1. Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (“E-Ticaret Kanunu”) ile Buna Bağlı Olarak Çıkarılan Ticari Elektronik İletiler Hakkında Yönetmelik (“Yönetmelik”) Hangi Alanları Düzenlemektedir?

Günümüzde birçok gerçek veya tüzel kişi hizmet sağlayıcıları, ürünlerinin veya hizmetlerinin reklamını / tanıtımını yapmak, işletmesinin tanınırlığını arttırmak amacıyla alıcılarla birçok kanal yardımıyla iletişime geçmektedir. Söz konusu hizmet sağlayıcıları alıcılara reklam, kampanya, pazarlama amacıyla ticari elektronik ileti göndermek istediğinde, bu kişilerin ad, soyad, e-posta ve cep telefonu gibi kişisel verilerini de işlemektedir. Dolayısıyla birbiriyle sıkı ilişki içerisinde olan bu ticari elektronik ileti ve kişisel veri terimlerini tanımlayarak tabi oldukları mevzuatları incelemek süreçleri doğru yönetebilmek adına önem arz etmektedir. Kişisel verilerinin işlenmesini Kanun’da yer alan işleme şartlarına göre değerlendirmek gerekirken, ticari ileti gönderimini de E-Ticaret Kanunu ve Yönetmelik kapsamında alınması gereken onaylar bakımından değerlendirilmesi gerekmektedir.

Öncelikle kişisel verinin tanımını yapmak gerekirse; “belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” kişisel veri olarak kabul edilir.  Kanun’un da yürürlüğe girme amacı özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ile birlikte söz konusu kişisel verilerin veri sorumluları tarafından hukuka uygun olarak nasıl işleneceğini, verileri saklarken ne gibi tedbirler alacağını ve buna uyulmaması halinde yaptırımlarının ne olacağını belirlemektir.

E-Ticaret Kanunu ise Kanun’dan daha önce yürürlüğe girmiş olup, henüz kişisel verilerin korunması alanında bir düzenlemenin olmadığı dönemde, elektronik ticaret işlemlerinde kişisel verilerin korunmasına yönelik kuralları getirmiştir. Akabinde yürürlüğe giren Yönetmelik ile birlikte de ticari elektronik iletiler daha detaylı bir şekilde işlenmiş olup burada ticari elektronik iletiler; “ticari işletmelerin mal ve hizmetlerini tanıtmak, pazarlamak veya tanınırlığı artırmak amacıyla alıcılara gönderilen iletiler” olarak tanımlanmıştır.

2. Kanun’daki Açık Rıza Kavramı ile E-Ticaret Kanunu ve Yönetmelik’teki Ticari Elektronik İleti Onayı Kavramı Arasındaki Fark Nedir?

Kural olarak E-Ticaret Kanunu ve Yönetmelik’e göre alıcılara reklam, pazarlama veya tanıtım amacıyla ticari elektronik ileti gönderilebilmesi için alıcılardan onay alınması gerekmektedir. Bu durumun istisnaları da Yönetmelik’te belirtilmiştir. Yönetmelik’in 7’nci maddesi uyarınca onay yazılı veya her türlü elektronik iletişim araçlarıyla alınabilir. Söz konusu onay metinlerinde olumlu irade beyanının önceden seçilmiş şekilde alıcıya sunulması, hukuken opt-in sistemini benimsememiz nedeni ile mümkün değildir. Örnek vermek gerekirse Kişisel Verileri Koruma Kurumu bir kararında “lütfen bana artık pazarlama e-postaları göndermeyin” ifadesinin yer aldığı bir kutucuğu, alıcıdan açık bir şekilde onay alınmadığı şeklinde yorumlamıştır. Dolayısıyla alıcının ret hakkını kullanana dek onayının olduğunu varsaymak hukuka aykırı bir onay alındığını göstermektedir.

Hizmet sağlayıcıları söz konusu ticari elektronik iletileri gönderirken aynı zamanda bu kişilerin telefon, e-posta, ad, soyad gibi kişisel verilerini işlemektedirler. İlgili kişilerin kişisel verilerinin  reklam / kampanya / tanıtım amaçları ile işlenebilmesi için Kanun’un 5’inci maddesinde yer alan hukuka uygunluk nedenlerinden birinin mevcut olması gerekmektedir. Eğer hukuka uygunluk nedenleri mevcut değilse bu durumda açık rıza kavramı gündeme gelecektir. Açık rıza da kişinin kendisine ait verilerin işlenmesine, belli bir konu özelinde olmak koşulu ile onay vermesi demektir. Kanun ilgili kişinin bu rızayı göstermesinde herhangi bir şekil şartı öngörmemiştir. Ancak kişisel verilerin işlenmesi için alınacak olan açık rıza ile ticari elektronik iletilerin gönderilebilmesi istenilen onayın mutlaka farklı süreçler olduğunu unutmamak gerekir.

3. Kişisel Verilerin Reklam veya Tanıtım Amacıyla Ticari İleti Gönderilebilmesi Amacıyla İşlenmesi Durumunda Her Zaman Açık Rıza Alınması Gerekmekte midir?

Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 2018 / 119 Sayılı Kararı uyarınca; ilgili kişiden açık rıza alınmamışsa veya diğer istisna haller mevcut değilse reklam veya tanıtım içerikli ileti gönderilmesinin hukuka aykırı olduğu belirtilmiş ve söz konusu faaliyetlerin derhal durdurulması gerektiğine hükmedilmiştir.

Kişisel verilerin reklam veya tanıtım amaçlı işlenmesi doktrinde ve uygulamada tartışmalı olup; “veri sorumlusunun meşru menfaati”, “sözleşmenin kurulması veya ifası için gereklilik” gibi hukuka uygunluk nedenlerinin mevcut olduğunu ileri sürenlerin yanında, bu hukuki nedenlerin savunulamayacağını yalnızca açık rızanın alınması halinde kişisel verilerin reklam/tanıtım amaçlı işlenebileceğini savunanlar da bulunmaktadır.

Ancak her somut olay özelinde, reklam veya tanıtım amacına dayanılarak işlenen kişisel verilerde herhangi bir hukuka uygunluk nedeninin bulunup bulunmadığını irdelemek daha doğru olacaktır. Eğer hukuka uygunluk sebebi bulunmazsa, açık rıza alınması gündeme gelecektir.

4. Aydınlatma Yükümlülükleri Kanun ile E-Ticaret Kanunu ve Yönetmelik Kapsamında Nasıl Değerlendirilmektedir?

Kanun’da ilgili kişilerin açık rızalarının, öncesinde veri sorumlusu tarafından ilgili kişiye aydınlatma yapılması koşulu ile geçerli olacağı düzenlenmiştir. Yani açık rıza öncesinde mutlaka Kanun’da yazılan koşullar çerçevesinde bir aydınlatma metni hazırlanarak ilgili kişiye tebliğ edilmeli, sonrasında o kişinin açık rızası alınmalıdır. Dolayısıyla aydınlatma yükümlülüğü ve rıza ayrı ayrı yerine getirilmelidir

Bu düzenleme E-Ticaret Kanunu ve Yönetmelikteki bilgi verme yükümlülüğünden daha kapsamlıdır. E-Ticaret Kanunu ve Yönetmelik ise alıcılardan alınacak onay metinlerinde aydınlatma yükümlülüğünün yerine getirilmesinin yeterli olacağını ayrı bir metne ihtiyaç duyulmayacağını kararlaştırmıştır.

5. Bir Kişinin Kişisel Verisinin İşlenmesine Rıza Göstermeyip, Ticari Elektronik İleti Almak İçin Onay Vermesi Durumunda Hizmet Sağlayıcılar Ne Yapmalıdır?

Yukarıda detayları yer aldığı üzere, Kanun’un açık rızanın geçerli olması için aradığı şart, ayrı bir bilgilendirme metnine ve özgür iradeye dayalı olmasıdır. Nitekim E-Ticaret Kanunu kapsamında hazırlanan ticari elektronik ileti onay metinlerinin de hem bilgilendirme hem de açık rızayı bir arada bulundurması nedeni ile bu amacı karşıladığı görülmektedir.

Kanaatimizce kişinin ticari iletilere onay gösterirken, aslında kişisel verilerinin de işlendiği bilincinde olacağı göz önünde bulundurulmalıdır. Dolayısıyla bu verilen onayın kişisel verileri işleyebilmek için de bir rıza olarak kabul edilmesi ilkeler ve amaçlar ile daha bağdaşır olacaktır.