6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Şikayet üzerine veya resen incelemenin usul ve esasları” başlıklı 15. maddesinin 6. fıkrası, Kişisel Verileri Koruma Kurumu’nun karar organı olan Kişisel Verileri Koruma Kurulu’na “ilke kararı” alma görev ve yetkisini vermiştir. Buna göre Kurul, şikâyet üzerine veya resen yaptığı bir inceleme sonucunda ihlalin yaygın olduğunu tespit ederse, konuyla ilgili ilke kararı alıp, bu kararı yayımlar. Söz konusu karar alınmadan önce ihtiyaç duyulması halinde, ilgili kurum ve kuruluşların görüşlerinin alınması da mümkündür. Öyleyse ihlalin yaygın olduğunun tespit edildiği konulara ilişkin olarak ilke kararı alınması, Kurula verilen bir yetki türü olduğu kadar, Kurulun görev kapsamına da girer.

Bu görev ve yetki doğrultusunda Kişisel Verileri Koruma Kurulunun “Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesi” ile ilgili 16.10.2018 tarihli ve 2018/119 sayılı İlke Kararı, 1 Kasım 2018 tarihli ve 30582 sayılı Resmi Gazete’de yayımlanmıştır.

Karar’ın hitap ettiği kitlenin hem veri sorumlusu ve veri işleyenler tarafında hem de veri sahipleri tarafında oldukça geniş olması ve Karar’a konu olan reklam bildirimleri veya aramalarının günümüzde neredeyse vazgeçilmez derecede yoğunluk göstermesi, Karar’a karşı özellikle konunun ilgilileri tarafından büyük bir ilgi gösterilmesini sağlamıştır. Buna paralel olarak Karar’ın yayınlanmasıyla beraber birçok tartışma ve belirsizlik noktası da gündeme gelmiştir.

İşte bu yazımda da Kurul tarafından yayınlanan Karar’ı başta 6698 sayılı Kanun olmak üzere konuyla ilişkili diğer mevzuatları da göz önünde bulundurarak ele alacağım. Bu noktada özellikle belirtmeliyim ki, veri sorumluları veya veri işleyenlerin söz konusu Karar doğrultusunda ne yapmaları veya nasıl önlemler almaları gerektiği çok önemlidir. Bundan başka veri sahiplerinin reklam veya arama bildirimleri karşısında ne tür hakları olduğu da dikkat edilmesi gereken diğer bir önemli noktayı oluşturur. Bu nedenle Karar’a ilişkin değerlendirme sonucunda akıllarda oluşan soru işaretlerini gidermeye, veri sorumlularının Karar karşısında ne yapmaları gerektiğini ve ilgili kişilerin bu bildirim ve aramalar karşısında neler yapabileceklerini somut örnekler bağlamında açıklamaya çalışacağım.

Elektronik Araçların Kullanımı Reklam Yapılmasında Kullanılma Süreci

Bilişim teknolojilerinin geldiği nokta itibariyle hayatımıza giren elektronik araçlar, daha da ötesi bu araçlarla yapılan iletişim, günümüzde her alanda vazgeçilmez bir unsur haline gelmiştir. Bugün, gündelik faaliyetlerden tutun da bütün mesleki faaliyetlerin neredeyse her aşamasında elektronik araçları kullanmakta ve bu araçlarla iletişim veya haberleşme halinde bulunmaktayız. Bu durum, üretim ve tüketim aşamalarını da önemli ölçüde etkilemiştir. Sanayi Devrimi sonrasında artan üretim, kişileri tüketime yönlendirmiş ve söz konusu her iki faaliyet devamlı olarak birbirini etkileyerek ilerlemiştir. Üreten taraf, ürettiklerinin tüketilmesini istemiş ve bunun için çok eski yıllardan beri, o zamanın şartlarına göre büyük çaba sarf etmiştir.

Bu, günümüzde de aynen böyledir: Belli bir kâr amacı güderek, bir malı üreten veya hizmeti sunan kişi, bu mal veya hizmetin tüketimi, diğer bir ifadeyle satışı için günün şartlarına göre uğraş gösterir. Bilişim çağı olarak da adlandırdığımız bu zamanda da bir malın satışı için reklam veya pazarlama yapmanın en iyi yolu şüphesiz bilişim araçları ve bu araçlarla gerçekleştirilen iletişimdir. Bunun farkında olan şirketler de ekonomik ve ticari faaliyetlerinin en iyi şekilde devam edebilmesi için kişilere mallarını veya hizmetlerini tanıtan ve bunların reklamını yapan e-posta, sms veya çağrı gönderir. Aslında buraya kadar bir sorun görülmemekle beraber iletişim iki taraflı olduğu ve şirketlerin bu yolları kullanarak reklam yapabilmeleri için karşı tarafından e-posta adresi veya telefon numarası gibi iletişim bilgilerine ihtiyaç duyduğu unutulmamalıdır. İşte tam da bu noktada şirketlerin ekonomik ve ticari beklentileri için reklam yapma menfaati ile bireylerin kişisel verilerinin korunması ve gizliliği hakkı çatışır. Bu çatışma, şüphesiz bir insan hakkı olan kişisel verilerin korunması hakkı lehine olarak ancak durumun şartları ve farklı ihtimaller de göz önünde bulundurularak hakkaniyete uygun bir biçimde çözümlenmelidir.

Kişisel Verileri Koruma Kurulunun 16/10/2018 tarihli ve 2018/119 sayılı İlke Kararı

Elektronik araçlarla yapılan iletişimin bu şekilde hayatın her anına dahil olması, bu yolla yapılan reklam ve pazarlama mesaj ve aramalarının da önemli bir şekilde artmasına, öyle ki bireylerin bu durumdan rahatsız olmasına neden olmuştur. Kişiler, hiçbir ilgilerinin olmadığı ve daha önce hiçbir şekilde alışveriş dahi yapmadıkları veya alışveriş yapmış olmalarına karşın kendilerine reklam yapılmasını istemedikleri şirketler tarafından yoğun bir şekilde reklam mesajlarına maruz kalmaktadır. Buna maruz kalan kişilerin Kuruma yaptığı başvurulara ilişkin yapılan değerlendirme sonucunda kişilerin e-posta adreslerine veya sms veya çağrı ile cep telefonlarına reklam bildirimleri/aramaları hususunda Kanun hükümlerine aykırılık olduğu ve bu ihlalin oldukça yoğun olduğu tespit edilerek konuyla ilgili İlke Kararı alınmıştır.

I. İlke Kararı ile Getirilen Hususlar

1. Hukuka aykırı olarak yapılan reklam içerikli iletilerin derhal durdurulması

Kurul tarafından yayınlanan Karar, ilk olarak hukuka aykırı olarak reklam içerikli ileti yönlendiren veri sorumluları ve veri işleyenlerin söz konusu veri işleme faaliyetlerini derhal durdurmaları gerektiğini ifade etmiştir:

“İlgili kişilerin rızalarını almadan ve Kanunun 5 inci maddesinde hüküm altına alınan işleme şartlarını sağlamadan, telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları ile veri sorumluları adına reklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerini Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurması gerektiği…”

Kararın söz konusu ilk hükmü sonucunda aşağıdaki hususlara dikkat edilmelidir:

a. Derhal durdurulması gereken reklam içerikli arama veya bildirimler

i. Metin içerisinde “ve” ibaresinin yer aldığı kararın ilk hali

Karar, derhal durdurulması gereken kişisel veri işleme faaliyetinin konusu olan reklam içerikli arama veya bildirimlerin, ilgili kişilerin rızalarını almadan ve Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5. maddesinde düzenlenen istisna hallerini sağlamadan yönlendirilen iletiler olduğunu belirtmiştir.

Buna göre ilgili kişilerin rızası olmadan ve işleme şartları sağlanmadan gönderilen reklam içerikli iletiler durdurulmalıdır. Burada ilk dikkat çeken husus “ve” bağlacının kullanılması suretiyle her iki durumun varlığının birden aranmasıdır. Diğer bir ifadeyle hem ilgilinin açık rızası olmayacak hem de işlenme şartları sağlanmamış olacaktır. Bunun tersinden okunması halinde veri sorumlusu veya veri işleyenin kişisel veri işleme faaliyeti esnasında işleme şartlarından herhangi birinin varlığı olmasına rağmen ilgili kişinin rızasını da almış olabileceğinin kabul edildiği görülür. Yani hem açık rızanın varlığı hem de m.5/2’de yer alan hukuka uygunluk nedenlerinin bir arada bulunabileceğinin kabul edildiği anlamı çıkmaktadır.

Ancak bu durum Kurul ve Kurum görevlilerinin bu zamana kadar yayınlamış olduğu bütün rehberler ile yaptıkları bütün açıklamalara aykırıdır. Zira konuya ilişkin daha önce yazdığım yazılarda da belirttiğim üzere Kanun, yürürlüğe girdiği tarih itibariyle birçok konuda tartışmaya konu olmakla birlikte, açık rıza ve diğer işleme şartları arasındaki ilişki üzerinde özellikle durmaktaydı. Buna göre Kanun’un yayınlanmasında büyük ölçüde dikkate alınan 95/46/EC sayılı Direktif ile paralel olarak açık rıza ve işleme şartlarının aynı seviyede mi olduğu yoksa Direktif’in tersi yönünde esas olanın açık rıza olduğu ve diğer işleme şartlarının bundan sonra mı geldiği yani Kanun’daki ifadesiyle istisna mı oldukları belirsizdi.

Konuyla ilgili Kurula yöneltmiş olduğumuz sorularda Kurulun bakış açısının Direktif ile aynı yönde olduğu açıklığa kavuşturuldu. Buna göre açık rıza ve diğer işleme şartlarının birbirine karşı herhangi bir üstünlük durumunun bulunmadığı çeşitli vesilelerle ifade edildi. Bundan başka veri sorumlusunun kişisel veri işleme faaliyetini herhangi bir işleme şartına dayandırabilmesi halinde ilgili kişiden açık rıza almasının da hukuka aykırı olduğuna ilişkin bir karar verildi. Bunun nedeni ilk olarak, veri sorumlusunun veri sahibinin rızası olmasa dahi yine de söz konusu kişisel verileri işlemekle görevli veya yetkili olmasıdır. İkinci nedeni ise işleme şartlarının varlığına rağmen kendisinden açık rıza alınan veri sahibinde, açık rızasını geri aldığı takdirde işleme faaliyetine son verileceği izlenimini yaratmasıdır. Halbuki veri sahibi, açık rızasını geri alsa da veri sorumlusu o kişisel verileri işlemeye devam edecektir.

Bundan başka Kurulun konuyla ilgili vermiş olduğu bir ihlal kararı da mevcuttur. Buna göre veri sorumlusunun işleme şartlarının varlığına rağmen açık rıza almış olması hukuka aykırıdır. Dolayısıyla metinde geçen “ve” ibaresi şu zamana kadar yapılan bütün açıklamalar ve verilen kararlarla açıkça çelişmektedir.

Ben, burada kastedilmek istenenin yapılan açıklamalarla aynı yönde olduğunu, kullanılması gereken bağlacın aslında “veya” olduğunu ancak bir hata veya dikkatsizlik sonucu cümlede “ve” bağlacının kullanılmış olduğunu düşünmekteyim. Bu yanlışlık, çok açık bir çelişki içermesi ve ilgili kişilerin açık rızalarını alan veri sorumlularının Kanun’un 5. maddesinde sayılan şartları da sağlaması gerektiğini ifade etmesi bakımından çok tehlikeli sonuçlar doğurabilecek niteliktedir ve bu nedenle de bir an önce düzeltilmeli ve açıklığa kavuşturulmalıdır.

ii. Metin içerisinde “veya” ibaresinin yer aldığı kararın son hali

Nitekim Kurul, bu eleştirileri çok kısa bir süre içinde dikkate alarak 07.11.2018 tarihli ve 30588 sayılı Resmi Gazete’de yayımlanan “Düzeltme” yazısı ile “01/11/2018 tarihli ve 30582 sayılı Resmî Gazete’de aslına uygun olarak yayımlanan, Kişisel Verileri Koruma Kurulunun 16/10/2018 tarihli ve 2018/119 sayılı kararında yer alan “İlgili kişilerin rızalarını almadan ve Kanunun 5 inci maddesinde hüküm altına alınan işleme şartlarını sağlamadan,” ibaresi, Kişisel Verileri Koruma Kurumunun 05/11/2018 tarihli ve 19462324/050.01.04/2967 sayılı yazısına istinaden “İlgili kişilerin rızalarını almadan veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında hüküm altına alınan işleme şartlarını sağlamadan,” şeklinde değiştirilerek düzeltilmiştir.” denilmek suretiyle düzeltilmiştir.

Buna göre derhal durdurulması gereken ve kişisel veri işleme faaliyetinin konusu olan reklam içerikli arama veya bildirimler, ilgili kişilerin rızalarını almadan veya Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5. maddesinin 2. fıkrasında düzenlenen istisna hallerini sağlamadan yönlendirilen iletilerdir.

b. Reklam içerikli ileti ve ticari elektronik ileti ilişkisi

Karar ile hukuka aykırı olarak telefon numaralarına sms göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle “reklam içerikli ileti” yönlendirmek ve bu faaliyetler kapsamında kişisel verilerin işlenmesi yasaklanmış, böyle bir durumun varlığı halinde iletilerin gönderilmesinin ve kişisel verilerin işlenmesinin derhal durdurulması gerektiği belirtilmiştir. Ancak burada kastedilen reklam içerikli iletiden ne anlaşılması gerektiği büyük belirsizlikler içerir.

Reklam içerikli ileti ifadesi her ne kadar kelime anlamı itibariyle anlaşılabilir olsa da hukuken tanımlanmış bir kavram değildir. Türk Dil Kurumu Güncel Türkçe Sözlük’de reklam sözcüğü; “bir şeyi halka tanıtmak, beğendirmek ve böylelikle sürümünü sağlamak için denenen her türlü yol” ileti sözcüğü ise “yazı veya sözle verilen, gönderilen bilgi, mesaj” şeklinde tanımlanmıştır. Öyleyse Kararda ifade edilen reklam içerikli iletinin “kişiye herhangi bir ürün veya hizmeti tanıtmak, beğendirmek ve böylece sürümünü sağlamak için elektronik araçlar kullanılarak gönderilen bilgi, mesaj” anlamına geldiği söylenebilir.

Bu kavram ilk olarak 6563 sayılı “Elektronik Ticaretin Düzenlenmesi Hakkında Kanun” ile düzenlenmiş olan ticari elektronik ileti kavramı ile benzerliği bakımından dikkat çeker. Söz konusu Kanun’da ticari elektronik ileti“telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletiler” şeklinde tanımlanmıştır.

Her iki tanım karşılaştırıldığında kullanılan araç bakımından büyük benzerlik görülür. Amaç noktasında ise reklam içerikli ileti, kişiye herhangi bir ürün veya hizmeti tanıtmak, beğendirmek ve böylece sürümünü sağlama amacı taşırken; ticari elektronik ileti ise ticari amaç taşır. Buna göre ticari amaç daha geniş kapsamlı olup, reklam amacını içerisinde barındırmakla beraber her zaman reklam amacını taşımak zorunda da değildir. Örneğin, online bir alışveriş sitesinde sipariş vermiş olan kişinin, siparişi hakkında bilgilendirilmesi ve kargo takibini yapabilmesi açısından e-posta adresine gönderilen postalar, ticari amaçlı iletileri oluştururken, reklam amaçlı ileti sayılması mümkün değildir. Buna karşın kişinin aynı zamanda ürünlerden ve indirimlerden e-posta yoluyla haberdar olmak istediğine ilişkin açık rıza vermiş olması ve bu açık rızaya kapsamında kendisine yeni sezon ürünlerin tanıtımını içeren postaların gönderilmesi ticari amaçlı ve aynı zamanda da reklam amaçlı ileti olarak kabul edilmelidir.

Dolayısıyla ticari amaç, reklam amacını kapsayıcı niteliktedir. Bu durumda farklı sorular ortaya çıkar:

- Karar, ticari elektronik iletileri de kapsamakta mıdır?

Kararda hukuka aykırı olarak reklam içerikli ileti yönlendirmek ve reklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ifadeleri kullanılmıştır. Dolayısıyla Karar’da yer alan ifadeler göz önünde bulundurulduğunda yalnızca reklam içerikli iletilerin yasaklanmış olduğu, ticari elektronik iletilerin ise bu kapsama dahil edilmediği anlaşılır. Zira Karar’da açıkça yer almamasına rağmen reklam amaçlı iletinin tanımının tam olarak belirli olmadığından bahisle ticari elektronik iletileri de bu kapsama alınarak Kararın amaçlanandan fazla genişletilmesi mümkün değildir. Öyleyse, Karar, reklam amacı taşıyan ticari elektronik iletileri kapsamı altına almışken; bunun dışında kalan ticari elektronik iletileri kapsam dışında tutmuştur. Ancak her reklam amaçlı iletinin aynı zamanda bir ticari elektronik ileti olduğu da unutulmamalıdır.

Bu noktada Kurul tarafından neden ticari elektronik ileti kavramının tercih edilmediği düşünülebilir. Bana göre, bunun sebebi, böyle bir kararla ticari elektronik iletilerin gönderilmesinin yasaklanması halinde bunun kişisel verilerin korunmasından ziyade, ekonomik faaliyetlerin ve ticari hayatın kötü etkilenmesine hizmet edecek nitelikte olacağının öngörülmüş olmasıdır. Ayrıca bu haliyle bile yeterince karmaşıklığa yol açan Karar’ın tüm ticari elektronik iletileri kapsaması halinde daha büyük tartışmalara neden olması kaçınılmazdır. Öte yandan elektronik ticari iletiler, ETDHK ile düzenlenmişken, Kurul kararıyla buna aksi düzenlemeler getirilmesinin hukuk sistematiği ile bağdaşmayacağı açıktır.

Sonuç olarak, ticari elektronik iletiler, reklam amacı taşıyanlar ve diğerleri olarak ikiye ayrıldığında, reklam amacı taşıyanlar hakkında bu Karar hükümleri uygulanacakken diğerleri hakkında uygulama dışında kalacaktır. Belirtilmelidir ki, ETDHK ile kastedilen ticari elektronik ileti kavramı reklam amaçlı olan iletileri de kapsamı altına almış olduğundan, bu durumda da Kanun ile düzenlenmiş bir hususun Kurul kararıyla değiştirilmesi de söz konusu olmamakta mıdır? Bu ise bizi kurumlar arasında yetki çatışması riskine götürecektir. İdarenin bütünlüğü ilkesi gereğince böyle bir durumun gerçekleşmemesi gerekir. Ayrıca bu uygulamada hangi düzenlemeye uyulacağı konusunda karışıklığa, hukuka aykırı uygulamalara ve haksız yaptırımlara yol açabilecek niteliktedir.

- ETDHK’ya uygun olarak alınan onaylar, Karar açısından geçerli midir, olmalı mıdır?

ETDHK’nın “Ticari elektronik ileti gönderme şartı” başlıklı 6. maddesine göre ticari elektronik iletiler, yalnızca kendisine ileti gönderilen kişinin önceden onayı alınmak şartıyla gönderilebilir. Onayın alınmasının gerekli olmadığı haller de söz konusu olmakla birlikte bu haller 6698 sayılı Kanun gereğince işleme şartlarından sayıldığından bunun üzerinde durulmayacaktır. Burada yalnızca işleme şartlarının olmadığı ve veri sahibinin açık rızasına ihtiyaç duyan bir kişisel veri işleme faaliyeti için, ETDHK gereğince buna uygun olarak alınan onayların Karar gereğince de geçerli bir onay olup olmadığı üzerinde durulacaktır.

Yukarıda da belirtildiği gibi, reklam amacı taşıyan her ileti aynı zamanda bir ticari elektronik ileti kapsamında değerlendirilmelidir. Dolayısıyla ETDHK düzenlemeleri reklam amaçlı iletiler için de geçerlidir. Bu durumda, reklam amaçlı ticari elektronik ileti göndermek üzere alıcıdan ETDHK’ya uygun olarak onay almış olan bir veri sorumlusu, söz konusu karar karşısında ne yapmalıdır? Karar’a uygun bir rıza almamış mıdır ve derhal bu iletilere son mu vermelidir? Yoksa Kanun’a uygun olarak onay almış olduğundan bahisle bu iletileri göndermeye devam etmeye hakkı var mıdır?

Bu soruların cevaplanması için yapılması gereken, 6698 sayılı Kanun’un açık rızanın varlığı için aradığı şartlar ile ETDHK’nın alıcıdan onay alma şartlarının karşılaştırılması ve ETDHK ile düzenlenen onay şartlarının zaten açık rızanın varlığı şartlarını taşıyıp taşımadığının tespit edilmesidir. Zira ETDHK gereğince alınmış olan bir onayın, 6698 sayılı Kanun’un açık rızanın varlığını kabul etmesi için aradığı şartları taşıması halinde zaten sorun yoktur. Bunun için ETDHK ve 15.07.2015 tarihli ve 29417 sayılı Resmi Gazete’de yayımlanan “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik” hükümleri ile 6698 sayılı Kanun hükümleri karşılaştırılmalıdır.

ETDHK ve anılan Yönetmelik hükümleri bir arada değerlendirilerek ticari elektronik ileti gönderilebilmesi için alıcıdan onay alma şartlarına bakıldığında ilk olarak bu onayın ileti göndermeden önce alınması gerektiği anlaşılır. Öyleyse ileti gönderildikten sonra alınan onayın geçerli olacağı açıkça belirtilmediğinden onay alınmaksızın gönderilen bir ticari elektronik ileti hukuk aykırıdır. Bu durum 6698 sayılı Kanun ile kişisel verilerin işlenmesi için öngörülen veri sahibinin açık rızası ile örtüşmektedir.

Onay, yazılı olarak veya her türlü elektronik iletişim aracı kullanılarak alınabilir. Onay beyanı, kendisine ticari elektronik ileti gönderilmesini kabul ettiğine dair olumlu irade beyanı, onay verenin adı soyadı ile elektronik iletişim adresini içermelidir. Ayrıca fiziki ortamda alınan onayda, onay verenin imzası yer almalıdır. Bu noktada ilk göze çarpan, sözlü onay beyanının kabul edilmemiş olmasıdır. Oysa 6698 sayılı Kanun ile öngörülen açık rızanın, her ne kadar ilk tercihimiz yazılı olarak alınması yöntemi ise de sözlü olarak alınabilmesi mümkündür. Dolayısıyla elektronik ticari iletilerin bu açıdan daha sıkı bir şarta bağlandığı söylenebilir. Kendisine ileti gönderilmesini kabul ettiğine dair olumlu irade beyanının aranması ise rızanın açık olması gerekliliği bakımından kısmen birbiriyle uyumludur.

Kendisinden ticari elektronik ileti göndermek üzere onay alınmış kişiye, bu onayının alındığı bilgisi reddetmek imkânı da tanınmak suretiyle elektronik iletişim adresine aynı gün içinde iletilir. Burada onay verenin reddetme hakkı gündeme gelir. Belirtilmelidir ki, reddetme hakkının onay veren kişiye, onayı alınmadan önce belirtilmesi gibi bir zorunluluk öngörülmemiştir. Bununla birlikte onayın alındığı gün reddetme hakkı bilgisinin verileceği öngörülmüştür. Açık rızada ise veri sahibinin rızası alınmadan önce verilecek aydınlatma yükümlülüğüne ilişkin bilgiler kapsamında açık rızanın istenildiği zaman geri alınabileceği bilgisi de yer almalıdır. Dolayısıyla her ne kadar bu açıdan bir ayrılık görünse de bunun pratik açıdan bir öneminin olup olmayacağı tartışmalıdır. Zira reddetme hakkının olmayacağını bilerek onay verecek olan bir kişinin, reddetme hakkını öğrendikten sonra onay vermeyeceği beklenemez, tam aksine bu durumda kişi, istediği zaman reddetme hakkına sahip olacağını bilerek onay vermeye daha az çekinceli yaklaşır. Dolayısıyla söz konusu reddetme hakkının onaydan önce belirtilmemiş olmasının onay ve açık rıza arasında bir fark yaratacağını düşünmüyorum. Kaldı ki onayın alındığı gün, reddetme hakkı bilgisi onay verene iletilmelidir. Ancak ticari hayatın gereklilikleri nedeniyle böyle bir yorum yapsam da bunun 6698 sayılı Kanun’un lafzıyla örtüşmediğini de ifade etmeliyim. Zira bu Kanun gereğince açık rıza alınabilmesinin şartı veri ilgilisinin aynı anda aydınlatılmasıdır. Bu ise eş zamanlı yapılması gereken bir işlemdir. Dolayısıyla sonradan onayın alınabileceği bilgisinin gönderilmesi 6698 sayılı Kanun’un isterlerini tam olarak karşılamamaktadır. Bu noktada reddetme hakkı ile açık rızanın geri alınması arasında onay veren ve veri sahibi arasında kolaylık bakımından herhangi bir fark olup olmadığına da bakılmalıdır. Belirtilmelidir ki, reddetme hakkı da açık rızanın geri alınması da kişi tarafından herhangi bir gerekçeye bağlı olmaksızın istenildiği zaman veri sorumlusuna iletilebilir ve bu talebi alan veri sorumlusu tarafından kişisel veri işleme faaliyetine son verilmelidir. Dolayısıyla elektronik ticaret açısından onayın reddetme hakkının da eş zamanlı hale getirilmesine ilişkin bir düzenlemenin acilen yapılması gerekir.

Onayın, sözleşme içeriğine dahil edilmesi halinde ilgili sözleşmenin sonunda, olumlu irade beyanından veya imzadan önce, ticari elektronik ileti kenar başlığı altında, reddetme imkanı da tanınarak en az on iki punto ile yazılarak alınması hüküm altına alınmıştır. Bu durumda onay talebinin, sözleşme metni içerisinde gözden kaçırılması engellenmek istenmiş ve onayın, onay verenin bilgisine dayanması ve açıkça verilmesinin sağlanması amaçlanmıştır.

Son olarak, hizmet sağlayıcı tarafından, alıcıdan ticari elektronik ileti onayı vermesinin sunulan mal ve hizmetin temini için ön şart olarak ileri sürülmesi mümkün değildir, onayın bir şarta bağlanması söz konusu değildir. Böylelikle onay verecek olan kişinin şarta bağlı olmayarak kendi özgür iradesiyle onay vermesinin sağlanması amaçlanmıştır. Burada açık rızanın özgür iradeyle verilmiş olma şartının mevcut olduğu görülür.

ETDHK ve konuya ilişkin yukarıda anılan Yönetmelik hükümleri bir arada ele alındığı zaman bu kapsamda alınan onay ile 6698 sayılı Kanun gereğince kişisel verilerin işlenmesi için veri sahibinden alınması gereken açık rızanın büyük ölçüde benzerlik gösterdiği fakat tam olarak örtüşmediği söylenebilir. Ancak 6698 sayılı Kanun’un yürürlüğe girdiği 7 Nisan 2016 tarihinden bu yana kişisel verilerin işlenmesinde “aydınlatma yükümlülüğü” söz konusudur ve bu tarihten önce alınmış olan rıza veya onaylar aşağıda detaylı olarak incelenecek olan geçiş hükümlerine tabiyken, bundan sonra alınmış rızalar, veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmesine bağlıdır. Dolayısıyla Kanun açısından geçerli bir onaydan bahsedebilmek için veri sahibinin bilgilendirilmesi kaçınılmaz bir yükümlülüktür. Öyleyse ETDHK’ya uygun olarak alınan bir onayın, “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” ile belirtilen aydınlatma yükümlülüğü kapsamında yapılacak bilgilendirmede bulunması gereken asgari hususları[1] içermesi halinde 6698 sayılı Kanun’a da uygun bir onaydan bahsedilmesi mümkün olabilecektir. Zira bu durumda Kanun’un açık rızanın varlığı için aradığı şartlar sağlanmış olacaktır.

- Karar, esnaf ve tacirler hakkında uygulanacak mıdır?

6698 sayılı Kanun ile ETDHK arasında esnaf ve tacirler bakımından büyük ve önemli bir fark bulunmaktadır. ETDHK’ya göre, kendisine ticari elektronik ileti gönderilecek olan kişinin esnaf veya tacir olması halinde hizmet sağlayıcısı, yukarıda belirtilen onaya ihtiyacı bulunmaksızın bu kişilere ticari elektronik ileti gönderebilmektedir. Buna göre esnaf ve tacir olan kişilere ticari elektronik ileti gönderilmek için ETDHK gereğince bir onaya ihtiyaç yoktur. Bu kişiler ancak reddetme haklarını kullanmaları halinde ileti gönderilmesinden kurtulabilir. Oysaki 6698 sayılı Kanun’da açık rızanın alınması esnaf ve tacirler bakımından herhangi bir ayrıma tabi tutulmamıştır. Bununla birlikte “kanunlarda açıkça öngörülmesi” KVKK açısından bir istisna halini oluşturur. Öyleyse esnaf ve tacirlerden onay alınmadan kendilerine ticari elektronik ileti gönderilebileceğinin açıkça düzenlenmiş olması, KVKK açısından geçerli bir işleme şartı olarak kabul edilebilir ve bu kişilerin iletişim verileri bu kapsamda işlenebilir mi?

Açıkçası burada teorik bir düzenlemenin pratik açıdan hakkaniyete aykırı sonuçlar doğurabileceği gerçeğiyle karşı karşıya olduğumuzu görüyorum. Esnaf veya tacir kişilere onayı alınmaksızın ticari elektronik ileti gönderilebileceği açıkça öngörülmüş ve 6698 sayılı Kanun ile öngörülmüş olan kişisel verilerin işlenme şartlarının biri sağlanmıştır. Öyleyse bu şarta dayanarak kişilerin iletişim verileri işlenebilecektir. Ancak burada söz konusu olan reklam içerikli elektronik iletilerin esnaf veya tacir kişilere onayları alınmaksızın gönderilmesi, veri koruma hukuku ilke ve esasları ile ne kadar uyumludur, tartışılmalıdır. Bana göre bu durum pratik açıdan hakkaniyete aykırı sonuçlar doğurabileceği tehlikesi nedeniyle açıklığa kavuşturulmayı bekleyen bir başka noktayı oluşturmaktadır.

- ETDHK gereğince alınması gereken onay hükümleri ile 6698 sayılı Kanun gereğince alınması gereken açık rıza hükümlerinin çelişmesi halinde hangi hükümlerin uygulanması gerekir?

Belirtmeliyim ki, Kararın özellikle iletilerin niteliği bakımından büyük belirsizlikler içermesi Kanun ile ETDHK hükümlerinin birçok noktada çelişebileceğini göstermektedir. Kaldı ki söz konusu Karardan önce de 6698 sayılı Kanun ile ticari elektronik iletilere ilişki hükümlerin bir arada nasıl uygulanacağı ve özellikle çelişki olması halinde hangi hükümlerin uygulanacağı belirsizdi. Ancak bu Kararla söz konusu belirsizlik bir nebze giderilebilecek ve en azından reklam amaçlı iletiler açısından hangi hükümlerin uygulanması gerektiği gösterilebilecekken, belirsizlik daha da yüksek seviyelere taşınmıştır.

Hangi kanun hükümlerinin uygulanması gerektiğinin tespit edilebilmesi için özel – genel düzenleme ayrımından faydalanmak gerekir. Bu noktada ETDHK özel bir yasa, KVKK ise genel bir yasa olarak kabul edildiğinden öncelikle ETDHK hükümlerinin uygulanması gerektiği, kaldı ki bu Kanun’un “Kişisel verilerin korunması” başlıklı 10. maddesinin[2] zaten KVKK tarafından aranan korumayı sağladığı yönünde görüşler bulunmaktadır.

Öncelikle bu görüşe katılmadığımı ifade etmeliyim. Kişilere elektronik araçlar kullanılmak suretiyle reklam amaçlı iletiler gönderilmesi ve bu faaliyet kapsamında alıcının iletişim bilgilerinin işlenmesi bir kişisel veri işleme faaliyeti olarak ele alınmalıdır. Bu kişisel veri işleme faaliyetinin ise konusu her ne kadar ticari elektronik iletiler olsa da, kişisel verilerin işlenmesine ilişkin mevzuata uyumlu olarak gerçekleştirilmesi gerekir. Aksi takdirde birçok konu özelinde yasal hükümlerin düzenlenmek durumunda kalındığı günümüzde, her bir konunun kendi hükümleri uygulanması gerektiği savunulduğunda KVKK’nın hiçbir anlam ve önemi kalmayacaktır. Bununla birlikte KVKK, çeşitli hükümlerinde diğer kanun hükümlerini saklı tutmasına karşılık, kişisel verilerin işlenmesine ilişkin genel ilkeler ve kişisel verilerin işlenme şartları bakımından hiçbir şekilde diğer kanunlara atıf yapmamıştır.

Öte yandan ETDHK’nın 10. maddesinin KVKK tarafından aranan korumayı sağladığından bahsedebilmek mümkün değildir. KVKK daha yeni bir Kanun olmanın yanı sıra bundan sonra da birçok yönetmelik, tebliğ ve karar yayınlanmış ve böylece kişisel verilerin işlenmesine ilişkin esas ve usuller belirlenmiştir. Bütün bunlardan önce mevcut olan bir hükmün, KVKK ile aranan kişisel verilerin korunması ve veri güvenliğine ilişkin korumaları sağlayabilmesi mümkün değildir.

Sonuç olarak, konusu ve amacı her ne olursa olsun, bir kişisel veri işleme faaliyetinin gerçekleştirilmesi sırasında özellikle de kişisel verilerin işlenmesine ilişkin genel ilkeler ile kişisel verilerin işlenme şartları hükümleri başta olmak üzere KVKK hükümlerine uyumlu olarak hareket edilmesi gerektiğini düşünüyorum. Zira kişisel verileri KVKK ile koruma altına alınmış olan bir kişiye reklam amaçlı elektronik ileti gönderilmesi durumunun, ticari elektronik iletilerin ayrı bir Kanun ile düzenlenmiş olduğu gerekçesiyle belirtilen korumadan faydalandırılmaması kabul edilmemelidir.

Kişisel kanaatim bu yönde olmakla birlikte ortada büyük bir belirsizliğin söz konusu olduğu gerçeğinin gözden kaçırılmaması ve bu belirsizliğin Kurul tarafından yayınlanacak olan kararlarla bir an önce giderilmesi gerektiğini belirtmeliyim. 

c. Kanun’un yürürlüğe girmesinden önce alınan rızalara dayanılarak gönderilen reklam içerikli iletiler Karar kapsamında mıdır?

Kanun’un yayınlanmasından önce reklam içerikli ileti gönderilmesi yönünde rıza alan ve Kanun’un yayınlanmasından sonra da bu rızaya dayanarak ileti gönderilmeye devam eden bir veri sorumlusu bu Karar’dan ne anlamalıdır? Karar gereğince ileti göndermeyi derhal durduracak mıdır, yoksa Kanun’un yayınlanmasından önce hukuka uygun olarak rıza aldığından bahisle ileti göndermeye devam edebilecek midir?

Bu sorular, Kanun’un “Geçiş hükümleri” başlıklı geçici 1. maddesinde cevap bulmaktadır. Buna göre Kanun’un yayınlanmasından önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması halinde, 6698 sayılı Kanun’a da uygun olarak kabul edilir. Dolayısıyla 7 Nisan 2016 tarihinden önce reklam içerikli ileti gönderilmesine ilişkin olarak hukuka uygun alınmış bir rıza, 7 Nisan 2017 tarihine kadar geri alınmadıkça ve bu rızanın aksine bir beyanda bulunulmadıkça 6698 sayılı Kanun açısından hukuka uygun kabul edilir ve bu rızaya dayanılarak reklam içerikli ileti gönderilmeye devam edilebilir.

Söz konusu bir yıllık süre hali hazırda geçmiş olduğundan bu süre içerisinde rızasını geri almamış olan kişilere gönderilen reklam içerikli iletiler hakkında herhangi bir hukuka aykırılık söz konusu değildir. Veri sorumlusu, 7 Nisan 2016 tarihinden önce almış olduğu bir rızaya dayanarak, 7 Nisan 2017 tarihine kadar bu rızanın geri alınmamış olduğundan bahisle bundan sonra da reklam içerikli ileti göndermeye devam edebilir. Ancak veri sahibinin 6698 sayılı Kanun gereğince rızasını her zaman gerekçesiz olarak geri alabileceği unutulmamalıdır. Burada önemli olan veri sorumlusunun bu ana kadar göndermiş olduğu iletilerin hukuka aykırılık taşımadığıdır.

2. Veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri ve veri işleyen ile müştereken sorumluluğu

Kararın ikinci paragrafında veri sorumlusunun Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12. maddesi kapsamında sorumlu olduğu ve buna ilişkin olarak veri işleyen ile müştereken sorumluluğunun bulunduğu belirtilmiştir.

Veri sorumlusu, veri güvenliğine ilişkin yükümlülükleri kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde ise, söz konusu tedbirlerin alınmasına ilişkin olarak veri sorumlusu ile veri işleyenin müştereken sorumluluğu bulunur.

Kararın bu noktası, Kanun’un 12. maddesini tekrar etmekten öteye geçememiş olup, söz konusu maddeyi aynen tekrarlamaktadır.

3. Kanun’un “Kabahatler” başlıklı 18. maddesinin uygulanması

Kararda üçüncü olarak, ilk ve ikinci paragraflarla belirtilen şekillerde faaliyetlerde bulunan veri sorumluları hakkında Kanun’un “Kabahatler” başlığını içeren ve belirtilen kabahatler karşılığında adli para cezaları öngören 18. maddesi hükümleri çerçevesinde işlem tesis edileceği belirtilmiştir.

Kanun, aydınlatma yükümlülüğünü, veri güvenliğine ilişkin yükümlülükleri, Kurul tarafından verilen kararları yerine getirmeyenler ile Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında idari para cezaları öngörmüştür. Karar, bu noktada Kanun’un ilgili hükmü gereğince işlem tesis edileceğini belirtmesi bakımından herhangi bir anlam ifade etmemektedir. Zira Kanun hükmünün, ayrıca bir Kurul kararıyla uygulanacağının belirtilmesine ihtiyaç yoktur. Kanun hükmü zaten uygulanmak için getirilmiştir. Ancak bu Karar açısından veri güvenliğine ilişkin yükümlülükleri ve Kurul tarafından verilen kararları yerine getirmeyenler hakkında öngörülen idari para cezalarının söz konusu olabileceği söylenmelidir. Bana göre Kurul, hemen idari para cezası uygulamak yerine, Karar’da belirtilen işlemleri yapan veri sorumlusu ve veri işleyenlere, bu işlemlere son vermeleri için uyarıda bulunmak ve süre vermek istemiştir. Bu Karar’ın ardından söz konusu ilgilerin işlemlerine devam etmeleri halinde ciddi idari para cezasına karar verilmesi kuvvetle muhtemeldir.

4. TCK’da yer alan suçların tespiti halinde ilgili Cumhuriyet Başsavcılığına bildirim yapılması

Öncelikle, Karar’ın hiçbir şekilde tereddüt ve belirsizlik içermeyen ve olması gerekeni açıkça belirtmesi bakımından oldukça yerinde ve doğru bir adım olarak değerlendirdiğim noktasının burası olduğunu belirtmeliyim. Buna göre, hukuka aykırı reklam içerikli iletilerin gönderilmesi ve veri güvenliğine ilişkin yükümlülüklere aykırı hareket edilmesi şeklinde işlenen kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği göz önüne alınarak Türk Ceza Kanunu’nun “Verileri Hukuka aykırı olarak verme veya ele geçirme” başlıklı 136. maddesi çerçevesinde işlem yapılması için konunun ilgili Cumhuriyet Başsavcılığına bildirileceği hüküm altına alınmıştır.

Belirtmeliyim ki, veri sorumluları tarafından bana en çok gelen sorulardan biri, Kurul tarafından resen veya şikayet sonucunda yapılacak bir inceleme sonucunda KVKK açısından bir veri ihlalinin yanı sıra TCK’da düzenlenmiş olan bir suçun işlenmiş olduğunu tespit edilmesi halinde ne olacağına ilişkindir. Kurul üyelerinin, yaptıkları incelemede verilerin hukuka aykırı olarak verildiği veya ele geçirildiğinden şüphelenmeleri halinde nasıl davranmaları gerekir?

Bu soruya verdiğim cevap ise şu şekildedir: Bir Cumhuriyet savcısının, göreviyle hiçbir ilgisi olmayan bir şekilde, görev bölgesi dışında bir otele tatile gittiğini düşünün. Otelde bir kasten öldürmenin, yaralamanın veya hırsızlığın gerçekleştiğini, savcının ise bu sırada orda bulunduğunu varsayalım. Bu fiillerden herhangi birini görensavcı, durumu derhal ilgili makamlara bildirmelidir. Aksi takdirde TCK’nın “Kamu görevlisinin suçu bildirmemesi” başlıklı 279. maddesi uygulama alanı bulabilecektir. İşte Kurulun durumu da aynen bu şekildedir. Zira Kurul üyeleri de kamu görevlisi sıfatını haizdir. Kurul, resen veya şikâyet sonucu yaptığı bir inceleme sonucunda KVKK hükümlerinin ihlalini tespit etmesi halinde Kanun’un 18. maddesi uyarınca idari para cezasına hükmedebilecektir. Bundan başka TCK’da kişisel verilere ilişkin düzenlenen suçların varlığını tespit etmesi veya bundan şüphelenmesi halinde de durumu ilgili Cumhuriyet Başsavcılığına bildirmekle yükümlüdür. Aksi takdirde suç işlemiş olur.

Kanun’un yürürlüğe girmesinden bu yana akılları karıştıran bu sorunun cevabına baştan beri bu şekilde cevap vermiş olmama karşın durumun Kurul kararıyla açıkça belirtilmiş olması bana göre Karar’ın en yerinde gelişmesidir.

Sonuç

Kişisel Verileri Koruma Kurulunun “Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesi”ile ilgili İlke Kararı’nın değerlendirilmesinde varılan temel sonuçlar şu şekildedir:

- Kurulun, şikâyet üzerine veya resen yaptığı bir inceleme sonucunda ihlalin yaygın olduğunu tespit etmesi halinde, konuyla ilgili ilke kararı alıp, bu kararı yayımlama görev ve yetkisi bulunur.

- Kanun hükümlerine aykırı olarak e-posta adreslerine veya sms veya çağrı ile cep telefonlarına reklam bildirimleri/aramaları geldiği hususunda Kuruma çok sayıda başvuru yapılmış ve bu yoğunluk ilke kararı alınmasını gerektirmiştir.

- Bilişim çağı olarak adlandırdığımız günümüzde da bir malın tanıtımı ve satışı için reklam veya pazarlama yapmanın en iyi yolu şüphesiz bilişim araçları ve bu araçlarla gerçekleştirilen iletişimdir.

- Bu noktada şirketlerin ekonomik ve ticari beklentileri için reklam yapma menfaati ile bireylerin kişisel verilerinin korunması ve gizliliği hakkı çatışır.

- Karar, ilgili kişilerin rızalarını almadan ve diğer işleme şartlarını sağlamadan reklam içerikli ileti gönderilmesini mutlak surette yasaklamıştır. Bu şekilde gerçekleştirilen kişisel veri işleme faaliyetleri derhal durdurulmalıdır.

- Bu noktada ilk olarak “ve” bağlacının kullanılmasıyla kişisel verilerin işleme şartlarının varlığına rağmen açık rızanın alınabileceği gibi bir izlenim oluşmuştur. Oysaki bu durum yukarıda açıklanan nedenlerle Kurulun şu zamana kadar yapmış olduğu açıklamalar ile vermiş olduğu kararlara aykırıdır. Hata veya dikkatsizlik sonucu olduğunu düşündüğüm bu yanlışlığın bir an önce giderilmesi, “ve” bağlacının “veya” şeklinde değiştirilmesi gerekir.

- Karar sonradan vermiş olduğu kararı düzelterek “ve” bağlacını “veya” olarak düzeltmiş ve yasa maddesini de açıkça 5. maddenin 2. fıkrası olarak göstermiştir. Böylelikle, olması gerektiği gibi, karara konu olan iletiler, veri ilgilisinden açık rızanın alınmadığı veya diğer işlemeye ilişkin hukuka uygunluk nedenlerinin bulunmadığı iletiler olarak gösterilmiştir.

- Metinde geçen reklam içerikli ileti kavramı her ne kadar yukarıda belirttiğim şekilde kelime anlamından yola çıkılarak anlaşılabilecek nitelikte olsa da benzer kavramlardan ayırt edilebilmesi açısından hukuki tanımlamaya ihtiyaç duymaktadır.

- Karara konu olan reklam içerikli ileti, ETDHK ile düzenlenmiş olan ticari elektronik ileti ile benzerlik gösterse de, söz konusu her iki kavram karıştırılmamalıdır.

- Reklam içerikli ileti, kişiye herhangi bir ürün veya hizmeti tanıtmak, beğendirmek ve böylece sürümünü sağlama amacı taşırken; ticari elektronik ileti ise ticari amaç taşır. Buna göre ticari amaç daha geniş kapsamlı olup, reklam amacını içerisinde barındırmakla beraber her zaman reklam amacını taşımak zorunda da değildir.

- Bununla birlikte ticari iletinin reklam içerikli iletiyi de kapsayıcı nitelikte olması ticari elektronik iletilere ilişkin mevzuat ile 6698 sayılı Kanun’u birçok noktada karşı karşıya getirmektedir.

- Karar, reklam amacı taşıyan ticari elektronik iletileri yasaklayarak kapsamı altına almışken; bunun dışında kalan ticari elektronik iletileri kapsam dışında tutmuştur.

- ETDHK hükümlerine uygun olarak alınmış bir rızanın 6698 sayılı Kanun açısından geçerli olup olmadığının tespit edilebilmesi için KVKK ile aranın açık rıza şartları ile ETDHK’nın alıcıdan onay alma şartlarının karşılaştırılması gerekir.

- Yukarıda yapılan detaylı karşılaştırma sonucunda ETDHK ile aranan onay şartlarının, KVKK gereğince öngörülen açık rıza şartlarına büyük ölçüde benzerlik gösterse de özellikle aydınlatma yükümlülüğü gibi noktalarda açık rızadan ayrıldığı görülür.

- ETDHK gereğince esnaf veya tacir olan kişilere ticari elektronik ileti gönderebilmek için herhangi bir onaya ihtiyaç yokken KVKK açısından böyle bir ayrım söz konusu değildir. Bununla birlikte kanunlarda açıkça öngörülmesi istisna haline dayanılarak esnaf veya tacir kişilerden onay alınmaksızın ticari elektronik ileti gönderilmesi suretiyle kişisel verilerin işlenmesi mümkündür. Ancak burada da hakkaniyete aykırı sonuçlar doğabileceğinden, bu durum açıklığa kavuşturulmalıdır.

- ETDHK ile 6698 sayılı Kanun arasında çelişki olması halinde hangi hükümlerin uygulanacağı Karar’dan önce de akılları karıştırmakla beraber, Karar ile bu durum çözülebilecekken daha da belirsiz hale getirilmiştir.

- Çelişki halinde hangi hükümlerin uygulanacağına ilişkin farklı görüşler bulunmakla birlikte konusu ve aracı her ne olursa olsun, bir kişisel veri işleme faaliyetinin gerçekleştirilmesi sırasında özellikle de kişisel verilerin işlenmesine ilişkin genel ilkeler ile kişisel verilerin işlenme şartları hükümleri başta olmak üzere KVKK hükümlerine uyumlu olarak hareket edilmesi gerektiğini düşünmekteyim.

- 7 Nisan 2016 tarihinden önce reklam içerikli ileti gönderilmesine ilişkin olarak hukuka uygun alınmış bir rıza, 7 Nisan 2017 tarihine kadar geri alınmadıkça ve bu rızanın aksine bir beyanda bulunulmadıkça 6698 sayılı Kanun açısından hukuka uygun kabul edilir ve bu rızaya dayanılarak reklam içerikli ileti gönderilmeye devam edilebilir. Ancak veri sahibinin 6698 sayılı Kanun gereğince rızasını her zaman gerekçesiz olarak geri alabileceği unutulmamalıdır.

- Kararın ikinci paragrafında veri sorumlusunun Kanun ile düzenlenen veri güvenliğine ilişkin yükümlülükler kapsamında sorumlu olduğu ve buna ilişkin olarak veri işleyen ile müştereken sorumluluğunun bulunduğu belirtilmiştir. Burada esasen Kanun’un 12. maddesi tekrar edilmiştir.

- Üçüncü olarak, ilk ve ikinci paragraflarla belirtilen şekillerde faaliyetlerde bulunan veri sorumluları hakkında Kanun’un öngördüğü kabahatler karşılığında adli para cezaları öngören 18. maddesi hükümleri çerçevesinde işlem tesis edileceği belirtilmiştir.

- Kararın son kısmında, işlenen kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği göz önüne alınarak Türk Ceza Kanunu’nun 136. maddesi çerçevesinde işlem yapılması için konunun ilgili Cumhuriyet Başsavcılığına bildirileceği hüküm altına alınmıştır. Aksi halde Kurul üyelerinin haberdar oldukları kişisel veri ihlaline ilişkin suç oluşturan eylemi ihbar etmemeleri halinde kendilerinin suç işlemiş olacağı unutulmamalıdır.

Kişisel Verileri Koruma Kurulunun 16.10.2018 tarihli 2018/119 sayılı İlke Kararı’nın kapsam ve içerik bakımından değerlendirilmesinde vardığım sonuçlar bu şekilde olmakla birlikte, belirtmeliyim ki, Kurul tarafında yapılan düzenlemeler, yayınlanan rehberler ve kararlar kişisel verilerin korunması hukukunda büyük önem arz etmekte ve belirleyici rol oynamaktadır. Bu nedenle bu düzenlemeler yapılırken büyük bir dikkat ve özenle hareket edilmeli; çelişkili ve hatalı ifadelerin kullanılmaması, belirsizlik ve tereddütler içermemesi, özellikle konunun ilgilenenleri tarafından sorulan sorulara cevap verecek niteliğe sahip olması, daha da ötesi yeni belirsizlikler getirmemesi gibi noktalarda gösterilecek dikkat had safhada olmalıdır.

Değerlendirme konusu İlke Kararı’nın ise yukarıda da belirttiğim üzere birçok farklı noktada belirsizlik içerdiği ve yeni tereddüt noktaları oluşturduğunu belirtmeliyim. Ancak hukuki gelişmelerin her zaman tartışmaya açık olması gerektiği ve tartışılarak iyileştirileceği unutulmamalıdır. Bu da yaşanan gelişmelerin tartışılması ve değerlendirilmesi sonucunda varılan yargılar çerçevesinde yapılacaktır. Bu nedenle beklentim, söz konusu karara ilişkin olarak yukarıda da belirtmiş olduğum belirsizliklerin giderilerek iyileştirilmesi ve bundan sonra yayınlanan kararların ise daha açık ve kesin ifadeler içererek kişisel verilerin korunması alanında olumlu yönde gelişmeler göstermesidir.

.