Bilgi ve iletişim teknolojilerinin giderek yaygınlaşmasıyla birlikte yaşanan teknolojik gelişmeler bireylere ait bilgi ve verilerin toplanmasını ve işlenmesini büyük ölçüde kolaylaştırmıştır. Bu gelişmeler kişilerin özel yaşamının ve verilerinin çeşitli düzenlemeler ile koruma altına alınması ihtiyacını doğurmuştur. Her ne kadar bu düzenlemeler 60’lı yıllardan itibaren başlasa da sürekli gelişen iletişim ve teknoloji araçları mevcut kuralların güncellenmesini ve yeni dünyayla uyumlu hale getirilmesini zorunlu kılmıştır.
Bu düzenlemeler Avrupa Birliği Hukuku’nda 1995 yılında yürürlüğe giren Veri Koruma Direktifi ve 2016 yılında kabul edilen AB Genel Veri Koruma Tüzüğü (“EU General Data Protection Regulation” – “GDPR”) ile gerçekleşirken ülkemizde de yine 2016 yılında yürürlüğe giren ve GDPR ile benzerlikler gösteren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ve “Kanun”) ile hayata geçmiştir.
6698 sayılı kanun bir yandan özel hayatın gizliliği gibi anayasa ile de güvence altına alınmış kişilerin temel hak ve özgürlüklerini korurken diğer yandan verilerin işlenmesinden sorumlu kişilerin yükümlülüklerini düzenlemektedir. Bu makale ile kanunun günümüz çağındaki etkileri reklam amaçlı gönderilen SMS ve e-maillerin hukuka uygunluğu kapsamında incelenecek ve Avrupa Birliği mevzuatı ile birlikte değerlendirilecektir.
KVKK’ya göre belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri niteliğindedir ve veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi eylemi olarak kabul edilir. Kanun’un getirdiği temel kural, Kanun’da sayılı haller dışında, kişisel verilerin yalnıza kişinin rızası ile işlenebileceğidir. Bu rıza Kanun metninde ‘açık rıza’ olarak düzenlenmiştir. İlgili 5. maddenin 2. fıkrasında ise rızanın aranmayacağı hukuka uygunluk halleri sınırlı şekilde sayılmıştır. Fakat her halükârda veri sorumlusunun ilgili kişiyi aydınlatma yükümlülüğü bulunmaktadır. Bu yükümlülük verileri işlenen ilgili kişilere bu verilerin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceğinin bildirilmesidir. Veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere Kanun’un 10. maddesi kapsamında sayılan konularda bilgi vermekle mükelleftir. Dolayısıyla bir veri işleme faaliyetinin hukuka uygunluğu için öncelikle ilgili kişiye karşı aydınlatma yükümlülüğünün yerine getirilip getirilmediği daha sonra kişinin açık rızasının alınıp alınmadığı, eğer alınmamışsa hukuka uygunluk hallerinden birinin olayda gerçekleşip gerçekleşmediği incelenir. Hukuka aykırılık halinde veri sorumlularının çeşitli yaptırımlara tabi tutulması söz konusu olabilir.
Kişisel verilerin işlenmesi büyüyen rekabet ortamı ve gelişen internet teknolojilerinin de etkisiyle ticari alanda da önemli bir rol oynamaktadır. Günümüzde ticari işletmeler mal ve hizmetlerini tanıtmak, pazarlamak veya tanınırlığı artırmak amacıyla kişilere sıklıkla elektronik iletiler göndermektedir. Bu tarz işletmeler tüketiciler ile daha önceden yaptıkları işlemler dolayısıyla elde ettikleri isim, soy ad, telefon numarası gibi bilgileri reklam amaçlı elektronik ileti göndermek için kullanmaktadırlar.[1] Bu duruma, kişilerden alınan ad, soy ad, mail adresi gibi bilgiler “kişisel veri”, bu bilgilerin veri sorumluları tarafından elektronik ileti yollamak amacıyla kullanılması “kişisel verilerin işlenmesi” niteliğini taşımaktadır. Bu sebeple bu işlemlerin KVKK ve diğer elektronik iletileri düzenleyen kanunlar kapsamında değerlendirilmesi gerekmektedir.
Yukarıda da belirtildiği üzere bir gerçek kişiye reklam amaçlı gönderilen elektronik iletiler kişisel verilerin işlenmesinin bir örneğidir. Bu sebeple KVKK’da aranan şartlar sağlanmadığı sürece bu gönderilen iletiler hukuka aykırı olacaktır. Bu tarz reklam veya tanıtım amaçlı iletileri gönderen firmalar mutlak surette ilgili kişilere karşı aydınlatma yükümlülüklerini yerine getirmeli ve kişilerin açık rızalarını almalılardır.
