I. Vodafone Cezası: Usulsüz Tele–Pazarlama (Telemarketing)

19 Ekim 2020 tarihinde Avrupa Veri Koruma Kurulu'nun websitesinde yayımlanan duyuruya göre, İtalyan Veri Koruma Otoritesi "Garante per la protezione dei dati personali", milyonlarca kullanıcının kişisel verisini telefonla pazarlama amaçlarıyla hukuka aykırı olarak işlemesinden ötürü Vodafone'a 12.251.601,00 Euro tutarında idari para cezası uygulamıştır.

Telefon ve internet hizmetlerini tanıtmak amacıyla Vodafone tarafından aranan yüzlerce kullanıcı tarafından gönderilen şikayet ve uyarıların ardından İtalyan Veri Koruma Otoritesi, Vodefone'un sözkonusu veri işleme faaliyetlerine karşı kapsamlı bir soruşturma başlatmıştı. Soruşturmanın nihayetinde verilen karar, açık rıza gerekliliklerinin olduğu kadar hesap verebilirlik ve Avrupa Veri Koruma Tüzüğü'nde düzenlenen veri koruma ilkelerinin ihlaline ilişkin yapısal nitelikteki önemli kritik hususlara ilişkin tespitler içermektedir.

Soruşturmalar sonucunca tespit edilen en endişe verici bulgulardan biri olarak Vodefone'un sözkonusu pazarlama çağrılarını yapmak için sahte telefon numaraları ve Ulusal Konsolide İletişim Operatörleri Sicili'ne kayıtlı olmayan numaraları kullanmış olması göze çarpmaktadır. Bu durum, Vodafone'un kişisel veri koruma mevzuatını hiçe sayarak tele-pazarlama faaliyetleri yürüten bir dizi yetkisiz çağrı merkeziyle süreci yürüttüğünü göstermektedir.

Ayrıca, Vodafone tarafından harici sağlayıcılardan satın alınan ve milyonlarca kullanıcının iletişim verisini içeren listelerin, ilgili kişilerin bilgisi ya da açık rızası olmadan Vodafone'a aktarılmış olması da hukuka aykırı bir veri işleme faaliyeti teşkil etmektedir.

Ek olarak, Vodafone'un güvenlik önlemleri de yetersiz bulunmuştur. Vodafone adına hareket ettiklerini iddia eden ve WhatsApp aracılığıyla kimliklerin kendilerine gönderilmesini isteyen operatörler tarafından temasa geçilen Vodafone müşterisi ilgili kişiler, İtalyan Veri Koruma Otoritesi'ne bu konuya ilişkin de şikayetlerde bulunmuşlardır. Sözkonusu uygulamanın büyük ihtimalle spam veya başka türlü hileli faaliyetler amacıyla yapıldığı açık olduğundan, bu husus Vodafone'un müşteri veritabanına yönelik yeterli güvenlik tedbirlerini almadığını açıkça ortaya koymaktadır.

Bütün bu ihlaller göz önünde bulundurularak, İtalyan Veri Koruma Otoritesi, Vodafone'a 12.251.601,00 Euro tutarında idari para cezası uygulamıştır. Ayrıca Vodafone'a ;

  • Tele-pazarlama amaçlı veri işleme ve arama faaliyetlerinin ilgili kişilerin açık rızası alınarak yapılması gerektiğinin altı çizilmiştir. Bu arama faaliyetlerinin, yalnızca Vodafone'un kendi satış ağları tarafından ve Ulusal Konsolide İletişim Operatörleri Sicili'ne kayıtlı telefon numaraları aracılığıyla yapılabileceği;
  • Vodafone, müşteri veritabanına yetkisiz erişimi önlemek için şirket tarafından daha güçlü güvenlik önlemleri uygulanması gerektiği;
  • Veri sorumlusu olarak, ilgili kişilerden kendisine yöneltilecek hak taleplerine yanıt vermekle yükümlü olduğu hatırlatılmıştır.
  • Son olarak, İtalyan Veri Koruma Otoritesi, pazarlama veya ticari amaçlar doğrultusunda üçüncü taraflardan temin edilen kişisel veriler kapsamında, veri sahibi ilgili kişilerin açıkça aydınlatılmadığı ve veri işlemeye yönelik açık rızalarının alınmadığı hallerde bu verilerin Vodafone tarafından işlenmesini yasaklamıştır.

II. Türkiye'de Ticari Elektronik İletiler Nasıl Gönderilebilir?

Türkiye'de, "6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve Ticari Elektronik İletiler Hakkında Yönetmelik"te çeşitli değişiklikler öngören ve 04.01.2020 tarihinde yürürlüğe giren yeni yönetmelik ile ticari elektronik iletiler gönderen Hizmet Sağlayıcıların, İleti Yönetim Sistemi'ne ("İYS") kayıt olmaları zorunlu hale gelmiştir.

Mevzuat kapsamında, elektronik ticaret faaliyetinde bulunan tüm gerçek ve tüzel kişilerin ("Hizmet Sağlayıcı") telefon, çağrı merkezi, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar aracılığıyla elektronik ortamda ve ticari amaçla veri, ses ve görüntü içeren iletileri göndermeden önce Alıcının onayını alması gerekmektedir. Bu onay yazılı olarak veya her türlü elektronik iletişim aracıyla alınabilir. Alınan onay 3 iş günü içinde İYS'ye kaydedilir, kaydedilmeyen onaylar geçersiz kabul edilir. İstisnai durumlar haricinde İYS üzerinde onayı bulunmayan alıcılara ticari elektronik ileti gönderilemez.

Gönderilecek ticari iletilerin, alınan rızanın sınırları dahilinde bir içeriğe sahip olması önem arzetmektedir. Alıcının elektronik iletişim adresine ticari elektronik ileti gönderilerek onay talebinde bulunulamaz. Yönetmelik gereğince En geç 1 Aralık 2020'ye kadar Alıcıların onayının sisteme girilmesi gerekmektedir. Onaylar 1 Aralık 2020'ye kadar sisteme işlenmediği takdirde geçersiz olacaktır. Alıcıların bunları 16 Ocak 2020'ye kadar reddetmemeleri halinde onaylar geçerli hâle gelecektir.

Bu kapsamda iletişim kurduğunuz tüm müşteri verilerinizi 1 Aralık 2020 tarihine kadar kaydetmeniz gerektiğini, İYS'ye kayıt olmayan ve ileti göndermeden önce alıcının rızasını almayanlar hakkında çeşitli yaptırımlar öngörülmüş olup bu cezaların 50.000 TL'ye kadar çıkabildiğini hatırlatmak isteriz.

Bütün bu süreçte Hizmet Sağlayıcıların, bu Yönetmelik çerçevesinde yapmış olduğu işlemler ve sunduğu hizmetler nedeniyle elde ettiği verilerin Kişisel Verilerin Korunması mevzuatı kapsamında muhafazasından ve hukuka aykırı olarak bunlara erişilmesini ve işlenmesini önlemek amacıyla gerekli tedbirlerin alınmasından sorumlu olduğunu belirtiriz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.