Yayınlarımız

Image

RIZA DIŞINDA GÖNDERİLEN REKLAM AMAÇLI SMS’LERE KARŞI NELER YAPILABİLİR?

İlgili kişinin bir talebi olmaksızın reklam amaçlı gönderilen SMS’ler her telefon kullanıcısının şikayet ettiği bir durumdur. Çoğu kişi, bu durumu, nasıl çözebileceğini bilmediğinden veya önemsemediğinden görmezden gelse de kişinin rızası dışında gönderilen reklam SMS’leri kişisel verileri koruma hukuku açısından ciddi ihlaller doğurmaktadır. 6698 Sayılı Kişisel Verileri Koruma Kanunu’na göre ilgili kişinin kişisel verileri, sadece belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle verilen açık rızaya ya da Kanunu’nun 5. Maddesinin 2. Fıkrasında sayılan şartların varlığına istinaden işlenebilir. İlgili maddede sayılan koşullar ise:
  • Kanunlarda açıkça öngörülmesi
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
Ancak telefon kullanıcılarına gelen SMS’lerin yukarıda sayılan durumların hiçbirine dayanmadığı durumlarda kişisel verilerin korunmasının ihlali söz konusu olacaktır. Bu durumda kişisel verileri işlenen ilgili kişi, 6698 sayılı Kanunun 11. Maddesinde kendisine tanınan haklardan yararlanılabilir.
 
İlgili kişinin hakları
MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
 a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
İlgili kişinin veri sorumlusuna yapacağı başvuruya veri sorumlusunun 30 gün içinde cevap vermesi gerekmektedir. Başvuru işlemi ayrıca maliyet gerektirmediği müddetçe ücretsizdir. Kişisel verileri işleyen veri sorumlusuna başvurudan bir sonuç alınamadığı takdirde ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilir. Kanun’da öncelikle veri sorumlusuna başvurulmadan Kurul’a şikayette bulunulamayacağı belirtilmiştir. Ayrıca bu süreçte kişilik hakkı ihlal edilen kişilerin tazminat hakları da bulunmaktadır.
Reklam amaçlı gelen SMS’lere ilişkin verilen Kurul kararlarına bakıldığında en önemli noktalar, işlenen kişisel verilere nasıl ulaşıldığı ve ilgili kişi tarafından hangi amaçla paylaşıldığıdır. Kurul’un 27/01/2020 tarihli ve 2020/67 sayılı kararında, ilgili kişi, bir gayrimenkul şirketi tarafından rızası dışında gönderilen reklam SMS’leri ve bildirimlerini hakkında şikayette bulunmuş, veri sorumlusu ise kayıtların ad, soyad ve telefon numarasından ibaret olduğu ve bu verilerin de internet üzerinden herkese açık kaynaklardan elde edildiği ileri sürülmüştür. Kurulca yapılan inceleme sonucunda aşağıda yer alan karar verilmiştir:
“...bir kişinin kişisel verisinin herkesin görebileceği bir yerde olmasının aleni olmasını sağlamayacağı, alenileştirme durumunda kişisel verinin alenileştirme amacı kapsamında kullanılması gerektiği, somut olayda, alenileştirme bulunuyor olsa dahi ilgili kişinin reklam faaliyetleriyle ilgili kendisiyle iletişim kurulması amacıyla söz konusu kişisel verileri alenileştirmemiş ise, gerçekleştirilecek olan kişisel veri işleme faaliyetinin hukuka uygun olmayacağının değerlendirildiği,
Somut olayda işlenen kişisel verilere yönelik olarak ilgili kişinin açık rızasının alınmadığı, açık rızanın aranmadığı diğer hallerin ise bulunmadığı, bu kapsamda ilgili kişinin kişisel verilerinin Kanunun 5 inci maddesinde yer alan şartlar yerine getirilmeden reklam içerikli iletiler gönderilmesi amacıyla kullanılmasının Kanunun 12 nci maddesinin 1 inci fıkrasının (a) bendine aykırılık teşkil ettiği hususlarından hareketle veri sorumlusu hakkında Kanunun 18 inci maddesinin 1 inci fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.”
Kurul’un 16/01/2020 tarihli ve 2020/34 sayılı kararında ise bir gıda şirketi adına aranan kişinin başvurusu üzerine, veri sorumlusu tarafından, spor dergisi aboneliği amacıyla veri sorumlusu ile paylaşılan kişisel verilerin, veri sorumlusunun başka bir gıda şirketinin pazarlama ve satış işlerini de yürütmesi ve server  hatası sonucu silinen telefon numarasının arandığı ve başvuru sonucunda kişisel verilerin geri dönülmez şekilde yok edildiği beyan edilmiştir.Kurul tarafından yapılan inceleme sonucunda aşağıdaki sonuçlara varılmıştır:
“..verinin ilk işlenme amacından farklı olarak başka bir amaç için kullanıldığı yani kişisel verilerin Kanunun 4 üncü maddesinde yer alan verinin işlendikleri amaçla bağlantılı ve sınırlı olma ilkesine aykırı hareket edildiği kanaatine varıldığı..”
“...söz konusu verilerin Kanunun yayınlanma tarihinden sonraki iki yıl içerisinde Kanuna uygun hale getirilmesi amacıyla; spor dergisi aboneliği için çağrı merkezi hizmeti vermeye ilişkin veri sorumlusu ile ilgili spor kulübü arasında imzalanan sözleşmenin 2015 yılında bitmesinin ardından söz konusu verilerin işlenme amaçları ortadan kalktığından verilerin silinmesi gerektiği, verinin veri sorumlusu tarafından farklı amaçlarla işlenmesinin sürdürmesi amaçlanıyor ise de ilgili kişinin işlenme amaçlarına ilişkin açık rızasının alınması gerektiği ancak bu işlemlerin gerçekleştirilmediğinin anlaşıldığı...”
Her ne kadar veri sorumlusu tarafından ilgili kişinin numarasının silinmesine karşın sistemin numarayı bir hata sonucu aradığı beyan edilse de ilgili kişinin numarasının aranmasının silinme işleminin gerektiği gibi gerçekleştirilmediğinin göstergesi olduğu ve bu kapsamda veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine yer alan “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” hükmüne aykırı davrandığının değerlendirildiği hususlarından hareketle veri sorumlusu hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 18.000 TL idari para cezası uygulanmasına karar verilmiştir.”