Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesi
Giriş
Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin değerlendirilmesinin ardından Rehber Taslağı nihai hale getirilecektir.
Tarihi, Amacı ve Kapsamı
İlk örnekleri günümüzdeki şeklini tam karşılayacak biçimde olmasa da dünyada Sadakat Programlarının geçmişi, 1793’lere dayanır. 1793’lerde bakır jeton ile kendini göstermeye başlayan sadakat programları 1980’lerde, istikrarın sağlanması amacıyla Amerikan havayolu şirketleri tarafından uygulanmaya başlanmış ve günümüz sadakat programlarına rol model oluşturmuştur. Günümüzde hemen hemen her yer ve her sektörde sadakat programlarının uygulandığı görülür. Perakendeciler, hava yolu şirketleri, oteller, telekomünikasyon şirketleri, akaryakıt istasyonları gibi birçok işletme bunlara örnek olarak gösterilebilir. Türkiye’de ise sadakat programlarının kullanımı organize gıda perakendeciliğinin gelişimi ile başlamış ve daha sonra bankacılık başta olmak üzere gıda, telekomünikasyon, ulaşım, giyim, otomotiv, akaryakıt, kozmetik gibi pek çok alana yayılmıştır.
Sadakat programlarının kullanıldığı alanların çoğalmasıyla birlikte gelişen teknolojinin de yardımıyla daha fazla kişisel veri işlenmeye başlamış ve bu işlenen veriler teşebbüslerin arşivlerindeki veri gruplarını oluşturmaya başlamışlardır. Büyük veri olarak da anılan bu veri grupları teşebbüslerin elinde bir güç olarak anılmaya başlamıştır. Dolayısıyla uzunca bir süre bir sorun olarak karşımıza çıkmayan veri kavramının güçle bağdaştırılması sonucunda, oldukça fazla kişisel veri sirkülasyonuna sebep olan sadakat programlarının da kişisel verilerin korunması hukuku ve rekabet hukuku çerçevesinde ele alınması gerekliliği doğmuştur. Rehber Taslağı, sadakat programlarının kişisel verilerin korunması mevzuatı çerçevesinde incelenmesi amacıyla Kişisel Verileri Koruma Kurumu tarafından hazırlanmış olup rekabet hukuku kapsamında herhangi bir analiz içermez. Rehber Taslağı’nda sadakat programlarının gelişimi, tarihçesi, tanımına yer verilmiş ve ardından sadakat programları uygulamalarının kişisel verilerin korunması hukuku kapsamında dikkat edilmesi gereken noktalara yer verilmiştir.
Sadakat Programının Tanımı
Rehber Taslağı’nda sadakat programları, “Müşterinin işletme açısından belirli ya da belirlenebilir olmasını sağlayacak kişisel verilerinin işlenmesi suretiyle alışveriş karşılığında çeşitli kriterler çerçevesinde müşteriye puan/hediye/avantaj sağlanması, müşterinin alışveriş alışkanlıklarının takip edilmesi, işlenen kişisel verilerin analiz edilmesi suretiyle kişiselleştirilmiş ürün/hizmet teklifleri sunulması gibi stratejilerin tamamının veya bazılarının firmalarca tek taraflı veya bir program ortaklığı kapsamında uygulanması yoluyla müşteriye menfaat sağlarken aynı zamanda uygulayıcı firmanın satış ve karlılığını artırmayı hedefleyen programlar”[1] şeklinde tanımlanır.
Sadakat Programlarının Kişisel Verilerin Korunması Hukuku Çerçevesinde Değerlendirilmesi
İşlenen Veri, Veri Sorumlusu ve İlgili Kişi
Sadakat uygulamaları kapsamında, (i) müşteri tarafından aktif ve gönüllü bir şekilde sağlanan kişisel veriler (üyelik formunda yer alan isim, iletişim bilgileri ve benzeri bilgiler müşteri tarafından bizzat doldurulması suretiyle işlenebilmektedir), (ii) müşteri tarafından pasif olarak sağlanan kişisel veriler (sadakat programının mobil uygulama üzerinden kullanılması halinde IP’sinin işlenmesi, konum verisinin işlenmesi gibi), (iii) diğer kaynaklardan sağlanan müşteri verileri (bir müşteri tarafından aktif olarak sağlanan verileri, pasif olarak toplanan diğer kullanıcı verilerini veya tanımlanmamış veri kümelerinden alınan verileri analiz ederek ve bu birleşik verilere dayanarak analizler yapılması yoluyla elde edilen veriler gibi) işlenir.
Rehber Taslağı’nda sadakat programı uygulayıcıları veri sorumlusu olarak tanımlanır. Rehber Taslağı sadece müşteri odaklı sadakat programlarına ilişkin bilgilere yer verdiğinden, bu programlara üye olan kişiler ilgili kişi olarak tanımlanır.
Hukuka Uygunluk Sebepleri
Sadakat programı uygulamasında, çoğunlukla anılan programlardan yararlanabilmek, ilgili firmadan mal veya hizmet alma şartına bağlanır. Bu nedenle program kapsamında işlenen kişisel verilerin; sözleşmenin taraflarına ait kişisel verilerin işlenmesi, hukuki yükümlülüğün yerine getirilmesi, kanunlarda açıkça öngörülmesi ve benzeri hukuka uygunluk sebeplerine dayanılarak işlenmesi mümkündür. Yalnız bu hukuka uygunluk sebeplerinin varlığı halinde açık rıza aranmayacağından dolayı, kişisel veriyi işleyen firmanın işleme amaçlarını açıkça ortaya koyması gerekir. Örneğin, bir sözleşmenin ifası için şart olan kişisel verilerden daha fazla kişisel veri işlenmesi, profilleme yoluna gidilmesi, firmanın satış stratejisinin belirlenmesi durumunda sözleşmenin kurulması ve ifası amacıyla kişisel verinin işlendiğinin kabulü mümkün olmayacaktır. Genel olarak, Rehber Taslağı’nda sözleşmenin kurulması ve ifası için gerekli olan verilerin dar bir şekilde yorumlandığı söylenebilir. Öteki taraftan, Rehber Taslağı’nda sadakat programı kapsamında kişilerin puanlarının hesaplanması, kazandığı puanlarla ilgili kişiye bilgi verilmesi, kullanım süresi dolacak puanların hatırlatılması gibi amaçlarla bilgi vermek üzere kişisel verilerin işlenmesi durumunda, sözleşmenin ifası hukuka uygunluk nedenine dayanılabileceği belirtilir. Buna ilaveten Rehber Taslağı, Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin 7’nci maddesine atıf yapar ve söz konusu promosyonlar için ticari elektronik ileti onayının haricinde başkaca bir onaya ihtiyaç duyulmadığını vurgular.
Bir diğer önemli nokta ise hukuka uygunluk sebeplerinden meşru menfaat ile ilgilidir. Rehber Taslağı’nda, bir kişisel verinin meşru menfaat çerçevesinde işlenebilmesi için "meşru menfaatin hali hazırda belirli olması, ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmemesi, söz konusu meşru menfaate ulaşmak için veri sorumlusunun ilgili kişinin temel hak ve özgürlüklerine daha az müdahale eden başkaca bir yolunun olmaması şartlarının gerçekleşmiş olması" gerektiği ifade edilir.
Açık Rıza ve Aydınlatma Metinleri
Açık rıza; “kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi.” şeklinde tanımlanır. Rehber Taslağı’nda açık rıza ayrıntılı olarak ele alınmakla birlikte öncelikle açık rızanın şekli bakımından açıklamalara yer verilir. Bu minvalde; açık rıza alınarak kişisel verilerin işlenmesi gereken durumlarda açık rıza alınması ve aydınlatmanın yapılmasının ayrı ayrı gerçekleştirilmelidir.
Rehber Taslağı, sadakat program kapsamında alınan açık rızanın üç unsuru sağlaması gerektiğinin altını çizer. Buna göre açık rıza; (i) belirli bir konuya ilişkin olmalı, (ii) bilgilendirmeye dayanmalı ve (iii) özgür irade ile açıklanmalıdır.
Belirli bir konuya ilişkin olma:
Açık rızanın belirli bir konuya ilişkin ve o konuyla sınırlı olmasını ifade eder. Açık uçlu ve belirsiz açık rızalar kabul edilmeyeceği gibi daha sonrasında işleme amacının değişmesi ya da ikincil işlemlere gerek duyulması durumunda yenide açık rıza alınması gerekir.
Bilgilendirmeye dayanma:
Bu şart aydınlatma metinleriyle ilişkilidir. Buna göre aydınlatma metinleri, mutlaka veri işlenmeden önce yapılmalı ve açık ve anlaşılır olmalıdır. Konuya ilişkin Kişisel Verilerin Korunması Kurulu’un (“Kurul”) 05.07.2019 tarih ve 2019/198 sayılı kararında, “sadakat programı sunan veri sorumlularının aydınlatma yükümlülüğünü yerine getirirken açık ve anlaşılır olma kriterini tam anlamıyla sağlamak adına gerekli önlemleri almaları, duruma göre sadakat programı müşterilerine özel aydınlatma metni hazırlanması veya veri sorumlusunun tüm veri işleme süreçlerine ilişkin genel nitelikteki aydınlatma metinlerinde sadakat programı kullanıcılarına özel açıklamalara yer verilmesinin (link verme, katmanlı aydınlatma yapma gibi yöntemler ile) uygun olabileceği” değerlendirilir.
Özgür iradeyle açıklanma:
Açık rızanın özgür iradeyle verilmiş olması şartının sağlanması bakımından kural olarak hizmetin açık rıza şartına bağlanmaması gerekir. Örneğin; bir hizmetten yararlanılabilmesi için müşterilere üyelik şartı koşulduğu durumlarda özgür iradenin varlığından söz edilemez. Diğer taraftan Kurul’un da kabul ettiği gibi, şirketlerin açık rıza verilmemesi halinde aynı hizmeti ek menfaat olmadan sunmaya devam etmesi durumunda açık rızanın varlığı kabul edilir.[2]
Genel İlkeler
Rehber Taslağı’nda, Kurul’un da kabul ettiği gibi, sadakat programları kapsamında, tüm veri işleme faaliyetlerinde olduğu gibi “hukuka ve dürüstlük kurallarına uygun olma”, “doğru ve gerektiğinde güncel olma”, “belirli, açık, meşru amaçlar için işlenme”, “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ve “ilgili mevzuatta öngörülen veya işlendikleri amaç için geçerli olan süre kadar muhafaza edilme” ilkelerine uygun davranılması gerektiğinin altı çizilir.[3]
Sadakat programlarının kendine özgü nitelikleri dikkate alındığında, söz konusu programlar sosyal medya üzerinden de üyelik ve oturum açma imkânı sağlarlar. Bu nedenle Rehber Taslağı, kişisel verilerin açık rızaya istinaden işlenmesi durumlarında dahi veri minimizasyonu ve amaçla bağlılık ilkesine riayet edilmesi gerektiğini vurgular.
Son olarak, Rehber Taslağı veri güvenliği bakımından da açıklamalar içerir. Bu kapsamda, sadakat program uygulayıcısı, tüm kişisel veri süreçlerindeki gibi sakadât program kapsamında işlediği verileri veri güvenliğinin gerektirdiği şartlar bakımından işlemeli ve muhafaza etmesi gerektiği belirtilir. Konuya ilişkin alınması gereken önlemler, Kurul’un, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" konulu, 31.01.2018 tarih ve 2018/10 sayılı kararında yer alır.
Sonuç
Sadakat programları, kolay erişebilir, ücretsiz ve gönüllü olduğundan programların uygulanması esnasında pek çok kişiye erişim sağlanır. Dolayısıyla, işlenen kişisel verilerin adedinin fazlalığı konuya ilişkin hassasiyeti arttırarak Kurum’un Rehber Taslağı’nı yayınlaması sonucunu doğurmuştur. Genel itibariyle, sadakat program kapsamında veri işlenmesi, kişisel verilerin korunması hukukunun kuralları ile uyumlu olmalıdır. Özellikle hukuka uygunluk sebepleri, açık rıza ve aydınlatma metni bakımından karmaşa yaratabilecek bu konu Rehber Taslağı’nda Kurul kararları, yabancı otoritelerin kararları ve örneklerle oldukça detaylı bir şekilde ele alınır ve kafa karışıklıklarının giderilmesine imkân sağlar.
- Sadakat Programlarının Kişisel Verilerin Korunması Hukuku Mevzuatı Kapsamında İncelenmesine İlişkin Rehber, https://www.kvkk.gov.tr/ (erişim tarihi: 21.11.2022)
- Kişisel Verileri Koruma Kurulu’nun 05.07.2019 tarih ve 2019/198 sayılı Kararı.
- Kişisel Verileri Koruma Kurulu’nun 25.03.2019 tarih ve 2019/82 sayılı Kararı.
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Tüm zamanların ilk “Yapay Zekâ Yasası” olarak nitelendirilen ve özellikle ChatGPT, Bard ve Midjourney gibi araçları doğrudan etkileyen kural ve düzenlemeler içeren yasa Avrupa Parlamentosu tarafından 14 Haziran 2023 tarihinde gerçekleşen nihai oylamada oyçokluğuyla kabul edildi. Böylece Avrupa Parlamentosu...
Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...
ChatGPT, OpenAI tarafından geliştirilen büyük dil modelidir. İnsan diline yakın seviyede metin üretmek için derin öğrenme teknikleri ve yapay sinir ağlarına dayanan bir yapay zeka sistemidir. Uzun metinler hazırlayıp sohbet havasında sorulan soruları cevaplayabilen ChatGPT kimi hallerde verdiği cevaplardaki...
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...
Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...
Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...
Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...
Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...
Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...
Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...
Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...
Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...
Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...
