Ara
Close this search box.

Aralık 21, 2023

Ticari Elektronik İleti Yönetim Sisteminin Kişisel Verilerin Korunması Kanunu Kapsamında İncelenmesi

ÖZET

Toplumlarda süregelen ekonomik ve sosyal gelişmeler ile doğru orantılı olarak bireyler ve tüzel kişiler arasındaki etkileşimin artmasıyla kişisel verilerin toplanması ve işlenmesi ivme kazanmıştır. Kişisel verilerin toplanması ve işlenmesinin oldukça kolaylaştığı günümüzde veri güvenliği önem kazanmış olup bu hususta 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile hem bireylere hem de bireylerin etkileşimde bulunduğu gerçek ve tüzel kişiliklere birtakım yükümlülükler getirilmiştir. Özellikle teknolojik sistemlerin ve iletişim sektörünün oldukça çeşitlilik kazandığı günümüzde, ticari faaliyetlerde bulunan gerçek ve tüzel kişilere, Ticari İletişim ve Ticari Elektronik İletiler Yönetmeliği’nde yapılan değişiklik ile İleti Yönetim Sistemi (“İYS”) getirilmiş olup işbu sistemin uygulanmasında kişisel verilerin depolanması, imhası, saklama süresi ve işlenmesine yönelik faaliyetlerin KVKK’ya uygun şekilde yerine getirilmesi gerekmektedir. İşbu yazımız kapsamında ticari faaliyetlerde bulunan şirketlerin İYS sisteminin uygulanması kapsamında veri güvenliği ile ilgili yerine getirmesi gereken yükümlülüklere değinilecektir.

Anahtar Kelimeler: Kişisel verilerin korunması, İleti Yönetim Sistemi, Ticari Elektronik İleti

KİŞİSEL VERİLER VE TİCARİ ELEKTRONİK İLETİ ARASINDAKİ ETKİLEŞİM

KVKK kapsamında kişisel veri; kişiye ilişkin belirli ya da belirlenebilir nitelikteki her türlü bilgi olarak nitelendirilmektedir. Bu doğrultuda kişilere ait ad, soyadı, yaş, cinsiyet, meslek, telefon numarası, e-posta adresi gibi bilgiler kişisel veri niteliğindedir. Kişisel veriler üzerinde gerçekleştirilen her türlü eylem, KVKK kapsamında “veri işleme” olarak değerlendirilecek olup kişisel verilerin işlenmesi ise kural olarak kişinin açık rızasına bağlıdır. Dolayısıyla kişinin açık rızası bulunmadan kişisel verilerinde herhangi bir işlem ile işleme faaliyetinde bulunulması hukuka aykırıdır.

6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (“ETDHK”)’un 2. (ikinci) maddesi kapsamında ise; telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletiler “ticari elektronik ileti” olarak nitelendirilmiştir. Yine mezkûr hüküm uyarınca elektronik ticaret faaliyetinde bulunan gerçek veya tüzel kişiler ise “hizmet sağlayıcı” olarak tanımlanmıştır. Bu doğrultuda ticari elektronik ileti; hizmet sağlayıcı olan kurum ve kuruluşların, mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla tüketicilerin elektronik iletişim adreslerine gönderdikleri iletilerdir.

Bilindiği üzere günümüzde iletişim ve elektronik ticaret sistemlerinin gelişimi ve çeşitliliği sayesinde ticari hizmet sağlayan kurum ve kuruluşlar, tüketiciler ile yaptıkları işlemler neticesinde elde ettikleri telefon numarası, ad, soyadı, e-posta adresi, cinsiyet, mesleki deneyim, sipariş bilgisi, fatura, kayıt vs. kişisel verileri depolayarak daha sonra ticari elektronik ileti gönderiminde kullanabilmektedir. Ne var ki, hizmet sağlayıcıların kişisel verilere ilişkin işbu depolama ve daha sonra ticari elektronik ileti gönderimi için kullanma faaliyetleri KVKK kapsamında veri işleme faaliyeti olarak değerlendirilmekte olup KVKK hükümleri uyarınca veri işlenmesinde uyulacak esaslara tabidir. Aksi halde hizmet sağlayıcıların, ticari elektronik ileti gönderimine ilişkin faaliyetleri de KVKK kapsamında hukuka aykırı olacaktır.

İLETİ YÖNETİM SİSTEMİ’NİN KİŞİSEL VERİLERİN KORUNMASI KAPSAMINDA DEĞERLENDİRİLMESİ

Ticari hizmet sağlayan kurum ve kuruluşlar, KVKK kapsamında veri sorumlusu sıfatını haizdir. Bu nedenle özellikle yukarıda bahsedilen ticari elektronik ileti gönderimi özelinde veri işleme faaliyetlerini hukuka uygun şekilde gerçekleştirmekle mükelleftirler. Bu kapsamda ticari hizmet sağlayan kurum ve kuruluşların da tüketicilere ait kişisel verileri, pazarlama ve reklam amaçlı ticari elektronik ileti gönderilmesine yönelik işleyebilmesi için tüketicilerden açık rıza almaları ve hatta tüketicileri hangi kişisel verilerinin işleneceği başta olmak üzere, işlenen kişisel verilerinin hangi amaçlar doğrultusunda kullanılacağı hususunda mutlaka aydınlatmaları gerekmektedir. Aksi halde tüketicilerin açık rızası bulunmaksızın ticari elektronik ileti gönderimi, bir başka deyimle tüketicilerin kişisel verilerinin işlenmesi hukuka aykırı olacaktır.

04.01.2020 tarihli ve 30998 sayılı Resmî Gazete’de yayımlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’te Değişiklik Yapılmasına Dair Yönetmelik (“Yönetmelik”) ile elektronik ticaret faaliyetinde bulunan gerçek ya da tüzel kişilerin uyması gereken usul ve esaslar hakkında düzenlemeler yapılmış olup bu Yönetmelik’in en önemlisi İYS’nin getirilmesidir. İYS, hizmet sağlayıcıların arama, mesaj ve e-posta gibi farklı tipte ileti izinlerini saklayıp yönetebilecekleri, alıcıların verdikleri izinleri görüntüleyip kaldırabilecekleri, izinsiz gönderimleri şikâyet edebilecekleri, kamunun ise ileti şikâyetlerini ve şikâyete konu iznin durumunu görüntüleyebilecekleri, web sitesi, kısa mesaj numarası ve çağrı merkezi üzerinden hizmet verecek, tüm izinleri zaman damgasıyla kayıt altına alıp güvenli biçimde saklayacak ulusal veri tabanı sistemidir. Yönetmelik ile ticari elektronik ileti göndermek isteyen gerçek ve tüzel kişilerin İYS’ye kaydolması zorunlu hale getirilmiştir. 

Bilindiği üzere, hizmet sağlayıcının, mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla alıcıların elektronik iletişim adreslerine gönderdiği ticari elektronik iletiler için önceden onay alması diğer bir ifade ile açık rızalarını alması gerekmektedir. Yönetmelik ile yapılan değişiklik öncesinde tüketicilerin açık rızaları, hizmet sağlayıcılar tarafından yalnızca kendi imkanlarınca alınabiliyorken değişiklik sonrasında hizmet sağlayıcıların, tüketicilerin veri işlenmesine ilişkin açık rızalarının İYS üzerinden de alınması mümkün hale getirilmiştir. Bu aşamada hizmet sağlayıcısının, ispat külfeti kendisine ait olmak üzere kendi imkânlarıyla tüketicilerin açık rızasını alması durumunda ilgili onayı üç işgünü içerisinde İYS’ye kaydetmesi gerekecektir. İYS’ye kaydedilmeyen onaylar geçersiz sayılacak, İYS üzerinden onayı bulunmayan alıcılara ticari elektronik ileti gönderimi yapılamayacaktır.

İYS’nin tüketiciler açısından kolaylık sağladığı bir diğer husus ise ticari elektronik ileti almayı reddetme hakkının kullanılması açısındandır. Zira bu hakkın kullanılması KVKK kapsamında açık rızanın geri alınması ile eşdeğer olup açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rıza geri alınabilir niteliktedir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, kişi dilediği zaman veri sorumlusuna verdiği açık rızasını geri alabilmektedir. Ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulmalıdır. Bir diğer deyişle, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğuracaktır. İYS’nin açık rızanın geri alınması hususunda işbu geri alma beyanının veri sorumlusuna derhal ulaşması açısından pratik olarak faydası bulunmaktadır. Zira alıcılar, vermiş olduğu onayı dilediği zamanda hiçbir gerekçe göstermeden geri alma diğer bir deyişle ileti almayı reddetme hakkına sahip olduğundan, İYS üzerinden de ret bildirimini gerçekleştirme imkânına sahip olacaktır. Bu kapsamda veri sorumlu olan hizmet sağlayıcının, kendisine yapılan ret bildirimini üç işgünü içerisinde İYS’ ye bildirmesi gerekmektedir.

Ne var ki, KVKK kapsamında veri sorumlusu sayılan hizmet sağlayıcıların, İYS uygulamasındaki kişisel verilerin korunmasına ilişkin yükümlülükleri yalnızca açık rıza/onay/ret ve bildirimden ibaret olmayıp aynı zamanda tüketicilere ait iletişim ve sair kişisel bilgilerin İYS’ye aktarımı ve İYS veri tabanında saklanması hususunda da KVKK kapsamında sorumlulukları bulunmaktadır. Zira Yönetmelik uyarınca hizmet sağlayıcılar, mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kutlama ve temenni gibi içeriklerle tanınırlığı artırmak amacıyla alıcıların elektronik iletişim adreslerine gönderilen ticari elektronik iletilere ilişkin onay kayıtlarını, onayın geçerliliğinin sona erdiği tarihten itibaren, ticari elektronik iletilere ilişkin diğer kayıtları ise kayıt tarihinden itibaren “üç yıl” süreyle saklamakla yükümlüdür. Bu minvalde hizmet sağlayıcıların, alıcıların kişisel verilerini saklama yükümlülüğü olan üç yıldan daha fazla süre ile saklaması KVKK kapsamında hukuka aykırı olup kişisel verilerin veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir.

SONUÇ

Günümüzde, ticari faaliyetler ile iletişim ve bilişim sektörünün çeşitlenerek gelişmesi sebebiyle kişisel veri güvenliği hususu oldukça önem kazanmış olup kişisel veri güvenliğinin korunması hususunda hem hukuki hem pratik düzlemde atılan adımlar oldukça ivme kazanmıştır. KVKK ile kişisel veri güvenliği hukuki açıdan çerçevelenirken, pratik hayata geçirilen sistemler ile de uyum sağlanması amaçlanmıştır. Bu kapsamda tüketiciler ile yaptıkları işlemler nedeniyle veri sorumlusu sıfatını haiz ticari faaliyette bulunan gerçek veya tüzel kişilerin, mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla tüketicilere elektronik ticari ileti göndermesi bir veri işleme faaliyeti olup KVKK kapsamında açık rıza şartının ve aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir.

İYS ise veri sorumlusu sıfatını haiz hizmet sağlayıcıların ticari elektronik ileti izinlerini saklayıp yönetebilecekleri, kişisel veri sahibi alıcıların ise verdikleri izinleri görüntüleyip kaldırabilecekleri, izinsiz gönderimleri şikâyet edebilecekleri ulusal bir veri tabanı sistemi olup KVKK ile öngörülen kişisel veri politikalarına uygun şekilde tasarlanmıştır. KVKK kapsamındaki veri işlenmesine ilişkin açık rıza şartı İYS uygulamasında “onay” ile sağlanmış olup veri sorumlusu sıfatını haiz hizmet sağlayıcıların, alıcıların açık rızası ya da onayı bulunmaksızın ticari elektronik ileti gönderimi hukuka aykırı hale getirilmiştir. Bu minvalde, veri sahibi olan alıcılar tarafından her zaman açık rıza ya da onaylarının pratik bir şekilde İYS üzerinden geri alınabileceğine dikkat etmek gerekmektedir. Aynı zamanda veri sorumlusu hizmet sağlayıcıların, alıcılara ilişkin kişisel verileri İYS’ye aktarımı ve saklaması hususu da veri güvenliğine ilişkin olup KVKK kapsamında öngörülen saklama ve imha politikaları çerçevesinde irdelenmelidir.

Saygılarımızla,
Kılınç Hukuk & Danışmanlık

KAYNAKÇA

  1. Mustafa Anıl PINAR, Ticari Elektronik İleti Yönetim Sistemi (IYS) Hakkında Kısa Değerlendirme https://www.mondaq.com/turkey/Privacy/881708/Ticari-Elektronik-304leti-Ynetim-Sistemi-IYS-Hakk305nda-K305sa-De287erlendirme
  2. Nesibe ÖNDER, 6698 Sayılı Kişisel Verilerin Korunması Kanunu Işığında Tüketicilere Gönderilen Ticari Ve Elektronik İletiler https://www.rskveri.com/6698-sayili-kisisel-verilerin-korunmasi-kanunu-isiginda-tuketicilere-gonderilen-ticari-ve-elektronik-iletiler/
  3. 15.07.2015 tarihli 29417 sayılı Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik
  4. 6698 sayılı Kişisel Verilerin Korunması Kanunu

Yazarlar

Eren Can Ersoy

Eren Can Ersoy

Kıdemli Avukat

Merve Çebi

Merve Çebi

Avukat