KVKK Kapsamında İzinsiz Reklam Mesajları: Kişisel Verileri Koruma Kurulu’nun 16.10.2018 Tarihli ve 2018/119 Sayılı İlke Kararı Üzerine Bir Değerlendirme

Giriş

Dijital iletişim teknolojilerinin yaygınlaşmasıyla birlikte ticari işletmeler tarafından kullanılan pazarlama yöntemleri önemli ölçüde değişmiştir. Özellikle kısa mesaj (SMS), e-posta ve telefon aramaları yoluyla gerçekleştirilen doğrudan pazarlama faaliyetleri, işletmeler açısından hızlı ve düşük maliyetli bir reklam yöntemi olarak öne çıkmaktadır. Bununla birlikte bu tür iletişim faaliyetleri çoğu zaman ilgili kişilerin açık rızası alınmadan gerçekleştirildiğinden, kişisel verilerin korunması hakkı bakımından ciddi sorunlar ortaya çıkmaktadır.

Türkiye’de kişisel verilerin korunmasına ilişkin temel düzenleme olan 6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesini belirli hukuki şartlara bağlamış ve bireylerin iletişim bilgilerinin izinsiz kullanımını sınırlayan bir çerçeve oluşturmuştur. Bu kapsamda Kişisel Verileri Koruma Kurulu, izinsiz reklam mesajları konusunda artan şikâyetler üzerine 16.10.2018 tarihli ve 2018/119 sayılı İlke Kararını kabul ederek bu alandaki uygulamaya yön veren önemli bir düzenleme ortaya koymuştur.

Bu çalışmada söz konusu ilke kararı; KVKK hükümleri, veri işleme şartları ve veri güvenliği yükümlülükleri çerçevesinde değerlendirilerek izinsiz reklam mesajlarının veri koruma hukuku bakımından doğurduğu sonuçlar incelenecektir.

1. Kişisel Verilerin Reklam Amaçlı Kullanımı ve KVKK

KVKK’nın temel yaklaşımına göre kişisel verilerin işlenmesi kural olarak ilgili kişinin açık rızasına bağlıdır. Kanunun 5. maddesinin birinci fıkrası bu kuralı şu şekilde düzenlemektedir:

“Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.”

Telefon numarası ve e-posta adresi gibi iletişim bilgileri kişisel veri niteliğindedir. Bu nedenle bir kişinin telefon numarasına SMS gönderilmesi veya e-posta adresine reklam iletilmesi, KVKK kapsamında kişisel veri işleme faaliyeti olarak kabul edilmektedir.

Dolayısıyla reklam amaçlı mesaj gönderimi için şu şartlardan birinin bulunması gerekir:

  • İlgili kişinin açık rızası, veya
  • KVKK’nın 5. maddesinde sayılan veri işleme şartlarından biri.

Ancak reklam amaçlı iletişim faaliyetlerinde bu şartların çoğu zaman sağlanmadığı görülmektedir.

2. 2018/119 Sayılı İlke Kararının Ortaya Çıkma Sebebi

Kişisel Verileri Koruma Kurumu’na yapılan başvuruların önemli bir kısmı şu tür şikâyetleri içermektedir:

  • Kişilerin telefonlarına izinsiz reklam SMS’leri gönderilmesi
  • Cep telefonlarına reklam amaçlı aramalar yapılması
  • E-posta adreslerine reklam içerikli iletiler gönderilmesi.

Kurul bu şikâyetleri değerlendirerek reklam faaliyetlerinin çoğu durumda ilgili kişinin açık rızası alınmadan gerçekleştirildiğini tespit etmiştir. Ayrıca bazı şirketlerin reklam gönderimi için elde ettikleri iletişim bilgilerini üçüncü kişilerden temin ettiği veya veri tabanlarından satın aldığı da anlaşılmıştır.

Bu nedenle Kurul, söz konusu uygulamaların KVKK açısından değerlendirilmesi amacıyla genel nitelikte bir ilke kararı almıştır.

3. Kurulun Hukuki Değerlendirmesi

Kurul kararında öncelikle kişisel verilerin işlenmesi kavramı açıklanmıştır. KVKK’nın 3. maddesine göre kişisel verilerin işlenmesi;

  • Elde edilmesi
  • Kaydedilmesi
  • Saklanması
  • Açıklanması
  • Aktarılması
  • Erişilebilir hâle getirilmesi

gibi faaliyetleri kapsamaktadır.

Bu kapsamda bir kişinin telefon numarasına SMS gönderilmesi veya e-posta adresine reklam iletisi gönderilmesi, kişisel verinin kullanılması ve işlenmesi anlamına gelmektedir.

Kurul, reklam mesajı gönderilmesinin KVKK kapsamında hukuka uygun sayılabilmesi için ilgili kişinin açık rızasının bulunması gerektiğini belirtmiştir. Açık rıza bulunmadığı takdirde söz konusu veri işleme faaliyetinin hukuka aykırı olacağı ifade edilmiştir.

4. Veri Sorumlusu ve Veri İşleyenlerin Sorumluluğu

Kurul kararında önemli bir nokta da reklam faaliyetlerinde yer alan tarafların sorumluluğuna ilişkindir.

Reklam mesajlarını gönderen şirketler veri sorumlusu konumundadır. Bunun yanında bazı durumlarda SMS gönderim hizmeti veren şirketler veya çağrı merkezleri de sürece dahil olmaktadır. Bu kuruluşlar ise veri işleyen sıfatını taşımaktadır.

Kurul, veri sorumlularının kişisel verilerin işlenmesinde gerekli güvenlik tedbirlerini almakla yükümlü olduğunu ve verilerin üçüncü kişiler tarafından işlenmesi halinde de bu kişilerle birlikte sorumluluk taşıyacağını belirtmiştir.

Bu çerçevede;

  • Reklam faaliyetini yürüten şirket
  • SMS gönderim hizmeti sağlayan şirket
  • Çağrı merkezi

gibi aktörlerin kişisel verilerin hukuka uygun şekilde işlenmesinden müştereken sorumlu olabileceği vurgulanmıştır.

5. Veri Güvenliği Yükümlülüğü

Kurul kararında ayrıca KVKK’nın 12. maddesinde düzenlenen veri güvenliği yükümlülüğüne de dikkat çekilmiştir. Bu maddeye göre veri sorumluları;

  • Kişisel verilerin hukuka aykırı işlenmesini önlemek
  • Kişisel verilere hukuka aykırı erişimi engellemek
  • Kişisel verilerin muhafazasını sağlamak

amacıyla gerekli teknik ve idari tedbirleri almak zorundadır.

Reklam mesajı gönderimi sırasında kişisel verilerin izinsiz kullanılması, veri sorumlularının bu yükümlülüklerini yerine getirmediğini göstermektedir.

6. İdari ve Cezai Yaptırımlar

Kurul, izinsiz reklam mesajı gönderimi faaliyetlerinin devam etmesi halinde veri sorumluları hakkında KVKK’nın 18. maddesi kapsamında idari para cezaları uygulanabileceğini belirtmiştir.

Bunun yanı sıra kişisel verilerin hukuka aykırı şekilde elde edilmesi veya paylaşılması durumunda Türk Ceza Kanunu kapsamında da sorumluluk doğabileceği ifade edilmiştir. Bu kapsamda özellikle şu suç gündeme gelebilir:

Türk Ceza Kanunu madde 136

Bu suç, kişisel verilerin hukuka aykırı olarak ele geçirilmesi veya üçüncü kişilerle paylaşılmasını cezalandırmaktadır.

7. Kararın Uygulamaya Etkileri

2018/119 sayılı ilke kararı, Türkiye’de ticari elektronik ileti uygulamalarının düzenlenmesi bakımından önemli sonuçlar doğurmuştur. Bu karar sonrasında birçok şirket;

  • Reklam iletişimleri için açık rıza alma süreçleri oluşturmuş,
  • Veri tabanlarını gözden geçirmiş,
  • İletişim izinlerini yeniden toplamıştır.

Ayrıca daha sonraki dönemde ticari elektronik iletilerin kontrolü amacıyla İleti Yönetim Sistemi (İYS) kurulmuş ve reklam iletileri için izin yönetimi merkezi bir yapıya kavuşturulmuştur.

Sonuç

Kişisel Verileri Koruma Kurulu’nun 2018/119 sayılı İlke Kararı, reklam amaçlı elektronik ileti faaliyetlerinin veri koruma hukuku bakımından değerlendirilmesine ilişkin önemli ilkeler ortaya koymuştur. Kurul, telefon numarası ve e-posta adresi gibi iletişim bilgilerinin izinsiz kullanımının kişisel veri ihlali oluşturduğunu açıkça ortaya koymuş ve veri sorumlularının bu tür faaliyetleri ancak ilgili kişinin açık rızası bulunması halinde gerçekleştirebileceğini belirtmiştir.

Bu karar, ticari iletişim faaliyetlerinin kişisel veri koruma hukuku ile doğrudan bağlantılı olduğunu göstermekte ve veri sorumlularının pazarlama faaliyetlerini yürütürken KVKK hükümlerine uygun hareket etmeleri gerektiğini ortaya koymaktadır. Günümüzde dijital pazarlama faaliyetlerinin yaygınlaşması dikkate alındığında, söz konusu ilke kararının veri koruma hukukunun uygulanması bakımından önemini koruduğu söylenebilir.