E-posta Adreslerine veya SMS ya da Çağrı ile Cep Telefonlarına Reklam Bildirimleri / Aramaları Yönlendirilmesinin Önüne Geçilmesi Hk. KVKK Kararı
Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından 1 Kasım 2018 tarihli ve 30582 sayılı Resmi Gazete’de, veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen bir ilke kararı yayımlandı.
Söz konusu ilke kararındaki konular kamuoyunda yaygın olarak bilinen adıyla izinli pazarlama şeklinde önceden beri “6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun” (Bkz. bu Kanuna ilişkin 22 Ocak 2015 tarihli yazımız) ve bu Kanuna istinaden yayımlanan “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik”te (Bu Yönetmeliğe ilişkin detay bilgiler için bkz. 15 Temmuz 2015 tarihli yazımız) düzenlenen konular olduğu için Kurul’un yeni yayımladığı ilke kararının bu alanda ne gibi bir değişiklik ve ilave yükümlülükler getirdiğini ayrıca incelemek gerekiyor.
Hemen belirtelim ki Kişisel Verileri Koruma Kurulunun 16/10/2018 Tarihli ve 2018/119 Sayılı Kararı (“İlke Kararı“)’nın ticari elektronik ileti gönderimi yoluyla yapılan pazarlama faaliyetlerinde, yapılan pazarlamanın kişiselleştirilmiş (örn. kişinin yaşı, bulunduğu segment, lokasyonu, tercihleri vb. göre tasarlanmış) bir pazarlama faaliyeti olması ve bu faaliyet için kişiden verilerinin işlenmesi yönünde açık bir rıza alınmamış olması durumunda uygulanacak yaptırımları açıklığa kavuşturması yönünden bir yenilik getirdiğini düşünüyoruz. Kişiselleştirilmemiş (ayrım, segmentasyon vb. yapılmadan tüm müşterilere çıkılan pazarlama mesajları) bir pazarlama faaliyeti yapılıyor olması durumunda ise konunun sadece 6563 sayılı Kanun ve alt mevzuatı çerçevesinde değerlendirilmesi ve aşağıda açıklanan Kurul İlke Kararı kapsamında yer almaması gerektiği görüşündeyiz.
Bu ön açıklamamız çerçevesinde Kurul’un 16.10.2018 tarihli ve 2018/119 sayılı İlke Kararı’nın içeriğine bakalım. Söz konusu ilke kararında;
– İlgili kişilerin rızalarını almadan ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun”)’nun 5 inci maddesinde hüküm altına alınan işleme şartlarını sağlamadan, (Bu karara ilişkin 07.11.2018 tarihli Resmi Gazete‘de yayımlanan düzeltme metni ile “İlgili kişilerin rızalarını almadan ve Kanunun 5 inci maddesinde hüküm altına alınan işleme şartlarını sağlamadan,” ibaresi, “İlgili kişilerin rızalarını almadan veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında hüküm altına alınan işleme şartlarını sağlamadan,” şeklinde değiştirilerek düzeltildi) telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları ile veri sorumluları adına reklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerini Kanun’un 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurması gerektiği,
– Kanun’un 12 nci maddesi kapsamında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu ve kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, anılan tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğu,
– Belirtilen şekilde söz konusu faaliyetlerde bulunan veri sorumluları hakkında Kanun’un 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği,
– Bahse konu şekilde işlenen kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de göz önüne alınarak 5237 sayılı Türk Ceza Kanunu’nun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili veri sorumluları hakkında gerekli hukuki işlemlerin tesisi için konunun 5271 sayılı Ceza Muhakemesi Kanunu’nun 158 inci maddesi uyarınca ihbaren ilgili Cumhuriyet Başsavcılığına bildirileceği
hususlarında kamuoyunun bilgilendirilmesine karar verildiği belirtiliyor.
Bu çerçevede, 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndan kaynaklanan yukarıdaki yükümlülükler 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (“6563 sayılı Kanun“)’dan kaynaklanan yükümlülüklerle birlikte değerlendirildiğinde, ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilebilmesi için ilgili kişilerin kendilerinden alınması gereken onaylar aşağıdaki şekilde ortaya çıkıyor.
1- 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunu’ndan Kaynaklı Yükümlülükler (İzinli Pazarlama)
6563 sayılı Kanun ve bu Kanuna ilişkin olarak yayımlanan “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik” uyarınca hizmet sağlayıcının mal ve hizmetlerini tanıtmak, pazarlamak ya da kutlama ve temenni gibi içeriklerle alıcıların elektronik iletişim adreslerine ticari elektronik iletiler gönderilebilmesi için alıcının (müşterinin) kendisinden onay alınması gerekiyor. Bu onayın alınış şekli ise ilgili Yönetmeliğin 7 nci maddesinde aşağıdaki şekilde tariflenmiş:
TİCARİ İLETİŞİM VE TİCARİ ELEKTRONİK İLETİLER HAKKINDA YÖNETMELİK
Onayın alınması
MADDE 7 – (1) Onay, yazılı olarak veya her türlü elektronik iletişim aracıyla alınabilir. Onayda, alıcının ticari elektronik ileti gönderilmesini kabul ettiğine dair olumlu irade beyanı, adı ve soyadı ile elektronik iletişim adresi yer alır.
(2) Fiziki ortamda alınan onayda, onayı verenin imzası aranır.
(3) Onayın elektronik ortamda alınması durumunda, onayın alındığı bilgisi, reddetme imkânı da tanınmak suretiyle, alıcının elektronik iletişim adresine aynı gün içinde iletilir.
(4) Alıcının elektronik iletişim adresine ticari elektronik ileti gönderilerek onay talebinde bulunulamaz.
(5) Onay; abonelik, satış ve üyelik sözleşmesi gibi bir sözleşmenin içeriğine dahil edilerek alınıyorsa sözleşmenin sonunda, olumlu irade beyanından veya imzadan önce, ticari elektronik ileti kenar başlığı altında, reddetme imkanı da tanınarak en az on iki punto ile yazılarak alınır.
(6) Acentelik, özel yetkili işletme ya da bayilik sözleşmesindeki taraflardan birine verilen onay; bu sözleşmeye konu mal, hizmet veya marka ile sınırlı olarak sözleşmenin diğer tarafı için de verilmiş kabul edilir.
(7) Hizmet sağlayıcı aldığı onayı, kendi mal veya hizmetleri ile birlikte olmak kaydıyla promosyon olarak sunulan mal ve hizmetler için de kullanabilir. Ancak bu promosyon ilişkisinin bir sözleşmeye bağlı olma şartı aranır.
(8) Onay metninde, olumlu irade beyanı önceden seçilmiş olarak yer alamaz.
(9) Hizmet sağlayıcı, alıcıdan ticari elektronik ileti onayı vermesini, sunduğu mal ve hizmetin temini için ön şart olarak ileri süremez.
(10) Onayın alındığına ilişkin ispat yükümlülüğü hizmet sağlayıcıya aittir.”
Tacir veya esnaf olan alıcıların elektronik iletişim adreslerine gönderilen ticari elektronik iletiler için ise önceden onay alınması zorunluluğu bulunmuyor. Ancak tacir ve esnafların reddetme hakkını kullanmaları halinde onayları alınmadan ticari elektronik ileti gönderilemiyor.
6698 sayılı Kanun’un 5 inci maddesinin ikinci fıkrasındaki kişisel veri işleme şartları dikkate alındığında, bankaların müşterilerinden diğer kanunların açıkça öngördüğü hükümlere göre temin ettiği müşteri iletişim bilgilerine (örn. MASAK mevzuatı uyarınca kimlik tespiti gerektiren işlemler ve hesap açılış işlemleri çerçevesinde alınan telefon ve e-posta adreslerine) ayrı bir KVKK onayı temin etmeden sadece ticari elektronik ileti onayı (pazarlama izni) alarak ürün ve hizmetlerini tanıtmak amacıyla kişiselleştirilmemiş reklam mesajları göndermelerinde sakınca olmadığını düşünüyoruz.
KİŞİSEL VERİLERİN KORUNMASI KANUNU
Kişisel verilerin işlenme şartları
MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.”
Ancak, tüketici statüsündeki müşterilere kişiselleştirilmiş (örn. kişinin yaşı, bulunduğu segment, lokasyonuna göre tasarlanmış) reklam mesajları gönderilmesi / arama yapılabilmesi için ise ticari elektronik ileti gönderme onayı alınmasının yanı sıra 6698 sayılı Kanun uyarınca kişisel verilerinin reklam / pazarlama amaçlı işlenebilmesine yönelik açık rızalarının da alınması gerektiği görüşündeyiz.
2- Kişisel Verilerin Korunması Kanunu’ndan Kaynaklı Yükümlülükler
Yukarıda belirttiğimiz gibi tüketici statüsündeki müşterilere kişiselleştirilmiş reklam mesajları / aramaları yapılabilmesi için ticari elektronik ileti gönderme onayı alınmasının yanı sıra 6698 sayılı Kanun uyarınca kişisel verilerinin reklam / pazarlama amaçlı işlenebilmesine yönelik açık rızalarının da alınması gerekiyor. 6698 sayılı Kanun’un 3 üncü maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunuyor:
- Belirli bir konuya ilişkin olması
- Rızanın bilgilendirmeye dayanması
- Özgür iradeyle açıklanması
1 Kasım 2018 tarihli Resmi Gazete’de yayımlanan Kişisel Verileri Koruma Kurulu Kararı yukarıdaki bilgiler çerçevesinde değerlendirildiğinde, kişilerin açık rızaları temin edilmeksizin telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendirilmesi durumunda;
– Durumun alınan ilke kararına aykırılık olarak değerlendirileceği ve bu faaliyetlerde bulunan veri sorumluları hakkında 6698 sayılı Kanun’un 18 inci maddesinin 1 inci fıkrasının (c) bendi uyarınca Kişisel Verileri Koruma Kurumu (“KVKK“) tarafından 25.000 TL’den 1.000.000 TL’ne kadar idari para cezası verileceği,
– bahse konu şekilde işlenen kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de göz önüne alınarak Türk Ceza Kanunu’nun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi (Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır) çerçevesinde ilgili veri sorumluları hakkında gerekli hukuki işlemlerin tesisi için konunun KVKK tarafından ihbaren ilgili Cumhuriyet Başsavcılığına bildirileceği,
– Kanun’un 12 nci maddesi kapsamında, veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları ve kişisel verilerin kendi adlarına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, anılan tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğu hususunun hatırlatıldığı
görülüyor.
Bu çerçevede, veri sorumlularının tüketici konumundaki müşterilerine pazarlama / reklam amaçlı e-posta, SMS iletisi göndermeleri ve arama yapmaları için öncelikle müşterilerinden ticari elektronik ileti gönderim onayı alınmış olmasına özen göstermeleri; gönderilen reklam / pazarlama mesajlarının kişiselleştirilmiş olması (örn. kişinin yaşı, bulunduğu segment, lokasyonuna göre tasarlanması / özelleştirilmesi) durumunda ise ayrıca 6698 sayılı Kanun uyarınca bu işlemlere (kendilerine özel reklam tanıtım kampanyalarının yapılması amacıyla kişisel verilerinin işlenmesine) yönelik açık rızalarının alınmış olmasına özen göstermeleri gerekiyor.
Aksi durumda, bu iletilerle ilgili olarak 6563 sayılı Kanun uyarınca izinsiz pazarlama yapıldığı gerekçesiyle ilgili Ticaret İl Müdürlükleri tarafından 1.000 TL’den 5.000 TL’ye kadar idari para cezası verilebileceği gibi, 6698 sayılı Kanun uyarınca yayımlanan 2018/119 sayılı ilke kararına aykırılıktan ötürü (kişisel verilerin izinsiz işlenerek reklam yapıldığı) KVKK tarafından 25.000 TL’den 1.000.000 TL’ye kadar idari para cezası uygulanması riski bulunuyor.
Saygılarımızla,
Hamdi GİRGİN
“UYARI: Bu çalışmada yer alan görüşler, yazarın kendi görüşleri olup, çalıştığı kurumun görüşlerini yansıtmamaktadır. Bu yazı yalnızca bilgilendirme amacıyla yayımlanmış olup, herhangi bir hukuki görüş, yönlendirme ve tavsiye içermemektedir. Ayrıca, bilgiler yazının hazırlandığı tarihteki mevzuat göz önünde bulundurularak verilmiş olup, yazı içeriği aradan geçen zaman içerisinde mevzuat değişiklikleri ve ilgili kurumların konu hakkındaki görüşleri çerçevesinde güncelliğini yitirmiş olabilir.”
Makalenin yazarı Hamdi Girgin 2001 – 2004 yılları arasında Bankalar Yeminli Murakıp Yardımcısı, 2004 yılından 2010 yılı sonuna kadar da Bankalar Yeminli Murakıbı olarak Bankacılık Düzenleme ve Denetleme Kurumu’nda görev yaptı. 2011 yılı başından bu yana özel bir bankada Mevzuat ve Uyum Müdürü olarak görev yapmaktadır. Bankacılık, AML ve sermaye piyasası mevzuatı başta olmak üzere banka ve finans kurumlarını ilgilendiren her türlü mevzuat üzerinde çalışmaktadır.
KİŞİSEL VERİLERİ KORUMA KURULUNUN 16/10/2018 TARİHLİ VE 2018/119 SAYILI KARARI
