Doğrudan pazarlama kavramı, hiçbir aracı kullanmadan doğrudan müşteriye, genellikle kısa mesaj (SMS) ve e-posta gibi elektronik yollarla ulaşılarak bir ürün veya hizmetin tanıtılmasını ifade eder. Ancak bu pazarlama biçimi, muhtemel müşteriler hakkında kişisel veri toplanması, bu müşterilerin tercihlerine göre profiller oluşturulması ve buna göre muhtemel müşterilere göre özelleştirilmiş pazarlama yapılması gibi adımları içermektedir. Piyasadaki şirketlerin bu şekilde hareket etmesi, kendi ekonomik faydaları, doğrudan ilgili müşteri grubunun hedeflenebilmesi, sonuçların hızlıca ölçülebilmesi gibi genel olarak pazarda arz ve talebin buluşmasına yönelik avantajları ile savunulabilse de kişisel verilerin denetimsiz şekilde toplanması ve yukarıda ifade edildiği gibi buna göre özelleştirilmiş profiller üzerinden pazarlama yapılması, kişisel verilerin korunması hakkının ihlali anlamına gelebilecektir.
Türk hukukunda ise doğrudan pazarlama, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve Kişisel Verilerin Korunması Kanunu hükümlerine göre uygulama alanı bulmaktadır. 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 7’nci maddesine göre ticari elektronik iletiler alıcının onayına uygun olacak, 8’inci maddesine göre ise alıcı söz konusu iletileri almayı, istediği zaman gerekçe göstermeksizin reddedebilecektir. Bir ürün veya hizmetin tanıtılmasına yönelik elektronik iletiler gönderilirken, toplanan ve muhafaza edilen kişisel verilere yönelik hukuki koruma ise 10’uncu maddede, elektronik ticaret faaliyetinde bulunan gerçek ya da tüzel kişilere yönelik “kanun çerçevesinde yapmış olduğu işlemler nedeniyle elde ettiği kişisel verilerin saklanmasından ve güvenliğinden sorumludur” ve ‘kişisel verileri ilgili kişinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz’ hükümleri ile sağlanmıştır.
Bu çerçevede e-ticaret şirketleri, objektif özen yükümlülüğü altında olacak, doğrudan pazarlamaya konu yukarıda belirtilen kişisel veri işlemlerinde elde edilen verilerin saklanması ve güvenliğinden sorumlu olacaktır. Bu kapsamda elde edilen kişisel verileri üçüncü kişilerle paylaşma ve önceden belirtilen amaçlardan başka amaçlar için kullanma ilgili kişinin rızasına bağlı olacaktır.
Bununla birlikte, 6698 sayılı Kişisel Verilerin Korunması Kanunu bu konuda kişiler açısından daha geniş bir koruma sağlamakta ve verileri toplayan ve muhafaza edenlere daha geniş bir sorumluluk yüklemektedir. Kanun kapsamında; verilerin silinmesi, yok edilmesi ve anonim hâle getirilmesine yönelik yükümlülükler getirilmiş, aydınlatma yükümlülüğü ile bu kapsamda ilgili kişinin yapılan işlemlerden haberdar olması sağlanmıştır. Genel bir sınırlama olarak, Kişisel Verilerin Korunması Kanunu’nun 5’inci maddesinin 1’inci fıkrası, aynı maddede yer alan işleme şartlarının bulunmadığı durumda, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğini öngörmüştür.
Kişisel Verilerin Korunması Kanunu’nun 3’üncü maddesinde, veri sorumlusu “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır. Doğrudan pazarlama açısından, pazarlama yapan elektronik ticaret yürüten hizmet sağlayıcı şirket, bu kapsamda veri sorumlusu olacak ve buna uygun yükümlülüklere uyacaktır. Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilginin kişisel veri olarak kabul edilmesi karşısında, doğrudan pazarlamada hedef kitleye odaklanan, muhtemel müşteriler hakkında kişisel veri toplanması, bu müşterilerin tercihlerine göre profiller oluşturulması ve buna göre muhtemel müşterilere göre özelleştirilmiş pazarlama yapılması gibi işlemler de Kişisel Verilerin Korunması Kanunu kapsamındaki sınırlama ve yasaklara tabi olacaktır.
Doğrudan pazarlamanın sadece sunulan mal ve hizmetlerin satışına yönelik olması zorunlu olmayıp pazarlama yapan tarafın, örneğin başka bir şirkete kendi şirketleri ile ilgili genel olarak tanıtımda bulunması da bu kapsamda sayılacaktır. Ancak bu konuda, örneğin bireysel tüketici siparişlerine ilişkin bilgi vermek amacında olan elektronik iletiler, doğrudan pazarlama addedilmeyecektir.
İşletmeden İşletmeye (B2B) ve İşletmeden Tüketiciye (B2C) Ayrımı
İşletmeden işletmeye (B2B), bir işletmenin başka bir işletmeyle ticari faaliyet yürüttüğü iş modeli iken, işletmeden müşteriye (B2C) modelinde, ticari faaliyet yürüten kimse, mal ve hizmetlerini doğrudan bireysel müşterilere sunmaktadır. Kişisel Verilerin Korunması Kanunu kapsamında koruma sağlanan ilgili kişinin, kişisel verisi işlenen gerçek kişiyi ifade ettiği göz önüne alındığında, iki iş modelinde doğrudan pazarlamaya yönelik hukuki çerçevenin farklı olduğu düşünülebilir. Benzer şekilde, elektronik ticarete yönelik mevzuata göre de genel kural olarak, ticari amaçlı elektronik iletiler, alıcının önceden verilmiş onayı olmaksızın gönderilemez; ancak işletmeden işletmeye iş modellerinde bu zorunluluk mevcut değildir. Yine de işletmelerin, bireysel tüketiciler gibi bu iletileri reddetme hakkı (opt-out) vardır ve bu hakkı kullanmaları durumunda, söz konusu iletilerin kendilerine gönderilmesi önceden verilmiş onaylarına bağlı olacaktır.
Opt-in ve Opt-out Mekanizmaları
Dijital pazarlamada en çok kullanılan yöntemlerden birisi; işletmelerin, potansiyel müşterilerinden kendi siteleri üzerindeki formlar gibi araçlarla e-postalarını istemesidir. E-posta adresini veren kişiler (opt-in), ilgili şirketin kendi şirketi, ürün ve hizmetlerinin tanıtımını yapabileceği e-posta listelerine kaydedilir. Ancak kullanıcılar, potansiyel müşteriler veya şirketler istedikleri zaman bu listelerden ayrılabilirler (opt-out).
Opt-in ve Opt-out mekanizmalarının farkı, kişisel verisi işlenen kişinin bu konuda rızasının açıkça alınıp alınmadığı durumuna göre yapılan ayrıma dayanmaktadır. Elektronik ticarete yönelik yasal düzenlemede, doğrudan müşterilere ulaştırılan iletilerde önceden bu konuda rıza aranması ve işletmelere yönelik pazarlamada ise bunun aranmaması; ancak bu işletmelerin de istedikleri zaman söz konusu iletileri almamaya (opt-out) yönelik haklarının bulunduğu hatırlanmalıdır. Bunun ötesinde, Kişisel Verilerin Korunması Kanunu’nun getirdiği düzende, ilgili kişinin rızası açık olarak alınmalıdır. Söz konusu durum, verilerin hangi amaçla alındığı ve sonrasında bu konuda yapılabilecek işlemlere dair, doğrudan pazarlama yapan şirketin açık, belirli bir şekilde ve anlaşılabilir bir dilde açıklama yapmasını gerektirmekte ve alınan rızanın bu şekilde geçerli olacağını öngörmektedir.
Yukarıda bahsedilen Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’a göre, doğrudan pazarlama yolu olan ticari elektronik ileti onaylarının alınması ve reddetme hakkının kullanılmasına imkân sağlayan bir elektronik sistemi kurmak ve kurulmasını onaylamak Ticaret Bakanlığının yetkisindedir. Bu bakımdan alınan onaylar, Bakanlıkça belirlenen bir süre içinde sisteme aktarılacak ve sisteme aktarılmayan onaylar ise geçersiz sayılacaktır. Kişiler reddetme hakkı ve kendilerine ileti ulaştırılan e-posta listelerinden ayrılma haklarını bu sistem üzerinden kullanacaklardır.
Veri İşleme Şartları
Veri işleme, tamamen veya kısmen otomatik ve otomatik olmayan yollarla kişisel veriler üzerinde gerçekleştirilen tüm işlemleri ifade eder. Bunlar, veri saklama sistemini yüklemek üzere bu verilerin toplanması, kaydedilmesi, saklanması, muhafaza edilmesi, değiştirilmesi, ifşa edilmesi, taşınması, sınıflandırılması gibi işlemleri içerir.
Doğrudan pazarlamanın, muhtemel müşterileri tespit etme, tercihlerine göre müşteri profilleri oluşturma ve bu verilere göre hedef kitleye uygun pazarlama stratejisi yürütme olduğu belirtilmiştir. Bu kapsamda, Kişisel Verilerin Korunması Kanununa göre veri sorumlusu bu işlemleri gerçekleştirirken bazı yükümlülükler altındadır. Veri sorumlusunun veri güvenliğine ilişkin olarak, verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve bu verilerin muhafazasını sağlamak zorunluluğu mevcuttur. Yükümlülüklerini yerine getirmek için doğrudan pazarlama yapacak şirket, her türlü idari ve teknik altyapıyı oluşturacaktır.
Kişisel Verilerin Korunması Kanunu kapsamında, veri sorumlusunun yükümlülüklerinden biri de ilgili kişinin aydınlatılmasıdır. Bu yükümlülüğün yerine getirilmiş sayılması için kişisel verileri işlenen ilgili kişi, Kişisel Verilerin Korunması Kanunu’nun 10’uncu maddesi kapsamında sayılan unsurları içerecek biçimde bilgilendirilmelidir. Bunlar, veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve kanunun 11’inci maddesinde sayılan ilgili kişiye ait haklardır. Veri sorumlusu, kişisel verileri işlenecek kişiye yapılacak aydınlatmayı; sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanarak yapabilir. Ancak söz konusu yükümlülüğünün yerine getirildiğini ispatlamak, veri sorumlusuna ait bir sorumluluktur.
Doğrudan pazarlama yapacak şirketlerin Kişisel Verilerin Korunması Kanunu hükümlerine uymaları için söz konusu şartları taşıyacak şekilde aydınlatma yükümlülüklerini yerine getirmesi gerekmektedir. Bu bilgilendirme; anlaşılır, açık ve sade bir dil kullanılarak yapılacaktır. Ayrıca, aydınlatmanın yapıldığına dair fiziksel veya elektronik bir araç kullanılarak, ilgili kişinin bilgilendirildiğinin ispatı sağlanacaktır. . Bununla birlikte, doğrudan pazarlama yapılabilmesi için kişilerin önceden açık rızasının alınması ve bu rızanın da veri sorumlusu tarafından aynı şekilde ispatı gerekmektedir.
Çerezler, kullanıcıların siteyi nasıl kullandığını, IP ve yer konum bilgilerini, siteye yaptıkları ziyaretleri kayıt altına alabilir. Bunlar ise yukarıda belirtildiği gibi kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri olarak kabul edildiği için kişisel veri olacağından Kişisel Verilerin Korunması Kanunu kapsamındaki sınırlamalara konu olacaktır. Çerezler arasında, web sitesinin doğru şekilde çalışması için zorunlu çerezler, siteyi kullanan müşterilerin tercihlerini hatırlatan işlevsellik için gerekli çerezler, sitenin geliştirilmesine yönelik kullanıcıların siteyi nasıl kullandıklarına dair bilgi toplayan performans ve analiz çerezleri ve doğrudan pazarlama için özellikle önemli olan, web sitesinde veya site haricindeki ortamlarda, pazarlama yapan şirketin ürün ve hizmet tanıtımını yapmak ve eğer varsa, iş birliği yapılan ve verilerin paylaşıldığı diğer üçüncü kişiler ile birlikte muhtemel müşterilere kişiselleştirilmiş reklamları göstermek ve bunların sonuçlarını ölçmek amacında olan hedefleme ve reklam çerezleri sayılabilir.
Hedefleme ve reklam çerezleri ile elde edilen verilerin doğrudan pazarlama için bir adım olduğu ve toplanan verilerin kişisel veri mahiyeti taşıdığı göz önüne alındığında, şirketlerin bu konuda yukarıda sayılan yükümlülüklerini yerine getirmesi zorunluluğu kesindir. Örneğin, Kişisel Verileri Koruma Kurumu, 27 Şubat 2020 tarihli kararıyla başka ihlallerin yanı sıra ilgili kişilere çerezler yoluyla gerçekleştirilen veri işleme faaliyetleri hakkında uygun bildirimde bulunmadığı için veri sorumlusunu cezalandırmıştır.
Doğrudan Pazarlama Yöntemleri
Sıcak pazarlama yöntemleri, eldeki müşteri portföyü kullanılarak pazarlamanın hızla yapılması ve sonuca ulaşmasını konu alır. Bu kapsamda, örneğin arama motoru optimizasyonu (SEO) ile pazarlamaya konu ticari faaliyetle ilgili anahtar sözcükler ile ilgili olarak aramalarda daha iyi görünürlük sağlanır. Dönüşüm oranı optimizasyonu ile web sitesi üzerindeki butonlar, görseller gibi çeşitli arayüz unsurlarından hangilerinin kullanıcılar tarafından daha çok tercih edildiği tespit edilir ve pazarlamada kullanılır. Bunun yanında mevcut müşteri portföyü kullanılarak hızlı pazarlama yapmak mümkündür.
Söz konusu yöntemleri kullanmak için muhtemel müşterilerin kişisel verilerinin işlenmesi gerekecektir. Dolayısıyla bu konuda da Kişisel Verilerin Korunması Kanunu kapsamında yukarıda anlatılan sınırlamalar geçerli olacaktır. Örneğin, müşteri listelerinin satın alınması gibi durumlarda da ilgili kişiler satıcı tarafından alıcıyı da belirtecek şekilde bilgilendirilecektir. Bu durumda, kişisel verilerin alıcıya devredilebilmesi için başta belirtilen genel kurala uygun olarak kişilerin önceden onayının alınması zorunlu olacaktır.
