Kişisel Verileri Koruma Kurumu (“Kurum”) 16 Haziran 2022 tarihinde internet sitesinde bir kamuoyu duyurusu yayınlayarak “Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı”nı (“Taslak Rehber”) kamuoyu görüşüne sundu. Kurum 16 Temmuz 2022 tarihine kadar Taslak Rehber ile ilgili görüş ve önerileri topluyor.
Taslak Rehber'de temel olarak, Türkiye ve Avrupa Birliği'nden piyasa örnekleri ve veri koruma otoritelerinin vermiş olduğu kararlardan örnekler yer alıyor ve veri sorumlularına çeşitli tavsiyeler veriliyor.
- Sadakat programları kapsamında veri işleme sebepleri
Taslak Rehber'de sadakat uygulamaları kapsamında işlenen kişisel verilere ilişkin olarak üç hukuki sebep üzerine duruluyor ancak Taslak Rehber'deki şu açıklamalar özellikle dikkat çekiyor:
a) Sözleşmenin kurulması ve ifası
Taslak Rehber'de, sadakat programları kapsamında kişisel veri işlenmesi halinde bazı durumlarda sözleşmenin kurulması ve ifası şartına dayanılabileceğine vurgu yapılıyor. Taslak Rehber'e göre:
- Ne zaman sözleşmenin kurulması ve ifası şartına dayanılabilir? Sadakat programının bir sözleşme kapsamında sunulduğu ve kişisel verilerin işlenmesinin bu sözleşmeden doğan yükümlülükleri yerine getirmek için gerekli olduğu durumlarda, kişisel verilerin işlenebilmesi için sözleşmenin ifası şartına dayanılabilir. Sadakat programı kapsamında müşterinin kazandığı puanların hesaplanması, kazandığı puanlara dair kendisine bilgi verilmesi, kullanım süresi dolacak puanların hatırlatılması gibi amaçlar bu kapsamda değerlendirilebilir.
- Ne zaman sözleşmesinin kurulması ve ifası şartına dayanılamaz? Veri sorumlusunun, sadakat uygulamasından yararlanan müşterilerinin kişisel verilerini, kişiselleştirilmiş pazarlama yapmak, müşterilere özel avantajlar sunmak, firmanın satış stratejisini belirlemek gibi amaçlarla işlemesi halinde “sözleşmenin kurulması ve ifası” şartına dayanmak mümkün görünmüyor. Taslak Rehber'de yer alan bu yaklaşımın bizim bu konudaki görüşümüzle uyumlu olduğunu söyleyebiliriz.
b) Açık rıza
Taslak Rehber'de açık rıza ve geçerliliği ile ilgili açıklamalar yapıldıktan sonra açık rızaya dayanan kişisel veri işleme faaliyetleri için oldukça önemli olan açık rızanın hizmetin ön şartı olarak sunulması yasağına da değiniliyor. Rehber Taslağı'na göre şu kriterler sağlandığında alınan açık rıza geçerli kabul edilecek:
(i) Müşteri açık rıza vermediğinde sadakat uygulamasının ayrıcalıklarından ya da avantajlarından yararlanmaz ise de bu durum ürün ve hizmetlerden mahrum edilmesi sonucunu doğurmamalıdır (Örneğin sadakat uygulaması kapsamında indirimli olarak satılan (X) ürününü indirimsiz olarak satın alabilecek),
(ii) Müşterinin mahrum bırakıldığı ayrıcalık ya da avantajlar açık rıza vermeyen kişi için önemli bir dezavantaja yol açmayacak ve kişinin özgür iradesi bu husustan etkilenmeyecek (Örneğin, mahrum kalınan indirim tutarı göz ardı edilebilir bir boyutta olacak).
Ayrıca Taslak Rehber ticari iletişim rızası ile kişiselleştirilmiş pazarlama rızasının birbirinden ayrılması gerektiğini ve ayrı şekilde alınması gerektiğini de vurguluyor. Taslak Rehber'de yer alan bu yaklaşımın bizim bu konudaki görüşümüzle uyumlu olduğunu söyleyebiliriz.
- Aydınlatma yükümlülüğü
Taslak Rehber uyarınca, veri sorumlularının her kişisel veri işleme faaliyetinde olduğu gibi sadakat programları kapsamındaki faaliyetleri için de kişisel verilerin korunması mevzuatı uyarınca ilgili kişileri ayrıca aydınlatması gerekiyor.
Özellikle üçüncü tarafça sunulan sadakat uygulamasına katılım sağlayan firmalar, müşterilerine bu üçüncü taraf sadakat uygulamasına katılım halinde indirim, puan verme gibi ek menfaat sağlama yoluna gidiyorlarsa, bu hususa aydınlatma metninde açıkça yer vermeliler.
Böyle bir durumda, (i) ilgili kişilerin kişisel verilerinin hangi tarafça işlendiği, (ii) aktarımın kimden kime yapıldığı gibi konularda ilgili kişi detaylıca aydınlatılmalı. Öte yandan ortak yürütülen sadakat uygulamaları kapsamında ortaklardan biri kişisel verileri ticari elektronik ileti göndermek için işleyecek ise bu durumda ayrıca aydınlatma yapması ve açık rıza alması gerekiyor.
Aydınlatma ve açık rızanın, sadakat sözleşmesi içerisine yerleştirilmemesi gerektiği de bir kez daha vurgulanıyor.
- Asgari miktarda ve yalnızca gerekli olan kişisel verileri işleme gerekliliği
Taslak Rehber'de birçok noktada veri minimizasyonu ve ölçülülük ilkelerine uygun davranılması gerektiği ve söz konusu faaliyeti gerçekleştirmek için gerçekten gerekli olanın dışında veri toplanmaması ve işlenmemesi gerektiğine vurgu yapılıyor.
Bu kapsamda çeşitli örneklere de yer verilmiş olup bazıları aşağıdaki gibidir:
- İlgili kişilerin “online reklamcılık ve imkanlardan faydalanmak amacıyla uygulama içinde ve dışında ziyaret ettikleri sayfalarda takip edilebileceğini” belirten bir metinle ilgili olarak böyle bir veri işlemenin Kanundaki genel ilkelere (özellikle ölçülülük ilkesine) aykırı olduğu,
- “Sadakat kart uygulaması için özel nitelikli kişisel verilerin toplanmasının” veri minimizasyonu ilkesine aykırı olabileceği,
- “Alışveriş bilgileri, isim soy isim, rumuz, cep telefonu, e-mail, doğum tarihi, yaşadığı şehir, adres, cinsiyet, medeni durum, eğitim düzeyi, ilgi alanları, zevk ve beğenileri, (uygulama yoluyla erişilebilen) lokasyon bilgisi” şeklindeki kişisel verilerin de bu verilerin tamamına ihtiyaç duyulup duyulmadığının değerlendirilmesi ve ihtiyaç duyulmayan veri setlerinin işlenmemesi gerektiği.
Taslak Rehber'de, ayrıca, müşterilerin sıklıkla satın aldıkları ürünler için özel teklifler ve sadakat düzeyine dayalı olarak sürpriz teklifler sağlamak ve ödeme işlemlerini hızlandırarak müşteri deneyimini geliştirmek amaçlarıyla kullanılan radyo frekans tanımlama teknolojilerine (“”RFID”) de yer verilerek bu tür teknolojilerin, sadakat kart programlarında kullanılmasına oldukça ihtiyatlı yaklaşılması ve bu tür teknolojilerin kullanılmasında veri minimizasyonu ilkesine uyulmaya özen gösterilmesi gerektiği ifade edilmektedir.
- Sonuç ve tavsiyemiz
Taslak Rehber henüz taslak aşamasında olmakla birlikte mevcut uygulama için önemli hususlara değindiğinden sadakat programı yürüten firmaların:
- kişisel veri işleme faaliyetlerini Rehber Taslağı'nı dikkate alarak gözden geçirmesi, işleme faaliyetlerine uygun hukuka uygunluk nedenlerini belirlemesi,
- açık rızanın geçersizliğine yol açabilecek uygulamalardan kaçınmaları ve
- ortak sadakat program yürütmeleri halinde aydınlatma metinlerini Taslak Rehber'de öngörüldüğü şekilde genişletmelerini tavsiye ederiz.
Ayrıca RFID ya da beacon gibi teknolojiler vasıtasıyla kişisel veri toplanacak ise buna dair süreçlerin dikkatlice kurgulanması ve bu araçlarla toplanacak kişisel verilere ilişkin olarak bu sürece özel (genel ifadeler içeren açık rıza metinlerinden bağımsız olarak) açık rıza metni hazırlanması ve ilgili kişilere sunulması bu tür teknolojilerin kullanılmasından doğabilecek hukuki risklerin azaltılmasına yardımcı olabilecektir.
- Görüş bildirilmesi
Taslak Rehber'de özellikle sadakat uygulamalarının değerlendirilmesinde müşterilerin bir ürün veya hizmet satın almış olması gibi ön kabulle hareket edilmesi ve Taslak Rehber'de yer alan değerlendirmelerin ticari iletişim mevzuatı ile uyumlu olmaması nedeniyle katılmadığımız bazı hususlar bulunuyor.
Bu doğrultuda Kurum'a sunulacak görüş için hazırlıklarımızı sürdürüyoruz. Duyuru metnine ve Rehber Taslağı'na şu linkten erişebilirsiniz:
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.