Kişisel Verileri Koruma Kurumu tarafından sadakat programları yoluyla işlenen kişisel verilerin değerlendirilmesi amacıyla "Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı" ("Rehber") hazırlanmış ve Kişisel Verileri Koruma Kurulunun ("Kurul") 18.05.2022 tarih ve 2022/514 sayılı kararı ile kamuoyunun görüşüne sunulmuştur.
A. SADAKAT PROGRAMI KAVRAMI
Rehber'de sadakat programlarının gelişim süreci ve güncel olarak uygulanmakta olan sadakat programı türlerine yer verildikten sonra sadakat programları
"Mal/hizmet sunumu yapan işletmelerce veya bir ortaklık programı çerçevesinde sunulan, müşteri odaklı, satın aldığı mal/hizmetler karşılığında müşteriye ek menfaatler sağlamak suretiyle müşteriyi tanımak amacıyla uygulanan, müşteriye sunulan mal/hizmetleri kişiselleştirmeyi amaçlayan, kişiselleştirilmiş reklamcılık amacıyla kullanılabilen, ürün/iş geliştirme süreçlerinde kullanılabilen, uygulanması sonucunda hem müşteriye hem de işletmeye menfaat sağlayan özelliklere sahip programlar"
olarak tanımlanmıştır. Sadakat programlarının aktörleri ile 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda ("KVKK") yer alan temel kavramlar incelendiğinde; sadakat programı uygulayıcıları veri sorumlusu, sadakat programlarına üye olan gerçek kişiler ise ilgili kişi olarak nitelendirilmektedir.
Rehber'de sadakat programlarında işlenen kişisel veriler temel olarak üç başlık altında toplanmıştır: (i) müşteri tarafından aktif ve gönüllü bir şekilde sağlanan isim ve iletişim bilgileri gibi veriler, (ii) müşteri tarafından pasif olarak sağlanan IP ve konum bilgisi gibi veriler ve (iii) bu iki kategori veriden analiz yoluyla elde edilen diğer veriler.
B. SADAKAT PROGRAMLARI AÇISINDAN HUKUKA UYGUNLUK SEBEPLERİ
Rehber'de bir sözleşme kapsamında yürütülen sadakat programında sözleşmenin kurulması ve ifası ile ilgili olarak işlenen kişisel veriler için kural olarak açık rıza alınması gerekmediği belirtilmektedir. Bununla birlikte sözleşmenin kurulması kapsamında işlendiği ileri sürülebilecek isim ve iletişim bilgisi gibi verilerin 'müşteri profilleme' gibi başka bir veri işleme sürecine tabi kılınması halinde sözleşmenin kurulması ve ifası hukuki sebebine dayanılamayacaktır. Ayrıca Rehber'de sözleşmenin kurulması ve ifası için gerekli olan verilerin dar bir şekilde yorumlanması gerektiğine işaret edilmiştir.
Kurum tarafından Rehber'de sadakat programı kapsamında gerçek kişilere puan hesaplaması, kazandığı puanlarla ilgili bilgi verilmesi, kullanım süresi dolacak puanların hatırlatılması gibi amaçlarla bilgi vermek üzere kişisel veri işlenmesinin sözleşmenin ifası hukuka uygunluk nedenine dayanarak gerçekleştirilebileceği belirtilmiştir. Rehber uyarınca bu kapsamda işlenecek olan kişisel veriler için açık rızanın yanı sıra ticari elektronik ileti onayı da aranmayacağı vurgulanmıştır.
Sadakat programları dahilinde işlenen kişisel verilerin 'meşru menfaat' hukuka uygunluk nedenine dayalı olarak işlenebilmesi için "meşru menfaatin hali hazırda belirli olması, ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmemesi, söz konusu meşru menfaate ulaşmak için veri sorumlusunun ilgili kişinin temel hak ve özgürlüklerine daha az müdahale eden başkaca bir yolunun olmaması şartlarının gerçekleşmiş olması" şartlarının bir arada bulunması gerekmektedir. Rehber'de meşru menfaat hukuka uygunluk nedeni ile ilgili olarak Litvanya Veri Koruma Otoritesi'nin 2018 tarihli 'doğrudan pazarlama stratejileri ve profilleme kapsamında kişisel veriler bakımından meşru menfaatin bir hukuka uygunluk nedeni olamayacağına, bunun için veri sorumlularının açık rıza alma yoluna gitmeleri gerektiğine' yönelik incelemesine atıfta bulunulmuştur.
Rehber'de sadakat programlarından yararlanabilmek için veri sahiplerine açık rıza verme zorunluluğu getirilmesi 'hizmetin açık rıza şartına bağlanması' başlığı altında da irdelenmiştir. Avrupa Birliği'nde yapılan düzenlemeler de dikkate alınarak sadakat programlarından yararlanılmasının açık rıza şartına bağlandığı durumlarda 'ürün veya hizmetin sunulmaması değil, ürün veya hizmetin ek bir menfaat olmaksızın sunulması' söz konusu olduğundan açık rızanın özgür iradeye dayalı olma şartının ortadan kalkmadığı sonucuna ulaşılmıştır. Ancak bu sonuç genel geçer bir ifade ile kullanılmamış, geçerli bir açık rızadan bahsedebilmek için açık rızanın verilmemiş olmasının 'müşterileri önemli bir dezavantaja uğratmamış olması gerektiği' şerhi düşülmüştür.
Rehber'de sadakat programlarına sosyal medya uygulamalarındaki üyelikleri üzerinden katılan kişilerin sosyal medyada yer alan kişisel verilerinin açık rıza alınmış olsa dahi veri minimizasyonu ve amaçla bağlılık başta olmak üzere genel ilkelere uyumlu olarak işlenmesi gerektiği belirtilmiştir.
C. SONUÇ
Kurul Rehber ile birlikte özellikle sadakat programları kapsamında veri sorumlularının işledikleri verilere ilişkin olarak veri işleme amacı ve hukuka uygunluk nedeni arasındaki bağın doğru kurulması gerektiğinin altını çizmiştir. Ayrıca veri sorumluları aydınlatma yükümlülüklerini yerine getirdikleri metin ile açık rıza beyan metinlerinin ayrı olmasına ve açık rızanın doğru şekilde alınmasına dikkat etmelidir. Veri sorumluları her ne sebeple olursa olsun KVKK'da yer alan genel ilkelere ve veri güvenliğine ilişkin tedbirlere uyumlu bir şekilde sadakat programı faaliyeti yürütmeye özen göstermelidir. Kurul tarafından yayımlanan Rehber 16.07.2022 tarihine kadar kamuoyunun görüş ve değerlendirmelerine açık tutulmuştur.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
