Daha fazla bilgi için,
lütfen iletişime geçin :

Ortak Avukat

Kıdemli Avukat

Avukat

Hukuk Bültenleri

KVKK Sadakat Programlarına İlişkin Rehber Taslağını Kamuoyu Görüşüne Açtı

Hukuk Bültenleri
Bilgi Teknolojileri ve Telekomünikasyon
Genel

         Bu bültenimizi podcast olarak da dinleyebilirsiniz!

 

Yeni gelişme

Kişisel Verileri Koruma Kurumu (“Kurum“) 16 Haziran 2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağını (“Rehber“) kamuoyu görüşüne açtı. İlgililer 16 Temmuz 2022 tarihine kadar görüş ve önerilerini Kurum’a iletebilecek. Rehber’e buradan ulaşabilirsiniz.

Rehber ne diyor?

Rehber genel olarak sadakat programları kapsamında kişisel verilerin işlenmesine ilişkin örnekleri de içeren detaylı açıklamalara yer vermektedir. Rehber’de ele alınan önemli hususlar aşağıdadır:

  • Rehber öncelikli olarak sadakat programlarının tanımını yaparak tarihçesi ve türlerini açıklamaktadır. Rehber sadakat programlarını “Müşterinin işletme açısından belirli ya da belirlenebilir olmasını sağlayacak kişisel verilerinin işlenmesi suretiyle alışveriş karşılığında çeşitli kriterler çerçevesinde müşteriye puan/hediye/avantaj sağlanması, müşterinin alışveriş alışkanlıklarının takip edilmesi, işlenen kişisel verilerin analiz edilmesi suretiyle kişiselleştirilmiş ürün/hizmet teklifleri sunulması gibi stratejilerin tamamının veya bazılarının firmalarca tek taraflı veya bir program ortaklığı kapsamında uygulanması yoluyla müşteriye menfaat sağlarken aynı zamanda uygulayıcı firmanın satış ve karlılığını artırmayı hedefleyen programlar” olarak tanımlamaktadır. Sadakat programları kapsamında veri sorumluları ise sadakat programı uygulayıcıları olarak belirlenmiştir. Rehber ilgili kişi olarak ise sadece müşterileri ele almaktadır.
  • Rehber uyarınca sadakat programları kapsamında genel olarak (i) müşteriler tarafından aktif ve gönüllü bir şekilde sağlanan, (ii) müşteriler tarafından pasif olarak sağlanan ve (iii) diğer kaynaklardan sağlanan olmak üzere üç farklı kişisel veri kategorisinde veri işlenmektedir. Kişisel verilere ilişkin detaylı bir liste Rehber’in ekinde paylaşılmıştır.
  • Sadakat programları kapsamında kişisel verilerin işlenme amacına göre hukuki sebebin belirlenmesi gerektiği belirtilmiştir. Sadakat programı bir sadakat sözleşmesine istinaden gerçekleştiriliyorsa bu kapsamda sözleşmenin ifası şartına dayanılabilecektir. Örneğin, sadakat sözleşmesi kapsamında müşterinin kazandığı puanların hesaplanması, bilgi verilmesi vb. faaliyetlerde sözleşmenin ifası şartına dayanılmasının mümkün olduğu belirtilmiştir. Ancak, sadakat sözleşmesinin amacını aşarak müşteriyi tanıma ve ona özel fırsatlar sunma gibi faaliyetler yürütüldüğü takdirde sözleşmenin ifası şartına dayanılamayacaktır ve işleme faaliyeti özelinde hukuki sebeplere ilişkin değerlendirme yapılması gerekecektir. Rehber’de, Kurum profilleme faaliyetlerine de değinmektedir. Profilleme amacıyla gerçekleştirilen veri işleme faaliyetlerinin sözleşmenin ifası kapsamında zorunlu olmadığını ve veri sorumlularının bu tür işlemler için sözleşmenin ifası hukuki sebebine dayanamayacaklarını belirtmektedir.
  • Sadakat programlarına üye olmak için açık rıza verilmesi ise Rehber uyarınca hizmetin açık rıza şartına bağlanması olarak değerlendirilmemiştir. Kurum, sadakat programları kapsamında açık rıza verilmemesi halinde ürün/hizmetin sunulmaması değil, ürün/hizmetin ek menfaat olmaksızın sunulmasının söz konusu olduğunu ve bu nedenle hizmetin açık rıza şartına bağlanmadığını ifade etmektedir. Ancak, yapılan indirim ve sağlanan avantaj oranının önemli bir dezavantaja sebebiyet vermemesi gerekmektedir.
  • Sadakat programı kapsamında elektronik ticari ileti gönderimi için ise Rehber uyarınca onay alınması gerekmektedir. İlaveten, Kurum, kişisel verilerin müşteriyi tanımak için işlenmesi ile ticari elektronik ileti gönderilmesi için işlenmesinde işleme amacının farklı olduğunu belirtmiştir. Bu kapsamda, sadakat programına üye olan kişinin iletişim bilgilerinin ticari ileti göndermek için kullanılıp kullanılamayacağına ilişkin olarak veri sorumlusu bir değerlendirme yapmalıdır.
  • Rehber uyarınca sadakat programları kapsamında veri sorumluları aydınlatma yükümlülüğünü yerine getirmelidir. Kurum, genel (şemsiye) aydınlatma yerine veri işleme faaliyetleri özelinde aydınlatma yapmalarının daha doğru bir yaklaşım olacağını belirtmiştir. Kurum, aydınlatma yükümlülüğünü yerine getirirken indirim, puan gibi ek menfaatler ve bu menfaatlere ilişkin veri aktarımlarının detaylı şekilde belirtilmesi gerektiğinin altını çizmiştir. Ayrıca ortak programlarda ortaklardan birisi kişisel verileri reklam göndermek için kişisel veri işler ise buna ilişkin rıza alınmalı ve aydınlatma yapılmalıdır.
  • Rehber’de radyo frekans tanımlama teknolojisinin (RFID) pazarlama faaliyetleri kapsamında kullanılmasına ilişkin prensiplere de yer verilmiştir. RFID’ler, mağazalarda alışveriş yaparken müşteri davranışlarını analiz etmek için kullanılabilir. Kurum, Rehber’de, veri sorumlularının RFID’leri, özellikle veri minimizasyonu ilkesini dikkate alarak dikkatli bir şekilde kullanması gerektiğini belirtmiştir.

Sonuç

Kurum, sadakat programı kapsamında veri işleme faaliyetlerine ilişkin önemli yönlendirmelerde bulunmaktadır. Rehber, 16 Temmuz 2022 tarihine kadar kamuoyu görüşüne açıktır. İlgililer, bu tarihe kadar yorum ve önerilerini Kurum’a iletebileceklerdir.