02 Eyl Kişisel Verileri Koruma Kurulu’nun Elektronik Ticari İleti Kararı
Veri sorumlusu şirketlere rehberlik sağlamaya devam eden Kişisel Verileri Koruma Kurulu (“Kurul”), bu yazımıza konu kararında da tanıtım faaliyetlerinde bulunmak isteyen şirketlere kişisel veri hukuku bakımından yol göstermektedir. Kurul, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK“) kapsamında yaptığı değerlendirmeler ile yasal olarak elde edilmiş bilgilerin dahi şirketler tarafından tamamen kendi keyfi faaliyetleri amacıyla kullanılamayacağının altını çizmektedir.
Kurul’un 18.01.2022 tarihli ve 2022/31 sayılı kararı çerçevesinde, ticari elektronik ileti gönderilmesi için açık rızanın alınmasının gerekli olup olmadığı değerlendirilmiştir.
Kurul’a yapılan şikayette; kişinin açık rızası alınmamış olmasına rağmen tarafına ticari elektronik ileti gönderildiği, kişisel verisinin veri sorumlusu tarafından gereken teknik ve idari tedbirler alınmadan işlendiği belirtilmiştir.
Veri sorumlusu savunmasında ise (i) kişinin e-posta adresinin kendisi tarafından yapılan başvuru sonrası elde edildiğini, (ii) ilgili kişinin e-posta adresinin Sosyal Güvenlik Kurulu sistemlerine aktarıldığını, (iii) söz konusu e-posta gönderiminin birimler arası geçici bir koordinasyon eksikliğinden kaynaklandığını ve sehven ilgili kişinin onayı olmaksızın gerçekleştiğini ve (iv) mevcut durumun tekrarlanmaması için gerekli önlemlerin alındığını ve kişinin e-posta adresinin listeden çıkartıldığını belirtmiştir.
Bu bilgiler ışığında değerlendirme yapan Kurul;
- hasta kaydının açılması sırasında iletişim bilgisi alınmasında bir hukuka aykırılık bulunmadığına,
- ancak bu verinin pazarlama faaliyeti için kullanıldığına ve
- dolayısıyla veri işleme faaliyetinin hukuka aykırı olduğuna ve 100.000 TL idari para cezası uygulanmasına
karar vermiştir.
Kurul’un bu kararı, veri sorumlusu şirketlerin işledikleri verilerin elde edilme şeklinin ötesinde işlenme ve kullanım amaçlarına yönelik hukuki denetim gerçekleştirilmesi açısından önem arz etmektedir. Ayrıca bu karar özelinde dikkat çeken bir diğer husus ise, veri sorumlusunun savunmasında uyguladığı strateji olmuştur. Açık ve net bir ihlali olduğunun farkında olan veri sorumlusu yapılan ihlali savunmaya çalışmak yerine bir daha bu ihlalin meydana gelmemesi için uygulamaya soktuğu ve ileride uygulamayı taahhüt ettiği yöntemlerden bahsetmiştir. Bunun karşısında da Kurul şirketin bulunduğu pazar ve boyutu dikkate alındığında uyguladığı idari para cezasında müsamahalı davranmıştır. Bu da bize hata yapan şirketlerin uygun hukuki danışmanlıkla nasıl en az zararla bu süreci atlatabileceğini göstermektedir.
