Haziran ayının kişisel verilerin korunması alanında göze çarpan gelişmeleri, Kişisel Verileri Koruma Kurumu'nun (“Kurum”) Sadakat Programlarına İlişkin Rehber Taslağı'nı görüşe açması ve Çerez Uygulamaları Hakkında Rehber'i yayımlaması oldu.

Haziran ayında ülkemizde ve dünyada yaşanan gelişmeleri aşağıda sizler için özetliyoruz:

Taslak - Sadakat programlarının kişisel verilerin korunması mevzuatı kapsamında incelenmesine ilişkin rehber taslağı görüşe açıldı

Kurum, 16 Haziran 2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı'nı (“Taslak Rehber”) görüşe açtı. Bu konuda görüş bildirmek isteyenler 16 Temmuz 2022 tarihine kadar Kurum'a başvurabilecek.

Taslak Rehber'de sadakat programları “Müşterinin işletme açısından belirli ya da belirlenebilir olmasını sağlayacak kişisel verilerinin işlenmesi suretiyle alışveriş karşılığında çeşitli kriterler çerçevesinde müşteriye puan/hediye/avantaj sağlanması, müşterinin alışveriş alışkanlıklarının takip edilmesi, işlenen kişisel verilerin analiz edilmesi suretiyle kişiselleştirilmiş ürün/hizmet teklifleri sunulması gibi stratejilerin tamamının veya bazılarının firmalarca tek taraflı veya bir program ortaklığı kapsamında uygulanması yoluyla müşteriye menfaat sağlarken aynı zamanda uygulayıcı firmanın satış ve karlılığını artırmayı hedefleyen programlar” olarak tanımlanmıştır. Sadakat programları vasıtasıyla işlenen kişisel veriler Taslak Rehber'de örneklendirilmiş, bu veri işleme faaliyetlerinin dayandırılabileceği hukuki sebepler incelenmiş, aydınlatma yükümlülüğünün yerine getirilmesi sürecinde uyulması gereken kurallara dikkat çekilmiş ve radyo frekans tanımlama teknolojisinin (RFID) pazarlama faaliyetleri kapsamında kullanılmasına ilişkin prensiplere de yer verilmiştir.

Taslak Rehber'e buradan, ayrıntılar için ilgili hukuk bültenimize ise buradan ulaşabilirsiniz.

Rehber - Çerez Uygulamaları Hakkında Rehber yayımlandı

Kurum, 20 Haziran 2022 tarihinde, Çerez Uygulamaları Hakkında Rehber'i (“Çerez Rehberi”) yayımladı.

Çerez Rehberi, çerez teknolojilerini kullanan veri sorumlularının ilgili uygulamalarının Kişisel Verilerin Korunması Kanunu'na (“Kanun”) uyumuna yönelik öneriler getirmektedir. Çerez Rehberi'nde, taslak versiyonda yer alan çerez türlerine ilişkin detaylı açıklamalar, 5809 sayılı Elektronik Haberleşme Kanunu ile Kanun arasındaki ilişki, çerez kullanım senaryoları ve hukuka uygun açık rıza alımı, aydınlatma yapılmasına ilişkin açıklamalara ve Kurum'un 27 Şubat 2020 tarihli ve 2020/173 sayılı kararının çerezler açısından değerlendirilmesine ek olarak kişisel verilerin çerezler vasıtasıyla yurt dışına aktarımına da yer verilmiştir. Çerez Rehberi'nde ayrıca, çerez kullanımına ilişkin kontrol listesi düzenlenmiş ve çerez kullanımları örneklendirilmiştir.

İlgili karara buradan ve Çerez Rehberi'ne buradan ulaşabilirsiniz. Çerez Rehberi'ne ilişkin hukuk bültenimize ise buradan ulaşabilirsiniz.

Dünyadan Göze Çarpan Gelişmeler

  • Avrupa Birliği: Veri Yönetimi Yasası yayımlandı
    Veri Yönetimi Yasası (“DGA”), 3 Haziran 2022 tarihinde Avrupa Birliği Resmi Gazetesi'nde yayımlandı. DGA, 23 Haziran 2022 tarihinde yürürlüğe girecek ve şirketler üzerinde yürürlüğe girdikten 15 ay sonra bağlayıcı olacak. Kabul edilen metnine (İngilizce) buradan, konuya ilişkin hukuk bültenimize ise buradan
  • Avrupa Birliği: Avrupa Veri Koruma Otoritesi yurt dışına veri aktarımına ilişkin sertifikasyona ilişkin rehber yayımladı
    16 Haziran 2022'de Avrupa Veri Koruma Otoritesi (“EDPB”) internet sitesinde, sınır ötesi veri aktarımları için sertifikasyon mekanizması hakkında bir rehber kabul ettiğini duyurdu. Rehber henüz yayımlanmamış olmakla beraber, EDPB'nin sertifikasyon mekanizmasının pratikte nasıl kullanılacağını açıklaması bekleniyor. Avrupa Veri Koruma Tüzüğü (“GDPR”) tarafından yeni bir aktarım mekanizması olarak tanıtılan sertifikasyon mekanizması, bir yeterlilik anlaşmasının olmadığı durumlarda kişisel verilerin Avrupa Birliği'nden üçüncü ülkelere aktarımı için kullanabilecek yeni bir araçtır.
  • Tayland: Tayland'da kişisel verilerin korunmasına ilişkin ilk mevzuat yürürlüğe girdi
    1 Haziran 2022'de Tayland'ın yeni Kişisel Verileri Koruma Yasası (“PDPA”) yürürlüğe girdi. GDPR esas alınarak hazırlanan PDPA, hem Tayland'da kişisel veri işleyen veri sorumluları hem de Tayland'da ürün/hizmet sağlamak için kişisel verileri işleyen veri sorumlularına uygulanacaktır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.