All Things Newz
Law \ Legal

Sadakat Programları Hakkında Rehber Yolda… – Data Protection



To print this article, all you need is to be registered or login on Mondaq.com.

 

Kişisel Verileri Koruma Kurumu
(“Kurum”) 16 Haziran 2022 tarihinde
internet sitesinde bir  kamuoyu duyurusu yayınlayarak
“Sadakat Programlarının Kişisel Verilerin
Korunması  Mevzuatı Kapsamında
İncelenmesine İlişkin Rehber
Taslağı”nı (“Taslak
Rehber
”) kamuoyu  görüşüne
sundu. Kurum 16 Temmuz 2022 tarihine kadar Taslak Rehber ile ilgili
görüş ve  önerileri topluyor.

Taslak Rehber’de temel olarak, Türkiye ve Avrupa
Birliği’nden piyasa örnekleri ve veri koruma
 otoritelerinin vermiş olduğu kararlardan
örnekler yer alıyor ve veri sorumlularına
çeşitli  tavsiyeler veriliyor.

  1. Sadakat programları kapsamında veri
    işleme sebepleri

Taslak Rehber’de sadakat uygulamaları kapsamında
işlenen kişisel verilere ilişkin olarak
üç  hukuki sebep üzerine duruluyor ancak
Taslak Rehber’deki şu açıklamalar
özellikle dikkat  çekiyor:

a) Sözleşmenin kurulması ve
ifası

Taslak Rehber’de, sadakat programları kapsamında
kişisel veri işlenmesi halinde bazı  durumlarda
sözleşmenin kurulması ve ifası
şartına dayanılabileceğine vurgu
yapılıyor.  Taslak Rehber’e göre:

  • Ne zaman sözleşmenin kurulması ve ifası
    şartına dayanılabilir?
    Sadakat
    programının bir sözleşme kapsamında
    sunulduğu ve kişisel verilerin işlenmesinin  bu
    sözleşmeden doğan yükümlülükleri
    yerine getirmek için gerekli olduğu  durumlarda,
    kişisel verilerin işlenebilmesi için
    sözleşmenin ifası şartına
     dayanılabilir. Sadakat programı kapsamında
    müşterinin kazandığı puanların
     hesaplanması, kazandığı puanlara dair
    kendisine bilgi verilmesi, kullanım süresi  dolacak
    puanların hatırlatılması gibi amaçlar bu
    kapsamda değerlendirilebilir.

  • Ne zaman sözleşmesinin kurulması ve
    ifası şartına dayanılamaz?
    Veri
    sorumlusunun, sadakat uygulamasından yararlanan
    müşterilerinin kişisel  verilerini,
    kişiselleştirilmiş pazarlama yapmak,
    müşterilere özel avantajlar sunmak,
     firmanın satış stratejisini belirlemek gibi
    amaçlarla işlemesi halinde “sözleşmenin
     kurulması ve ifası” şartına
    dayanmak mümkün görünmüyor.  Taslak
    Rehber’de yer alan bu yaklaşımın bizim bu
    konudaki görüşümüzle uyumlu
     olduğunu söyleyebiliriz.   

b) Açık rıza

Taslak Rehber’de açık rıza ve
geçerliliği ile ilgili açıklamalar
yapıldıktan sonra açık  rızaya
dayanan kişisel veri işleme faaliyetleri için
oldukça önemli olan açık rızanın
 hizmetin ön şartı olarak sunulması
yasağına da değiniliyor. Rehber
Taslağı’na göre şu  kriterler
sağlandığında alınan açık
rıza geçerli kabul edilecek:

(i) Müşteri açık rıza
vermediğinde sadakat uygulamasının
ayrıcalıklarından ya da  avantajlarından
yararlanmaz ise de bu durum ürün ve hizmetlerden mahrum
 edilmesi sonucunu doğurmamalıdır
(Örneğin sadakat uygulaması kapsamında
 indirimli olarak satılan (X) ürününü
indirimsiz olarak satın alabilecek),

(ii) Müşterinin mahrum
bırakıldığı ayrıcalık ya da
avantajlar açık rıza vermeyen kişi
 için önemli bir dezavantaja yol açmayacak
ve kişinin özgür iradesi bu husustan
 etkilenmeyecek (Örneğin, mahrum kalınan
indirim tutarı göz ardı edilebilir bir  boyutta
olacak).

Ayrıca Taslak Rehber ticari iletişim rızası
ile kişiselleştirilmiş pazarlama
rızasının  birbirinden ayrılması
gerektiğini ve ayrı şekilde alınması
gerektiğini de vurguluyor.  Taslak Rehber’de yer
alan bu yaklaşımın bizim bu konudaki
görüşümüzle uyumlu  olduğunu
söyleyebiliriz.

  1. Aydınlatma
    yükümlülüğü

Taslak Rehber uyarınca, veri sorumlularının her
kişisel veri işleme faaliyetinde olduğu gibi
 sadakat programları kapsamındaki faaliyetleri
için de kişisel verilerin korunması mevzuatı
 uyarınca ilgili kişileri ayrıca
aydınlatması gerekiyor.

Özellikle üçüncü tarafça
sunulan sadakat uygulamasına katılım sağlayan
firmalar,  müşterilerine bu
üçüncü taraf sadakat uygulamasına
katılım halinde indirim, puan verme gibi  ek menfaat
sağlama yoluna gidiyorlarsa, bu hususa aydınlatma
metninde açıkça yer  vermeliler.

Böyle bir durumda, (i) ilgili kişilerin kişisel
verilerinin hangi tarafça işlendiği, (ii)
aktarımın  kimden kime yapıldığı
gibi konularda ilgili kişi detaylıca
aydınlatılmalı. Öte yandan ortak
 yürütülen sadakat uygulamaları
kapsamında ortaklardan biri kişisel verileri ticari
elektronik ileti  göndermek için işleyecek
ise bu durumda ayrıca aydınlatma yapması ve
açık rıza alması  gerekiyor.

Aydınlatma ve açık rızanın, sadakat
sözleşmesi içerisine yerleştirilmemesi
gerektiği de bir kez  daha vurgulanıyor.

  1. Asgari miktarda ve yalnızca gerekli olan
    kişisel verileri işleme gerekliliği

Taslak Rehber’de birçok noktada veri minimizasyonu
ve ölçülülük ilkelerine uygun
 davranılması gerektiği ve söz konusu
faaliyeti gerçekleştirmek için gerçekten
gerekli olanın  dışında veri
toplanmaması ve işlenmemesi gerektiğine vurgu
yapılıyor.

Bu kapsamda çeşitli örneklere de yer
verilmiş olup bazıları aşağıdaki
gibidir:

  • İlgili kişilerin “online
    reklamcılık ve imkanlardan faydalanmak amacıyla
    uygulama içinde ve dışında ziyaret
    ettikleri
    sayfalarda takip
    edilebileceğini
    ” belirten bir metinle ilgili
     olarak böyle bir veri işlemenin Kanundaki genel
    ilkelere (özellikle ölçülülük
    ilkesine)  aykırı olduğu,

  • Sadakat kart uygulaması için özel
    nitelikli kişisel verilerin
    toplanmasının
    ” veri minimizasyonu ilkesine
    aykırı olabileceği,

  • Alışveriş bilgileri, isim soy isim,
    rumuz, cep telefonu, e-mail, doğum tarihi,
    yaşadığı şehir, adres, cinsiyet, medeni
    durum, eğitim düzeyi, ilgi alanları, zevk ve
    beğenileri,  (uygulama yoluyla erişilebilen)
    lokasyon bilgisi
    ” şeklindeki kişisel verilerin
    de bu verilerin  tamamına ihtiyaç duyulup
    duyulmadığının değerlendirilmesi ve
    ihtiyaç duyulmayan veri  setlerinin işlenmemesi
    gerektiği.

Taslak Rehber’de, ayrıca, müşterilerin
sıklıkla satın aldıkları ürünler
için özel teklifler ve  sadakat düzeyine
dayalı olarak sürpriz teklifler sağlamak ve
ödeme işlemlerini hızlandırarak
 müşteri deneyimini geliştirmek
amaçlarıyla kullanılan radyo frekans
tanımlama teknolojilerine
 (“”RFID”) de yer verilerek
bu tür teknolojilerin, sadakat kart programlarında
kullanılmasına  oldukça ihtiyatlı
yaklaşılması ve bu tür teknolojilerin
kullanılmasında veri minimizasyonu  ilkesine
uyulmaya özen gösterilmesi gerektiği ifade
edilmektedir.

  1. Sonuç ve tavsiyemiz

Taslak Rehber henüz taslak aşamasında olmakla
birlikte mevcut uygulama için önemli  hususlara
değindiğinden sadakat programı yürüten
firmaların:

  • kişisel veri işleme faaliyetlerini Rehber
    Taslağı’nı dikkate alarak gözden
    geçirmesi, işleme faaliyetlerine uygun hukuka uygunluk
    nedenlerini belirlemesi,

  • açık rızanın geçersizliğine
    yol açabilecek uygulamalardan kaçınmaları
    ve

  • ortak sadakat program yürütmeleri halinde
    aydınlatma metinlerini Taslak Rehber’de
    öngörüldüğü şekilde
    genişletmelerini tavsiye ederiz.

Ayrıca RFID ya da beacon gibi teknolojiler
vasıtasıyla kişisel veri toplanacak ise buna dair
 süreçlerin dikkatlice kurgulanması ve bu
araçlarla toplanacak kişisel verilere ilişkin
olarak bu  sürece özel (genel ifadeler içeren
açık rıza metinlerinden bağımsız
olarak) açık rıza metni
 hazırlanması ve ilgili kişilere sunulması
bu tür teknolojilerin kullanılmasından
doğabilecek  hukuki risklerin azaltılmasına
yardımcı olabilecektir.

  1. Görüş bildirilmesi

Taslak Rehber’de özellikle sadakat
uygulamalarının değerlendirilmesinde
müşterilerin bir ürün  veya hizmet
satın almış olması gibi ön kabulle hareket
edilmesi ve Taslak Rehber’de yer alan
 değerlendirmelerin ticari iletişim mevzuatı
ile uyumlu olmaması nedeniyle
katılmadığımız bazı  hususlar
bulunuyor.

Bu doğrultuda Kurum’a sunulacak görüş
için hazırlıklarımızı
sürdürüyoruz.  Duyuru metnine ve Rehber
Taslağı’na şu linkten
erişebilirsiniz:

https://www.kvkk.gov.tr/Icerik/7349/-Sadakat-Programlarinin-Kisisel-Verilerin-KorunmasiMevzuati-Kapsaminda-Incelenmesine-Iliskin-Rehber-Taslagi-Hakkinda-Kamuoyu-Duyurusu

The content of this article is intended to provide a general
guide to the subject matter. Specialist advice should be sought
about your specific circumstances.

POPULAR ARTICLES ON: Privacy from Turkey

The ICO Guidelines On UK BCRs

Reed Smith (Worldwide)

The ICO published new guidelines on Binding Corporate Rules (BCRs) on 25 July 2022. There have been significant delays in approvals of UK BCRs by the ICO following Brexit.



Source link

Related posts

IPR Estoppel A Paper Tiger? – Patent

Horace Hayward

From Trainers To Takeaways – Trade Marks Matter In Retail Brand Collaborations – Trademark

Horace Hayward

Federal Contractors Must Act Soon To Object To Planned Disclosure Of EEO-1 Data – Government Contracts, Procurement & PPP

Horace Hayward