Bilindiği gibi Kişisel Verileri Koruma Kurulu, pek de alışık olmadığımız bir yöntemle (bir haber sitesi aracılığıyla) izinsiz ticari ileti gönderenlere ceza keseceğini açıkladı.
Ben de uzun süredir taslak halinde tutup bir türlü tamamlamadığım bu yazıyı artık tamamlayıp yayınlamanın vaktinin geldiğini düşündüm…
Ayrıca bu yazıda işlenen bazı konuları, Veri Koruma Derneği’nin dünkü sempozyumunda moderasyonunu üstlendiğim panelde Dr. Nafiye Yücedağ Hocam ile konuşma fırsatı bulmamız çok güzel bir tesadüf oldu.
Keyifle okuyunuz...
1. Ticari iletişim nedir? Pazarlama ve tanıtım amacıyla elektronik ticari ileti gönderilmesine ilişkin özel bir düzenleme var mıdır?
Ticari iletişim, kazanç sağlama amacıyla yapılan her türlü iletişimi ifade eder. Pazarlama faaliyeti amacıyla SMS, e-mail (elektronik ticari ileti) gibi çeşitli mecralardan hedef kitleye ulaşılması da bu iletişimin içerisinde kabul edilir.
Bu iletişimi 15 Temmuz 2015 tarihinde yürürlüğe giren Ticari İletişim ve Ticari İletiler Hakkında Yönetmelik (“Yönetmelik”) düzenliyor. Bu Yönetmelik Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’a (“Kanun”) dayalı olarak çıkartıldı.
Gerek Kanun, gerek Yönetmelik Kişisel Verilerin Korunması Kanunu’ndan (“KVKK”) yayımlanmasından da önce yürürlüğe girdi.
2. Ticari iletişimin tabi olduğu kurallar nelerdir?
Yönetmelik temel olarak bu yazıda ele alacağımız 5 önemli şarttan bahsediyordu:
3. KVKK çerçevesinde ticari iletişimin kapsamında işlenen verilerin kişisel veri kabul edilebilir mi?
Öncelikle KVKK uyarınca kişisel verilerin tanımı “kimliği belirli ya da belirlenebilir olan geçek kişiye ait her türlü bilgi”dir.
Dolayısıyla bazı istisnai örnekler hariç (örneğin sadece e-mail adresi bilgisine sahip olunması ve bu e-mail adresi ilgili kişinin ismi ve soyadından oluşmaması), ticari iletişim kapsamında ilgili kişinin kim olduğu, iletişim bilgileri hatta bazı durumlarda alış veriş tercihleri dahi bilinmektedir. Dolayısıyla genel olarak ticari iletişim çerçevesinde işlenen verilerin KVKK anlamında kişisel veri kabul edilmesi uygun olacaktır.
Dolayısıyla başta aydınlatma ve rızaya ilişkin yükümlülükler olmak üzere, KVKK’nın tüm hükümlerinin ticari iletişimle kapsamında işlenen verilerle birlikte uygulanacağı sonucuna varılabilir.
4. KVKK’nın geçiş maddesi çerçevesinde KVKK’dan önce ticari iletişim kapsamında işlenen veriler için ne yapılması gereklidir?
KVKK yürürlüğe girdiği anda Yönetmelik’e göre alıcıların durumlarını 3’e ayırmak gerekiyor: (i) ticari iletişim onayı alınmış kişiler, (ii) ticari iletişim onayları olduğu kabul edilen kişiler, (iii) esnaf ya da tacir olduklarından onay alınmasına gerek olmayalar.
4.1. Elektronik ticari ileti göndermek için onayı alınmış kişiler
KVKK’nın Geçici 1. Maddesine göre: KVKK’nın yayımı (7 Nisan 2016) tarihinden önce işlenmiş olan kişisel veriler, 7 Nisan 2016 tarihinden itibaren 2 yıl içinde (7 Nisan 2018) KVKK’nın hükümlerine uygun hâle getirilir. KVKK hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak KVKK’nın yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, KVKK’ya uygun kabul edilir.
Dolayısıyla ticari iletişim için onay alınmış kişilerden bir de tekrar KVKK anlamında rıza alınmasına gerek yoktur. Zira bu rızalar -KVKK yürürlüğe girdikten sonra aksine bir irade beyanında bulunulmaması hâlinde- hala geçerlidir.
Buradaki tartışma konusu “hukuka uygun alınmış rıza” ifadesinden ne anlaşılması gerektiğidir. KVKK’dan önce de Anayasa’nın 20. maddesi yürürlüktedir ve bu madde “kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin “açık” rızasıyla işlenebilir.” demektedir.
Dolayısıyla ticari iletişim için alınmış rızaların “açık rıza” kapsamında girip girmeyeceği tartışılabilir. KVKK açık rızayı “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlamıştır. Açık rızanın tanımı KVKK’dan önce belirli olmadığı için KVKK’nın Geçici Madde’si kapsamında Yönetmelik’e uygun olarak alınan rızanın geçerli olacağı sonucuna varılabilir.
Bununla birlikte rıza alınmasına gerek olmasa dahi, aynı zamanda aydınlatma yükümlülüğü çerçevesinde ilgili kişiye veri işlemeye ilişkin bilgilendirme yapılması gerekip gerekmediği de tartışmalıdır. Zira kanunda aydınlatma yükümlülüğüne ilişkin bir istisna yoktur; dolayısıyla aydınlatmanın her halükarda yapılması gerektiği söylenebilir. Bununla birlikte aydınlatma ve rızanın birbirine sıkı sıkıya bağlı kavramlar olduğu kabul edildiğinden, rıza geçerliyse ek bir aydınlatmaya gerek olmadığı da ileri sürülebilir.
Bu belirsiz durumda aydınlatma yükümlülüğünün her ihtimale karşı yerine getirilmesi uygun bir çözüm olacaktır.
Bununla birlikte bu yapılmazsa, olası bir uyuşmazlıkta bu yükümlülüğün yerine getirilmediğine ilişkin bir iddia halinde söz konusu rızanın geçerli olduğu, aydınlatma ve rızanın birlikte düşünülmesi gerektiği, ek bir aydınlatmaya gerek olmadığı savunması da yapılabilir.
4.2. Elektronik ticari ileti göndermek için onayı vermiş kabul edilen kişiler
Yine de gönderen ile Kanun’dan önce bir mal/hizmet alımı ilişkisi kurarken iletişim adresini vermiş ve bu şekilde “ticari iletişim onayı vermiş kabul edilen” alıcıların durumları açık değildir.
Zira bu kişiler “açık” bir rıza vermemiştir, fakat bir “yönetmelik” kapsamında rıza vermiş kabul edilmektedirler. Bu da Geçici Madde 1 lafzı kapsamında bir belirsizlik yaratmaktadır. Bu husus, Kurul’un bir ilke kararıyla “ticari iletişim onayı vermiş kabul edilen” alıcıların da Geçici 1. Maddede kapsamında rıza vermiş olarak değerlendirileceğine ilişkin bir karar vermesi ile pratik olarak çözülebilir. Zira aksi taktirde piyasada ciddi bir kaos oluşacaktır.
4.3. Esnaf ya da tacir olduklarından onay alınmasına gerek olmayan kişiler
Öncelikle bu istisnanın amacını anlamamız gerekir. Esnaf ya da tacir olan kişilerin kendilerine yönelmiş mal/hizmet satma teklifleri değerlendirmeleri kendi menfaatlerine olacaktır. Kendileriyle onay almadan kimse iletişime geçemez ise belki ihtiyaçları olan bir mal ya da hizmeti alma şansını kaçıracaklardır.
Bununla birlikte tacir ya da esnafa ait iletişim bilgilerinin aynı zamanda bir kişiye ait/ilişkin olması durumunda bu veriler aynı zamanda “kişiler veri” olarak kabul edilecektir.
Yukarıda belirttiğimiz gibi bu veriler Yönetmelik çerçevesinde bir istisnaya tabidir. Dolayısıyla KVKK Geçici Madde 1 kapsamında burada alınmış bir “rıza”dan bahsetmek mümkün değildir.
Bununla birlikte Yönetmelik ile tanınan bu istisnanın mesaj gönderenler için bir “meşru menfaat kabul edilmesi gerektiği” görüşündeyim. Zira öncelikle bir KVKK’dan daha özel bir mevzuat (Yönetmelik) buna açıkça izin vermiştir; ayrıca bir tacir/esnafın avantajlı ürünler hakkında bilgi alması için kendisi için de bir menfaat sayılacaktır; ayrıca ticari ileti gönderimi makul, ölçülü seviyede tutulduğunda bu meşru menfaatin tacir/esnafın temel hak ve özgürlüklerini zedelemeyeceği ileri sürülebilir.
Ayrıca eğer söz konusu iletişim bilgileri, ilgili kişi tarafından işine ilişkin web sitesinde yayınlanmışsa, bu durum KVKK m. 5 kapsamında “ilgili kişinin kendisi tarafından alenileştirilmiş olması” istisnası olarak değerlendirilebilir. Bu durumda “yayınlama amacı” da dikkate alınarak ilgili kişinin verisinin işlenmesi (kendisi ile pazarlama iletişimine geçilmesi) için rıza alınmasına gerek olmayacağına da söylenebilir.
Ayrıca yine alenileştirilmiş olunması gerekçesiyle KVKK’nın 10. Maddesinde düzenlenen “aydınlatma yükümlülüğü” 11. Maddede düzenlenen “ilgili kişinin hakları (zararın giderilmesini talep etme hakkı hariç)” ve 16. Maddede düzenlenen “Veri Sorumluları Siciline kayıt yükümlülüğü”ne ilişkin hükümler söz konusu iletişim faaliyeti için uygulanmayacaktır.
Yine de burada dikkat edilmesi gereken iki önemli husus ise şunlardır.
---
Yayınlanma Tarihi: 26 Ekim 2018
Sitemizde zorunlu çerez kullanıyoruz. Kullandığımız bu çerez ve bu çerezi nasıl devre dışı bırakacağınız hakkında bilgi edinmek için Çerez Aydınlatmamıza bakabilirsiniz. Çerez Aydınlatması
