top of page

SADAKAT PROGRAMLARININ KİŞİSEL VERİLERİN KORUNMASI MEVZUATI KAPSAMINDA İNCELENMESİNE İLİŞKİN REHBER YAYINLANDI

Giriş

Haziran 2022’de, Kişisel Verileri Koruma Kurulu (“KVKK”), Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı kapsamında İncelenmesine ilişkin Rehber’in taslağının 2. Versiyonunu  (“Rehber”) yayınladı. Bu Rehber’in, kişisel verilere ilişkin aydınlatıcı olmakla beraber özellikle veri temelli çalışan ve ürünün tüketici tarafındaki ödemesinin veri üzerinden yapıldığı pazarlarda oluşması muhtemel rekabet hukuku sorunları için de yol gösterici olacağını düşünmekteyiz.

Sadakat Programları ve Kişisel Verilerin Arasındaki İlişki

Kişisel verilerin korunması kavramı, Avrupa Birliği’nde ve  başka hukuku sistemlerinde 20. Yüzyılın sonuna doğru gündeme gelmeye başlamış olsa da, Türk mevzuatında kanunlaşması ve doğrudan uygulamaya konulması 2016 yılında 6698 sayılı Kişisel Verilerin Korunması Kanununun (“6298 sayılı Kanun”)yayınlanması akabinde gerçekleştmiştir. Veri kavramı içerisinde özel bir alt başlık olan kişisel veri kavramı ile birlikte kişisel verilerin korunması hukuku, teknolojik gelişmeler doğrultusunda her geçen gün daha fazla önem kazanmakla beraber, gerek mevzuatımızın görece yeni olmasından, gerekse mevzuat çalışmalarında örnek alınan Avrupa Birliği uygulamasının da birtakım konularda henüz oturmamış olması sebebiyle, değişmeye gelişme fazlasıyla açıktır. Bu nedenle, güncel gelişmeler ve uygulamalar ışığında mevzuatımızın  sadakat programlarına doğru şekilde uygulanabilmesi için KVKK tarafından, tarafımızca incelenen rehberin hazırlanması ihtiyacı doğmuştur.

Sadakat programları, piyasada sürekli artan rekabet koşulları içerisinde belirli ödüllendirme ve yarar sağlama sistemleriyle sadık müşteriler kazanmak için yapılan paketler olarak tanımlanabilmektedir. Düzenli alım yapılan müşteriler bu programların hedefindedir. Eski zamanlardan beri varolan bu sistem günümüzde teknoloji ile birlikte gelişerek neredeyse tüm şirketler tarafından kullanılmaya başlanmıştır. Sadakat programlarını aşağıdaki gibi sıralandırabiliriz:

  1. Puan tabanlı sadakat programları belirli müşteri davranışı sonucu onlara puan kazandırarak bu puanları ödül için kullanma imkanı tanımaktadır;

  2. Katmanlı sadakat programlarında müşteriler diğer aşamalara geçip ayrıcalıklardan yararlanmak için belirli bir harcama limitine ulaşmaya çalışmaktadır;

  3. Ücret tabanlı/ VIP üyelik sadakat programları ödeme yapan müşterilere özel ödüller ve teşvikler sunarak çok fazla alışveriş yapılmasını sağlamaktadır

  4. Geri ödemeli sadakat programları belirli bir tutar para harcadıktan sonra belirli bir tutarı müşteriye iade etmektedir; ve

  5. Değere dayalı programlar müşterilerin etik değerlerine yönelmektedir.

Son olarak da ortaklık programları ve oyun programları olarak sadakat programların türlerini saymak mümkündür. Uygulamada, bu program türlerinin kombine veya bir başka değişle bir arada olarak da karşımıza çıktığını söyleyebiliriz. Örnek olarak, oyun programları ile seviye atlayarak katmanlı sistemin birlikte kullanılması çok yaygındır. Şirketler için bu programların seçiminden sonra seçilen program için nasıl bir teknoloji kullanılacağı da büyük önem taşımaktadır. Bu teknolojilere mikroçip, barkod, kart gibi teknoloji kullanımı örnekleri ni verebiliriz. Bu teknolojiler müşterilerin profilini oluşturarak ve alışveriş hareketlerini takip ederek büyük veri (“big data”) analizi yapmaktadır. Müşteri kişisel verilerini sadakat program kapsamında bir mağazadan alışveriş yaparak paylaşabileceği gibi üyelik gibi bilgi paylaşımı gerektiren formlar ile de yapabilmektedir. Bu kişisel veriler günümüz dünyasında önemli bir ekonomik değer taşımaktadır ve şirketler başka şirketler ile bu verileri paylaşarak para kazanabilmekte, uyumlu eylem gösterebilmekte veya piyasanın yapısında değişiklik meydana getirebilmektedir. Bu bakımdan sadakat programları kapsamında kişisel verilerin korunması aynı zamanda rekabet hukuku ihlalleri açısından özel bir önem teşkil etmektedir.

Kişisel Verilerin İşlenme Şartları

Kişisel verilerin işlenmesi faaliyeti belirli şartlara tabi tutulmuştur. Bu işleme, ilk olarak şartlara yön veren hukuka uygunluk sebepleri açısından değerlendirilmeler yapılacaktır. Şirketten bir mal veya hizmet satın alındığında ya da alacak olunduğunda Kanunun 5. Maddesinin 2. Fıkrası uyarınca ilgili kişinin açık rızası olmaksızın teslimata ve faturaya ilişkin bilgiler gibi bazı bilgileri işlemek hukuka uygundur. Bu işlenen bilgilerin bu kapsamda olabilmesi için sözleşmenin kurulması ve ifasıyla doğrudan bağlantılı olmaları gerekir ve bağlantı dar kapsamda yorumlanır. Bu bilgiler belirtilen kanun dışında müşterilerin meşru menfaatine de dayanarak işlenebilmektedir. Ancak bu menfaat KVKK tarafından alınan bir kararda açık kriterlere bağlanmıştır. İlgili karar kısaca özetlenirse; meşru menfaatin hali hazırda belirli olması, ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmemesi, söz konusu meşru menfaate ulaşmak için veri sorumlusunun ilgili kişinin temel hak ve özgürlüklerine daha az müdahale eden başkaca bir yolunun olmaması şartlarının gerçekleşmiş olması gerekmektedir. Sadakat programları bakımından önemli olan bir konu açık rızadır. Açık rıza kavramı,  6298 sayılı Kanun’un tanımlar başlıklı 3’üncü maddesinin 1’inci fıkrasının (a) bendinde açık rıza, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür irade ile açıklanan rıza” olarak tanımlanmış olup, kişisel verilerin işlenme şartlarını düzenleyen 5’inci maddesinin 1’inci fıkrasında kişisel verilerin ilgili kişinin açık rızası dışında işlenemeyeceği düzenlenmiştir. Bu açık rıza tanımda görüldüğü üzere belirli unsurlara sahiptir. Bunlar; belirli bir konuya ilişkin olma, bilgilendirmeye dayanma ve özgür irade ile verilmiş olmasıdır. Bu unsurlar ışığında açık rızanın açık uçlu ve belirsiz olmasının, iradeyi sakatlayan cebir, tehdit, hile gibi şeylere dayanmasının imkanının olmadığını söylemek gerekir. Açık rızanın sınırlarını belirlemek adına, KVKK tarafından “Açık rıza rehberi” yayımlanmıştır, bu rehberde daha detaylı bilgilere ulaşmak mümkündür. Konumuz Rehber kapsamında yorumlamak gerekirse hizmet kural olarak açık rızaya bağlanmaz fakat belirli koşulların varlığı halinde sadakat uygulamasına katılmak için verilerin işlenmesine açık rıza verilmesinin veri sorumlusunca talep edilmesi hem Avrupa Birliği mevzuat ve içtihatları hem de Türkiye’deki kişisel verileri koruma mevzuatı ile uygulamalarına göre hukuka uygun niteliktedir. Sadakat programları kapsamında açık rıza verilmemesi halinde ürün veya hizmetin sunulmaması değil, ürün veya hizmetin ek menfaat olmaksızın sunulması söz konusudur. Bu sonuca varabilmek için kullanılacak kıstas kişinin özgür iradesini etkilemeyecek boyutta bir avantaj sağlanıp sağlanmadığıdır, zira hizmetten alınacak menfaati önemli ölçüde etkileyen bir uygulama olması halinde bu durumda özgür irade ile alınmış bir karardan söz etmek mümkün olmayacaktır.

Sadakat programları kapsamında kişisel veriler ticari elektronik ileti gönderilmek amacıyla da işlenebilmektedir. 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun hükümlerine göre, ticari elektronik ileti, “telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletiler” olarak tanımlanmaktadır. Firmalar bu kapsamdaki ticari elektronik iletileri kullanarak belirli pazarlama stratejileri uygulamaktadır. Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelikteki hükümlerde ticari elektronik iletilerde uyulması gereken usul ve esaslar düzenlenmiştir. Bu hükümler ticari elektronik iletilerin içeriğini ve kullanım şekillerini açıkça belirlemiştir. İlk olarak ticari elektronik ileti gönderimi için önceden alınmış bir onay arandığını söylemek gerekir. Bu onay reddedilinceye kadar geçerliliğini korur ve bu onayla birlikte bazı temel kişisel veriler işlenebilir. Kişisel verilerin işlenme amacı değişiklik gösterebilir. İşlenme amacının alınan onayın kapsamının dışında olduğu durumlarda yeni bir onay alma zorunluluğu ortaya çıkmaktadır.

6298 sayılı Kanun Genel İlkeler başlıklı 4’üncü maddesinde, kişisel verilerin işlenmesinde uygulanacak genel ilkeler düzenlenmiştir. Bu genel ilkeler; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için geçerli olan süre kadar muhafaza edilme olarak sıralanabilir. Sadakat programları çerçevesinde işlenen kişisel veriler de bu genel ilkelere tabiidir. Bu ilkelerin uygulandığı birçok Türk ve yabancı karar mevcuttur.

Sadakat programları kapsamında veri sorumlusunun ilgili müşterileri hangi kişisel verilerinin, hangi amaçla, kim tarafından işlendiği, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, işlemenin hukuki dayanağının ve yönteminin ne olduğu konusunda aydınlatma yükümlülüğü bulunmaktadır. Bu yükümlülük 6698 sayılı kanun ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ ile düzenlenmektedir. Firmaların müşterilere açık ve anlaşılır aydınlatma metinleri hazırlayarak onaylarına sunması gerekmektedir. Özellikle üçüncü taraflarca sunulan sadakat uygulamalarında ve ortak programlarda bu aydınlatma metinleri müşterilerin verilerinin korunması bakımından daha da önemli bir hale gelmektedir.

Son olarak dikkat çekilmesi gereken nokta sadakat program çerçevesinde işlenen verilerin güvenliğidir. Genel ilkeler uyarınca amaca bağlı ve ölçülü veri işleme zorunluluğu devam etmekle beraber özel nitelikli veriler için “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" konulu 31 Ocak 2018 tarihli ve 2018/10 sayılı KVKK Kararı dikkate alınmalı ve veri güvenliği için gerekli önlemler alınmalıdır.

Sonuç ve Öneriler

Bu rehberde sadakat programları tanımlanmış ve bu sadakat programları çerçevesinde işlenen kişisel verilerin işlenme şartları ve süreçleri incelenmiştir. Sadakat programları kapsamında başta tüketiciler olmak üzere birçok kişinin büyük miktarda verisi işlenmektedir. Bu verilerin ekonomik değer de ihtiva ettikleri göz önünde bulundurulduğunda, hem kişisel verilerin korunması konusunda hem de rekabet hukuku açısından hukuka uygun olarak işleniyor olması büyük önem taşımaktadır. Kişisel verilerin işlenmesinde genel ilkelere uygunluk, hukuka uygunluk nedeninin belirlenmesi, açık rızanın hukuk uygun şekilde alınması, aydınlatma yükümlülüğünün yerine getirilmesi, ticari elektronik ileti göndermek amacıyla kişisel verilerin işlenmesi konularında yapılan hatalı uygulamalar günümüzde mevcuttur ve bu hatalı uygulamaların düzeltilmesi gereklidir. Bu bağlamda veri sorumluların uyması gereken usul ve esasların belirlenmesi önem arz etmektedir. Günümüzde yapılan hatalı uygulamalar göz önüne alındığında firmalara yukarıda incelenmiş olan hususlar konusunda daha dikkatli ve özenli davranışlar ile önlem alması önerilmiştir. Bu önlemlerden; açık rıza beyan metinleri ile aydınlatma metinlerinin sözleşme hükümleri içine yerleştirilmemesi, sadakat programı kapsamında ticari elektronik ileti gönderebilmek için gerekli iznin/onayın/rızanın ayrıca/ayrıştırılarak alınmış olması ve açık rıza kapsamındaki işlemeler için genel nitelikte rızalar alınması yoluna gidilmemesi örnekleri verilebilir. Tüm bunlar değerlendirildiğinde, KVKK’nın yayınladığı bu rehber konuya ışık tutmakla beraber, ileriki düzenlemelerin yapılmasında Rekabet Kurulu ile ortak hareket edilmesinin, iki ayrı düzlemdeki uygulamalarda paralellik sağlayacağı ve veri sorumluları için belirsizliği ortadan kaldıracağı düşünmek yerinde olacaktır.

© Copyright

contact@mc-ls.com

©2022 by mosturoğlu & çopuroğlu legal services.

bottom of page