Yeni gelisme

Kisisel Verileri Koruma Kurumu ("Kurum") 16 Haziran 2022 tarihinde Sadakat Programlarinin Kisisel Verilerin Korunmasi Mevzuati Kapsaminda Incelenmesine Iliskin Rehber Taslagini ("Rehber") kamuoyu görüsüne açti. Ilgililer 16 Temmuz 2022 tarihine kadar görüs ve önerilerini Kurum'a iletebilecek. Rehber'e buradan ulasabilirsiniz.

Rehber ne diyor?

Rehber genel olarak sadakat programlari kapsaminda kisisel verilerin islenmesine iliskin örnekleri de içeren detayli açiklamalara yer vermektedir. Rehber'de ele alinan önemli hususlar asagidadir:

  • Rehber öncelikli olarak sadakat programlarinin tanimini yaparak tarihçesi ve türlerini açiklamaktadir. Rehber sadakat programlarini "Müsterinin isletme açisindan belirli ya da belirlenebilir olmasini saglayacak kisisel verilerinin islenmesi suretiyle alisveris karsiliginda çesitli kriterler çerçevesinde müsteriye puan/hediye/avantaj saglanmasi, müsterinin alisveris aliskanliklarinin takip edilmesi, islenen kisisel verilerin analiz edilmesi suretiyle kisisellestirilmis ürün/hizmet teklifleri sunulmasi gibi stratejilerin tamaminin veya bazilarinin firmalarca tek tarafli veya bir program ortakligi kapsaminda uygulanmasi yoluyla müsteriye menfaat saglarken ayni zamanda uygulayici firmanin satis ve karliligini artirmayi hedefleyen programlar" olarak tanimlamaktadir. Sadakat programlari kapsaminda veri sorumlulari ise sadakat programi uygulayicilari olarak belirlenmistir. Rehber ilgili kisi olarak ise sadece müsterileri ele almaktadir.
  • Rehber uyarinca sadakat programlari kapsaminda genel olarak (i) müsteriler tarafindan aktif ve gönüllü bir sekilde saglanan, (ii) müsteriler tarafindan pasif olarak saglanan ve (iii) diger kaynaklardan saglanan olmak üzere üç farkli kisisel veri kategorisinde veri islenmektedir. Kisisel verilere iliskin detayli bir liste Rehber'in ekinde paylasilmistir.
  • Sadakat programlari kapsaminda kisisel verilerin islenme amacina göre hukuki sebebin belirlenmesi gerektigi belirtilmistir. Sadakat programi bir sadakat sözlesmesine istinaden gerçeklestiriliyorsa bu kapsamda sözlesmenin ifasi sartina dayanilabilecektir. Örnegin, sadakat sözlesmesi kapsaminda müsterinin kazandigi puanlarin hesaplanmasi, bilgi verilmesi vb. faaliyetlerde sözlesmenin ifasi sartina dayanilmasinin mümkün oldugu belirtilmistir. Ancak, sadakat sözlesmesinin amacini asarak müsteriyi tanima ve ona özel firsatlar sunma gibi faaliyetler yürütüldügü takdirde sözlesmenin ifasi sartina dayanilamayacaktir ve isleme faaliyeti özelinde hukuki sebeplere iliskin degerlendirme yapilmasi gerekecektir. Rehber'de, Kurum profilleme faaliyetlerine de deginmektedir. Profilleme amaciyla gerçeklestirilen veri isleme faaliyetlerinin sözlesmenin ifasi kapsaminda zorunlu olmadigini ve veri sorumlularinin bu tür islemler için sözlesmenin ifasi hukuki sebebine dayanamayacaklarini belirtmektedir.
  • Sadakat programlarina üye olmak için açik riza verilmesi ise Rehber uyarinca hizmetin açik riza sartina baglanmasi olarak degerlendirilmemistir. Kurum, sadakat programlari kapsaminda açik riza verilmemesi halinde ürün/hizmetin sunulmamasi degil, ürün/hizmetin ek menfaat olmaksizin sunulmasinin söz konusu oldugunu ve bu nedenle hizmetin açik riza sartina baglanmadigini ifade etmektedir. Ancak, yapilan indirim ve saglanan avantaj oraninin önemli bir dezavantaja sebebiyet vermemesi gerekmektedir.
  • Sadakat programi kapsaminda elektronik ticari ileti gönderimi için ise Rehber uyarinca onay alinmasi gerekmektedir. Ilaveten, Kurum, kisisel verilerin müsteriyi tanimak için islenmesi ile ticari elektronik ileti gönderilmesi için islenmesinde isleme amacinin farkli oldugunu belirtmistir. Bu kapsamda, sadakat programina üye olan kisinin iletisim bilgilerinin ticari ileti göndermek için kullanilip kullanilamayacagina iliskin olarak veri sorumlusu bir degerlendirme yapmalidir.
  • Rehber uyarinca sadakat programlari kapsaminda veri sorumlulari aydinlatma yükümlülügünü yerine getirmelidir. Kurum, genel (semsiye) aydinlatma yerine veri isleme faaliyetleri özelinde aydinlatma yapmalarinin daha dogru bir yaklasim olacagini belirtmistir. Kurum, aydinlatma yükümlülügünü yerine getirirken indirim, puan gibi ek menfaatler ve bu menfaatlere iliskin veri aktarimlarinin detayli sekilde belirtilmesi gerektiginin altini çizmistir. Ayrica ortak programlarda ortaklardan birisi kisisel verileri reklam göndermek için kisisel veri isler ise buna iliskin riza alinmali ve aydinlatma yapilmalidir.
  • Rehber'de radyo frekans tanimlama teknolojisinin (RFID) pazarlama faaliyetleri kapsaminda kullanilmasina iliskin prensiplere de yer verilmistir. RFID'ler, magazalarda alisveris yaparken müsteri davranislarini analiz etmek için kullanilabilir. Kurum, Rehber'de, veri sorumlularinin RFID'leri, özellikle veri minimizasyonu ilkesini dikkate alarak dikkatli bir sekilde kullanmasi gerektigini belirtmistir.

Sonuç

Kurum, sadakat programi kapsaminda veri isleme faaliyetlerine iliskin önemli yönlendirmelerde bulunmaktadir. Rehber, 16 Temmuz 2022 tarihine kadar kamuoyu görüsüne açiktir. Ilgililer, bu tarihe kadar yorum ve önerilerini Kurum'a iletebileceklerdir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.