“Bir market zincirinin sadakat kart uygulamasına ilişkin ihbar ve şikayetler hakkında” Kişisel Verileri Koruma Kurulunun 25/03/2019 tarihli ve 2019/82 sayılı Karar Özeti
- Bir marketin mağazalarından temin edilen ve bazı alışveriş/ hizmet alımlarında indirim ve puan biriktirme avantajı sağlayan sadakat kart ile ilgili internet sitesine giriş yapıldığı esnada ekranlara gelen uyarı metninde “….. Kart avantajlarından faydalanmaya devam edebilmek için Kişisel Verilerin Korunması Kanunu kapsamında veri işleme iznini vermen yeterli…iznin yoksa karşına çıkacak olan üyelik ve rıza beyanı metnini okuyarak onayla.” ya da …. Kart tarafından kişilerin cep telefonlarına gönderilen kısa mesajlarda “Kişisel Verilerin Korunması Kanunu kapsamında izninizi lütfen güncelleyiniz. İzni güncel olmayan müşterilerimiz, kişisel bilgileri silineceği için kasalarımızdan cep telefonu söyleyerek alışveriş yapamayacaklar.” şeklinde açıklamalara yer verildiği, bu anlamda açık rızanın bir ürün veya hizmetin sunulmasına ilişkin koşul olarak ileri sürüldüğünden bahisle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin tesis edilmesi talebiyle Kuruma yapılan şikayet,
- Buna ilaveten Kuruma söz konusu market tarafından düzenlenen perakende satış fişlerinde, sadakat kart kullanımı ile ilgili Kanun kapsamında müşterilerden açık rıza alınması esnasında “Veri İzni Alma Uygulaması” adı altında 0,01 TL hizmet bedeli alındığı yolunda Kuruma intikal eden ihbarlar
- Öte yandan, yukarıda yer verilen hususlara ilişkin olarak yapılan değerlendirme esnasında söz konusu sadakat karta ilişkin olarak internet sitesinde yayımlanan “…. Kart Üyelik ve Rıza Beyanı” başlıklı metinde, “Üye; Program kapsamında otomatik ve otomatik olmayan yollarla edinilen mevcut ve/veya yeni kişisel bilgilerinin (Alışveriş bilgisi, isim, soy isim, rumuz, cep telefon numaraları, e-mail adresleri, doğum tarihi, yaşadığı şehir, cinsiyet, medeni durum, eğitim düzeyi, ilgi alanları, zevk ve beğenileri gibi) ve elektronik programlar nedeniyle ulaşılabilen lokasyon bilgisinin, kişisel olmayan bilgilerinin, Program kapsamında mal ve hizmetlerini tanıtmak, üyelerini tanımak ve iletişimini arttırmak, imajını arttırmak, ürün, hizmet ve iletişimini geliştirmek, kulüplere üye kaydetmek, müşteri memnuniyeti uygulamaları ve bilgilendirmeleri yapabilmek, denetim, veri analizi, araştırma, trendleri anlama, pazarlama ve reklam hizmetlerinde de kullanılmak üzere toplanmasına, veri kayıt sisteminde muhafaza edilmesine, sayılan amaçlarla ….. Ailesi ile “yurt içinde ve yurt dışında ilgili yasal mevzuatın öngördüğü azami süreleri aşmamak üzere paylaşılmasına ve işlenmesine izin verir. …… Ailesi olarak bahsedilen kurumlar, Yönetim Hissedarları, Yönetim Hissedarlarının ve Şirket’in bağlı şirketleri, iştirakleri, alt kuruluşları, işletmeleri, Şirketin her türlü temsilcisi, hizmet sağlayıcısı ve/veya alt yüklenicisi ve bağlı şirketleri, GSM Operatörleri /Sosyal Paylaşım Siteleri ile Şirketin hak ve/veya görevlerini devretmeyi teklif ettiği her türlü kişilerdir.” gibi genel nitelikte ifadeler
birlikte incelenmiş ve yapılan inceleme neticesinde,
- Müşterinin Sadakat Kart Programına üye olmadığı durumda Şirketin sunduğu ürüne ve kişiye özel fırsat dünyasından faydalanamadığı ancak bu durumun hiçbir şekilde herhangi bir müşterinin Şirketin sunduğu alışveriş ortamından faydalanmasını engellemediği dolayısıyla, veri sorumlusu Şirket tarafından hizmet sunumu kapsamında Sadakat Kart Programına katılımın müşteriler açısından zorunlu tutulmadığı, söz konusu Programa üye olmayan müşterilere hizmet sunulmaması gibi bir durum ortaya çıkmadığı dikkate alındığında, Sadakat Kart Programına üye olunması sırasında kişilerin açık rızalarına başvurulması aksi takdirde söz konusu programdan yararlanılmaması hususunda Şikayetçinin Şirket tarafından bir hizmet veya ürün sunulmasının açık rıza şartına bağlandığı iddiası ile ilgili Kurumca yapılacak bir işlem bulunmadığına,
- Şirketten alınan savunmada, öncelikle Kanuna uygun üyelik onayları teyit edilemeyen müşterilere özel olarak 07.04.2018 tarihine kadar çeşitli kanallardan duyuru yapılan kişilerin daha öncesinde rızalarının alınmadığı değil, yıpranmış, eksik, imzasız vs. gibi durumlar ile karşılaşılması nedeniyle ileride doğabilecek hukuki ihtilaflarda ispat külfeti kapsamında söz konusu rızaların yenilenmesi yoluna gidildiğinin ifade edildiği, bu çerçevede, Şirket tarafından hukuka uygun olmayan bir şekilde elde edilen kişisel verilere hukuki meşrutiyet kazandırılması için ilgili kişilerden açık rıza alınması şeklinde bir yola başvurulmadığı, aksine daha önce kişisel verilerin işlenmesine yönelik alınan rızalara ilişkin matbu formlardaki muhtelif eksiklik ya da tahrifatlar nedeniyle bu rızaların iki yıl içinde Kanun hükümlerine uyumlu hale getirilmesinin amaçlandığı dikkate alındığında, Kanunun Geçici 1 inci maddesinin (3) numaralı fıkrası çerçevesinde Kurulca yapılacak bir işlem bulunmadığına,
- “Aydınlatma Metni”nin incelenmesinden ucu açık ifadelere yer verildiği, öte yandan Sadakat Kart Programına üye olunması aşamasında elde edilen kişisel veriler ve bunların aktarıldığı taraflar hususları başta olmak üzere, “Üyelik ve Rıza Metni” ile “Aydınlatma Metni” arasındaki tutarsızlıklar bulunduğu, nitekim, elde edilen kişisel verilerin sosyal paylaşım siteleri ile paylaşılacağı hususunda kişilerin aydınlatılmasına rağmen yapılan güncelleme neticesinde “Üyelik ve Rıza Beyanı”nda bu ifadenin metinden çıkarılması ile birlikte söz konusu paylaşım için kişilerin açık rızalarının alınmadığı bir durumun oluşmasına sebebiyet verildiği,
Ayrıca, aydınlatma metninde Şirketleri tarafından özel nitelikli kişisel verilerin de (sendika/dernek/vakıf üyeliklerine ilişkin bilgiler, ceza mahkumiyeti, güvenlik tedbirleriyle ilgili veriler, cinsel hayat, biyometrik veri ve sağlık durumunuza ilişkin bilgiler gibi) işlenebileceği ifadelerine yer verildiği görülmüş olup, Şirketin temel faaliyet alanının gıda ve ihtiyaç maddelerinin perakende olarak tüketicilere ulaştırılması olduğu, Şirkete ait tüm iş yerlerinde sunulan Sadakat Kart uygulamasının ise bir pazarlama programı olarak tasarlandığı dikkate alındığında, ceza mahkumiyeti, güvenlik tedbirleriyle ilgili veriler gibi özel nitelikli kişisel verilerin işlenmesinin veri sorumlusunun faaliyetleri kapsamında amaçla bağlantılı, sınırlı ve ölçülü olmadığı değerlendirildiğinden, “Üyelik ve Rıza Beyanı” ile “Aydınlatma Metni” arasındaki tutarsızlıkların giderilmesi ve Şirketin Aydınlatma Metninin Kanunun temel ilkeleri ve Tebliğ hükümleri de dikkate alınmak suretiyle güncellenmesi gerektiği hususunda Şirketin talimatlandırılmasına,
- Öte yandan, Şirketin savunmasında kişisel verilerin anonim hale getirilerek sosyal paylaşım sitelerine aktarıldığı ifadelerine yer verildiğinin görüldüğü, bununla birlikte Kanunun 3 üncü maddesinde anonim hale getirmenin: kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olarak tanımlandığı, bu kapsamda, anonim veriler diğer bir ifade ile kişiler ile ilişkilendirilemeyecek veriler üzerinden kişiye özel bir pazarlamanın gerçekleştirilemeyeceği göz önüne alındığında, Şirket uygulamasının Kanunda yer alan anonimleştirme tanımı ile bağdaşmadığına bu nedenle anonimleştirmenin Kanuna uygun olarak gerçekleştirilmesi gerektiği yönünde Şirketin talimatlandırılmasına,
- Son olarak, Şirket tarafından düzenlenen perakende satış fişlerinde, “Veri İzni Alma Uygulaması” altında 0,01 TL hizmet bedeli alındığı iddiaları kapsamında Şirketten alınan savunmada, müşterilere kasada alışveriş yaparken gerekli bilgiyi vermek ve dilerse açık rızasını verebileceği üyelik linkini SMS gönderebilmek için alışveriş kasalarına bilgi teknolojileri sistemi kurulduğu, bir teknik problem nedeni ile bazı fişlerde çalışmadığı ve müşterilere sehven 1 kuruşluk bir bedel yansıdığı, bilgi teknolojileri hatası nedeni ile gerçekleşen bu olayda müşterilerden toplamda 91.502 fişte 910,52 TL’lik ücret alındığı ancak bu ödemelerin telafisi olarak müşterilerin kartına aynı tutarda indirim yüklendiği ve sistemsel bir hatadan kaynaklanan bu durumun derhal telafi edildiği hususları dikkate alındığında, konuya ilişkin Kanun kapsamında Kurumca yapılacak bir işlem bulunmadığına
karar verilmiştir.
Yorumumuz:
Bu karar 4 hususu açıklığa kavuşturan bir karardır.
1) Şirketler tarafından verilen sadakat kartı (müşteri kartı, indirim kartı, puan kartı, mil kartı vb.) verilirken istenen kişisel verilere açık rıza verilmezse sadakat kartı verilmemesinin hukuka uygun olduğu yani bu durumun hizmet almanın açık rıza şartına bağlandığı bir durum olmadığı,
2) Sadakat Kart gibi bir pazarlama sürecinde; ceza mahkumiyeti, güvenlik tedbirleriyle ilgili veriler gibi özel nitelikli kişisel verilerin işlenmesinin veri sorumlusunun faaliyetleri kapsamında amaçla bağlantılı, sınırlı ve ölçülü olmadığı yani açık rıza alsa bile işleyemeyeceği,
3) Veri sorumlusunun adı, soyadı maskelense bile daha önce yaptığı alışverişten kişiye özel pazarlama yapmasının anonimleştirme olmadığını,
4) KVK Kurulu, veri sorumlusunun başvuruya cevapta cevabın ayrıca bir maliyet gerektirmesi dışında; aydınlatma, açık rıza alma, kişisel veriyi koruma için ücret istendiğinde Kurulun bu iddiaları inceleyeceği ortaya çıkmıştır.