Kişisel Verileri Koruma Kurulu’ndan Veri Sorumluları Tarafından Reklam ve Pazarlama Amacıyla Gerçekleştirilen Kişisel Veri İşleme Süreçlerine İlişkin Önemli Kararlar

Bu yazımızda, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından 2 Nisan 2020 tarihinde yayınlanan toplam on bir (11) karar özeti arasında veri sorumluları tarafından reklam ve pazarlama amacıyla gerçekleştirilen kişisel veri işleme süreçlerine ilişkin verilen kararlara değineceğiz.

Veri sorumluları tarafından reklam, tanıtım ve pazarlama amaçlarıyla SMS, e-posta vb. aracılığıyla bildirim yapılması günümüzde şirketler için vazgeçilmez bir süreçtir. Ticari faaliyetlerini gerçekleştirme durumunda olan veri sorumlularının bu amaç ve kaygıları anlaşılabilir olmakla birlikte bu durumun kişisel verilerin korunması hukuku ilke ve prensipleri ile çatışma riski yüksektir. Bu nedenle söz konusu sürecin yürütülmesi sırasında 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“Kanun”) ve konuyla ilgili diğer yasal düzenlemelere uygun bir şekilde hareket edildiğine dikkat edilmelidir.

Alenileştirilmiş kişisel verilerin reklam ve pazarlama amacıyla işlenmesi, kişisel verilerin toplanma amacına aykırı olarak reklam amacıyla işlenmesi gibi ciddi ve en önemlisi de en yaygın şekilde karşılaştığımız konu ve sorulara ilişkin olarak verilen bu kararlara dair değerlendirmelerimizi aşağıda bulabilirsiniz.

1. Aleni Haldeki Kişisel Verilerin Reklam ve Bildirim Amacıyla İşlenmesi (27/01/2020 tarih ve 2020/67 sayı)

Karara konu olayda, ilgili kişinin kendisine bir gayrimenkul şirketi tarafından SMS aracılığıyla reklam ve bildirim gönderildiği ancak buna ilişkin açık rızasının bulunmadığı ve bu kapsamda gereğinin yapılması talebini içeren başvurusu söz konusudur. Bu kapsamda istenen savunmasına cevap olarak veri sorumlusu, ilgili kişiye ait kişisel verilerin reklam, kampanya ve tanıtım amaçlı olarak işlendiğini teyit etmiş ve söz konusu kişisel verilerin internet üzerinden herkese açık bilgi kaynaklarından temin edildiğini, son olarak ilgili kişinin yapmış olduğu başvuru neticesinde bu kişisel verilerin sistemden derhal silindiğini belirtmiştir.

Veri sorumlusunun ilgili kişiye ait kişisel verileri internet üzerinden herkese açık bilgi kaynaklarından temin etmesi durumu olayda aleni verilerin durumunu ortaya koyuyor. Aleni veri, Kanun’da tanımlanmamış olmakla birlikte Kanun Tasarısı’nda yer alan “ilgili kişinin kendisi tarafından alenileştirilen bir başka ifadeyle herhangi bir şekilde kamuya açıklanmış olan” ifadesi uyarınca “kamuya açıklanmış veri” olarak kabul edilmektedir.

Bu verilerin özellik arz eden iki farklı durumu söz konusudur. İlk olarak kişisel verilerin işlenme şartlarının düzenlendiği Kanun’un 5. Maddesinin (2) (d) bendi uyarınca “ilgili kişinin kendisi tarafından alenileştirilmiş olması” açık rıza almaksızın kişisel verilerin işlenebileceği hallerdendir. Bununla birlikte bu işleme hali, aleni verilerin Kanun ve ilgili yasal düzenlemelere tabi olmadığı anlamına gelmemektedir.

Nitekim “İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi” Kanun’un 28. Maddesinin (2) (b) bendi uyarınca kısmi istisna halidir. Buna göre bu durumda Kanun’un amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğü, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin hakları ve Veri Sorumluları Siciline kayıt yükümlülüğü uygulama alanı bulamamaktadır.

Bu hükümlerde dikkat edilmesi gereken birkaç noktaya değinmek gerekir:

• Öncelikle işleme şartlarına ve kısmi istisna hallerine konu olan aleni verinin alelade bir aleni veri olmadığına ve yalnızca “ilgili kişinin kendisi tarafından alenileştirilmiş” aleni verileri kapsadığına dikkat etmek gerekiyor. Öyleyse ilgili kişi dışında bir başka kişi tarafından alenileştirilmiş olan kişisel verinin bu kapsamda kabul edilmesi mümkün değildir. Nitekim Kurul da buna örnek olarak “bir kişinin belirli hallerde kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesi” durumunu göstermiştir.

• Öte yandan konuyla ilgili en büyük yanılgılardan biri de bu halde Kanun ve yasal düzenlemeler ile getirilen yükümlülüklerden muaf olunduğu noktasındadır. Oysaki bu durum, açık rıza alınmaksızın kişisel verilerin işlenebileceği diğer işleme şartlarından birini oluşturur ve yalnızca yukarıda belirtilen yükümlülükler açısından istisna hali doğurur. Dolayısıyla veri sorumlularının alenileştirilmiş haldeki kişisel verileri işlemeleri sırasında Kanun ve konuyla ilgili diğer yasal düzenlemeler bakımından sorumluluklarının devam ettiği ve kişisel verilerin korunması hukukunun ilke ve prensiplerine uymaları gerektiği noktasında herhangi bir tereddüt yoktur.

Tam da bu noktada ise ilgili kişinin kişisel verisinin alenileştirmesindeki amaç ve iradesi gündeme geliyor. Zira Kurul’un da belirtmiş olduğu üzere alenileştirme söz konusu olsa dahi bu kişisel veri yalnızca alenileştirme amacı kapsamında kullanılabilecektir. Kurul’a göre bir kişinin kişisel verisinin herkesin görebileceği bir yerde olması, alenilik şartları için yeterli değildir. Kişisel Verileri Koruma Kurumu (“Kurum”) ve Kurul, bu durumu daha önce de gerek rehberlerinde gerek açıklamalarında belirtmiştir. Örneğin, Kurum’un Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi’nde “Kişisel verinin aleni kabul edilebilmesi için ait olduğu kişinin aleni olmasını istemesi gerekir. Başka bir ifade ile, alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin varlığı gerekir. Yoksa bir kişinin kişisel verisinin herkesin görebileceği bir yerde olması aleni olmasını sağlamaz. Ayrıca, alenileştirme durumunda kişisel verinin amacı dışında da kullanılmaması gerekmektedir.” şeklinde belirtilmektedir. Öyleyse somut olayda ilgili kişinin, kişisel verisini kendisine reklam veya tanıtım yapılması amacıyla alenileştirmemiş olması halinde, veri sorumlusunun bu kişiyle söz konusu amaç doğrultusunda iletişime geçmesinin hukuka aykırı bir işleme olduğu söylenebilir.

Dolayısıyla aleniyet istinası ve işleme şartından yararlanırken dikkat edilmesi gereken,

• Aleni haldeki bir kişisel veri için öncelikle bu verinin ilgili kişi tarafından alenileştirilip alenileştirilmediğine bakılmalıdır.
• Bundan emin olduktan sonra ilgili kişinin alenileştirme amacı tespit edilmeli ve ancak bu kapsamda bir kişisel veri işleme faaliyeti gerçekleştirilebilmelidir.
• Son olarak istisna halinin bireyin kişisel verilerinin korunması hakkının istisnası olmadığı, alenileştirmiş de olsa bireyin temel hak ve özgürlüklerinden olan kişisel verilerinin korunması hakkının devam ettiği unutulmamalıdır.

Alenileştirilmiş verilerin işlenmesine ilişkin ilke ve prensiplere ilişkin daha önce paylaştığımız detaylı yazımıza buradan ulaşabilirsiniz.

Yapılan açıklamalar çerçevesinde, Kurul tarafından ilgili kişinin açık rızasının alınmadığı ve açık rızanın aranmadığı diğer hallerin ise koşullarının bulunmadığı gerekçeleriyle veri sorumlusunun Kanun’un 5. Maddesinde yer alan şartları yerine getirmeden reklam içerikli ileti gönderilmiş olduğu kanaatine verilmiştir. Bu kapsamda Kanun’un 18. Maddesinin (1) (b) bendi uyarınca veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

2. Veri Sorumlusu Sigorta Acentesi Şirketin Müşterilerine Ait Kişisel Verileri Sosyal Medya Platformlarında Reklam Amacıyla İşlemesi (27/01/2020 tarih ve 2020/58 sayı)

Sosyal medya platformları, reklam ve tanıtım yapmak amacıyla en çok tercih edilen yöntemlerden biri. Bu karara konu olayda da bir sigorta acentesi, müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak reklam amacıyla paylaşıyor.

Söz konusu sigorta acentesi, konuya ilişkin yazısında ise kişilerin gizlenmeye çalışıldığı ancak kimi paylaşımlarda bu hususun dikkatsizlik ve acelecilik gibi nedenlerle gözden kaçırıldığı, gözden kaçan ilgili paylaşımların daha sonradan silindiği, kimlik numaraları içeren paylaşımın hiçbir zaman yapılmadığı şeklinde savunma yapmıştır. Ayrıca acentenin konuya ilişkin bu eksikliğin bilgisizlikten kaynaklandığı ve belirtilmesi halinde gerekli düzeltmeleri yapabileceklerini belirtmesi ne yazık ki konunun hala kimi şirketler tarafından anlaşılamadığını açıkça gösteriyor.

Kurul tarafından somut olayda sigorta acentesinin reklam ve tanıtım yapma amacıyla sosyal medyada paylaşım yapmak suretiyle gerçekleştirmiş olduğu kişisel veri işleme faaliyetinin Kanun’un 5. Maddesine aykırı olarak gerçekleştirildiğine kanaat getirilmiştir.

Bu kapsamda Kurul tarafından, sigorta acentesinin Kanun’un 12. Maddesi ile veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerini yerine getirmediği kanaatine varılmış ve “müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşan” veri sorumlusu hakkında Kanun’un 18. Maddesinin (1) (b) bendi uyarınca 22.500 TL idari para cezası uygulanmasına karar verilmiştir.

3. Veri Sorumlusu Tarafından İlgili Kişiye Ait Kişisel Verilerin Toplanma Amacına Aykırı Olarak Reklam Amacıyla İşlenmesi (16/01/2020 tarih ve 2020/34 sayı)

Kararda, bir gıda markasının reklamının yapılması amacıyla aranan ilgili kişi, veri sorumlusuna internet sitesi üzerinden kişisel verisinin elde edildiğine ilişkin başvuruda bulunuyor, bu başvuruya cevap alamaması üzerine aynı talebi bu kez yazılı olarak iletiyor. İlgili kişiye bu talebi doğrultusunda veri sorumlusu tarafından gelen cevapta, kişisel verisinin dergi aboneliği nedeniyle sistemlerinde bulunduğu, bir gıda markasının satış ve pazarlama işlerini de yürüttükleri ve kullanmakta oldukları server arama sisteminin bir hata sonucu ilgili kişinin numarasının silinmiş olmasına rağmen bu numaranın arandığının tespit ettikleri belirtiliyor. Bir başka deyişle, çağrı merkezi hizmeti sunan veri sorumlusu tarafından ilgili kişinin dergi aboneliği çerçevesinde Kanun’un yayınlanmasından önceki bir tarihte vermiş olduğu telefon numarası, daha sonradan bir gıda markasının reklam ve tanıtımının yapılması amacıyla kullanılıyor.

Kurul, söz konusu olaya ilişkin incelemesinde şu hususlara değiniyor:

• Kanun’un “Genel İlkeler” başlıklı 4. Maddesi uyarınca kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlanmış ve sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verilmiştir[1]. Somut olayda ise ilgili kişinin spor dergisi aboneliği sırasında paylaştığı kişisel verisinin o dönemde abonelik süresini uzatmaya yönelik hizmeti gerçekleştiren veri sorumlusu tarafından daha sonra başka bir şirket adına işlenmiştir. Kurul’a göre bu durumda kişisel verinin, ilk işleme amacı dışından başka bir işleme amacı dışında kullanılması söz konusu olmuş ve “kişisel verilerin işlendikleri amaçla bağlantılı ve sınırlı olma ilkesi”ne aykırı hareket edilmiştir.
• Kanun’un 5. Maddesi uyarınca kişisel veriler ancak işleme şartlarından herhangi birinin ve/veya birkaçının bulunması, bu işleme şartlarının bulunmaması halinde ise ilgili kişinin açık rızasının varlığı halinde işlenebilir.
• Kanun’un 7. Maddesi uyarınca bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceğinin hükme bağlanmıştır. Her ne kadar veri sorumlusu tarafından ilgili kişinin verisinin silindiği belirtilmişse de Kurul’a göre bu durum silme işleminin gerektiği gibi gerçekleştirilmediğinin göstergesidir.
• Kanun’un Geçiş Hükümlerine ilişkin Geçici 1. Maddesinin 3. Fıkrası uyarınca Kanun’un yayımlanmasından önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilmelidir. Somut olayda ise ilgili spor kulübü ile spor dergisi aboneliği için çağrı merkezi hizmeti veren veri sorumlusu arasındaki sözleşme 2015 tarihinde sona ermiştir. Dolayısıyla ilgili kişiye ait kişisel veri işleme amacının bu tarih itibariyle ortadan kalktığı açık olup; bundan sonra farklı amaçlarla işleme faaliyetine devam etmek isteyen veri sorumlusu ilgili kişinin açık rızasına ihtiyaç duyar.

Kurul’un yukarıdaki kararını esasen veri işleyen durumunda olan çağrı merkezi sahibinin ne zaman veri sorumlusuna dönüştüğü noktası açısından da değerlendirmekte fayda vardır. Zira normal şartlarda veri sorumlusunun verdiği yetkiye istinaden arama yapan bir çağrı merkezi işletmecisinin bu telefon numaralarının işlenmesi ve kullanılması bakımından veri sorumlusunun talimatıyla hareket etmiş olması gerekir. Oysa ihlalde bulunan çağrı merkezi veri sorumlusu olarak değerlendirilmiştir.

Kurul, Kararda bu konuda bir değerlendirme yapmamış olsa da çağrı merkezinin sözleşme sona erdikten sonra veriyi saklaması ile birlikte çağrı merkezinin veri sorumlusu haline geldiği ve Kurul’un da değerlendirmesini bu yönde yaptığı düşünülebilir. Ancak bu durumda hukuka aykırı bir veri işleme faaliyetinin varlığının değerlendirilmesi ve salt veri güvenliğiyle sınırlı olmaksızın ilgili veri işleme faaliyetinin incelenmesi gerekebilirdi.

Veri sorumlusunun yukarıda değinilen noktalara aykırı hareket ettiğine kanaat getiren Kurul tarafından Kanun’un 18. Maddesinin (1) (b) bendi uyarınca veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında 18.000 TL idari para cezası uygulanmasına karar verilmiştir.

Sonuç

Bireylerle veri sorumlusu şirketler tarafından reklam ve pazarlama amacıyla iletişime geçilmesi günümüzde en sık karşılaştığımız kişisel veri işleme faaliyetlerinden biri olup; bu faaliyet, aynı zamanda Kanun ve diğer yasal düzenlemelerle getirilen konuya ilişkin ilke ve prensiplerin ihlali noktasında en fazla risk taşıyan süreçlerden de biridir. İlgili kişilerden bu yönde birçok şikayet gelmekte veri sorumluları ise bu faaliyetin olmazsa olmazları olduğunu iddia etmektedirler. Bir yandan da Kurul’un bu yöndeki karar sayısının gittikçe artıyor olması gerçeğinin, elektronik ortamdaki pazarlama faaliyetlerinin sadece elektronik ticaret mevzuatının konusu olmadığını, kişisel verilerin korunması hukukunun da konusuna girdiğini ortaya koyduğunu belirtmek gerekir.

Öncelikle, bu Kanun’un hiçbir şekilde reklam ve tanıtım yapmayı yasaklamadığını, veri sorumlularının dikkatli oldukları sürece pazarlama faaliyetlerini sürdürebilecekleri bir gerçektir. Bununla birlikte kendisine reklam yapılmasını istemeyen bir ilgili kişinin, buna rağmen reklam bildirimlerine maruz kalması Kanun ve ilgili mevzuatı tarafından kabul edilmediği gibi, yukarıda açıklanan karar özetlerinden anlaşıldığı üzere Kurul tarafından da kabul edilmemekte ve idari para cezası sebebi olarak ele alınmaktadır.

Bu kapsamda öncelikle uygulamada da sıklıkla karşılaştığımız alenileştirilmiş verilere yönelik olarak yapılan reklam süreçlerinin yukarıda verilen karar doğrultusunda gözden geçirilmesini tavsiye ediyoruz. Bu kişisel veriler kullanılarak sağlanan iletişimin hukuka uygun olarak gerçekleştirildiğinden emin olunmalıdır. Bunun yanında sosyal medya paylaşımlarına ilişkin süreçler de büyük önem arz ediyor. Veri sorumlularının sosyal medya paylaşımlarında diğer kişilerin kişisel verisinin olup olmadığına dikkat etmesi gerekmektedir. Veri sorumlusunun söz konusu sürece ilişkin hukuka uygun bir aydınlatmayla beraber ilgili kişinin açık rızasını alması gerekeceği unutulmamalıdır.

Son olarak, her bir kişisel verinin işleme amacına uygun olarak kullanılması kişisel verilerin işlenmesine ilişkin temel ilkelerden biridir. Kişisel verileri işleme amacının sona erdiği durumda, ilgili kişinin açık rızasını almadan pazarlama gibi başka bir amaç için kullanamayacağınızı, pazarlama faaliyeti için yeniden açık rıza almadığınız veya açık rıza gerektirmeyen bir işleme şartının var olmadığı durumda da işleme amacı sona erir ermez Kanun’a uygun olarak imha etmeniz gerektiğinin altını önemle çiziyoruz.

[1] “Genel ilkeler

MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

1. a) Hukuka ve dürüstlük kurallarına uygun olma.
2. b) Doğru ve gerektiğinde güncel olma.
3. c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

1. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.”