Turkey: Kişisel Verileri Koruma Kurumu'nun Reklam İçerikli SMS, E-posta veya Telefon Çağrılarına İlişkin İlke Kararı ve Öngörülen Yaptırımlar

Giriş

6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") hükümlerine aykırı olarak ilgili kişilerin açık rızaları alınmaksızın e-posta adreslerine veya SMS veya çağrı ile cep telefonlarına reklam bildirimleri/aramaları geldiği hususunda Kişisel Verileri Koruma Kurumuna ("Kurum") intikal eden çok sayıda başvuru bulunmaktadır. Bu yüzden Kurum, veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen 16/10/2018 tarihli ve 2018/119 sayılı bir ilke kararı almıştır.

İlke Kararın Özeti

İlgili kişilerin rızalarını almadan ve Kanunun "Kişisel verilerin işlenme şartları" başlıklı 5. maddesinde hüküm altına alınan işleme şartlarını sağlamadan, telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları ile veri sorumluları adına reklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerini Kanunun "Şikayet üzerine veya resen incelemenin usul ve esasları" başlıklı 15. maddesinin 7. fıkrası uyarınca derhal durdurması gereklidir.

Kanunun "Veri güvenliğine ilişkin yükümlülükler" başlıklı 12. maddesi kapsamında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu ve kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, anılan tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

Yaptırımlar

5237 sayılı Türk Ceza Kanunu ("TCK")'nun "Verileri hukuka aykırı olarak verme veya ele geçirme" başlıklı 136. maddesi uyarınca, kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır. Yani, veri sorumluları ilgili telefon numaralarını, e-posta adreslerini vb. kişisel verilerini hukuka aykırı olarak veri işleyene vermiş ise bu cezaya konu olacaktır. 5271 sayılı Ceza Muhakemesi Kanunu'nun "İhbar ve şikayet" başlıklı 158. maddesi çerçevesinde, hukuka aykırı hareket eden veri sorumluları, Cumhuriyet Başsavcılığı'na ihbar yoluyla bildirilecektir.

Ayrıca Kanunun 15. maddesi uyarınca, Kurul tarafından verilen kararları yerine getirmeyenler hakkında Kanunun "Kabahatler" başlıklı 18. Maddesinin 1. fıkrasının (c) bendinde belirtilen 25.000 Türk lirasından 1.000.000 Türk lirasına kadar olan idari para cezası uygulanır. Bu yüzden hukuka aykırı faaliyet gösteren veri sorumluları ve veri işleyenler eğer kurulun ilke kararı kapsamında faaliyetlerini derhal durdurmazsa, bu yaptırıma konu olacaktır.

Ek olarak, 12. maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında Kanunun 18. Maddesinin 1. fıkrasının (b) bendinde belirtilen 15.000 TL'den 1.000.000 TL'ye kadar olan idari para cezası uygulanır. Yani, veri sorumluları ve veri işleyenler uygun güvenlik düzeyini temin etmediklerinden dolayı telefon numaralarını, e-posta adreslerini vb. kişisel verileri koruyamamışlarsa bu yaptırım ayrıca uygulanacaktır.

Kişisel verilerin ihlal edildiğini düşünen vatandaşlar, öncelikle ihlal eden gerçek veya tüzel kişiye başvuracaktır. Eğer sonuç alamazlarsa, bu şikayetlerini Kurum'a sunabileceklerdir. Ayrıca Kurum da ihlal iddiasını öğrenmesi durumunda resen gereken inceleme ve soruşturmayı yapabilecektir. Kurum gereken soruşturmayı ve incelemeyi yaptıktan sonra, kişisel verilerin ihlal edildiğine karar verirse, ilke kararında öngörülen yaptırımları uygulayacaktır. Bu ilke karar ve uygulaması, Resmi Gazete'de yayınlanma tarihi olan 1 Kasım 2018'den itibaren yürürlüğe girmiştir.

Sonuç

SMS'ler, telefon çağrıları ve e-postalar şirketler için özellikle de e-ticaret şirketleri için tüketiciye ulaşma kolaylığı yaratması imkanıyla çok önemli ve etkili bir reklam yoludur. Öte yandan, bu tür reklam yolları tüketiciler için birçok yönden sinir bozucu olabilir. Bu yüzden, tüm dünyada hükümetler, bu tür faaliyetlerin sınırlarını yeni düzenlemelerle şekillendirmeye çalışmaktadırlar. Yakın geçmişte Avrupa Birliği, Genel Veri Koruma Tüzüğü adı altında çok kapsamlı düzenlemeler yayınlamıştır. Reformlar, internete bağlı çağımızdaki hızlı veri akışı bünyesinde kişisel verileri korumak için tasarlanmıştır. Avrupa Birliği'ne benzer şekilde, Türk Hükümeti, her gün verilerini paylaşan ve internet hizmetlerini kullanan vatandaşlarının kişisel verilerinin işlenmesi ve paylaşılasına ilişkin belirli kurallar oluşturmaya çalışmaktadır. Kurum aktif olarak kısa bir süre önce denetime başlamış olsa da, bu ilke kararından görüldüğü üzere, her türlü yasa dışı veri paylaşımı faaliyeti için aktif önlemler alınacaktır. Reklam amacıyla SMS, e-posta veya telefon aramalarını kullanan taraflar, her durumda tüketicilerden önceden onay almalıdır. Aksi taktirde ticari elektronik iletiler ve telefon çağrıları vasıtasıyla yapılan bu tür reklam faaliyetleri, TCK ve Kanun'un ilgili hükümleri kapsamında yaptırımlara konu olacaktır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.