byGenel

Giriş

Ticari İletiler ve Pazarlama İzinleri, Türkiye’de hem KVKK hem de ETK kapsamında düzenlenen ve işletmelerin pazarlama faaliyetlerinde uyması gereken temel yükümlülüklerdendir. Türkiye’de ticari elektronik ileti gönderimi hem Elektronik Ticaret Kanunu (ETK, 6563 sayılı Kanun) hem de Kişisel Verilerin Korunması Kanunu (KVKK, 6698 sayılı Kanun) kapsamında düzenlenmiştir. Ticari ileti, mal veya hizmet tanıtımı, reklamı, kampanya vb. amaçlı elektronik mesajları ifade eder. ETK ve ilgili yönetmelikler, bu iletilerin alıcıların önceden açık onayı alınmak suretiyle gönderilmesi şartını getirir. Diğer yandan KVKK, iletişim amaçlı kişisel verilerin (telefon, e-posta vb.) işlenmesini yine açık ve bilgilendirilmiş rıza koşuluna bağlayarak benzer bir sorumluluk öngörür. Bu iki düzenleme örtüşerek, pazarlama faaliyetlerinde hem ticari mevzuat hem de veri koruma yükümlülüklerinin birlikte karşılanmasını zorunlu kılar.

1. Elektronik Ticaret Kanunu ve Yönetmelik Düzenlemeleri

Önceden Onay (Rıza) Şartı: ETK’nın 6. maddesine göre ticari elektronik iletiler ancak alıcının önceden açık onayı alınarak gönderilebilir. Örneğin, bir e-posta veya SMS ile pazarlama yapacak firmalar, ilgili kişiden yazılı veya elektronik ortamda açıkça “ticari ileti almak istiyorum” beyanı içeren onay almalıdır. Bu onaylar İleti Yönetim Sistemi (İYS) üzerinden de temin edilebilir ve sisteme üç iş günü içinde işlenmek zorundadır; aksi hâlde onay geçersiz sayılır. Alıcının onay beyanı mutlaka aktif bir seçimle (opt-in) yapılmalı, önceden işaretli kutular kullanılmamalıdır. Ayrıca herhangi bir mal veya hizmet satışını gerçekleştiren firmalar, sözleşme veya satış süreçlerinde ticari ileti onayını ön koşul haline getiremezler. Bu koşullar, ETK ve Ticari Elektronik İleti Yönetmeliği’nde açıkça belirtilmiştir.

İleti İçeriği Yükümlülükleri: ETK ve yönetmelik, ticari iletilerin içeriğinde bulunması gereken bilgileri düzenler. Gönderen tüzel kişiler, ticari e-postada konu veya içerik kısmında; SMS’te gönderici tanıtım bölümünde; sesli aramada ise konuşma başında kendi MERSİS numarası ve ticaret unvanını belirtmekle yükümlüdür. Esnaf gerçek kişiler ise TC kimlik veya vergi numarasıyla birlikte ad-soyadını kullanmalıdır. Mesajın içeriği reklam veya kampanya niteliği barındırıyorsa, bu durum alıcıya açıkça belirtilmelidir: Örneğin indirim, çekiliş veya promosyon duyurularının içeriği ve süresi açıkça bildirilmeli, gerekirse detaylar URL veya müşteri hizmetleri bilgisiyle desteklenmelidir. İçerik anlaşılamıyorsa, mesaja “tanıtım”, “kampanya” gibi ibareler eklenir. Ayrıca, iletilerde erişilebilir bir iletişim bilgisi (örneğin telefon veya e-posta) yer almalı ve şirketin açık iradesi olmayan gönderen bilgisi eksiksiz bulunmalıdır.

Onay Gerektirmeyen Durumlar: Yönetmelik, bazı iletişimler için önceden onay şartını istisna tutar. Örneğin, alıcı kendisi iletişim bilgilerini vererek bir mal/hizmet almışsa, o hizmete ilişkin bakım, kullanım veya güncelleme bilgileri için ayrı onay aranmadan SMS/e-posta gönderilebilir. Benzer şekilde devam eden abonelik, borç hatırlatması veya yasal bilgilendirme yükümlülüğünden kaynaklanan bildirimler için ön onaya gerek yoktur. Ancak bu hallerde bile iletilerin sadece belirtilen amacı taşıması ve reklam değil bilgilendirme odaklı olması gerekir. Ayrıca, alıcının tacir veya esnaf olduğu durumda (B2B iletişim), onay aranmadan ticari mesaj gönderilebileceği belirtilmiştir. (Bununla birlikte, tacir ya da esnaf dahi “ret hakkı”nı kullanırsa, onay şartı uygulamaya konulur.)

2. KVKK ve Ticari Elektronik İletiler

KVKK, kişisel verilerin işlenme koşulları çerçevesinde ticari ileti süreçlerini de yakından ilgilendirir. Telefon numarası, e-posta adresi gibi iletişim bilgilerinin işlenmesi genellikle ilgili kişinin açık rızasını gerektirir. Ticari ileti için alınacak onay ile KVKK kapsamındaki aydınlatma ve rıza şartları eş zamanlı alınabilirse de, iki onayın birbirinden bağımsız olması gerekir. Örneğin, bir e-ticaret sitesinde sipariş onayı alırken ticari ileti izni de alınıyorsa, pazarlama onayı açık ve ayrı bir beyanla sağlanmalı, “Teklif ve kampanya e-postası almak istiyorum” şeklinde bir seçim kutusu bulunmalıdır. KVKK’nın açık rıza tanımı “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza” olarak yapılmıştır; bu çerçevede onay şeklinin manipüle edilmemesi esastır.

Kurum kararları da bu yaklaşımı destekler. Örneğin, KVKK Kurulu bir duyurusunda, mağazalarda alışveriş sırasında müşterilere gönderilen tek kullanımlık SMS doğrulama kodlarının, esas amacından sapılarak ticari ileti onayı elde etmekte kullanıldığını tespit etmiştir. Kurul, bu uygulamada müşteriye katmanlı aydınlatma yapılmadığını; ödeme ve onay işlemlerinin birbirine karıştırıldığını vurgulamış, ödeme onayı ile ticari ileti onayının ayrı tutulması gerektiğini belirtmiştir. Kurul kararında, açık rıza unsurlarının tam sağlanması gerektiği; onayın mal/hizmet alım şartına bağlı olmaması gerektiği vurgulanmıştır. Benzer şekilde 2018 tarihli bir ilke kararı da, telefon numarasına SMS veya e-posta gönderiminde, KVKK’nın 5/2 ve 6/3 koşulları karşılanmadan ticari iletiler gönderilemeyeceğini açıkça belirtmiştir. Bu örnekler, KVKK perspektifinden onay ve açık rıza şartlarının önemini göstermektedir.

KVKK aynı zamanda veri sahibine rıza geri çekme ve işlenmeyi durdurma hakkı tanır. Alıcılar bu haklarını İYS üzerinden veya gönderilen her iletide verilen çıkış linki/Cevap olarak “HAYIR” gibi yöntemlerle kullanabilmelidir. KVKK kapsamında herhangi bir zamanda verilen iznin geri alınması mümkündür; bu durumda pazarlama amaçlı veri işleme derhal durdurulmalıdır. Dolayısıyla, bir kullanıcı “ticari ileti almak istemiyorum” dedikten sonra kendisine hiç reklam gönderilmemelidir. İYS sistemi de bu anlamda veri sahiplerinin onaylarını görmesini ve iptal etmesini kolaylaştıran bir araçtır.

3. İleti Yönetim Sistemi (İYS) ve Uygulama

Türkiye’de ticari mesaj onayları ve şikayetleri İleti Yönetim Sistemi (İYS) üzerinden merkezi olarak yönetilir. Tüm hizmet sağlayıcılar (e-ticaret yapan işletmeler, şirketler vb.), pazarlama mesajı gönderebilmek için İYS’ye kayıt olmak zorundadır. Alıcıdan alınan onaylar İYS’ye zamanında kaydedilmekle yükümlüdür; 3 iş günü içinde yüklenmeyen onaylar geçersiz kabul edilir. İYS, kullanıcıların verdikleri izinleri görüntüleyip yönetebildikleri, ret taleplerini iletebildikleri, gönderenlerin ise izin kayıtlarını zaman damgasıyla tutabildikleri bir platformdur. Bu sistem, KVKK uyarınca zorlu kanıt şartını hafifletir; bir firmanın onay aldığına ilişkin belge yüklemesi, uyumluluğun ispatını kolaylaştırır.

Pratikte, yeni bir kullanıcıdan onay alındığında veya kullanıcı onayını geri çektiğinde, bu durum mutlaka İYS’ye işlenmelidir. İşletmeler, İYS üzerinden topladıkları onayları bakım, satış sonrası hizmet veya müşteri sadakat programı gibi farklı pazarlama kampanyalarında kullanmadan önce hedef kitlenin onay durumunu kontrol etmelidir. Örneğin bir SMS kampanyası planlanıyorsa, listede yalnızca ilgili SMS onayı olan kişilere gönderim yapılmalı; yanlışlıkla onayı olmayan müşteriye mesaj atılmamalıdır. İYS en son güncel onay veritabanı olarak kabul edildiğinden, iletişim listelerinin güncelliği ve tutarlılığı İYS ile sağlanmalıdır.

4. Ticari İletiler ve Pazarlama İzinleri Kapsamında KVKK Yükümlülükleri

 

Aşağıdaki hususlar, ticari elektronik mesajların hem ETK hem de KVKK anlamında mevzuata uygun olmasını sağlamaya yöneliktir:

  • Onay Metni ve İçeriği: Onay formunda gönderilen mesajın türü ve sıklığı açıklanmalı, kime ne tarz ticari iletiler gönderileceği net olmalıdır. Onay verirken alıcıya örneğin “Kampanya ve tanıtım mesajları almak istiyorum” şeklinde bir bilgi verilmelidir. Onay işlemi sırasında KVKK aydınlatması ile onay metni birlikte değil ayrı sunulmalı, izin her iki konuda da bilgilendirilerek alınmalıdır.
  • Ayrı Onaylar: Pazarlama onayı diğer sözleşme veya hizmet onaylarından bağımsız olmalı; müşterinin zorunlu olarak onay vermek zorunda olmadığı açıkça belirtilmelidir. Örneğin bir alıcı üyelik satın alırken pazarlama izni seçenekleri diğer seçim kutularından ayrı, aktif olarak seçilmesi gereken şekilde sunulmalıdır.
  • İleti İçeriği: Ticari ileti gönderiminde, gönderici bilgileri eksiksiz olmalı (şirket adı, vergi numarası/MERSİS no). Reklam veya kampanya olduğuna dair ibareler (örn. “Kampanya”, “İndirim”) mesajda açıkça yer almalıdır. Promosyonların geçerlilik süreleri ve katılım koşulları net biçimde belirtilmeli, gerekirse kolay ulaşılabilir web adresi veya telefon gibi iletişim bilgileri verilmelidir.
  • Ücret/Yapısal Şart: Ticari ileti alabilmek için kullanıcıdan herhangi bir ücret talep edilmemelidir. SMS veya e-posta ile bir kampanya gönderiminden çıkış hakkı kullanılırsa, bunun ücretsiz olduğunun alıcıya belirtilmesi zorunludur. Ayrıca hizmet alımı, üyelik vs. için ön şart olarak ticari iletileri kabul ettirmek yasaktır.
  • Çıkış Hakkı (Ret): Her ticari elektronik ileti, alıcının ücretsiz ve kolay bir şekilde çıkış (opt-out) talep edebileceği bilgisiyle sonlandırılmalıdır. Örneğin mesaj sonunda “Bu iletiden çıkmak için yanıt olarak ‘HAYIR’ yazabilirsiniz” veya e-postalarda “abonelikten çık” linki yer alabilir. İYS ile entegre çalışan yapı sayesinde alıcılar doğrudan İYS portalından veya cevap yolu ile reddetme talebinde bulunabilir. Hizmet sağlayıcı gelen talebi üç iş günü içinde yerine getirerek daha fazla iletim yapmamalıdır.
  • Veri Koruma ve Güvenlik: Toplanan iletişim verileri sadece izin verilen amaçla kullanılmalı, üçüncü taraflarla paylaşım KVKK ve ilgili düzenlemelere uygun yapılmalıdır. Veriler şifreli ve güvenli bir şekilde saklanmalı, yetkisiz erişime karşı koruma sağlanmalıdır (KVKK madde 12 güvenlik yükümlülükleri). Ayrıca ilgili kişilere KVKK kapsamındaki aydınlatma metinleriyle hangi verilerinin nasıl kullanılacağı konusunda ön bilgilendirme yapılmış olmalıdır.
  • İç Denetim ve Dokümantasyon: Şirket içi politika ve prosedürlerde bu kurallara uyum net biçimde tarif edilmelidir. Pazarlama ekipleri mutlaka KVKK ve ETK yükümlülükleri konusunda eğitim almalı, yapılan onay kayıtları, iletilen metinler ve ret başvuruları kayıt altına alınmalıdır. Şüpheli veya şikayet konusu durumlarda, İYS kayıtları ve onay delilleri sunularak ilgili kurumlara uyum kanıtlanabilir.

5. Uluslararası Perspektif: GDPR ve Diğer Mevzuatlar

Avrupa Birliği’nde ticari elektronik iletişimler, GDPR kadar 2002/58/EC sayılı e-Privacy Direktifi ile düzenlenir. e-Privacy Direktifi’ne göre üyelerin iletişim bilgilerine pazarlama amacıyla mesaj göndermek için öncelikle açık rıza alınmalıdır. Ancak mevcut müşterilere benzer ürün/hizmetler için e-posta/SMS ile doğrudan pazarlama yapılabilir; bu durumda alıcıya kolay opt-out hakkı sunulması yeterlidir. Yani Avrupa’da mevcut müşteri pazarlaması için meşru menfaat ya da mevcut sözleşme çerçevesinde sınırlı bir istisna vardır, fakat kullanıcıya her iletide abonelikten çıkma imkânı tanınmalıdır. Öte yandan, GDPR’nin genel veri işleme şartları (madde 6 meşru menfaat vs.) ve açık rıza tanımı (madde 7) de geçerlidir. GDPR kapsamında rıza, özgür iradeyle, belirli bir amaç için ve bilgilendirmeye dayanarak alınmalıdır; bu sebeple ticari mesaj onayı da bu standartlara tabiidir.

Diğer bölge örneklerinden bahsetmek gerekirse, ABD’de CAN-SPAM yasası e-posta pazarlamasına “çıkış (opt-out) mekanizması” zorunluluğu getirirken, TCPA (Telephone Consumer Protection Act) ise kısa mesaj ve tele-pazarlama aramaları için sıkı ön onay şartı koyar. Yine de global anlamda bakıldığında, iç hukuklardaki eğilim açık rıza veya meşru menfaat dengesini ve şeffaflığı öne çıkaracak şekilde benzerlik göstermektedir. Örneğin, GDPR altında da doğrudan pazarlama işlemleri kişisel verinin işlenmesi sayıldığından açık/belirgin rıza veya e-Privacy’da düzenlenen sınırlar içinde hareket edilmesi gerekir. Avrupa’da ayrıca çerez (cookie) yönetmeliği gibi kişiselleştirilmiş reklamcılığı ilgilendiren özel düzenlemeler de mevcuttur. Özetle uluslararası uygulamalar, izinsiz ticari iletişime karşı tüketici haklarını korurken, uygun bir izin mekanizması ve kolay geri çekme yöntemi şart koşar.

6. Kampanya Uyum Kontrol Listesi

Aşağıdaki kontrol listesi, ticari ileti gönderim süreçlerinizde KVKK ve ETK uyumunu sağlamaya yardımcı olacak temel adımları içerir:

  • Onay Mekanizmaları:
    • Her iletişim kanalı (SMS, e-posta, WhatsApp vb.) için ayrı açık onay alınmış mı? Onay kayıtları güncel ve İYS’ye bildirilmiş mi?
    • Onay metinleri açık, anlaşılır ve bilgilendirici mi? (Örn. “Kampanya mesajı almak istiyorum” vb.)
    • Onay işlemi sunulan hizmete bağlı bir zorunluluk olarak gösteriliyor mu? (Bu tarz yaklaşım varsa kaldırın.)
    • Onay verirken müşteri aydınlatıldı mı? (KVKK kapsamında kişisel verilerin nasıl işleneceği belgelendi mi.)
  • İleti İçeriği ve Özellikleri:
    • Gönderen firma açıkça belli oluyor mu? (MERSİS No, ticaret unvanı veya ad-soyad).
    • İleti “tanıtım/kampanya” nitelikliyse, bu ibare veya görsel eklenmiş mi.
    • Kampanya varsa, geçerlilik süresi ve şartları açık ve belirtilmiş mi.
    • İletinin her türü (SMS, e-posta, arama) için uygun formatta tasarlandı mı? (Sesli aramada “kampanya” ibaresi ile başlıyor mu vb.)
  • Ret (Çıkış) Hakkı:
    • Her mesajda çıkış hakkı açıkça tarif edilmiş mi? (SMS’te “HAYIR” yanıtı, e-postada “abonelikten çık” linki).
    • Çıkış işlemi ücretsiz ve kolay bir yöntemle yapılıyor mu? (Tek kelime cevap, bir tıkla iptal imkanı).
    • Çıkış talebi alındığında, İYS’ye üç iş günü içinde bildiriliyor mu ve liste güncelleniyor mu?
    • Çıkış sonrası kullanıcıya hiçbir ticari mesaj gönderilmiyor mu? (Kurum kararları açıkça vurgular.)
  • İYS Uyum ve Kayıt:
    • Firma İYS’ye kayıtlı mı, şirketin tüm faaliyet alanları güncel tanımlandı mı?
    • Alınan her onay İYS’ye 3 iş günü içinde giriliyor mu? Aksi takdirde onay geçersiz sayılır.
    • Kendi geliştirdiğiniz uygulamalar varsa İYS entegrasyonu yapıldı mı? (Manuel kayıt veya entegrasyon çözümü)
    • İleti gönderim planı öncesi, hedefleme listesi İYS’de onayı bulunanlarla mı eşleştirildi? (Rastgele veya veritabanı kullanımı yerine İYS onay durumu kontrolü yapılmalı.)
  • KVKK Uyum Adımları:
    • Kullanıcıların kişisel verileri (isim, iletişim adresi) KVKK’ya uygun bir şekilde işleniyor mu? (Amaç sınırlı mı?)
    • Gizlilik/Bilgilendirme metinleri güncel ve erişilebilir durumda mı? Pazarlama amaçlı veri işleme açıkça belirtiliyor mu?
    • Rıza alınırken KVKK aydınlatması yapılmış mı? (İleti izin metni ile kişisel verilerin kullanımı birbirine karıştı mı kontrol edin.)
    • İlgili kişiler rızalarını geri çektiğinde işlemler yerine getiriliyor mu? (Veriler siliniyor mu veya amacına uygun olarak muhafaza mı ediliyor?)
  • Uluslararası Mevzuat Dikkati:
    • AB müşterilere yönelik iletişimlerde ePrivacy/GDPR kurallarına uyum var mı? (Örneğin AB’den kimseye açık onayı olmadan gönderim yapılmıyor mu?)
    • Legal satış sonrası pazarlama (benzer ürün/hizmet tanıtımı) yapılıyorsa, her iletide açık çıkış imkânı sunuluyor.
    • Verilerin uluslararası transferi söz konusu ise bu transferler GDPR standartlarına uygun mu? (Uygunsa ek sözleşmeler vb. sağlanmalı.)
  • Genel Uyum ve İletişim:
    • Ekipler tararuf edildi mi? (Pazarlama, müşteri hizmetleri ve hukuk ekipleri uyumu kontrol etmeli.)
    • Düzenlemelerdeki değişiklikler takip ediliyor mu? (Örneğin KVKK’da veya ePrivacy’da güncelleme olup olmadığına dikkat edin.)
    • Şikayet süreçleri tanımlı mı? (Kullanıcılar kolayca şikâyet edebiliyor, şikâyetler etkin şekilde yönetiliyor mu.)

Kaynakça

  • Kılınç Hukuk & Danışmanlık, “Kişisel Verilerin Korunması Kapsamında Ticari Elektronik İleti Gönderimi” (Eylül 2024)kilinclaw.com.trkilinclaw.com.tr.
  • UKA Hukuk, Cihan Kıraner, “Alışveriş Esnasında SMS ile Doğrulama Kodu Gönderilerek ETK İzni Alınması Hakkında KVKK Duyurusu” (20 Aralık 2021)ukahukuk.comukahukuk.com.
  • LegalTalks, “Ticari Elektronik İleti ve İleti Yönetim Sistemi (İYS)” (Güncel içerik)legaltalks.com.trlegaltalks.com.tr.
  • Mıhcı Hukuk Avukatlık, “Ticari Elektronik İletilerin Hukuki Değerlendirmesi 2025” (Web Yayını)mihci.av.trlegaltalks.com.tr.
  • GDPR.eu, “How does the GDPR affect email?” (İnternet yayını)gdpr.eugdpr.eu

Yorum Yazın

Nunc velit metus, volutpat elementum euismod eget, cursus nec nunc.