TİCARİ ELEKTRONİK İLETİ VE KİŞİSEL VERİ ARASINDA DOĞAN NORMLAR ÇATIŞMASI

Kişisel Verileri Koruma Kurulu’nun (“Kurul”) Amazon Turkey Perakende Hizmetleri Limited Şirketi (“Amazon Turkey”) hakkında tesis ettiği 27.02.2020 tarih ve 2020/173 sayılı karara ilişkin birkaç konu başlığı bulunmakta. Bunlardan ilk ele aldığımız, yurtdışına veri aktarımı sorunu idi. Bir diğer konuyu ise ticari elektronik iletilerde uygulanacak kanun ve dolayısıyla yetki ve kapsam ile ilgili sorunlar oluşturmaktadır.

03.06.2020 - 09:46 Yayınlanma

13.04.2024 - 13:34 Güncelleme

TİCARİ ELEKTRONİK İLETİ VE KİŞİSEL VERİ ARASINDA DOĞAN NORMLAR ÇATIŞMASI

Kurul, belirtilen kararında, veri sorumlusu Amazon Turkey’nin ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını almadığı, açık rıza dışında da bir işleme şartına dayanmadığı, veri sorumlusu tarafından web sitesinde yayımlanan “Kullanım ve Satış Şartları” ve “Gizlilik Bildirimi” metinleri bünyesinde alınan onayın, bu metinlerin birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere sunulan aydınlatma metni niteliğinde olmadığı belirtilmiştir. Kurul, bu yolla verilen bir onayın açık rıza alınmış olarak sayılmayacağından ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5/ 1 (f) bendinde, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiğinden bahisle 6698 sayılı KVKK’nin 12. maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünün yerine getirilmediğine ve idari para cezası uygulanmasına karar vermiştir.

Amazon Turkey, ticari elektronik iletilerin 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve ilgili Yönetmelik hükümleri kapsamında değerlendirilmesi gerektiğini, şikayet mekanizmasının Ticaret Bakanlığı’nın sorumluluğunda olduğunu, 6698 sayılı KVKK ve KVK Kurulu olmadığını savunmuştur. Kurul ise ticari elektronik iletiye ilişkin ayrı bir mevzuat bulunduğunu kabul ederken, telefon numarası, e-posta adresi gibi bilgilerin bir veri kayıt sisteminde depolanması suretiyle kişilere ticari nitelikli iletiler gönderilmesinin, bir kişisel veri işleme faaliyetine işaret ettiğini, ileti kendi mevzuatına uygun gönderilecek olmakla birlikte bu mesajların iletilmesi için kullanılan iletişim kanallarının kişisel veri niteliğinde olduğunu, bu bağlamda Kurul’un ticari elektronik iletilerin gönderilmesine ilişkin değil, kişisel verilerin işlenmesi süreçlerine ilişkin inceleme yapabileceği ve karar alabileceği açıklamasını yapmış ve incelemeyi gerçekleştirmiştir.

Elektronik Ticari İletilerde Onaya İlişkin Hükümler

01.05.2015 tarihinde yürürlüğe giren 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un;

- 6. maddesi uyarınca, ticari elektronik ileti gönderilebilmesi için, alıcıların onayları alınmak durumundadır. Bu onay, yazılı olarak veya her türlü elektronik iletişim araçlarıyla alınabilir. Kendisiyle iletişime geçilmesi amacıyla alıcının iletişim bilgilerini vermesi hâlinde, temin edilen mal veya hizmetlere ilişkin değişiklik, kullanım ve bakıma yönelik ticari elektronik iletiler için ayrıca onay alınmaz. Esnaf ve tacirlere ise önceden onay alınmaksızın ticari elektronik iletiler gönderilebilir.

- 7. maddesi, ticari elektronik iletinin içeriğinin, alıcıdan alınan onaya uygun olması gerektiğini düzenler.

- 8. maddesine göre, alıcıların diledikleri zaman, hiçbir gerekçe belirtmeksizin ticari elektronik iletileri almayı reddetme hakları saklıdır. Almayı ret talebinin ulaşmasını müteakip hizmet sağlayıcı üç iş günü içinde alıcıya elektronik ileti göndermeyi durdurur.

- 10. maddesinde kişisel verilerin korunması, hizmet sağlayıcı ve aracı hizmet sağlayıcının bu Kanun çerçevesinde yapmış olduğu işlemler nedeniyle elde ettiği kişisel verilerin saklanmasından ve güvenliğinden sorumlu olduğu, kişisel verileri ilgili kişinin onayı olmaksızın üçüncü kişilere iletemeyeceği ve başka amaçlarla kullanamayacağı şeklinde düzenlenmiştir.

Kurul kararında da atıf kurulan 15.07.2015 tarihinde yürürlüğe giren Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik hükümlerinde de konu ile ilgili hususlar yer almaktadır.

Yönetmelik’in 7. maddesi onayın alınmasını düzenlenirken abonelik, satış ve üyelik sözleşmesi gibi bir sözleşmenin içeriğine dahil edilerek alınıyorsa sözleşmenin sonunda, olumlu irade beyanından veya imzadan önce, ticari elektronik ileti kenar başlığı altında, reddetme imkanı da tanınarak en az on iki punto ile yazılarak alınır. Bu hüküm ile, sözleşme içeriğinde bu onayın alınmasının, sayılan şartları yerine getirmek suretiyle mümkün olduğu öngörülmektedir.

Onay metninde, olumlu irade beyanının önceden seçilmiş olarak yer alması veyahut mal veya hizmetin temini için ön şart olarak kabulü bu yönetmeliğe göre de hukuka aykırı olacaktır.

Yönetmelik bazı hallerde ise onay gerekmeksizin hizmet sağlayıcının ileti gönderebileceğini düzenlemektedir. Buna göre, alıcının kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini vermesi hâlinde, temin edilen mal veya hizmetlere ilişkin değişiklik, kullanım ve bakıma yönelik ticari elektronik iletiler için ayrıca onay alınmaz. Veyahut devam eden abonelik, üyelik veya ortaklık durumu ile tahsilat, borç hatırlatma, bilgi güncelleme, satın alma ve teslimat veya benzeri durumlara ilişkin bildirimleri içeren iletiler ile hizmet sağlayıcıya ilgili mevzuatla getirilen bilgi verme yükümlülüğü durumlarında önceden onay alma zorunluluğu aranmaz. Ancak bu tür bildirimlerde herhangi bir mal veya hizmet özendirilemez veya bunların tanıtımı yapılamaz. Tacir veya esnaf olan alıcıların elektronik iletişim adreslerine gönderilen ticari elektronik iletiler için de önceden onay alınması zorunlu değildir (ancak ileti almayı ret hakları saklıdır).

Alıcıların hiçbir gerekçe göstermeksizin ticari elektronik iletiyi reddetme hakları baki olmakla ve Yönetmelikte bu ret bildiriminin, bildirimin yapıldığı iletişim kanalına ilişkin onayı geçersiz kılacağı düzenlenmekle birlikte alıcı tarafından reddetme hakkının kullanılmış olması, hizmet sağlayıcının tabi olduğu ilgili mevzuat hükümlerine göre alıcıya gönderilmesi zorunlu olan bildirimlerin yapılmasına engel teşkil etmeyecektir.

Yönetmelik’in 11. maddesinde tekrarlandığı üzere, kişisel verilerin; üçüncü kişilerle paylaşılabilmesi, işlenebilmesi ve başka amaçlarla kullanılabilmesi için ilgili kişiden önceden onay alınması gerekir.

Elektronik ticari iletilere ilişkin tüm bu mevzuat hükümlerinden sonra kısaca yer vereceğimiz diğer hükümler ise malum, 6698 sayılı KVKK’nin 5. maddesinde düzenlenen açık rıza kuralı, aynı maddenin 2. fıkrasında sayılan şartlardan birinin varlığı halinde ilk fıkrada mevcut açık rızanın aranmayacağı, Kurul’un yayınladığı Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5/ 1 (f) bendinde kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekliliğidir.

Yaşanan Normlar Çatışması

Hükümlerin tümünü bir arada değerlendirdiğimizde, ticari elektronik ileti gönderebilmek için kişisel verilerin işlenmesi konusunda, 6563 sayılı ETDHK ve kanunun ilgili yönetmelikleri uyarınca “rıza” yerine “onay” ifadesinin kullanıldığı, bu işlemin de belirli şekillere bağlandığı ve Amazon Turkey’nin faaliyetinden hareketle abonelik, satış ve üyelik sözleşmesi gibi bir sözleşmenin içeriğine dâhil edilerek de alınmasının mümkün kılındığı görülmektedir. Kurul’un KVKK hükümlerine göre yaptığı değerlendirme ise, veri sorumlusunun 6698 sayılı Kanun’un 5. maddesinin 2. fıkrasında sayılan, açık rıza dışındaki işleme şartlarından birine dayanmadığından bahisle alması gereken açık rızanın Tebliğ uyarınca aydınlatma metninden ayrı olarak alınmadığı esaslıdır.

Bu noktada normlar hiyerarşisinde aynı seviyedeki iki normun çatışması sorunu ortaya çıkmaktadır. 6563 sayılı ETDHK ile 6698 sayılı KVKK’nin birbirlerine göre konumlarına bakıldığında, 01.05.2015 tarihinde yürürlüğe giren ETDHK’nin “önceki özel kanun”, 07.04.2016 (işleme şartları açısından)/ 07.10.2016 (suçlar ve kabahatler açısından) tarihlerinde yürürlüğe giren KVKK’nin ise sonraki genel kanun olduğunu görmekteyiz.

Diğer çatışma türlerinden farklı olarak aralarında hiyerarşi bulunmayan, aynı seviyede yer alan önceki özel kanun ile sonraki genel kanun arasındaki çatışmada, çatışmanın hangi ilkeye göre çözüleceği konusunda kesin bir kural bulunmamakta, Lex Posterior’un kabulü halinde sonraki genel kanunun; Lex Specialis kabulü halinde ise önceki özel kanunun uygulanması söz konusu olacaktır (Gözler, Kemal, Hukuka Giriş, Bursa, 2014, s. 350). Öyleyse hangi ilkeye uygulama önceliği verileceği konusunda bir tercih yapılması gerekecektir. Doktrinde ağır basan görüş, çatışmanın Lex Specialis’e, önceki özel kanunun uygulanmasının tercih edilmesine göre çözülmesi yönündedir (Gözübüyük, Şeref, Hukuka Giriş ve Hukukun Temel Kavramları, Ankara, 2005, s. 67). Katoğlu da, Lex Specialis ilkesinden hareketle, sonraki genel kanunun, ayrıca bu hususta bir özel hüküm ihtiva etmemek kaydıyla, önceki özel kanunun hükümlerini örtülü biçimde ilga etmeyeceğini ifade etmektedir (Katoğlu, Tuğrul, Ceza Kanunlarının Zaman Yönünden Uygulanması, Ankara, 2008, s. 38-39).

Bu doğrultuda, böyle bir norm çatışmasında, önceki özel kanun ile sonraki genel kanundan hangisini uygulanacağının belirlenmesi gerekir. 6563 sayılı ETDHK ile 6698 sayılı KVKK arasındaki normlar çatışması sorunu açısından Amazon Turkey kararı incelendiğinde, bu sorunlu konuda, Kurul’un, tercihini sonraki genel kanunu uygulamaktan yana kullandığı görülmektedir.

Ek bir açıklama ile de belirtmek isteriz ki, Kurul’un Amazon Turkey’nin 6698 sayılı KVKK’nin 5. maddesinin 2. fıkrası bağlamında bir işleme şartına dayanmadığını ve dayanması gereken açık rıza şartını da gerçekleştirmediğini kabulünden hareketle, bir kez daha bir eylemin aynı anda hem kabahat, hem de suç teşkil etmesi ve 5326 sayılı Kabahatler Kanunu’nun suç ile kabahatin içtimaına dair 15. maddesinin 3. fıkrası uyarınca aslında Kurul’un idari para cezası tesisi yerine suç duyurusunda bulunması gerektiği de açıktır. Zira Kurul’un Amazon Turkey’nin aldığı rızayı geçersiz kabul etmesi karşısında, Amazon Turkey’nin yapmış olduğu işleme Türk Ceza Kanunu’nun 135. maddesi gereğince hukuka aykırı işleme fiilini oluşturacak ve Kurul idari yaptırım tesis edemeyecektir (İçtima Hk. ayrıntılı bilgi için Bkz. Kart, Aslıhan - Ketizmen, Muammer, Kabahatler Kanunu'nun İçtima Hükümleri Açısından Kişisel Verilerin Korunmasına İlişkin Suç ve Kabahatler ile Kurul’un İdari Ceza Kararlarına İlişkin Bir Değerlendirme, Kişisel Verileri Koruma Dergisi, Sayı: 2, Ankara, 2019, https://dergipark.org.tr/en/pub/kvkd/issue/50609/638353).

Dr. Öğr. Üyesi Muammer KETİZMEN

Av. Aslıhan KART

Kaynaklar;

- Gözler, Kemal, Hukuka Giriş, Bursa, 2014.

- Gözübüyük, Şeref, Hukuka Giriş ve Hukukun Temel Kavramları, Ankara, 2005.

- Katoğlu, Tuğrul, Ceza Kanunlarının Zaman Yönünden Uygulanması, Ankara.

- Kart, Aslıhan - Ketizmen, Muammer, Kabahatler Kanunu'nun İçtima Hükümleri Açısından Kişisel Verilerin Korunmasına İlişkin Suç ve Kabahatler ile Kurul’un İdari Ceza Kararlarına İlişkin Bir Değerlendirme, Kişisel Verileri Koruma Dergisi, Sayı: 2, Ankara, 2019, https://dergipark.org.tr/en/pub/kvkd/issue/50609/638353