6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") ve ilintili ikincil regülasyonlar ve köşetaşı niteliğindeki kararlar ile Avrupa Birliğince ihdas edilen ilgili düzenlemeler uyarınca Kişisel Verileri Koruma Kurumu ("Kurum"), uzun bir geçmişi bulunan ve bugünlerde gıda perakendeciliğinden telekomünikasyona, kozmetikten e-pazaryeri platformlarına kadar neredeyse her alanda git gide büyük bir yaygınlığa kavuşan ve genellikle sadakat programları olarak nitelendirilen uygulamalar kapsamında kişisel verilerin mevzuata uygun olarak işlenmesine ilişkin olarak bu Rehberi hazırlamış olup kamuoyunun bilgisine sunmuştur.
Bu çerçevede Kurum günlük hayattan ödünç aldığı örnek uygulamalar ve Avrupa Birliği ile Birleşik Krallık pratiklerinden yaptığı mukayeselerle sadakat programlarının kişisel verileri hukuka uygun olarak nasıl işleyebileceği hususunda bir bağlam yaratma yoluna gitmiş ve hizmet sağlayıcıların kendilerini içinde bulabilecekleri gri alanların ortaya çıkmasını engellemek adına bazı çözüm önerilerinde bulunmuştur.
Kurum bu Rehber ile bilhassa vurguyu gerektiren hususlara özellikle aydınlatma yükümlülüğünün mevzuata uygun olarak yerine getirilmesi, açık rıza gerektiren hallerde çerçevesi belirsiz genel rıza beyanlarının tercih edilmemesi başta olmak üzere değinerek uygulamanın kendisini bu regülasyonlar dehlizinde kaybetmemesini ve tüketicilerin ve/veya müşterilerin menfaatlerinin en iyi şekilde sağlanmasını kendisine erek edinmiştir.
Ticari teamülde şirketlerin indirim, eşantiyon, bedelsiz ürün (hediye), başkasıyla değiştirme gibi çeşitli suretlerde promosyonlar sunarak müşterilerini ticari olarak kendilerine bağlamaları için uyguladıkları politika ve araçlar bütünü genel manada sadakat programı olarak nitelendirilmektedir.
Rehber, Türkiye Muhasebe Standartları Kurulu'nun Müşteri Sadakat Programlarına dair tebliğinden ve benzer uygulamaların Avrupa ve Amerika’da ortaya çıkışı sonrası doktrin ve içtihat tarafından getirilen izahatlardan yola çıkarak sadakat programlarını “müşterinin kişisel verilerinin firma tarafından işlenmesi yoluyla müşteriye muhtelif avantajlar sağlarken müşterinin alışveriş rutinlerinin mercek altına alınması ile firmanın ticari menfaat edinecek şekilde müşterilerine özgü ürün/hizmetleri sunmasını olanaklı kılan uygulamalar” olarak tanımlamıştır.
Rehber, Kanun’un tanımlar bölümü ile uyumlu olmak üzere Veri Sorumlusunu “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi”, Veri İşleyeni ise “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler” olarak tanımlamaktadır.
Rehber, sadakat programlarının işlediği kişisel veri bakımından ise sınırlamaya giderek münhasıran sadakat programlarına üye olan gerçek kişileri göz önünde bulundurmuştur. Bununla birlikte, işlenen kişisel veriler müşteri tarafından aktif ve gönüllü şekilde sağlanan kişisel veriler, müşterinin pasif olarak sağladığı kişisel veriler ve diğer kaynaklardan sağlanan müşteri verileri olarak sınıflandırmaya tabi tutulmuştur.
Bir sözleşme tahtında uygulanan Sadakat Programları kapsamında yürütülen veri işleme faaliyetlerinin hukuka uygunluğunun sağlanabilmesi işlenen kişisel verinin sözleşmenin kurulması ve ifası ile ilgili olmasına bağlı kılınmıştır.
Dolayısıyla müşterilerin kişisel verilerinin işlenmesine yönelik olarak verecekleri açık rıza beyanlarının ve aydınlatma metinlerinin sözleşme hükümleri içerisine derç edilmesi, yürürlükteki mevzuat hükümlerine aykırılık teşkil edecektir. Rehber, bu işlemlerin ayrı ayrı gerçekleştirilmesini öngörmüştür.
Rehber, Sadakat Programları kapsamında müşterilerin kişisel verilerinin işlenmesinin müşterilerin spesifikleştirilmiş ve bu hususta bilgilendirilmiş ve özgür iradeleri ile verdikleri rızalarına dayalı olarak gerçekleştirilmesi gerektiğini belirtirken Kurum tarafından hazırlanmış Açık Rıza Rehberi’ne dikkat çekmektedir. Pratikteki en büyük problem noktalarından biri olduğu göz önünde tutulursa hukuka uygun rızanın verilip verilmediğinin belirlenmesine ilişkin uyuşmazlıklarda bu Rehber’in önemli rol oynayacağı şüphesizdir. Ayrıca Açık Rıza Rehberi’nin hukuka uygun rıza konseptini somutlaması uygulamada sadakat programlarının veri işlemesine ilişkin birçok soru işaretini giderir fonksiyon üstlenecektir.
Bununla birlikte şirketlerin, Sadakat Programları çerçevesinde sunacakları ekstra hizmetleri veya ürünleri yukarıda açıklandığı üzere, müşterilerin kişisel verilerinin ilgili programlarca proses edilmesine dair verecekleri rızaya bağlı tutması bireylerin özgür iradelerini ifsat eder nitelikteki servis/malların veri işlenmesine koşullandırılmasına karşılık gelmeyecektir.
Diğer deyişle, müşterilerin sadakat programları kapsamında kendilerine ait kişisel dataları işlemelerine izin vermemeleri halinde Sadakat Programı kapsamında teklif edilecek ek hizmet veya ürünlerden yoksun kalmaları ürün veya hizmetlerin, benzeri koşula bağlanamaması prensibini ihlal etmeyecektir. Rehber’in bu hususta bilhassa Avrupa Birliği Veri Koruma Hukuku El Kitabı’na ve Kurul’un 2019/198 sayılı Kararı’na refere etmesi önem arz etmektedir. Böyle ifade olunmakla birlikte; ilgili veri işleme talebine rızanın hizmet koşulu olarak sunulmadığının kabulü yalnız önerilen avantajın/ekstra hizmetin esas hizmete kıyasla bireyleri önemli bir olanaktan yoksunluğa uğratmaması halinde mümkündür.
Sadakat programlarının talep ettiği veriler arasında bulunan bireylerin her türden iletişim bilgilerinin işlenmesi çoğunlukla müşterilere ticari iletilerin gönderilmesi çerçevesinde yürütülmektedir. Rehber, bu hususu özellikle 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ile mevzubahis kanunun dayanak teşkil ettiği ilgili Yönetmelik hükümleri uyarınca yorumluyor ve sadakat programlarının sunduğu hizmetlerin promosyon niteliği arz etmesine karşın sadakat programı ek servis ve ürünlerinin kendisine bağlı olarak önerildiği asıl sözleşme kapsamında firmanın aldığı ticari elektronik ileti gönderilmesine ilişkin müşteri onaylarının “global” olmadığını, yani sadakat programı için de geçerli olmadığını vurguluyor.
Rehber, sadakat programlarının müşterilerin kişisel verilerini işlemesine yönelik öneri ve uyarılarını sunmakla birlikte Kişisel Verilerin Korunması Kanunu’nun 4’üncü maddesi uyarınca “hukuka ve dürüstlük kurallarına uygun olma”, “doğru ve gerektiğinde güncel olma”, “belirli, açık, meşru amaçlar için işlenme”, “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ve “ilgili mevzuatta öngörülen veya işlendikleri amaç için geçerli olan süre kadar muhafaza edilme” şeklindeki genel ilkelerin hala cari olduğuna atıfta bulunma gereksinimi hissetmiştir.
Bu bağlamda Rehber’de dikkat çekilen Belçika Veri Koruma Otoritesi’nin daha sonra Yüksek Mahkeme tarafından da onaylanmış bir kararında veri minimizasyonu/ölçülülük ilkesi çerçevesinde yaptığı değerlendirmede sadakat programına katılma yöntemi olarak münhasıran vatandaşlık kimlik belgesi ibrazının belirlenmesinin müşterilerin rızalarını iğfal ettiğini tespit etmiştir.
Rehber, sadakat uygulamaları kapsamında veri sorumlularının aydınlatma yükümlülüğü bakımından Kanun’a, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e ve Kurum’un hazırladığı Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi’ne göndermede bulunmakla birlikte bazı hallere ilişkin olarak ek açıklamalarda bulunma gereksinimi duymuştur. Sözgelimi, üçüncü tarafların sunduğu sadakat programlarına müşterilerini yönlendiren firmaların bu hususu herhangi bir muğlaklığa yer vermeksizin aydınlatma metinlerinde bahse konu etmekle yükümlü kılınmıştır.
Bir başka örnek olarak birden fazla şirketin geliştirdiği ortak sadakat programları kapsamında şirketlerin bireysel olarak yürütecekleri veri işleme faaliyetleri tek bir şirketin sunduğu sadakat programı kapsamında ayrıca rızaya tabi ise bu halde de ilgili onayın müşterilerin aydınlatılmasının akabinde alınması gerekmektedir.
Aydınlatma metinlerinin açıklık ve anlaşılırlık kriterlerini karşılaması açısından sadakat programı kapsamında veri sorumluları için; bazı hallerde sadakat uygulaması müşterilerine özel aydınlatma metinleri hazırlanması veya bu kullanıcılara özgü spesifik açıklamalara yer verilmesi şeklinde ek yükümlülükler Rehber kapsamında öngörülmüştür.
Rehber, veri güvenliği açısından halihazırda genel olarak tüm kişisel veri işleme süreçlerine uygulanmakta olan Kanun’un 12’nci maddesi yükümlülüklerine ve Kurul’un “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" Kararına atıfta bulunmakla birlikte sadakat uygulamaları çerçevesinde işlenecek kişisel verilerin hassasiyetini ve mahremiyet derecesini gözeterek yukarıda bahsedilen prensip ve yaklaşımlar nezdinde veri sorumlularının ekstra ihtimam göstermeleri değerlendirmesinde bulunmuştur.
Yukarıda detaylıca izah edildiği üzere Kurum, sadakat programı kapsamında kişisel veri işleme uygulamalarına ilişkin önemli yönlendirmelerde bulunmaktadır.
Rehber taslağı, 16.07.2022 tarihine kadar kamuoyu görüşüne açılmış olup ilgili kimseler bu tarihe kadar yorum ve önerilerini Kurum’a iletebileceklerdir.
Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber’in İncelenmesi