Kişisel Verileri Koruma Kurumu (“Kurum”) 16 Haziran 2022 tarihinde internet sitesinde bir  kamuoyu duyurusu yayınlayarak “Sadakat Programlarının Kişisel Verilerin Korunması  Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı”nı (“Taslak Rehber”) kamuoyu  görüşüne sundu. Kurum 16 Temmuz 2022 tarihine kadar Taslak Rehber ile ilgili görüş ve  önerileri topluyor.

Taslak Rehber'de temel olarak, Türkiye ve Avrupa Birliği'nden piyasa örnekleri ve veri koruma  otoritelerinin vermiş olduğu kararlardan örnekler yer alıyor ve veri sorumlularına çeşitli  tavsiyeler veriliyor.

  1. Sadakat programları kapsamında veri işleme sebepleri

Taslak Rehber'de sadakat uygulamaları kapsamında işlenen kişisel verilere ilişkin olarak üç  hukuki sebep üzerine duruluyor ancak Taslak Rehber'deki şu açıklamalar özellikle dikkat  çekiyor:

a) Sözleşmenin kurulması ve ifası

Taslak Rehber'de, sadakat programları kapsamında kişisel veri işlenmesi halinde bazı  durumlarda sözleşmenin kurulması ve ifası şartına dayanılabileceğine vurgu yapılıyor.  Taslak Rehber'e göre:

  • Ne zaman sözleşmenin kurulması ve ifası şartına dayanılabilir? Sadakat programının bir sözleşme kapsamında sunulduğu ve kişisel verilerin işlenmesinin  bu sözleşmeden doğan yükümlülükleri yerine getirmek için gerekli olduğu  durumlarda, kişisel verilerin işlenebilmesi için sözleşmenin ifası şartına  dayanılabilir. Sadakat programı kapsamında müşterinin kazandığı puanların  hesaplanması, kazandığı puanlara dair kendisine bilgi verilmesi, kullanım süresi  dolacak puanların hatırlatılması gibi amaçlar bu kapsamda değerlendirilebilir.
  • Ne zaman sözleşmesinin kurulması ve ifası şartına dayanılamaz? Veri sorumlusunun, sadakat uygulamasından yararlanan müşterilerinin kişisel  verilerini, kişiselleştirilmiş pazarlama yapmak, müşterilere özel avantajlar sunmak,  firmanın satış stratejisini belirlemek gibi amaçlarla işlemesi halinde “sözleşmenin  kurulması ve ifası” şartına dayanmak mümkün görünmüyor.  Taslak Rehber'de yer alan bu yaklaşımın bizim bu konudaki görüşümüzle uyumlu  olduğunu söyleyebiliriz.   

b) Açık rıza

Taslak Rehber'de açık rıza ve geçerliliği ile ilgili açıklamalar yapıldıktan sonra açık  rızaya dayanan kişisel veri işleme faaliyetleri için oldukça önemli olan açık rızanın  hizmetin ön şartı olarak sunulması yasağına da değiniliyor. Rehber Taslağı'na göre şu  kriterler sağlandığında alınan açık rıza geçerli kabul edilecek:

(i) Müşteri açık rıza vermediğinde sadakat uygulamasının ayrıcalıklarından ya da  avantajlarından yararlanmaz ise de bu durum ürün ve hizmetlerden mahrum  edilmesi sonucunu doğurmamalıdır (Örneğin sadakat uygulaması kapsamında  indirimli olarak satılan (X) ürününü indirimsiz olarak satın alabilecek),

(ii) Müşterinin mahrum bırakıldığı ayrıcalık ya da avantajlar açık rıza vermeyen kişi  için önemli bir dezavantaja yol açmayacak ve kişinin özgür iradesi bu husustan  etkilenmeyecek (Örneğin, mahrum kalınan indirim tutarı göz ardı edilebilir bir  boyutta olacak).

Ayrıca Taslak Rehber ticari iletişim rızası ile kişiselleştirilmiş pazarlama rızasının  birbirinden ayrılması gerektiğini ve ayrı şekilde alınması gerektiğini de vurguluyor.  Taslak Rehber'de yer alan bu yaklaşımın bizim bu konudaki görüşümüzle uyumlu  olduğunu söyleyebiliriz.

  1. Aydınlatma yükümlülüğü

Taslak Rehber uyarınca, veri sorumlularının her kişisel veri işleme faaliyetinde olduğu gibi  sadakat programları kapsamındaki faaliyetleri için de kişisel verilerin korunması mevzuatı  uyarınca ilgili kişileri ayrıca aydınlatması gerekiyor.

Özellikle üçüncü tarafça sunulan sadakat uygulamasına katılım sağlayan firmalar,  müşterilerine bu üçüncü taraf sadakat uygulamasına katılım halinde indirim, puan verme gibi  ek menfaat sağlama yoluna gidiyorlarsa, bu hususa aydınlatma metninde açıkça yer  vermeliler.

Böyle bir durumda, (i) ilgili kişilerin kişisel verilerinin hangi tarafça işlendiği, (ii) aktarımın  kimden kime yapıldığı gibi konularda ilgili kişi detaylıca aydınlatılmalı. Öte yandan ortak  yürütülen sadakat uygulamaları kapsamında ortaklardan biri kişisel verileri ticari elektronik ileti  göndermek için işleyecek ise bu durumda ayrıca aydınlatma yapması ve açık rıza alması  gerekiyor.

Aydınlatma ve açık rızanın, sadakat sözleşmesi içerisine yerleştirilmemesi gerektiği de bir kez  daha vurgulanıyor.

  1. Asgari miktarda ve yalnızca gerekli olan kişisel verileri işleme gerekliliği

Taslak Rehber'de birçok noktada veri minimizasyonu ve ölçülülük ilkelerine uygun  davranılması gerektiği ve söz konusu faaliyeti gerçekleştirmek için gerçekten gerekli olanın  dışında veri toplanmaması ve işlenmemesi gerektiğine vurgu yapılıyor.

Bu kapsamda çeşitli örneklere de yer verilmiş olup bazıları aşağıdaki gibidir:

  • İlgili kişilerin “online reklamcılık ve imkanlardan faydalanmak amacıyla uygulama içinde ve dışında ziyaret ettikleri sayfalarda takip edilebileceğini” belirten bir metinle ilgili  olarak böyle bir veri işlemenin Kanundaki genel ilkelere (özellikle ölçülülük ilkesine)  aykırı olduğu,
  • Sadakat kart uygulaması için özel nitelikli kişisel verilerin toplanmasının” veri minimizasyonu ilkesine aykırı olabileceği,
  • Alışveriş bilgileri, isim soy isim, rumuz, cep telefonu, e-mail, doğum tarihi, yaşadığı şehir, adres, cinsiyet, medeni durum, eğitim düzeyi, ilgi alanları, zevk ve beğenileri,  (uygulama yoluyla erişilebilen) lokasyon bilgisi” şeklindeki kişisel verilerin de bu verilerin  tamamına ihtiyaç duyulup duyulmadığının değerlendirilmesi ve ihtiyaç duyulmayan veri  setlerinin işlenmemesi gerektiği.

Taslak Rehber'de, ayrıca, müşterilerin sıklıkla satın aldıkları ürünler için özel teklifler ve  sadakat düzeyine dayalı olarak sürpriz teklifler sağlamak ve ödeme işlemlerini hızlandırarak  müşteri deneyimini geliştirmek amaçlarıyla kullanılan radyo frekans tanımlama teknolojilerine  (“”RFID”) de yer verilerek bu tür teknolojilerin, sadakat kart programlarında kullanılmasına  oldukça ihtiyatlı yaklaşılması ve bu tür teknolojilerin kullanılmasında veri minimizasyonu  ilkesine uyulmaya özen gösterilmesi gerektiği ifade edilmektedir.

  1. Sonuç ve tavsiyemiz

Taslak Rehber henüz taslak aşamasında olmakla birlikte mevcut uygulama için önemli  hususlara değindiğinden sadakat programı yürüten firmaların:

  • kişisel veri işleme faaliyetlerini Rehber Taslağı'nı dikkate alarak gözden geçirmesi, işleme faaliyetlerine uygun hukuka uygunluk nedenlerini belirlemesi,
  • açık rızanın geçersizliğine yol açabilecek uygulamalardan kaçınmaları ve
  • ortak sadakat program yürütmeleri halinde aydınlatma metinlerini Taslak Rehber'de öngörüldüğü şekilde genişletmelerini tavsiye ederiz.

Ayrıca RFID ya da beacon gibi teknolojiler vasıtasıyla kişisel veri toplanacak ise buna dair  süreçlerin dikkatlice kurgulanması ve bu araçlarla toplanacak kişisel verilere ilişkin olarak bu  sürece özel (genel ifadeler içeren açık rıza metinlerinden bağımsız olarak) açık rıza metni  hazırlanması ve ilgili kişilere sunulması bu tür teknolojilerin kullanılmasından doğabilecek  hukuki risklerin azaltılmasına yardımcı olabilecektir.

  1. Görüş bildirilmesi

Taslak Rehber'de özellikle sadakat uygulamalarının değerlendirilmesinde müşterilerin bir ürün  veya hizmet satın almış olması gibi ön kabulle hareket edilmesi ve Taslak Rehber'de yer alan  değerlendirmelerin ticari iletişim mevzuatı ile uyumlu olmaması nedeniyle katılmadığımız bazı  hususlar bulunuyor.

Bu doğrultuda Kurum'a sunulacak görüş için hazırlıklarımızı sürdürüyoruz.  Duyuru metnine ve Rehber Taslağı'na şu linkten erişebilirsiniz:

https://www.kvkk.gov.tr/Icerik/7349/-Sadakat-Programlarinin-Kisisel-Verilerin-KorunmasiMevzuati-Kapsaminda-Incelenmesine-Iliskin-Rehber-Taslagi-Hakkinda-Kamuoyu-Duyurusu

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.