Spam’ler, kişisel verilerimiz ve ticari ifade özgürlüğü

Her gün e-posta hesabımızın gelen kutusuna düşen spam’ler, hiç tanımadığımız şirketlerden gelen SMS’ler, bir mağazanın önünden geçerken telefonumuzun ekranında beliren pop-up reklamlar...

Şirketlerin tanıtım amacıyla kullandığı elektronik iletişim yöntemleri kişisel verilerin güvenliği ve mahremiyetine karşı bir tehdit olarak mı değerlendirilmeli, yoksa ticari ifade özgürlüğü olarak mı görülmeli?  

BİLGİ Bilişim ve Teknoloji Hukuku Enstitüsü Direktörü Dr. Öğr. Üyesi Mehmet Bedii Kaya’nın yeni yayınlanan “Elektronik Ticaret Hukuku: Ticari Elektronik İletiler” kitabı bu alanda hukuki düzenlemeleri inceleyen Türkiye’deki en kapsamlı çalışma olma özelliğini taşıyor.  

Dünyadaki uygulamaları ve Türkiye için geliştirdiği hukuki modeli konuştuğumuz Kaya’ya göre sadece kişilerin korunması ve rahatsız edilmemesi bakış açısıyla yapılan düzenlemeler ticari ifade özgürlüğünün aleyhine işleyebiliyor.  

Küresel e-posta trafiğinin yüzde 55'i spam  

2019 istatistiklerine göre dünyada günde yaklaşık 295 milyar e-posta gönderiliyor ve bu küresel e-mail trafiğinin yüzde 55’ini spam mesajlar oluşturuyor.  

Kaya, günümüzde bilgi ve iletişim teknolojilerinin yaygınlaşması ve özellikle mobil cihazların sürekli çevrimiçi olmaya imkân tanımasıyla şirketlerin ticari iletişim faaliyetlerinde agresif bir süreç içerisine girdiğini belirtiyor.  

Telefon, e-posta ve SMS’in yanı sıra anlık bildirimler veya coğrafi çitleme (geo-fencing) gibi yöntemlerin de yaygınlaştığını belirten Kaya, internette mesaj atılabilen, içerik paylaşılabilen ve yorum yapılabilen her mecranın tanıtım ve reklamlar için bir hedef haline geldiğine dikkat çekiyor.  

Bu durumun günümüzde bireylerin “elektronik ortamda rahatsız edilmeme hakkını” doğurduğunu belirten Kaya’ya göre şirketlerin ticari elektronik iletişim yöntemlerini kontrolsüz ve kimi zaman etik olmayan şekillerde kullanması dolandırıcılık vakalarına neden olmanın yanı sıra kişisel verilerin korunması ve mahremiyet tartışmalarını da beraberinde getirdi.  

İlk hukuki düzenlemeler Amerika’da başlıyor  

Peki, ticari iletişim hakkı ile kişisel verilerin korunması arasındaki denge nasıl sağlanmalı? Bu alanda dünyadaki farklı uygulamaları inceleyen Kaya ilk hukuki düzenlemelerin Amerika’da başladığını anlatıyor:  

“ABD’de 1980’lerde ‘telefon terörizmi’ olarak adlandırdıkları, ‘robocall’ dediğimiz otomatik aramalarla çılgınca bir telemarketing yaşanıyor. Burada nasıl kendilerini kamu çalışanı olarak tanıtıp ‘Terör örgütü ile ilişkiniz var’ diyerek dolandırıcılık yapılıyorsa Amerika’da da o dönemde ‘Jüri görevini kaçırdınız, şu kadar ceza alacaksınız’ diyerek dolandırıcılık yapmak çok yaygın. Bunun önüne geçmek için çeşitli hukuki düzenlemeler getiriliyor.  

ABD’de şirket, ticari iletişimini belirlenen saat aralığında, kimliğini belli ederek ve iletişim kurduğu kişiye “opt-out” (listeden çıkma) seçeneği sunarak yaparsa ve kişilerin tercihine uyarsa ticari iletişim kurmakta özgür. Ancak bu kurallara uymazsa şirket hem idari para cezası hem de kişilere tazminat ödüyor. Bu düzenlemeler ABD’de zaman içinde e-mail ve SMS’i de kapsayacak şekilde genişletiliyor.”  

AB kişisel verilerin korunmasını odağına alıyor  

ABD’de hukuki düzenlemelerin şirketlerin elektronik iletişim yöntemlerini “ticari ifade özgürlüğü” dahilinde değerlendirdiğini belirten Kaya, AB’nin ise kişisel verilerin korunmasını odağına aldığını vurguluyor:  

“Avrupa Birliği’nde ise bu alandaki hukuki düzenlemeler şirketlere baştan bir yasak koyuyor. Şirketler kendisine izin veren bireylerle iletişim kurabiliyor. ABD’de kişisel verilerin korunmasıyla ilgili genel bir düzenleme yok. Bu alandaki hassasiyet de düşük. Avrupa’da ise kişinin özel hayatına saygı ön plana çıkıyor.”  

Nijeryalı prensten gelen e-posta  

Kaya’nın incelediği ülkeler arasında yer alan Avustralya ve Kanada ABD’nin izinden giderken, Güney Kore Avrupa’daki uygulamaya benzer yasalara sahip. Nijerya’daki düzenlemeler ise dikkat çekici.  

Spam e-postalar üzerinden yapılan dolandırıcılığın en yaygın olduğu ülkelerden birinin Nijerya olduğunu söyleyen Kaya, “Ailesinden kalan milyonlarca dolarlık mirası yurtdışına çıkarmaya çalışmak için birilerinin yardımını arayan Nijeryalı prense dair ileti her internet kullanıcısının karşısına çıkmıştır” diyor.  

Kaya’nın belirttiğine göre izinsiz iletilerin dolandırıcılık amacıyla kullanılmasını suç olarak düzenleyen Nijerya’da dolandırıcılık amacıyla spam gönderenler 3 yıla kadar hapis cezasına çarptırılabiliyor. Nijerya yasalarında spam e-postalar, ‘elektronik mesajlaşma sistemlerinin rastgele, izinsiz toplu mesaj gönderilerek istismar edilmesi’ olarak tanımlanıyor.  

‘Daha geniş bir ticari ifade alanı sağlanabilir’    

Türkiye’de 2014 yılında E-Ticaret Kanunu kabul edildiğinde Türkiye’nin Avrupa Birliği’ndeki gibi onaysız iletişimi baştan yasaklayan bir düzenlemeyi benimsediğini söyleyen Kaya’ya göre şirketlerin bireylerle elektronik olarak iletişim kurmaları ticari ifade özgürlüğü kapsamında değerlendirilmeli:  

“Aldatıcı veya yanıltıcı ifadeler kullanılmadığı ve zorunlu bilgilendirmeler yapıldığı takdirde kişilere veya işletmelere ticari iletişimde daha geniş bir iletişim alanı sağlanabilir. Bir ifade özgürlüğü şekli olan ticari iletişim hakkı diğer haklar karşısında adaletle dengelenmeli.”  

Mevcut sistemde kişinin onayı baştan alınmadan gönderilen ticari elektronik iletilerin şikayet edilmesiyle verilen idari para cezalarının şirketlerce bir reklam gideri olarak görüldüğünü belirten Kaya, şikayetler sonucu son 6 yılda toplam 126 milyon TL para cezası kesildiğini belirtiyor.  

Kaya’nın önerdiği hukuki modele göre ise telefon aramalarında baştan kişinin rızası alınmadan iletişim kurulmamalı. Ancak e-posta iletişiminde ABD’deki siteme benzer bir modelle dürüstlük kurallarına uyan ve zorunlu bilgilendirmeleri yerine getiren ticari iletişime izin verilebilir.  

Yeni düzenleme ne getirecek?  

Türkiye’de geçen Ocak ayında yapılan E-İleti Yönetmeliği’ndeki değişiklikle Ticari Elektronik İleti Yönetim Sistemi’nin (İYS) tüm süreçleri merkezileştirdiğini belirten Kaya,“Değişiklikle birlikte e-ticarette faaliyet gösteren şirketlerden kişilere SMS atan kurumlara kadar tüm kurum ve kuruluşlar bu sisteme üye olup kendi veri tabanlarını sisteme yüklemek zorunda. Kişiler bu sistem üzerinden kendileriyle iletişim kurulmasını istemediği şirketlerin iletişim listelerinden çıkabilecek. Böylece kişilerin listeden çıktığı şirketler o kişilerle e-posta, telefon veya SMS aracılığıyla iletişim kuramayacak” diyor.  

Kişilerin verilerinin tek bir sisteme yüklenmesinin siber güvenlik açısından risk oluşturduğunu belirten Kaya, sistemin ticari elektronik ileti almak isteyen kişiler üzerinde psikolojik bir bariyer oluşturabileceğine dikkat çekiyor:  

“İnsanlar bir şirkete rıza verecekken bile devlet kanallı bir veri tabanına eklenmekten çekindiği için izin vermeyebilir. Dolayısıyla düzenlemenin hukuki boyutunun yanı sıra tüketici psikolojisi üzerine etkisini de gözlemlememiz gerekecek.”