Günlük hayatımızda birçok işletme tarafından karşı tarafın onayı alınmamış olmasına karşın bilgilendirme ve reklam amaçlı mesajlar gönderilmektedir. Üstelik gönderilen mesajların yadsınamayacak kadar büyük bir kısmında, hukuken zorunlu olmasına karşın muhatabına mesaj almak istememesi durumunda ret bildiriminde bulunma imkânı tanınmamaktadır. Muhatap ilgili kişiler çoğu zaman uzun ve karmaşık prosedürlerle karşılaşılacağından endişe duyarak mesaj almaya devam etmeyi tercih etmektedirler. Genel kanının aksine, rahatsız edici boyuta ulaşan mesajlardan kurtulmak sanıldığı kadar zor değildir. Sizler için bu nitelikteki, reklam/tanıtım/pazarlama mesajlarını Kişisel Verilerin Korunması Kanunu kapsamında değerlendirip süreç dâhilinde yapılası gerekenler hakkında bir yazı hazırladık.
Genel itibariyle pazarlama tekniği olarak kullanılan bilgilendirme/reklam mesajlarının gönderilmesinde iki temel sorunla karşı karşıya kalınmaktadır. Bu problemlerden ilki kişisel verilerin kaydedilmesine ilişkin açık bir rıza bulunmamasına rağmen veri sorumlusu işletmede kişiye ait telefon numarası, mail adresi gibi iletişim adresleri gibi verileri işlemiş olmasıdır. Diğer bir sorun ise bu verilerin kanunun aradığı şartlara uygun işlenmiş olmasına karşın verilerin kullanılması aşamasında hakkın kötüye kullanılması durumunun ortaya çıkmasıdır.
Öncelikle kişisel veri niteliğindeki iletişim bilgilerimizin veri sorumlusu tarafından açık rıza alınmadan işlenmiş olması hususunu değerlendirelim. Kişisel Verileri Koruma Kanunu’nun 5.maddesinde verilerin işlenmesi için ilgilisinin açık rızasının zorunlu olduğu belirtmiştir. Ayrıca Kanunun yine ilgili maddesinin 2. fıkrasında sayılan: ‘‘a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması’’ koşulların bulunmaması halinde, veri sorumlusu şirketin veri işleme işlemi hukuka aykırılık teşkil etmektedir.
Reklam amaçlı gönderilen mesajların ekseriyetinde gönderimde bulunan şirketler tarafından yukarıda gösterilen veri işleme koşulları bulunmamaktadır. İşte bu nedenlerle bahse konu veri sorumlularınca iletişim bilgilerinin işlenmiş olmasının hukuka aykırılık teşkil ettiğini söyleyebiliriz. Böyle bir durumda, Kanunun 13. ve 14. maddelerinde belirtilen veri sorumlusuna ‘başvuru’ ve başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi koşullarının sağlanmasıyla Kurula ‘şikayet’ mekanizmaları işletilebilir. Size ait iletişim bilgilerinin kullanılmasına yönelik rızanız bulunmuyorsa Kanunun 11. Maddesi hükümlerine göre veri sorumlusu şirket ile iletişime geçebilir, size ait hangi bilgilerin şirkette kayıtlı olduğunu öğrenebilirsiniz. Söz konusu bilgilendirme mesajlarının tarafınıza gönderilmesini istemiyorsanız Kanunun 11.maddesi hükmüne göre şirkete başvurup kişisel verileriniz imha edilmesi talebinde bulunabilirsiniz.
Konuya ilişkin bir durumda, Kişisel Verileri Koruma Kurulunun 07/11/2019 tarihli ve 2019/332 sayılı kararı ile bir doktor tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesine ilişkin şikayet hakkında yayınlanan karar özetinde; Kanunun 5.maddesinde gösterilen veri işleme şartlarının bulunmamasına rağmen ilgili kişiye ait verilerin kaydedilmiş olması hukuka aykırı bulunmuş ve gerekçeli kararda veri sorumlusu doktor hakkında 50.000 TL idari para cezasına hükmedilmiştir.
Reklam mesajlarının gönderilmesi hususunda dikkat edilmesi gereken bir diğer husus da veri sorumlusu şirketlerin, verilerin işlenmesi bakımından hak sahibi olsalar dahi aynı içerikteki mesajları sürekli gönderme hakkına sahip olmadıklarıdır. Bu konu ile ilgili olarak; bir varlık yönetim şirketinin ilgili kişiye aynı konu ile ilgili birden çok mesaj gönderimine ilişkin Kişisel Verileri Koruma Kurulunun 31/05/2019 tarihli ve 2019/159 sayılı karar özetinde her ne kadar veri sorumlusunca kaydedilen iletişim bilgilerin Kanunun 5. maddesinde öngörülen koşullardan sağlandığı belirtilse de 6698 sayılı Kanun kapsamında kişisel verilerin kullanılmasının da bir veri işleme faaliyeti olduğu söylenmiştir. Bu anlamda, veri sorumlusu şirket tarafından ilgili kişinin telefon numarasına aynı içerikteki mesajların farklı tarihlerde birden fazla gönderilmesinin veri sorumlusunun sahip olduğu hakkı kötüye kullanımı olarak değerlendirilmiştir. Söz konusu kararda Kanunun 4.maddesinin 2 numaralı fıkrasının (a) bendinde işaret edilen hukuka ve dürüstlük kurallarına aykırılık olduğuna işaret edilmiştir. Gösterilen sebeplerden dolayı veri sorumlusu şirket hakkında Kanunun 18.maddesine göre 20.000 TL idari para cezası uygulanmasına hükmedilmiştir.
Görüldüğü üzere ilgilinin rızası olmaksızın ve kanunda hükmedilen diğer şartları barındırmaksızın kişisel verilerin işlenmesi hukuka aykırıdır. Bu yönü ile veri işleme şartları bulunmaksızın ilgiliye ait iletişim bilgilerini kullanmak marifetiyle reklam/bilgilendirme mesajlarının gönderilmesi Kişisel Verilerin Korunması Kanunu’na da aykırılık teşkil etmektedir. Bununla birlikte veri işleme şartlarını bulunduran veri sorumluları tarafından, aynı içerikte mesajların gönderilmesi Kurul karar özetinde hakkın kötüye kullanılması olarak değerlendirilmiştir. Aynı içerikteki mesajların mükerrer şekilde gönderilmesi kişisel verilerin işlenmesinde dürüstlük kurallarına aykırı bulunmuştur. Muhataplar bakımından veri sorumlusu şirketlere başvurup kişisel bilgilerinin imha edilmesi hakkı tanınmıştır. Ayrıca hukuka aykırı bir veri işleme işleminin olduğu düşünülüyorsa sırasıyla veri sorumlusuna başvuru ve Kişisel Verileri Koruma Kurumu’na şikâyet mekanizmaları devreye sokulmalıdır. Veri sorumlusu şirketler açısından ele alacak olursak, bilgilendirme/reklam mesajlarının gönderilmesi noktasında önemle belirttiğimiz gibi veri işlemenin hukuka uygunluğu ve verilerin kullanılmasında dürüstlük kurallarına uygun hareket etme yükümlülüklerinin göz önünde bulundurulması yerinde olacaktır.
Av. İbrahim Çağdan ÜNLÜ
Stj. Av. Alperen DURAN
KAYNAKÇA
1) Kişisel Verileri Koruma Kurulunun 07/11/2019 tarihli ve 2019/332 sayılı, Kurul karar özeti
2) Kişisel Verileri Koruma Kurulunun 31/05/2019 tarihli ve 2019/159 sayılı, Kurulkarar özeti
3) 6698 sayılı Kişisel Verilerin Korunması Kanunu