top of page

SADAKAT PROGRAMLARININ KİŞİSEL VERİLERİN KORUNMASI MEVZUATI KAPSAMINDA İNCELENMESİNE İLİŞKİN REHBER YAYINLANDI

GiriÅŸ

Haziran 2022’de, KiÅŸisel Verileri Koruma Kurulu (“KVKK”), Sadakat Programlarının KiÅŸisel Verilerin Korunması Mevzuatı kapsamında Ä°ncelenmesine iliÅŸkin Rehber’in taslağının 2. Versiyonunu  (“Rehber”) yayınladı. Bu Rehber’in, kiÅŸisel verilere iliÅŸkin aydınlatıcı olmakla beraber özellikle veri temelli çalışan ve ürünün tüketici tarafındaki ödemesinin veri üzerinden yapıldığı pazarlarda oluÅŸması muhtemel rekabet hukuku sorunları için de yol gösterici olacağını düÅŸünmekteyiz.

​

Sadakat Programları ve Kişisel Verilerin Arasındaki İlişki

KiÅŸisel verilerin korunması kavramı, Avrupa BirliÄŸi’nde ve  baÅŸka hukuku sistemlerinde 20. Yüzyılın sonuna doÄŸru gündeme gelmeye baÅŸlamış olsa da, Türk mevzuatında kanunlaÅŸması ve doÄŸrudan uygulamaya konulması 2016 yılında 6698 sayılı KiÅŸisel Verilerin Korunması Kanununun (“6298 sayılı Kanun”)yayınlanması akabinde gerçekleÅŸtmiÅŸtir. Veri kavramı içerisinde özel bir alt baÅŸlık olan kiÅŸisel veri kavramı ile birlikte kiÅŸisel verilerin korunması hukuku, teknolojik geliÅŸmeler doÄŸrultusunda her geçen gün daha fazla önem kazanmakla beraber, gerek mevzuatımızın görece yeni olmasından, gerekse mevzuat çalışmalarında örnek alınan Avrupa BirliÄŸi uygulamasının da birtakım konularda henüz oturmamış olması sebebiyle, deÄŸiÅŸmeye geliÅŸme fazlasıyla açıktır. Bu nedenle, güncel geliÅŸmeler ve uygulamalar ışığında mevzuatımızın  sadakat programlarına doÄŸru ÅŸekilde uygulanabilmesi için KVKK tarafından, tarafımızca incelenen rehberin hazırlanması ihtiyacı doÄŸmuÅŸtur.

Sadakat programları, piyasada sürekli artan rekabet koÅŸulları içerisinde belirli ödüllendirme ve yarar saÄŸlama sistemleriyle sadık müÅŸteriler kazanmak için yapılan paketler olarak tanımlanabilmektedir. Düzenli alım yapılan müÅŸteriler bu programların hedefindedir. Eski zamanlardan beri varolan bu sistem günümüzde teknoloji ile birlikte geliÅŸerek neredeyse tüm ÅŸirketler tarafından kullanılmaya baÅŸlanmıştır. Sadakat programlarını aÅŸağıdaki gibi sıralandırabiliriz:

  1. Puan tabanlı sadakat programları belirli müÅŸteri davranışı sonucu onlara puan kazandırarak bu puanları ödül için kullanma imkanı tanımaktadır;

  2. Katmanlı sadakat programlarında müÅŸteriler diÄŸer aÅŸamalara geçip ayrıcalıklardan yararlanmak için belirli bir harcama limitine ulaÅŸmaya çalışmaktadır;

  3. Ücret tabanlı/ VIP üyelik sadakat programları ödeme yapan müÅŸterilere özel ödüller ve teÅŸvikler sunarak çok fazla alışveriÅŸ yapılmasını saÄŸlamaktadır

  4. Geri ödemeli sadakat programları belirli bir tutar para harcadıktan sonra belirli bir tutarı müÅŸteriye iade etmektedir; ve

  5. DeÄŸere dayalı programlar müÅŸterilerin etik deÄŸerlerine yönelmektedir.

Son olarak da ortaklık programları ve oyun programları olarak sadakat programların türlerini saymak mümkündür. Uygulamada, bu program türlerinin kombine veya bir baÅŸka deÄŸiÅŸle bir arada olarak da karşımıza çıktığını söyleyebiliriz. Örnek olarak, oyun programları ile seviye atlayarak katmanlı sistemin birlikte kullanılması çok yaygındır. Åžirketler için bu programların seçiminden sonra seçilen program için nasıl bir teknoloji kullanılacağı da büyük önem taşımaktadır. Bu teknolojilere mikroçip, barkod, kart gibi teknoloji kullanımı örnekleri ni verebiliriz. Bu teknolojiler müÅŸterilerin profilini oluÅŸturarak ve alışveriÅŸ hareketlerini takip ederek büyük veri (“big data”) analizi yapmaktadır. MüÅŸteri kiÅŸisel verilerini sadakat program kapsamında bir maÄŸazadan alışveriÅŸ yaparak paylaÅŸabileceÄŸi gibi üyelik gibi bilgi paylaşımı gerektiren formlar ile de yapabilmektedir. Bu kiÅŸisel veriler günümüz dünyasında önemli bir ekonomik deÄŸer taşımaktadır ve ÅŸirketler baÅŸka ÅŸirketler ile bu verileri paylaÅŸarak para kazanabilmekte, uyumlu eylem gösterebilmekte veya piyasanın yapısında deÄŸiÅŸiklik meydana getirebilmektedir. Bu bakımdan sadakat programları kapsamında kiÅŸisel verilerin korunması aynı zamanda rekabet hukuku ihlalleri açısından özel bir önem teÅŸkil etmektedir.

​

Kişisel Verilerin İşlenme Şartları

KiÅŸisel verilerin iÅŸlenmesi faaliyeti belirli ÅŸartlara tabi tutulmuÅŸtur. Bu iÅŸleme, ilk olarak ÅŸartlara yön veren hukuka uygunluk sebepleri açısından deÄŸerlendirilmeler yapılacaktır. Åžirketten bir mal veya hizmet satın alındığında ya da alacak olunduÄŸunda Kanunun 5. Maddesinin 2. Fıkrası uyarınca ilgili kiÅŸinin açık rızası olmaksızın teslimata ve faturaya iliÅŸkin bilgiler gibi bazı bilgileri iÅŸlemek hukuka uygundur. Bu iÅŸlenen bilgilerin bu kapsamda olabilmesi için sözleÅŸmenin kurulması ve ifasıyla doÄŸrudan baÄŸlantılı olmaları gerekir ve baÄŸlantı dar kapsamda yorumlanır. Bu bilgiler belirtilen kanun dışında müÅŸterilerin meÅŸru menfaatine de dayanarak iÅŸlenebilmektedir. Ancak bu menfaat KVKK tarafından alınan bir kararda açık kriterlere baÄŸlanmıştır. Ä°lgili karar kısaca özetlenirse; meÅŸru menfaatin hali hazırda belirli olması, ilgili kiÅŸinin temel hak ve özgürlüklerinin ihlal edilmemesi, söz konusu meÅŸru menfaate ulaÅŸmak için veri sorumlusunun ilgili kiÅŸinin temel hak ve özgürlüklerine daha az müdahale eden baÅŸkaca bir yolunun olmaması ÅŸartlarının gerçekleÅŸmiÅŸ olması gerekmektedir. Sadakat programları bakımından önemli olan bir konu açık rızadır. Açık rıza kavramı,  6298 sayılı Kanun’un tanımlar baÅŸlıklı 3’üncü maddesinin 1’inci fıkrasının (a) bendinde açık rıza, “belirli bir konuya iliÅŸkin, bilgilendirmeye dayanan ve özgür irade ile açıklanan rıza” olarak tanımlanmış olup, kiÅŸisel verilerin iÅŸlenme ÅŸartlarını düzenleyen 5’inci maddesinin 1’inci fıkrasında kiÅŸisel verilerin ilgili kiÅŸinin açık rızası dışında iÅŸlenemeyeceÄŸi düzenlenmiÅŸtir. Bu açık rıza tanımda görüldüÄŸü üzere belirli unsurlara sahiptir. Bunlar; belirli bir konuya iliÅŸkin olma, bilgilendirmeye dayanma ve özgür irade ile verilmiÅŸ olmasıdır. Bu unsurlar ışığında açık rızanın açık uçlu ve belirsiz olmasının, iradeyi sakatlayan cebir, tehdit, hile gibi ÅŸeylere dayanmasının imkanının olmadığını söylemek gerekir. Açık rızanın sınırlarını belirlemek adına, KVKK tarafından “Açık rıza rehberi” yayımlanmıştır, bu rehberde daha detaylı bilgilere ulaÅŸmak mümkündür. Konumuz Rehber kapsamında yorumlamak gerekirse hizmet kural olarak açık rızaya baÄŸlanmaz fakat belirli koÅŸulların varlığı halinde sadakat uygulamasına katılmak için verilerin iÅŸlenmesine açık rıza verilmesinin veri sorumlusunca talep edilmesi hem Avrupa BirliÄŸi mevzuat ve içtihatları hem de Türkiye’deki kiÅŸisel verileri koruma mevzuatı ile uygulamalarına göre hukuka uygun niteliktedir. Sadakat programları kapsamında açık rıza verilmemesi halinde ürün veya hizmetin sunulmaması deÄŸil, ürün veya hizmetin ek menfaat olmaksızın sunulması söz konusudur. Bu sonuca varabilmek için kullanılacak kıstas kiÅŸinin özgür iradesini etkilemeyecek boyutta bir avantaj saÄŸlanıp saÄŸlanmadığıdır, zira hizmetten alınacak menfaati önemli ölçüde etkileyen bir uygulama olması halinde bu durumda özgür irade ile alınmış bir karardan söz etmek mümkün olmayacaktır.

Sadakat programları kapsamında kiÅŸisel veriler ticari elektronik ileti gönderilmek amacıyla da iÅŸlenebilmektedir. 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun hükümlerine göre, ticari elektronik ileti, “telefon, çaÄŸrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleÅŸtirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletiler” olarak tanımlanmaktadır. Firmalar bu kapsamdaki ticari elektronik iletileri kullanarak belirli pazarlama stratejileri uygulamaktadır. Ticari Ä°letiÅŸim ve Ticari Elektronik Ä°letiler Hakkında Yönetmelikteki hükümlerde ticari elektronik iletilerde uyulması gereken usul ve esaslar düzenlenmiÅŸtir. Bu hükümler ticari elektronik iletilerin içeriÄŸini ve kullanım ÅŸekillerini açıkça belirlemiÅŸtir. Ä°lk olarak ticari elektronik ileti gönderimi için önceden alınmış bir onay arandığını söylemek gerekir. Bu onay reddedilinceye kadar geçerliliÄŸini korur ve bu onayla birlikte bazı temel kiÅŸisel veriler iÅŸlenebilir. KiÅŸisel verilerin iÅŸlenme amacı deÄŸiÅŸiklik gösterebilir. Ä°ÅŸlenme amacının alınan onayın kapsamının dışında olduÄŸu durumlarda yeni bir onay alma zorunluluÄŸu ortaya çıkmaktadır.

6298 sayılı Kanun Genel Ä°lkeler baÅŸlıklı 4’üncü maddesinde, kiÅŸisel verilerin iÅŸlenmesinde uygulanacak genel ilkeler düzenlenmiÅŸtir. Bu genel ilkeler; hukuka ve dürüstlük kurallarına uygun olma, doÄŸru ve gerektiÄŸinde güncel olma, belirli, açık ve meÅŸru amaçlar için iÅŸlenme, iÅŸlendikleri amaçla baÄŸlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya iÅŸlendikleri amaç için geçerli olan süre kadar muhafaza edilme olarak sıralanabilir. Sadakat programları çerçevesinde iÅŸlenen kiÅŸisel veriler de bu genel ilkelere tabiidir. Bu ilkelerin uygulandığı birçok Türk ve yabancı karar mevcuttur.

Sadakat programları kapsamında veri sorumlusunun ilgili müÅŸterileri hangi kiÅŸisel verilerinin, hangi amaçla, kim tarafından iÅŸlendiÄŸi, iÅŸlenen verilerin kimlere ve hangi amaçla aktarılabileceÄŸi, iÅŸlemenin hukuki dayanağının ve yönteminin ne olduÄŸu konusunda aydınlatma yükümlülüÄŸü bulunmaktadır. Bu yükümlülük 6698 sayılı kanun ve Aydınlatma YükümlülüÄŸünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında TebliÄŸ ile düzenlenmektedir. Firmaların müÅŸterilere açık ve anlaşılır aydınlatma metinleri hazırlayarak onaylarına sunması gerekmektedir. Özellikle üçüncü taraflarca sunulan sadakat uygulamalarında ve ortak programlarda bu aydınlatma metinleri müÅŸterilerin verilerinin korunması bakımından daha da önemli bir hale gelmektedir.

Son olarak dikkat çekilmesi gereken nokta sadakat program çerçevesinde iÅŸlenen verilerin güvenliÄŸidir. Genel ilkeler uyarınca amaca baÄŸlı ve ölçülü veri iÅŸleme zorunluluÄŸu devam etmekle beraber özel nitelikli veriler için “Özel Nitelikli KiÅŸisel Verilerin Ä°ÅŸlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" konulu 31 Ocak 2018 tarihli ve 2018/10 sayılı KVKK Kararı dikkate alınmalı ve veri güvenliÄŸi için gerekli önlemler alınmalıdır.

​

Sonuç ve Öneriler

Bu rehberde sadakat programları tanımlanmış ve bu sadakat programları çerçevesinde iÅŸlenen kiÅŸisel verilerin iÅŸlenme ÅŸartları ve süreçleri incelenmiÅŸtir. Sadakat programları kapsamında baÅŸta tüketiciler olmak üzere birçok kiÅŸinin büyük miktarda verisi iÅŸlenmektedir. Bu verilerin ekonomik deÄŸer de ihtiva ettikleri göz önünde bulundurulduÄŸunda, hem kiÅŸisel verilerin korunması konusunda hem de rekabet hukuku açısından hukuka uygun olarak iÅŸleniyor olması büyük önem taşımaktadır. KiÅŸisel verilerin iÅŸlenmesinde genel ilkelere uygunluk, hukuka uygunluk nedeninin belirlenmesi, açık rızanın hukuk uygun ÅŸekilde alınması, aydınlatma yükümlülüÄŸünün yerine getirilmesi, ticari elektronik ileti göndermek amacıyla kiÅŸisel verilerin iÅŸlenmesi konularında yapılan hatalı uygulamalar günümüzde mevcuttur ve bu hatalı uygulamaların düzeltilmesi gereklidir. Bu baÄŸlamda veri sorumluların uyması gereken usul ve esasların belirlenmesi önem arz etmektedir. Günümüzde yapılan hatalı uygulamalar göz önüne alındığında firmalara yukarıda incelenmiÅŸ olan hususlar konusunda daha dikkatli ve özenli davranışlar ile önlem alması önerilmiÅŸtir. Bu önlemlerden; açık rıza beyan metinleri ile aydınlatma metinlerinin sözleÅŸme hükümleri içine yerleÅŸtirilmemesi, sadakat programı kapsamında ticari elektronik ileti gönderebilmek için gerekli iznin/onayın/rızanın ayrıca/ayrıştırılarak alınmış olması ve açık rıza kapsamındaki iÅŸlemeler için genel nitelikte rızalar alınması yoluna gidilmemesi örnekleri verilebilir. Tüm bunlar deÄŸerlendirildiÄŸinde, KVKK’nın yayınladığı bu rehber konuya ışık tutmakla beraber, ileriki düzenlemelerin yapılmasında Rekabet Kurulu ile ortak hareket edilmesinin, iki ayrı düzlemdeki uygulamalarda paralellik saÄŸlayacağı ve veri sorumluları için belirsizliÄŸi ortadan kaldıracağı düÅŸünmek yerinde olacaktır.

© Copyright

contact@mc-ls.com

©2022 by mosturoğlu & çopuroğlu legal services.

bottom of page