A-

A+

KİŞİSEL VERİLERİN KORUNMASI KANUNU (“KVKK”) KAPSAMINDA MÜŞTERİ SADAKAT PROGRAMLARINDA YAPILMASI VE YAPILMAMASI GEREKENLER

Sadakat programları, işletmelerin sadık müşteri kazanmak ve müşterileri ellerinde tutabilmek amacıyla, müşterileri çeşitli yollarla ödüllendirildiği ve böylece müşterilerin firmaya sadakatlerinin sağlandığı sistemlerdir. Tarihi çok öncesine dayanmakla birlikte günümüzde rekabetçi piyasa koşullarının artmasıyla sadakat programları da artış göstermiştir. Programlar, firmaların rekabet gücünü artıran bir unsur olarak kullanılmaktadır.

Sadakat programları kapsamında pek çok kişisel veri işlenir ve firmalarca bu veriler müşterinin işletme açısından belirli ya da belirlenebilir olmasını sağlamak, müşterinin alışveriş alışkanlıklarının takip edilmesini sağlamak, firmanın satış ve karlılığını arttırmak gibi amaçlarla kullanılır. Bu bağlamda, ilgili kişilerin kişisel verileri üzerinde kontrol sahibi olmalarını amaçlayan ve bunun sağlanması için veri sorumlularının uyması gereken usul ve esasları düzenleyen kişisel verilerin korunması mevzuatı, sadakat programları bakımından önem arz etmektedir.

Kişisel Verileri Koruma Kurumu, 16 Haziran 2022’de “Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber” taslağı yayınlamıştır. Kamuoyunun görüşüne ve yorumlarına sunulan bu taslak uyarınca, biz de şirketlerin sadakat kart süreçleri kapsamında işledikleri veriler açısından hangi hususlara dikkat edilmesi gerektiğine ilişkin size yol haritası oluşturmak istedik. Buna göre, uygulamada faydalanabileceğiniz bu kaynağı bilginize sunuyoruz.

YOL HARİTASI

  • Öncelikle, şirketinizin sadakat uygulama politikasına karar vermeniz gerekmektedir. Müşterilerinize ne tür bir sadakat programı uygulayacağınızı belirlemek önem arz etmektedir.
  • Bunun yanında, sadakat programında kullanılacak teknolojiye de karar verilmesi önem arz etmektedir (örneğin; taranabilen barkod, manyetik şerit, akıllı telefonlarda yer alan uygulamalar vs. gibi).
YAPILMASI GEREKENLER YAPILMAMASI GEREKENLER/YAPILMASINA GEREK OLMAYANLAR
GENEL İLKELERE UYGUNLUKKVKKGenel İlkeler başlıklı 4’üncü maddesinde, kişisel verilerin işlenmesinde uygulanacak genel ilkeler düzenlenmiştir. Bu ilkeler “hukuka ve dürüstlük kurallarına uygun olma”, “doğru ve gerektiğinde güncel olma”, “belirli, açık, meşru amaçlar için işlenme”, “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ve “ilgili mevzuatta öngörülen veya işlendikleri amaç için geçerli olan süre kadar muhafaza edilme” ilkeleridir.Tüm kişisel veri işleme süreçlerinde olduğu gibi sadakat programları kapsamında işlenen kişisel veriler bakımından da KVKKda yer alan genel ilkelere uyulması gerekmektedir. Veri işlenmesinde ölçülülük ilkesi gözetilmeli ve işleme amacına uygunluk başta olmak üzere genel ilkelere uygun hareket edilmelidir.   
Veri toplanmasında veri minimizasyonuna dikkat edilmelidir. Örneğin üyelik formu doldurulurken veri sahibinin tam doğum tarihi yerine sadece doğum yılını veya yaşını belirtmesi yeterlidir veya ön ödemeli sadakat kartlarda sadece T.C. Kimlik No ve ad soyad bilgilerinin işlenmesi yeterlidir[1]. Bazı sadakat programlarının sosyal medya platformları üzerinden de üyelik ve oturum açma imkânı sağladıkları ve bu durumda sadakat programı kapsamında kişinin sosyal medyada yer alan kişisel verilerinin de işlenmesi yoluna gittikleri anlaşılmaktadır.Bu durumda, sosyal medya profilindeki kişisel veriler açık rızaya istinaden işlense bile, veri minimizasyonu ve amaçla bağlılık başta olmak üzere genel ilkelere uyumluluk hususunun veri sorumlusunca gözetilmesi gerekmektedir. Genel ilkelere aykırılık halinde, veri işlemesi yapılmamalıdır. 
ÖZEL NİTELİKLİ KİŞİSEL VERİLER Sadakat programı kapsamında özel nitelikli kişisel verilerin işlenmesine neden ihtiyaç duyulduğu, Kanunun 4. maddesinde düzenlenen genel ilkeler bağlamında (özellikle ölçülülük ilkesi çerçevesinde) veri sorumlusu tarafından değerlendirilmelidir.Özel nitelikli verilerin sadakat programı kapsamında işlenecek olması halinde Kurul tarafından belirlenen “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" konulu 31.01.2018 tarihli ve 2018/10 sayılı Kurul Kararı çerçevesinde gerekli önlemlerin alınması gerekmektedir.  Genel olarak özel nitelikli verilerin sadakat programları kapsamında işlenmesi için herhangi bir hukuka uygunluk sebebi olmayacaktır.Rehber’de de belirtildiği üzere “Ancak örneğin özel gereksinimli müşterilerin diğer müşterilerden farklı olarak indirimli fiyatlardan yararlanmasını sağlayacak bir programın öngörülmesi durumunda müşterilerden alınacak açık rıza ile sağlık verisinin meşru bir amaç için kaydedilmesi pek tabi mümkündür
AÇIK RIZANIN HUKUKA UYGUN ŞEKİLDE ALINMASI Sadakat programı kapsamında veri işlenebilmesi için açık rıza alınmasının gerekli olup olmadığı veriler ve işleme amaçları somut bir şekilde ortaya koyularak tespit edilmelidir.Açık rıza alınarak verilerin işlenmesi gerekiyorsa rıza;• belirli bir konuya ilişkin olmalı,• bilgilendirmeye dayanmalı,• özgür irade ile verilmiş olmalıdır.Örneğin Rehber’de belirtildiği gibi sadakat programının bir üyelik sözleşmesi kapsamında sunulduğu ve sözleşmenin kurulması ve ifası ile ilgili olmak koşuluyla müşterinin kişisel verilerinin (örneğin isim ve iletişim bilgilerinin) firma tarafından işlendiği durumda, bu verilerin işlenmesi bakımından açık rıza alınması kural olarak gerekli olmayacaktır; ancak örneğin firma sadakat uygulamasından yararlanan müşterileri profilleme yoluna giderse, bu durumda yeni bir işleme süreci karşımıza çıkmaktadır ve bu durum sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olma durumunu içermediğinden bu hukuka uygunluk nedenine dayanma imkanı bulunmayacaktır. Açık rıza kapsamındaki işlemeler için genel nitelikte rızalar alınması yoluna gidilmemelidir. 
 HUKUKA UYGUNLUK NEDENİNİN BELİRLENMESİ Sadakat programları kapsamında işlenen kişisel veriler bakımından işleme amacı gözetilerek hukuka uygunluk nedeninin doğru tespit edilmesi gerekmektedir.  Sadakat programı kapsamındaki bazı kişisel veriler Kanunun 5’inci maddesinin 2 numaralı fıkrasındaki hukuka uygunluk nedenleri kapsamında işleniyor ise ayrıca açık rıza alma yoluna gidilmemelidir.
Kişisel Veriler ile aydınlatma metninde veri işleme faaliyetinin hangi amaçlarla yapıldığına dair açıklamalar ve KVKK kapsamında hangi hukuka uygunluk sebebine dayanılarak gerçekleştirildiğine dair net bir açıklama birlikte yer almalıdır.Örneğin kişiyi sadakat kart uygulamasından yararlandırmak ve belirlenebilir kılmak amacıyla telefon numarasının işlenmesi ile kişiye ticari elektronik ileti gönderilmesi amacı ile telefon numarası verisinin işlenmesi farklı hukuka uygunluk sebebine dayalı olarak veri işlemeyi gerektirmektedir.  
Veri işlemenin sözleşmenin kurulması veya ifası kapsamında değerlendirilebilmesi ve buna dayanarak açık rıza almadan veri işlenebilmesi için; ·         Sözleşmenin kurulması ve ifası için gerekli olan veriler tespit edilmelidir. Sözleşmenin kurulması ve ifası için gerekli olan veriler dar yorumlanmalıdır.·         Kişisel verilerin işlenmesi ile sözleşmenin ifası arasında doğrudan ve objektif bir bağlantı olması gerekmektedir. Veri işleme amacı, sözleşmenin kurulması ya da ifası için gerekli olan verinin ötesinde müşteriyi tanıyarak ona özel avantajlar sunma, firmanın satış stratejisini belirleme, müşterileri profilleme gibi amaçları içeriyor ise, bu durumda firmanın bu amaçlarla ilgili kişinin kişisel verilerini işleyebilmesi için “sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesi” şeklindeki işleme şartına dayanılamaz.  
Müşterinin kazandığı puanların hesaplanması, kazandığı puanlara dair kendisine bilgi verilmesi, kullanım süresi dolacak puanların hatırlatılması gibi amaçlarla kişisel verilerin işlenmesi durumunda yine sözleşmenin ifası hukuka uygunluk nedenine dayanmak mümkündür[2].   Sözleşmenin ifası için gerekli olan verilerin işlenmesi için ilgili kişiden açık rıza alma yoluna gidiliyorsa, bu durumda açık rızanın söz konusu işleme için hukuka uygunluk nedeni oluşturduğunu söyleyebilmek mümkün değildir. Sadakat programı kapsamında kişisel verilerin sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olma şartı kapsamında işlenecek olması halinde, sözleşme içerisine ayrıca açık rıza metni ilave edilmesinin ilgili kişilerin yanıltılması sonucunu doğurabilir. 
 AYDINLATMA YÜKÜMLÜLÜĞÜNÜN MEVZUATA UYGUN YERİNE GETİRİLMESİSadakat uygulamaları kapsamında, veri sorumluları ilgili kişilere, hangi kişisel verilerinin, hangi amaçla, kim tarafından işlendiği, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, işlemenin hukuki dayanağının ve yönteminin ne olduğu, 6698 sayılı Kanunun 11’inci maddesinde belirtilen haklarının neler olduğuna dair bilgileri vermekle yükümlüdürler.Sadakat programı sunan veri sorumlularının aydınlatma yükümlülüğünü yerine getirirken açık ve anlaşılır olma kriterini tam anlamıyla sağlamak adına gerekli önlemleri almaları gerekmektedir. Kişisel verilerin aktarılmasına ilişkin açıklamaların net ve şüpheye mahal vermeyecek şekilde yapılması gerekir.  
Sadakat programı  üyelerine özel bir aydınlatma metni oluşturulması veya genel aydınlatmanın katmanlı yapılması (metinlerinde sadakat programı kullanıcılarına özel açıklamalara yer verilmesi (link verme, katmanlı aydınlatma yapma)) suretiyle sadakat programı kullanıcılarına özel bir bölüm ayrılması yoluizlenebilir.   
ORTAK VE 3. TARAFIN DAHİL OLDUĞU SADAKAT PROGRAMLARIÜçüncü tarafça sunulan sadakat uygulamasına katılım sağlayan firmalar, müşterilerine bu üçüncü taraf sadakat uygulamasına katılım sağlanması halinde indirim, puan verme gibi ek menfaat sağlama yoluna gidiyorlarsa, bu duruma aydınlatma metinlerinde açık bir şekilde yer vermeli, ilgili kişilerin, kişisel verilerin hangi tarafça işlendiği, aktarımın kimden kime yapıldığı gibi konularda detaylı bir şekilde bilgilendirilmiş olmaları gerekmektedir.Eğer ortak program söz konusuysa ve program ortaklarından biri sadakat programı üyelerinin kişisel verilerini kendi adına reklam iletileri göndermek amacıyla işlemeyi amaçlıyorsa, buna ilişkin rızanın alınmış olması ve aydınlatmanın yapılmış olması da gerekmektedir.   
TİCARİ ELEKTRONİK İLETİ GÖNDERİMİSadakat programı kapsamında ticari elektronik ileti gönderebilmek için gerekli iznin/onayın/rızanın ayrıca/ayrıştırılarak alınması gerekmektedir.   Sözleşme kapsamında olmak kaydıyla (örneğin çok ortaklı sadakat kart programları) üçüncü kişilerin promosyonları için de ticari elektronik ileti gönderilmesinin, dolayısıyla bu amaçla kişisel verilerin işlenmesinin ayrıca bir onay alınmasına gerek yoktur[3].Sözleşme kapsamındaki promosyonlar için ileti gönderilmesi amacıyla ayrıca onay alınması gerekmemektedir ve mevcut onay bu bağlamda kullanılabilecektir[4].
 AÇIK RIZA ALMA VE AYDINLATMA İŞLEMLERİNİN AYRI AYRI GERÇEKLEŞTİRİLMESİ Veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğü işlemlerinin birlikte gerçekleşmesine neden olabilecek durumlardan kaçınılmalıdır. Açık rıza beyanları ve aydınlatma metinlerinin sözleşme hükümleri içine yerleştirilmesi mevzuata aykırılık oluşturmaktadır. Birbirinden farklı amaçlara hizmet eden bu metinlerin ayrıştırılması gerekmektedir. Zira sözleşme kapsamında kişisel veriler işlenecek ise, açık rıza alınması hukuka aykırılık oluşturmakta; diğer yandan açık rızaya dayalı bir işleme yapılacak ise aydınlatmanın yapılması ve açık rıza alınması işlemlerinin birbirinden ayrı yerine getirilmesi gerekmektedir.Sadakat programında, kişisel verilerin işlenmesi için açık rıza alınması ve ticari elektronik ileti için iletişim izni aynı metinde alınmamalıdır.
   

 

 

[1] TC. Gelir İdaresi Başkanlığı'nın 2 Seri No'lu Vergi Kimlik Numarası Genel Tebliği uyarınca ön ödemeli kart satışında TC Kimlik No ve ad-soyadı bilgisinin alınma zorunluluğu getirilmiştir.

[2] Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin 7’nci maddesinin (7) numaralı fıkrası:

 “Hizmet sağlayıcı aldığı onayı, kendi mal veya hizmetleri ile birlikte olmak kaydıyla promosyon olarak sunulan mal ve hizmetler için de kullanabilir. Ancak bu promosyon ilişkisinin bir sözleşmeye bağlı olma şartı aranır.”

[3] Ticari Elektronik İletiler Hakkında Yönetmelik m.7/7: “Hizmet sağlayıcı aldığı onayı, kendi mal veya hizmetleri ile birlikte olmak kaydıyla promosyon olarak sunulan mal ve hizmetler için de kullanabilir. Ancak bu promosyon ilişkisinin bir sözleşmeye bağlı olma şartı aranır.”

[4] Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik m.6/2:

 “Devam eden abonelik, üyelik veya ortaklık durumu ile tahsilat, borç hatırlatma, bilgi güncelleme, satın alma ve teslimat veya benzeri durumlara ilişkin bildirimleri içeren iletiler ile hizmet sağlayıcıya ilgili mevzuatla getirilen bilgi verme yükümlülüğü durumlarında önceden onay alma zorunluluğu aranmaz. Ancak bu tür bildirimlerde herhangi bir mal veya hizmet özendirilemez veya bunların tanıtımı yapılamaz.”