Resmi Gazete’de bugün yayımlanan Kişisel Verileri Koruma Kurulu’nun 16/10/2018 tarih ve 2018/119 sayılı ilke kararında; 6698 sayılı Kanun hükümlerine aykırı olarak ilgili kişilerin e-posta adreslerine, SMS ya da çağrı ile cep telefonlarına reklam bildirimleri ve aramaları yönlendirenlerin bu faaliyetlerini derhal durdurmaları gerektiği belirtilmiştir.
Söz konusu kararda, ilgili kişilerin açık rızaları olmadığı halde reklam amaçlı olarak kendileri ile iletişime geçilmesi sebebiyle çok sayıda şikayetin Kişisel Verileri Koruma Kurumu’na iletildiği vurgulanmıştır. Bu kapsamda veri sorumluları ile veri işleyenlerin, ilgili kişilerin rızasını almaksızın veya 6698 sayılı Kanun’daki işleme şartlarından birini sağlamaksızın reklam amaçlı iletişim faaliyetlerini derhal durdurmaları gerektiği belirtilmiştir.
Bu doğrultuda, veri sorumlularının 6698 sayılı Kanun’un 12. maddesi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu ifade edilmiştir. Ayrıca bu verilerin veri sorumlusunun bizzat kendisi tarafından değil kendi adına başka gerçek ve tüzel kişiler tarafından işlense dahi müştereken sorumlu olacağı belirtilmiştir.
Söz konusu kararda ayrıca, bu faaliyetlere devam edenler hakkında 6698 sayılı Kanun’un 18. maddesi çerçevesinde idari yaptırım uygulanacağı ifade edilmiştir. Bu çerçevede veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası yaptırımı olacaktır. Bununla birlikte reklam bildirimlerinin yönlendirildiği telefon numarası ve elektronik posta adreslerinin hukuka aykırı olarak elde edilmesi halinde, Türk Ceza Kanunu’nda düzenlenen “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” suçu bakımından gerekli hukuki işlemlerin başlatılması amacıyla Cumhuriyet Başsavcılıklarına suç duyurusunda bulunulacağı da önemle vurgulanmıştır.
Sonuç olarak, Kişisel Verileri Koruma Kurulu’nun bu kararını özellikle yurtdışındaki diğer veri koruma otoritelerinin paralel uygulamaları ile birlikte değerlendirdiğimizde şu hususlara özellikle dikkat etmek gerekmektedir:
1. Müşteri ya da potansiyel müşterilerin bu konuda açık rızaları olmaksızın pazarlama amaçlı olarak kendileri ile kesinlikle iletişime geçilmemelidir. Nitekim Birleşik Krallık Veri Koruma Otoritesi (ICO) kararlarında da belirtildiği üzere, kendileriyle iletişime geçilmesi hususunda açık rızaları olmayan müşterilerle pazarlama amaçlı olarak iletişime geçilmesi, yasak kapsamında değerlendirilmelidir.
2. Müşterilere ilişkin iletişim verileri, kendilerinin bu konuda açık rızası olmaksızın kesinlikle başka gerçek ve tüzel kişiler ile paylaşılmamalıdır. Ayrıca veri sorumlusu adına veri işleyen diğer gerçek ve tüzel kişilerin de veri sorumlusunun talimatlarına uygun şekilde hareket etmesi sağlanmalıdır. Kararda da vurgulandığı üzere veri işleyenlerin Kanun’a aykırı olarak pazarlama amaçlı iletişime geçmesi halinde dahi veri sorumlusunun müşterek sorumluluğu devam edecektir.
Özetle, müşterilere yönelik reklam içerikli arama yapılması ve ileti gönderilmesi hususunda Kanun’a uygun hareket edilmesi gerekmektedir. Kendileri ile iletişime geçilmesi konusunda rızası olmayan müşteriler ile gerek veri sorumlusunun gerekse veri sorumlusu adına bir başka üçüncü kişinin ya da veri işleyenlerin iletişime geçmesi önlenmelidir.