Dijital Pazarlamada İzinlerimiz Nasıl Alınıyor? Opt-in ve Opt-out Yöntemler
Opt-in ve opt-out kavramları daha çok dijital pazarlama alanında, çerez izinlerinde ve kişisel verilerin işlenmesine ilişkin alınan onay yöntemlerinde karşımıza çıkıyor. Özellikle biz tüketicilere reklam ve pazarlama amaçlı e-posta, çağrı ve kısa mesaj gibi bildirimler göndermek için bu yöntemler kullanılıyor.
Opt-in yani aktif rıza yönteminde rıza verirken karşılaştığımız kutucukları biz kendi tercihimize bağlı olarak işaretleriz. Onayımızın istendiği kutucuklar ekrana önceden işaretli olarak gelmez. Yani biz işlem yaptığımız internet sitesinden/markadan reklam ve pazarlama amaçlı bildirim almak istiyorsak özellikle kutucukları işaretleyerek onay veririz. Seçim tamamen bizim irademize bırakılmıştır.
Opt-out yani pasif rıza yönteminde ise rıza verirken ekranda gördüğümüz kutucuk benzeri araçlar önceden işaretlenmiş şekilde karşımıza gelir. Burada reklam ve pazarlama amaçlı bildirim almak veya bu amaçlarla kullanılan çerezler tarafından takip edilmek istemiyorsak, önceden işaretli bu kutu veya kutulardaki onayı kaldırmamız gerekir. Dolayısıyla burada görüldüğü gibi varsayılanın “rıza” olduğu bir yöntemdir.
Bir örnekle somutlaştırmak gerekirse bir internet sitesinden alışveriş yaparken sayfanın altında karşımıza çıkan “Kampanyalarınızdan haberdar olmak için e-posta gönderilmesini kabul ediyorum” şeklindeki ticari elektronik gönderimine ilişkin onay kutucuğunun işaretli olmaması (seçimin bize bırakılması) opt-in yöntemken; kutucuğun işaretli olması (hatta kullanıcıya işaretleme seçeneği sunulmadan otomatik olarak onay verilmiş kabul edilmesi) opt-out yöntemdir. Benzer şekildeki uygulamaları internet sitelerinde karşılaştığımız çerez kullanımına dair uyarılarda da görüyoruz. Peki sizce kişisel verilerimizin etkin bir şekilde korunabilmesi için hangi yöntemin kullanılması gerekiyor? Mevcut hukuki düzenlemelerde hangi yöntemin kullanılması öngörülüyor?
Kişisel Verilerin Korunması Kanunu’nda (”KVKK”) bu yöntemlere ilişkin açık bir düzenleme olmadığını görüyoruz. Ancak Kişisel Verileri Koruma Kurulu’nun (”Kurul”) bu yönteme ilişkin 2020 yılında verdiği Amazon Turkey kararı, Kurul’un opt-in ve opt-out rıza kavramlarına yaklaşımını net bir şekilde ortaya koyuyor. Bu karara konu olayda, alıcılar Amazon web sitesine üye olduktan sonra üyelik aşamasında açık rıza alınmaksızın “Hesabım” sekmesinde “İletişim Tercihleri” bölümünde “e- postalar … e- posta adresine gönderiliyor” ibaresinin yer aldığı , “Promosyon e-postaları” kısmında ise haberdar olunmak istenen başlıkların seçimi için gelen ekranda 10 başlığın kutucuklarının seçili olarak geldiği tespit edilmiş. Bu noktada Kurul, KVKK’nın açık rızaya ilişkin 3. maddesine atıf yaparak Amazon’un web sitesinde opt-out yöntemini benimsediğini ancak rıza alınırken bireylerin bilinçli olarak rıza vermelerini sağlayan opt-in yönteminin benimsenmesi gerektiğini belirterek idari para cezası uygulamıştı. Esasında Kurul’un dayandığı KVKK’nın 3. maddesindeki açık rızanın şartlarının (belirli bir konuya ilişkin olmak, bilgilendirilmeye dayanmak ve özgür iradeyle açıklanmak) opt-in yönteminin benimsenmesini zorunlu kıldığını söyleyebiliriz. Zira opt-out yöntemi kişinin iradesinin sakatlanmasına neden olabilir.
Konuya çerezler tarafından baktığımızda ise yine Kurul’un e-ticaret sektöründe faaliyet gösteren bir veri sorumlusuna yakın zaman önce idari para cezası uyguladığı bir kararı dikkat çekiyor. Karara göre veri sorumlusu tarafından internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan İşlevsel Çerezler, Performans-Analitik Çerezler, Reklam/Pazarlama Çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay verilmesinin sağlanması ve dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alınması gerektiği belirtiliyor.
Konuya dair Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (”E-TK”) ve buna bağlı izinli pazarlama olarak da anılan yönetmeliğe baktığımızda özel düzenlemeler görüyoruz. Burada ticari elektronik iletiler; mal ve hizmetlerin tanıtılması, pazarlanması, işletmenin tanıtılması ya da kutlama ve temenni gibi içeriklerle tanınırlığının artırılması amacıyla alıcıların elektronik iletişim adreslerine gönderilen iletiler olarak tanımlanıyor ve bu tarz iletilerin tüketicilere e-posta, çağrı ve kısa mesaj yoluyla gönderilebilmesi için önceden onay alınması gerekiyor. Yani op-in yönteminin kullanılması mevzuat gereği bir zorunluluk. Buradaki bir istisna ise alıcıların esnaf ve tacir olması halinde onay alınmasına gerek bulunmuyor ve opt-out yöntemi benimseniyor.
Anlattıklarımızı bir örnekle somutlaştırmak gerekirse diyelim ki bir e-ticaret sitesinden kitap alıyoruz, kitapları sepetimize ekledikten sonra satın alma aşamasına geçtik ve site bizi üye olma aşamasına yönlendirdi. Üye olmak için gerekli kişisel verilerimizi girdikten sonra ”üye ol” butonuna tıklamadan önce sayfanın altında “Yeni yayınlardan ve kampanyalardan haberdar olmak istiyorum.” kutucuğu var, bu kutucuğu işaretlersek bize gönderilen iletiler E-TK’ya uygun oluyor ancak bu gönderiler sadece o kitap sitesinin kampanyalarıyla sınırlı olmalı çünkü onayımız sadece bu işlem için alınıyor. Ayrıca bizler o kutucuğu işaretlemeden de işlemimize devam edebilmemiz gerekiyor çünkü onay, alışverişi yapmamız için bir şart olarak konulamıyor, konulursa da hukuka aykırı oluyor.
Bahsettiğimiz ticari elektronik iletilerin gönderimine ilişkin Ticaret Bakanlığı tarafından İleti Yönetim Sistemi (İYS) adında bir sistem geliştirildi. İznimizi toplayan tüm marka ve işletmelerin bu sisteme kayıt olup, izinlere dair bilgileri sisteme yüklemeleri gerekiyor. Bu sistem ticari elektronik iletiye onay verilmesi, reddedilmesi ve şikayetlere ilişkin sürecin yürütülmesini sağlıyor. Biz tüketiciler bu sisteme girerek hangi marka ve işletmelere ticari elektronik ileti izni verdiysek bunları görebiliyor ve istersek daha önce verdiğimiz izinleri de geri alabiliyoruz. Ayrıca belirtmeliyiz ki verdiğimiz izinleri her zaman geri alma serbestisine sahibiz, iznimizi geri çektiğimizde artık üç iş günü içinde ileti gönderiminin durdurulması gerekiyor.
Ancak genelde tüketici olarak görüyoruz ki bu kurallara uyulmayıp ısrarla spam ileti gönderilmeye devam ediliyor. Hem KVKK hem E-TK gereği getirilen tüm bu kurallara rağmen onayınız olmadan hala sizi rahatsız etmeye devam eden, keyfi hareket eden gerçek ve tüzel kişilere karşı Kurul’a ve İl Ticaret Müdürlüklerine yapabileceğiniz 2 ayrı şikayet hakkınız bulunduğunu da belirtelim. Bu hakların detaylarını anlattığımız ”İlgili Kişi Hakları” rehberimizi mutlaka bu bağlantıdan incelemenizi öneriyoruz. Rehberde ayrıca haklarınızı kullanırken yardımcı olabilecek çeşitli dilekçe ve başvuru formu örnekleri de sizlere sunuluyor.
Bu noktada Kurul’un 2018’de aldığı ilke kararından bahsetmekte de fayda var. Karar ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen alındı ve KVKK’ya uygun olmayan bu gönderimlerin derhal sona erdirilmesi gerektiği ve aykırı halde yaptırım uygulanacağı belirtildi. Ayrıca kararda bahse konu şekilde işlenen kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de göz önüne alınarak Türk Ceza Kanunu’nun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136’ncı maddesi çerçevesinde ilgili veri sorumluları hakkında ihbaren ilgili Cumhuriyet Başsavcılığına bildirileceği de ifade edildi.
Sonuç olarak bizler ilgili kişiler olarak kişisel verilerimizin etkin olarak korunması için farkındalığımızı arttırarak rızamızın nasıl alındığına dikkat etmemiz ve gerektiğinde yasal yollara başvurmaktan çekinmememiz gerekiyor.
Bu yazı Verini Koru gönüllüsü Şerife Atik tarafından hazırlanarak, 14.10.2022 tarihinde sitemizde yayınlanmıştır.
KAYNAKÇA:
- https://www.kvkk.gov.tr/Icerik/6739/2020-173
- https://www.kvkk.gov.tr/Icerik/7275/2022-229
- https://iapp.org/news/a/yes-how-opt-in-consent-really-works/
- https://www.cookielawinfo.com/opt-in-vs-opt-out/
- https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/consent/
- https://blog.lexpera.com.tr/ticari-elektronik-ileti-uygulamalarinda-yeni-donem-ileti-yonetim-sistemi/
- https://www.resmigazete.gov.tr/eskiler/2018/11/20181101-11.htm