Günlük hayatımızda ihtiyaçlarımızı karşılamak adına alışveriş yaptığımız birçok veri sorumlusu mağaza, sattıkları ürünler üzerinde sadakat kart programına özel indirimler uygulamaktadır. Böylece işletmeler; çeşitli özelliklere, promosyonlara ve indirim imkanlarına sahip bu kartlarla müşterilerini alışveriş yapmaya teşvik etmek ve müşterileriyle adeta “sadakat” ilişkisi kurarak hizmetlerinin sürdürülebilirliğini sağlamak isterler. Söz konusu programdan yararlanabilmek için müşterilerin açık rıza koşulunu sağlaması ve veri sorumlusu ile kişisel verilerini paylaşması gerekmektedir.
VERİ SORUMLUSU
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 3. maddesinde veri sorumlusu tanımlanmıştır. Buna göre veri sorumlusu, kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır.
KİŞİSEL VERİ VE KİŞİSEL VERİLERİN İŞLENMESİ
Kişisel veri ve kişisel verilerin işlenmesi 6698 sayılı kanunun 3. maddesinde tanımlanmıştır. Buna göre, kişisel veri “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade etmekle beraber “Kişisel verilerin belirtilen şekilde toplandıktan sonra silme, yok etme ya da anonim hale getirme işlemlerine kadar olan süreçte gerçekleştirilen her türlü faaliyet” ise kişisel verilerin işlenmesi olarak ifade edilir.
Sadakat kart programlarıyla işlenecek olan kişisel veriler; 16.06.2022 tarihinde Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayınlanan “Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı” (“Taslak Rehber”) içerisinde sınıflandırılmıştır. Aslen Avustralya Rekabet ve Tüketici Komisyonu (“ACC”) tarafından yayınlanan rehbere atıfla sıralanan kişisel veri sınıflandırması şu şekildedir:
- Müşteri tarafından aktif ve gönüllü olarak sağlanan kişisel veriler.
- Müşteri tarafından pasif olarak sağlanan kişisel veriler.
- Birleşik verilere dayanılarak analizler yapılması yoluyla sağlanan veriler.
KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kanun’un 4. Maddesinde yer alan “genel (temel) ilkeler” tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir. Buna göre; Kanunda kişisel verilerin işlenmesinde sayılan genel ilkeler şunlardır:
- Hukuka ve dürüstlük kurallarına uygun olma: İlgili kişinin işlemenin varlığından haberdar olması ve ilgili kişiye doğru ve tam bilgi verilmiş olması durumunda, adil işlemeden bahsedilmesi mümkündür. İlgili kişilerin çıkarları ve makul beklentileri dikkate alınmak zorundadır.
- Doğru ve gerektiğinde güncel olma: Her adımın, gerektiği kadar ve amaca uygun bir şekilde işlenmesi ve derhal silinmesi gerekmektedir.
- Belirli, açık ve meşru amaçlar için işlenme: İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmak durumundadır. Verinin sonraki işleme amacı, baştaki toplama amacıyla bağlantılı olmalıdır. Çünkü başta kişisel verilerin toplanması için verilen rıza, müşterinin alışveriş yaparken kolaylık sağlanmasını istemesinden kaynaklanmaktadır. Verilerin sonraki kullanımlarına ilişkin olarak veri sorumlusu ile müşterinin ilişkisine dayalı “makul bir beklentisi” olmalıdır. Bu beklenti alışverişin kolaylaştırılması ve müşteriye kampanyalar sunulmasıdır.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma (veri minimizasyonu): İşlenen amaçla zorunlu, ilgili ve amaçla sınırlı olmalıdır.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme (saklama süresinin sınırlandırılması ilkesi).
HUKUKA UYGUNLUK NEDENLERİ
Hukuka uygunluk nedenleri kanunun 5. Maddesinde sayılmak suretiyle belirtilmiştir. Veri işlemenin “hukuka uygunluk sebebine” sahip olması ve “genel ilkelere aykırılık” başka şeylerdir. “Hukuka uygunluk” ilkesinin varlık amacı; veri işlemenin kural olarak yasak olmasıdır.
Taslak Rehber’de; sadakat kart uygulayıcısı ve müşteriler arasındaki sözleşmesel ilişki özellikle “kanunlarda açıkça öngörülme”, “sözleşmenin ifası”, “hukuki yükümlülüğün yerine getirilmesi bakımından zorunluluk” hukuka uygunluk nedenleri bakımından incelenerek örneklendirilmiştir.
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilişkili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması durumunda verilerin işlenmesi şart olarak var olabilir.
AÇIK RIZA VE GEREKLİLİĞİ
Kanun’da “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” şeklinde ifade edilen açık rıza, 3 unsura sahip olmak zorundadır. Buna göre; “belli bir konuya ilişkin olma, bilgilendirme, özgür irade” şeklinde sıralanabilir. Rıza; açık onaylayıcı bir eylem (onay tuşlarına basmak vb.) veya beyan ile belirtilmelidir. Böylece susma ya da hareketsiz kalma ile rıza verilebilmesi mümkün değildir.
- Belirli olma: Belirli bir veri sorumlusunun, belirli bir ilgili kişinin, belirli bir verisini, belirli bir işleme amacı için işlemesi anlamına gelir. Belirli olma aslında meşru amaçlar için işlenme ile iç içedir.
- Özgür irade: Hizmetin ya da bir sözleşmenin ifasının kişisel verilerin işlenmesi açık rızasına bağlanması halinde verilen rızayı geçerli (özgür iradeyle verilmiş) sayar mıyız? Örneğin, sadakat kart uygulamasına özel uygulanan indirimlerden yalnızca kişisel verilerin işlenmesi suretiyle yararlanabilecek müşteriler buna yönelik rızalarını verirken iradeleri etkilenmemiş midir? Kişisel Verileri Koruma Kurulunun 05/07/2019 tarihli ve 2019/198 sayılı Kararında; “…açık rıza vermek istemeyen ilgili kişilere mağazalarından ve internet siteleri üzerinden her daim alışveriş imkanı sunulduğu, ürün ve hizmetlerinin herkesin erişimine açık olduğu ve belirlenen fiyatlar üzerinden herkes tarafından temin edilebildiği, bu ürün veya hizmetlerde yapılan indirimlerin ise ürün veya hizmetin rayiç bedelinin altında ve ek bir menfaat niteliğinde olduğu…” şeklinde bir tespitte bulunulmuştur. Aynı mesele Avrupa Birliği Veri Koruma Hukuku Hakkında El Kitabı’nda (Handbook on European Data Protection Law) ele alınmış ve müşteri ile veri sorumlusu arasında bir altüst bağı olmadığından dolayı rıza verilmemesinin sonuçlarının (üründen indirimli yararlanamama) veri sahibinin özgür iradesini etkileyecek kadar ciddi olmadığı sonucuna varılmıştır. Elbette sadakat kartla beraber uygulanacak olan indirimin aşırı olması halinde “ölçüsüzlük” ortaya çıkacak ve müşterinin özgür iradesinin etkilendiği yorumu yapılabilecektir. Bununla beraber eğer alternatif başkaca bir hizmet sağlayıcıdan kişisel verileri vermeden de hizmet sağlanabiliyorsa şarta bağlanması kanuna aykırılık teşkil etmez. Ancak böyle bir durumda tüketiciden, piyasada bu şartları sunmayan ve beklenen hizmete eşdeğer hizmeti verecek başkaca sosyal ağı bulması beklenmektedir. Bu beklentinin ölçülü olmadığı söylenebilir.
- Bilgilendirmeye dayanma: Aydınlatma yükümlülüğü ve açık rıza onayı alınması süreçleri ayrı ayrı işler. Aydınlatma yükümlülüğünün yerine getirilmesindeki amaç kişisel verilerin işlenmesi noktasında ilgili kişinin bilgi sahibi olmasının temin edilmesidir. Açık rıza alınmasında amaç ise veri sorumlusu tarafından kişisel verilerinin işlenmesinin hukuki bir gerekçeye dayandırılmasıdır. Bu sebeple ilgili kişi aydınlatma metni sayesinde kişisel veri işletme faaliyeti ile ilgili olarak bilgi edinmiş olmakla birlikte söz konusu metinde yazılanlara açık rıza vermek zorunda bırakılmamalıdır. Taslak Rehber, esasen sadakat kart kullanıcıları için “özel” aydınlatma metinlerinin oluşturulmasını ve veri işleme süreci ile ilgili “özel” bilgilendirmelerin yer almasını önermektedir. Aydınlatma yükümlülüğünün ve açık rıza onayı alma işlemlerinin ayrı ayrı yapılması gerekliliğine Kişisel Verileri Koruma Kurulunun 25/03/2019 tarihli ve 2019/82 sayılı Kararında; “Aydınlatma Metni’nin incelenmesinden ucu açık ifadelere yer verildiği, öte yandan Sadakat Kart Programına üye olunması aşamasında elde edilen kişisel veriler ve bunların aktarıldığı taraflar hususları başta olmak üzere, ‘Üyelik ve Rıza Metni’ ile ‘Aydınlatma Metni’ arasındaki tutarsızlıklar bulunduğu, nitekim, elde edilen kişisel verilerin sosyal paylaşım siteleri ile paylaşılacağı hususunda kişilerin aydınlatılmasına rağmen yapılan güncelleme neticesinde ‘Üyelik ve Rıza Beyanı’nda bu ifadenin metinden çıkarılması ile birlikte söz konusu paylaşım için kişilerin açık rızalarının alınmadığı bir durumun oluşmasına sebebiyet verildiği,” denerek, bu halde aslen ilgili kişilerin açık rızalarının hiç alınmadığı sonucuna ulaşılmıştır.
Yukarıda belirtildiği gibi veri işleme kural olarak yasaktır. Ancak hukuka uygunluk sebeplerinin varlığı halinde açık rızaya gerek olmaksızın veri işleme faaliyetinin yapılması mümkün hale gelecektir. Kurum bir kararında, başkaca bir hukuka uygunluk sebebi olmasına rağmen açık rıza alınması halinde ilgili kişinin yanıltıldığı ve dolayısıyla “dürüstlük kuralına” aykırı davranıldığı sonucuna ulaşmıştır. Doktrinde yapılan ikili ayrıma göre, aslında buradaki problem yanlış hukuki sebebe dayanıldığı ve dolayısıyla ilgili kişiler yanlış yönlendirildiği için “aydınlatma yükümlülüğünü ihmal” etmek olacaktır. Ancak rıza geri alınmasına rağmen veriler silinmese ve işlemeye devam edilseydi o zaman işlemeye aykırılık da gündeme gelecekti. Bu ikili ayrım doktrinde yapılmakla beraber Kurum bu ayrımı yapmamaktadır.
SONUÇ
Sadakat kart programı uygulayıcıları, kişilerin birtakım kişisel verilerini işleyerek alışveriş alışkanlıklarını profillendirip onlara ek menfaatler, indirimler ve promosyonlar uygulamaktadırlar. Böylece bu kişilerle adeta “sadakat” ilişkisi içerisinde hizmetlerin devamlılığı sağlanmaktadır. Elbette bu veri işleme faaliyeti ilgili kanunda sayılmak suretiyle belirtilen işlenme şartlarına, temel ilkelere ve hukuka uygunluk nedenlerine bağlı kalınarak sürdürülmelidir. Aksi halde veri sorumluları için yaptırımlar ortaya çıkmaktadır. Her ne kadar Kurum, yayınlanan Taslak Rehber’in bağlayıcı olmadığını ortaya koymuş olsa da aynı zamanda ilgili kanunlarla beraber veri sorumluları ve veri işleyenler adına yol gösterici olduğu da belirtilmiştir.
Soru ve önerileriniz için ulaşabilirsiniz.
Celik & Atci Attorney Partnership
