HUKUK & DANIŞMANLIK
Sadakat Programlarına İlişkin Kişisel Verileri Koruma Kurumu Tarafından Yayımlanan Rehber Taslağı
Sadakat Programlarına İlişkin Kişisel Verileri Koruma Kurumu Tarafından Yayımlanan Rehber Taslağı
Kişisel Verileri Koruma Kurumu tarafından “Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı” 16.06.2022 tarihinde kamuoyu ile paylaşılmıştır.
Rehber tarafından sadakat programı şöyle tanımlanmıştır:
“Müşterinin işletme açısından belirli ya da belirlenebilir olmasını sağlayacak kişisel verilerinin işlenmesi suretiyle alışveriş karşılığında çeşitli kriterler çerçevesinde müşteriye puan/hediye/avantaj sağlanması, müşterinin alışveriş alışkanlıklarının takip edilmesi, işlenen kişisel verilerin analiz edilmesi suretiyle müşteriye kişiselleştirilmiş ürün/hizmet teklifleri sunulması gibi stratejilerin tamamının veya bazılarının firmalarca tek taraflı veya bir program ortaklığı kapsamında uygulanması yoluyla müşteriye menfaat sağlarken aynı zamanda uygulayıcı firmanın satış ve karlılığını artırmayı hedefleyen programlar.”
Rehber taslak kapsamında sadakat programlarının tarihçesi, tanımı, veri sorumlusu, işlenen kişisel veriler, işleme şartları, sadakat programları kapsamında yürütülen veri işlemelerinin hukuka uygunluk sebepleri uyarınca değerlendirilmesi, açık rıza gerekliliği ve program sözleşmesinin açık rıza şartına bağlanıp bağlanamayacağı, kişisel verilerin ticari elektronik ileti gönderilmek amacıyla işlenmesi, veri işleme faaliyetlerinin genel ilkeler uyarınca değerlendirilmesi, sadakat programlarında aydınlatma yükümlülüğü, veri güvenliği, sonuç ve öneriler başlıklarına yer verilmiştir.
Sadakat programları kapsamında kişisel verilerin işlenmesinde genel ilkelere uygunluk, hukuka uygunluk nedeninin belirlenmesi, açık rızanın hukuka uygun şekilde alınması, aydınlatma yükümlülüğünün yerine getirilmesi, ticari elektronik ileti göndermek amacıyla kişisel verilerin işlenmesi konularında hatalı ve mevzuata uygun olmayan uygulamaların söz konusu olması nedeni ve bu aykırılıkların bertaraf edilmesi amacıyla rehber kapsamında incelenen örneklerden yola çıkarak şu sonuçlara ulaşılmıştır:
- Sadakat programları kapsamında işlenen kişisel veriler bakımından işleme amacı gözetilerek hukuka uygunluk nedeninin doğru tespit edilmesi,
- Aydınlatma yükümlülüğünün mevzuata uygun şekilde yerine getirilmesi ve açık rızaya dayanarak işlenen kişisel veriler bakımından açık rıza alma ve aydınlatma işlemlerinin ayrı ayrı gerçekleştirilmesi,
- Açık rıza kapsamındaki işlemeler için genel nitelikte rızalar alınması yoluna gidilmemesi,
- Sadakat programı kapsamındaki bazı kişisel veriler Kanun’un 5’inci maddesinin 2 numaralı fıkrasındaki hukuka uygunluk nedenleri kapsamında işleniyor ise ayrıca açık rıza alma yoluna gidilmemesi,
- Açık rıza beyan metinleri ile aydınlatma metinlerinin sözleşme hükümleri içine yerleştirilmemesi,
- Aydınlatmanın açık, anlaşılır olma kriterlerinin yerine getirilmesi, kişisel verilerin aktarılmasına ilişkin açıklamaların net ve şüpheye mahal vermeyecek şekilde yapılması,
- Ölçülülük ilkesinin gözetilmesi ve işleme amacına uygunluk başta olmak üzere genel ilkelere uygun hareket edilmesi,
- Açık rızanın sadakat programı kapsamında sunulan mal/hizmetin koşulu olarak sunulmadığını kabul edebilmek ve bu bağlamda verilen açık rızanın hukuka uygunluğundan (özgür iradeye dayalı olmasından) söz edebilmek için sadakat programı kapsamında sağlanan avantajın makul olmasının ve ilgili kişinin önemli bir dezavantaja uğramamasının veri sorumlusunca temin edilmesi,
- Sadakat programı kapsamında ticari elektronik ileti gönderebilmek için gerekli iznin/onayın/rızanın, ayrıca/ayrıştırılarak alınmış olması,
- Sadakat programları kapsamında işlenen kişisel veriler bakımından veri güvenliğine ilişkin yükümlülüklerin yerine getirilmesi.
Gerektiği değerlendirilmiş olup, sadakat programı uygulayıcısı veri sorumlularının bu hususlarda gerekli önlemleri almalarının uygun olacağı değerlendirilmiştir.
Kamuoyu ile paylaşılan Taslak Rehber’e ilişkin görüş ve değerlendirmelerin 16 Temmuz 2022 tarihine kadar yazı ile Kurum’a ve/veya e-posta ile sadakat@kvkk.gov.tr elektronik posta adresine gönderilmesi mümkündür.