TİCARİ ELEKTRONİK İLETİ UYGULAMALARININ ELEKTRONİK TİCARET VE KİŞİSEL VERİLERİN KORUNMASI MEVZUATI KAPSAMINDA DEĞERLENDİRİLMESİ

  1. Güncel Mevzuat

Türkiye’de kişisel verilerin korunması mevzuatı kapsamında temel adım olan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) yürürlüğe girmeden evvel kişisel verilerin korunması alanına ilişkin düzenlemeler ilgili mevzuat içerisinde düzenlenmekte idi. Bu kapsamda yapılan parça düzenlemeler 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (“E-Ticaret Kanunu”) ‘nda da kendini göstermiş olup E-Ticaret Kanunu’nun, kişisel verilerin korunması bakımından öncü bir düzenleme olduğu söylenebilecektir.

E-Ticaret Kanunu esasen elektronik ticarete ilişkin usul ve esasları düzenlemektedir. Bu kapsamda ticari elektronik ileti uygulama esasları ise 4 Ocak 2020 tarihli İleti Yönetim Sistemi değişiklikleri ile yeniden gündeme gelen Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik ile düzenlenmektedir. Bu kapsamda ticari elektronik ileti “telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletiler” olarak tanımlanmıştır. Diğer yandan KVKK’nın 7 Nisan 2016 tarihinde yürürlüğe girmesiyle beraber özellikle SMS, e-posta, çağrı veya diğer ticari iletişim araçları ile doğrudan pazarlama kapsamında uygulanan işlemlere hangi mevzuatın uygulanacağına yönelik birtakım belirsizlikler ve tartışmalar yaşanmaya başlamıştır. Şöyle ki; KVKK uygulayıcısı Kişisel Verileri Koruma Kurulu (“Kurul”) veri sorumluları veya veri işleyenlerin ilgili kişilere çağrı, SMS veya e-posta vasıtasıyla ulaşarak reklam, kampanya veya promosyon amaçlı pazarlama/tanıtım faaliyetlerini kişisel verilerin “işlenmesi” kapsamında kabul etmiş, ilgili kişilerin mevzuata uygun açık rızası olmadan bu verilerin kullanımını KVKK’ya aykırı bulmuş ve buna ilişkin birçok ilke kararı almıştır.

  1. Ticari Elektronik İletilere Uygulanacak Mevzuat

Kurul’un almış olduğu kararlardan bir diğeri olan ve özellikle 1.200.000 TL idari para cezası ile oldukça ses getiren “Amazon Turkey Perakende Hizmetleri Limited Şirketi (“Amazon”) hakkındaki 27/02/2020 Tarihli ve 2020/173 Sayılı Kararı” (“Amazon Kararı”) ticari elektronik ileti tartışmalarına bir yenisini eklemiştir. Oldukça uzun olan ve Kurul tarafından derin muhakemeler barındıran Amazon Kararı’nın incelenecek ve tartışılacak birçok yanı olmakla birlikte bu yazıda KVKK ve E-Ticaret Kanunu çatışması kapsamında ticari elektronik ileti uygulamaları incelenecektir.

Öncelikle belirtmek gerekir ki bahsi geçen kanunlar elektronik ticaret ile kişisel verilerin korunması hakkında temel hak ve özgürlükleri düzenlemekte ve bu kapsamda özgünleşmektedir. Ticari elektronik ileti yaklaşımı gibi birbiriyle kesişen düzenlemeler bulunsa da sırf bu nedenle birbirini kapsayıcı olarak kabul edilmeleri hem hukuk uygulaması hem de kanunların ruhu ile örtüşmeyecek, aynı doğrultuda birbirleri arasında genel kanun-özel kanun ayrımı yapılamayacaktır.

E-Ticaret Kanunu uyarınca ticari elektronik iletiler ancak önceden ilgili kişinin onayı alınarak gönderilebilir. Onayın alınma yöntemi ise şekli olarak bir sınırlamaya tabi tutulmamıştır. Bu nedenle yazılı veya elektronik yollarla rıza alınabilmektedir. Bu kuralın ilk istisnası kişiyle “temin edilen mal veya hizmetlere ilişkin değişiklik, kullanım ve bakıma yönelik” olması kaydıyla rıza alınmaksızın iletişime geçilebilmesi olup ikinci istisna esnaf ve tacirlere önceden onay alınmaksızın ticari elektronik ileti gönderilebileceği hakkındadır. Görüldüğü üzere E-Ticaret Kanunu ilgili gönderilere daha çok ticari yaklaşmaktayken KVKK nitelik ayırt etmeksizin içerisinde “kişisel veri işleme faaliyeti olması şartıyla” her türlü ileti bakımından yaklaşmaktadır. KVKK ise genel kural olarak ticari elektronik ileti gönderimi de dahil olmak üzere kişisel veri işleme faaliyetini kişinin açık rızasına dayandırdıktan sonra bu hususta istisnaları düzenlemektedir.

Bu itibarla asıl yönlendirmeyi yapacak anahtar, faaliyetin özü bakımından “kişisel veri işleme” tespiti olup kişisel veri niteliğindeki bilginin hizmet sağlayıcıda ve/veya veri sorumlusunda bir şekilde bulunması ve bu bilginin KVKK’da yer alan “kişisel verilerin işlenmesi” tanımı kapsamında kullanılmasıdır. Özetle faaliyetin özü “kişisel verilerin işlenmesi” kapsamında değerlendirilebiliyor ise istisnalar saklı kalmak kaydıyla KVKK uygulanmalıdır. Bu kapsamda Kurul’un inceleme yetkisinin sınırları üçüncü başlıkta ayrıca değerlendirilecek olup bu uygulamalar şu şekilde sıralanabilir: Hizmet sağlayıcının veri sorumlusu-veri işleyen sıfatını haiz olup olmadığı, genel ilkeler değerlendirmesi, gönderime dayanak aydınlatma ve açık rıza mekanizmalarının varlığı ve ikinci noktada geçerliliği, veri güvenliği tedbirlerine riayet vd.

  1. Kurul’un E-Ticaret Kanunu ve Ticari Elektronik İleti Uygulamalarına İlişkin Yetki Sınırı

Amazon Kararı savunmasında Amazon, hukuka aykırı olarak ticari elektronik ileti gönderildiğine ilişkin iddialara karşın “başvuranın söz konusu taleplerini Ticaret Bakanlığı’na iletmesi gerektiği, Kurul’un ticari elektronik iletiler gibi ilke kararlarını ve Kurul’un bu alandaki yetkisini kabul etmek ve saygı göstermekle birlikte, konuya ilişkin usul ve esasların münferiden elektronik ticarete ilişkin mevzuat kapsamında düzenlenmiş olduğu” savunmasında bulunmuştur.                    

KVKK, kişisel verilerin korunması ile ilgili çerçeve hükümler belirlemekte ve uygulayıcı Kurul da bu çerçevenin içini mümkün olduğunca ve somut olayın niteliğine göre KVKK teması kapsamında doldurmaktadır. Amazon Kararı’nda da belirtildiği üzere ticari elektronik iletiye ilişkin ayrı bir mevzuat bulunmakla birlikte, telefon numarası, e-posta adresi gibi bilgilerin bir veri kayıt sisteminde depolanması suretiyle kişilere ticari nitelikli iletiler gönderilmesi, bir kişisel veri işleme faaliyetine işaret etmektedir. Dolayısıyla ticari nitelikli bir elektronik iletinin ticari elektronik ileti gönderilmesine ilişkin mevzuata uygun olarak gönderilmesi gerekmekle birlikte, bu mesajların iletilmesi için kullanılan iletişim kanallarının kişisel veri niteliğinde olması nedeniyle ticari elektronik iletilerin gönderilmesi süreçlerinin aynı zamanda kişisel verilerin korunması mevzuatına da uygun olması gerekmektedir. Bu bağlamda, Kurul’un konuya ilişkin almış olduğu karar, ticari elektronik iletilerin gönderilmesine ilişkin değil, kişisel verilerin işlenmesi süreçlerine ilişkin bir karardır. Öte yandan karardan öğrenildiği üzere Ticaret Bakanlığı söz konusu başvuruyu kişisel verilerin korunması mevzuatı kapsamında değerlendirilmek üzere Kurul’a intikal ettirmiş olup Bakanlık da faaliyetin özünün kişisel veri işleme olduğunu düşünmektedir.

Ayrıca görülmektedir ki Kurul yalnızca KVKK m.5 veya m.6 gibi işleme şartlarına aykırılıktan değil, bir varlık yönetim şirketinin borçlulara tehditkâr ve taciz edici biçimde borç hatırlatma mesajları göndermesi konusundaki kararında oluğu gibi, ilgili kişisel veri ihlallerini iyi niyet ve dürüstlük kuralları kapsamında değerlendirerek hakkın kötüye kullanılması olarak nitelendirebilmektedir. Nitekim Kurul’un görev ve yetkilerini düzenleyen KVKK m.22/1/c bendi uyarınca “…kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak” yetkisi, söz konusu faaliyet E-Ticaret Kanunu veya başkaca mevzuat kapsamında olsa dahi bir şekilde kişisel veri işleme faaliyeti de içeriyor ise Kurul’un bu hususta görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getireceğini ve kullanacağını söylemek amacını aşan bir yorum olarak değerlendirilemeyecektir.