlülüğü bulunmaktadır. Bu yükümlülük verileri işlenen ilgili kişilere bu verilerin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceğinin bildirilmesidir. Veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere Kanun’un 10. maddesi kapsamında sayılan konularda bilgi vermekle mükelleftir. Dolayısıyla bir veri işleme faaliyetinin hukuka uygunluğu için öncelikle ilgili kişiye karşı aydınlatma yükümlülüğünün yerine getirilip getirilmediği daha sonra kişinin açık rızasının alınıp alınmadığı, eğer alınmamışsa hukuka uygunluk hallerinden birinin olayda gerçekleşip gerçekleşmediği incelenir. Hukuka aykırılık halinde veri sorumlularının çeşitli yaptırımlara tabi tutulması söz konusu olabilir.
Kişisel verilerin işlenmesi büyüyen rekabet ortamı ve gelişen internet teknolojilerinin de etkisiyle ticari alanda da önemli bir rol oynamaktadır. Günümüzde ticari işletmeler mal ve hizmetlerini tanıtmak, pazarlamak veya tanınırlığı artırmak amacıyla kişilere sıklıkla elektronik iletiler göndermektedir. Bu tarz işletmeler tüketiciler ile daha önceden yaptıkları işlemler dolayısıyla elde ettikleri isim, soy ad, telefon numarası gibi bilgileri reklam amaçlı elektronik ileti göndermek için kullanmaktadırlar.[1] Bu duruma, kişilerden alınan ad, soy ad, mail adresi gibi bilgiler “kişisel veri”, bu bilgilerin veri sorumluları tarafından elektronik ileti yollamak amacıyla kullanılması “kişisel verilerin işlenmesi” niteliğini taşımaktadır. Bu sebeple bu işlemlerin KVKK ve diğer elektronik iletileri düzenleyen kanunlar kapsamında değerlendirilmesi gerekmektedir.
Yukarıda da belirttiğimiz üzere bir gerçek kişiye reklam amaçlı gönderilen elektronik iletiler kişisel verilerin işlenmesinin bir örneğidir. Bu sebeple KVKK’da aranan şartlar sağlanmadığı sürece bu gönderilen iletiler hukuka aykırı olacaktır. Bu tarz reklam veya tanıtım amaçlı iletileri gönderen firmalar mutlak surette ilgili kişilere karşı aydınlatma yükümlülüklerini yerine getirmeli ve kişilerin açık rızalarını almalılardır.
Kanun metninde salt rıza kelimesi yerine “açık rıza” ibaresi kullanılmış ve hem genel hem de özel nitelikli kişisel veriler bakımından sadece açık rızayı hukuka uygunluk sebebi olarak hükme bağlamıştır. KVKK’daki açık rıza tanımına baktığımızda şu üç kriter göze çarpmaktadır; rıza belirli bir konuya ilişkin olmalı, bilgilendirmeye dayanmalı ve ilgili kişi rızasını özgür iradesiyle açıklamalıdır. Diğer yandan GDPR metninde ise genel nitelikli verilerin işlenmesi bakımından m. 4/11’de tanımlanan “rıza” yeterli görülürken özel nitelikli kişisel verilerin işlenmesi bakımından m.9/2’de kişinin açık rızası aranmıştır.
GDPR 4/11 | |
‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her; | veri sahibinin ‘rızası’ veri sahibinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık göstergedir; |
KVKK 3/a) |
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı |
GDPR ve KVKK’daki rıza tanımlarını incelediğimizde AB hukukundaki ‘consent’ ile hukukumuzdaki ‘açık rıza’ kavramlarının hemen hemen aynı anlama geldiğini söyleyebiliriz.
Bunun dışında belirli bir konu ile sınırlandırılamayan ve ilgili işlemle ilgili sınırlı olmayan genel nitelikli açık rızalar hukuken geçersiz sayılmaktadır. Örneğin; “her türlü ticari işlem, her türlü veri işleme faaliyeti” gibi belirli bir konu ve faaliyeti işaret etmeyen rıza beyanları geçersizdir. Verilen rızanın açık bir irade beyanıyla verilmiş olması gereklidir. KVKK’ya göre örtülü rıza yeterli değildir. Ayrıca unutmamak gerekir ki açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rıza geri alınabilir. Bu bilgiler ışığında elektronik iletiler gönderilmesi amacıyla hukuka uygun bir açık rıza metnine örnek olarak aşağıdaki paragrafı gösterebiliriz;
Özel nitelikli kişisel verilerimi de içeren kimlik kartı verileri ve sair kişisel verilerimin […] SANAYİ VE TİCARET ANONİM ŞİRKETİ tarafından sağlanan satım ve satış sonrası hizmetler çerçevesinde; ürün ve hizmetlere ilişkin yönlendirmede bulunulması, kampanyalara ilişkin bilgi verilebilmesi, satın alınan ürün ve diğer hizmetlere ilişkin olarak memnuniyetimin değerlendirilmesine yönelik analizler yapılması ve bu kapsamda tarafımla iletişime geçilmesi, anılan hizmetlere ve ürünlere yönelik tanıtım, pazarlama ve kampanya faaliyetlerinin sosyal medya, arama motorları, e-mail, kısa mesaj vb. kanallarla gerçekleştirilmesi amacıyla tarafımla iletişime geçilmesi ve aynı amaçlarla verilerimin yurt içi veya yurt dışı merkezli dijital pazarlama firmalarına aktarılması, özel günlerde tarafıma hediye gönderilebilmesi için ürün/hizmet sağlayan şirketlere aktarılması amacıyla yukarıda belirtilen bilgiler kapsamında işlenmesini kendi açık rızam ile onaylıyorum.
Öte yandan KVKK’nın 5. maddesinin 2. fıkrasında rızanın aranmayacağı hukuka uygunluk halleri sıralanmıştır. Bu istisna halleri sırasıyla;
a) Kanunlarda açıkça öngörülmesi,
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,
şeklindedir.
“Meşru menfaatler” istisnası ile ilgili kurulun yayınladığı bir kararda[2] veri işlemenin meşru menfaat kapsamında değerlendirilmesi için “kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması” gerektiğine hükmedilmiştir. Reklam amaçlı ileti gönderilmesi konusunda veri işleyenin menfaatinin bu kapsamda ilgili kişinin menfaatlerine ağır bastığı söylenemez. Diğer yandan GDPR metninde ise meşru menfaatin korunması “zorunlu” değil “gerekli” (necessary) olarak düzenlenmiştir.
(f) | processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child. |
KVKK’daki “zorunlu” ibaresinin GDPR’daki “gerekli” ifadesine göre daha ağır bir kıstas olduğu göze çarpmaktadır.
Günümüzde kişilerin açık rızası olmadan e-posta adreslerine veya SMS ile cep telefonlarına iletiler gönderilmesi ve bu reklam amaçlı iletiler hakkında çok fazla şikâyet olması üzerine Kişisel Verileri Koruma Kurumu Resmi Gazete ’de 16.10.2018 tarihli ve 2018/119 sayılı ilke kararı[3] yayımlamıştır. Bu karar ile veri sorumlularının KVKK’nın 5. maddesinde yer alan şartları yerine getirme zorunluluğuna vurgu yapılmıştır. Kararda açık rıza alınmamışsa veya diğer istisna haller mevcut değilse reklam içerikli ileti gönderilmesinin hukuka aykırı olduğu belirtilmiş ve söz konusu faaliyetlerin KVKK madde 15/7 uyarınca derhal durdurulması gerektiğine hükmedilmiştir.
- İlgili kişilerin rızalarını alınmadan veya Kanunda gösterilen şartlar gerçekleştirilmeden telefon numaralarına sms göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları ile veri sorumluları adına reklam içerikli mesaj veya e-posta göndermek veya arama yapmak kanunun 15/7 maddesine göre yasaktır, derhal durdurulması gerekir.
- Kanunun 12’nci maddesi kapsamında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin korunmasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır bununla beraber kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, anılan tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
- Belirtilen söz konusu faaliyetlerde kanuna aykırı davranılması durumunda Kişisel verileri koruma kanunu 18. maddesinde belirtilen durumlar gerçekleşmesiyle her bir durumun özelliğine değişkenlik gösteren idari para cezalarına hükmolunur.
- Bahse konu şekilde işlenen kişisel verilerin hukuka aykırı olarak elde edilen durumlarda Türk Ceza Kanunu’nun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136’ncı maddesi çerçevesinde ilgili veri sorumluları hakkında gerekli hukuki işlemler için ilgili Cumhuriyet Başsavcılığına bildirileceği hususlarında kurul bunların kamuoyuna bildirilmesi hakkında oybirliğiyle karar almıştır.
Kişisel verilerin reklam amaçlı işlenmesine dair hususlar temel olarak KVKK kapsamında değerlendirilecek olsa da Salih Polater ve Doç.Dr.Murat Dülger’in de konuyla ilgili yazılarında bahsettiği gibi 2014 tarihli Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (“ETDHK”) da dikkate alınmalıdır. Zira ETDHK’nın 6. maddesi ticari elektronik ileti gönderilmesini düzenlemektedir.
ETDHK m.6/1 |
Ticari elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir. Bu onay, yazılı olarak veya her türlü elektronik iletişim araçlarıyla alınabilir. Kendisiyle iletişime geçilmesi amacıyla alıcının iletişim bilgilerini vermesi hâlinde, temin edilen mal veya hizmetlere ilişkin değişiklik, kullanım ve bakıma yönelik ticari elektronik iletiler için ayrıca onay alınmaz. |
Bu noktada üstünde durulması gereken temel husus kararda bahsedilen “reklam içerikli ileti” ile ETDHK’da geçen “ticari elektronik ileti” kavramları arasındaki ilişkidir. Reklam içerikli ileti, kişiye herhangi bir ürün veya hizmeti tanıtmak, beğendirmek ve böylece sürümünü sağlama amacı taşırken; ticari elektronik ileti ise ticari amaç taşır. Buna göre ticari amaç daha geniş kapsamlı olup, reklam amacını içerisinde barındırmakla beraber her zaman reklam amacını taşımak zorunda da değildir[4]. Bu sebeple ticari iletinin reklam içerikli iletiyi kapsayıcı nitelikte olduğu kabul edilirse bu çeşitli çelişkileri de beraberinde getirmektedir.
Örneğin ETDHK kapsamında aranan onay şartı ile KVKK kapsamındaki açık rızanın örtüştüğü kabul edilse de aydınlatma yükümlülüğü noktasında soru işaretleri mevcuttur. Öte yandan ETDHK gereğince esnaf veya tacir olan kişilere ticari elektronik ileti gönderebilmek için herhangi bir onaya ihtiyaç yokken KVKK açısından böyle bir ayrım söz konusu değildir. Bununla birlikte KVKK’daki istisna hallerinden kanunlarda açıkça öngörülmesi haline dayanılarak esnaf veya tacir kişilerden onay alınmaksızın ticari elektronik ileti gönderilmesi suretiyle kişisel verilerin işlenmesinin hukuka uygun olacağını söyleyebiliriz(Dülger).
Ayrıca, ETDHK ile KVKK hükümleri arasında çelişki olması halinde hangi kanun hükümlerinin uygulanacağı konusu da muallaktır. Bu konuda farklı görüşler mevcut olmakla birlikte Dülger’e göre, konusu ve amacı her ne olursa olsun bir kişisel veri işleme faaliyetinin gerçekleştirilmesi sırasında KVKK hükümleri ile uyumlu hareket edilmesi gerektiğini ileri sürmektedir. Diğer bir görüşe göre ise konu, ETDHK hükmü ile KVKK hükmünün önceki özel-sonraki genel kanun hükmü kapsamında incelenip hükümler tek tek ele alınıp bir sonuca ulaşılmalıdır.[5]
Bir diğer üzerinde durulması gereken husus da reklam amaçlı iletiler için rızanın kanunun yayımlanmasından önce alındığı hallerdir. KVKK’nın “Geçiş hükümleri” başlıklı geçici 1. maddesi bu konuya açıklık getirmektedir. Buna göre Kanun’un yayım tarihinden (7 Nisan 2016) önce hukuka uygun olarak alınmış rızaların bir yıl içinde (7 Nisan 2017’ye kadar) aksine bir irade beyanı olmaz ise kanuna uygun kabul edileceği hükme bağlanmıştır. Buradan hareketle, 7 Nisan 2016 tarihinden önce ilgili kişiden hukuka uygun olarak alınan rıza, 7 Nisan 2017 tarihine kadar geri alınmamış ise kanuna uygun olarak kabul edilecektir ve bu rızaya istinaden reklam içerikli iletiler gönderilebilecektir.
SONUÇ
Reklam amaçlı gönderilen SMS veya e-posta iletileri kişisel verilerin işlenmesi faaliyetinin bir örneğidir.
Bu sebeple bu verilerin hukuka uygun işlenmesi için veri sorumluları veya veri işleyen öncelikle aydınlatma yükümlülüğünü yerine getirmeli ve istisna hallerinden biri mevcut değilse ilgili kişinin muhakkak açık rızasını almalıdır. Türkiye’de son zamanlarda e-posta veya SMS yoluyla gelen reklam amaçlı iletiler hakkındaki şikayetlerde ciddi oranda artış gözlenmiştir. Kurulun bu artan şikayetler üzerine “Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesi” ile ilgili 16.10.2018 tarihli ve 2018/119 sayılı İlke Kararı, 1 Kasım 2018 tarihli ve 30582 sayılı Resmi Gazete ’de yayımlanmıştır. (KVKK m.15/6 ‘ya göre karar organı olan Kişisel Verileri Koruma Kurulu’nun ilke karar alma görev ve yetkisi vardır.) Kurul bu karar ile kişilerin açık rızası alınmamışsa veya istisna halleri gerçekleşmemişse söz konusu veri işleme faaliyetlerine derhal son verilmesi gerektiğine hükmedilmiştir. Bunun yanında veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğuna vurgu yapılmıştır. Fakat hukukumuzda elektronik iletiler gönderilmesiyle ilgili diğer mevcut kanunlar da göz önünde bulundurulduğunda kurulun bu kararı bazı çelişkileri de beraberinde getirmiştir.
[1] Av.Nesibe Önder , 6698 Sayılı Kişisel Verilerin Korunması Kanunu Işığında Tüketicilere Gönderilen Ticari ve Elektronik İletiler, https://www.rskveri.com/6698-sayili-kisisel-verilerin-korunmasi-kanunu-isiginda-tuketicilere-gonderilen-ticari-ve-elektronik-iletiler/
[2] İlgili kurul kararı: https://www.kvkk.gov.tr/Icerik/5434/2019-78
[3] İlgili kurul kararı: https://www.kvkk.gov.tr/Icerik/5299/2018-119
[4] Doç. Dr. Murat Volkan Dülger , Kişisel Verileri Koruma Kurulunun “Mesaj ve Aramalara İlişkin 16/10/2018 tarihli ve 2018/119 sayılı Kararına İlişkin Değerlendirme, https://www.hukukihaber.net/kisisel-verileri-koruma-kurulunun-mesaj-ve-aramalara-iliskin-16102018-tarihli-ve-2018119-sayili-kararina-iliskin-degerlendirme-makale,6198.html
[5] Salih Polater , KVKK Dergisi , Kişisel Verilerin reklam amaçlı işlenmesinde hukuka uygunluk sebepleri,