Market Zinciri Sadakat Kart Uygulaması ve Veri İzni Süreçleri: 2019/82 Sayılı Karar Analizi

Kişisel Verileri Koruma Kurulu (Kurul), 25/03/2019 tarihli ve 2019/82 sayılı kararı ile büyük ölçekli bir perakende zincirinin “Sadakat Kart” (Loyalty Card) programını; açık rızanın hizmet şartına bağlanması, veri minimizasyonu ve hatalı anonimleştirme uygulamaları açısından incelemiştir. Karar, pazarlama faaliyetlerinde toplanan verilerin sınırlarını çizmesi bakımından rehber niteliğindedir.

---

1. Olayın Özeti: “İzin Vermezsen Puan Kazanamazsın”

Şikayet ve ihbarlar özetle şu üç noktada toplanmıştır:

• Açık Rıza Dayatması: Marketin, kart avantajlarından yararlanmaya devam etmek için “veri işleme izni verilmesini” şart koştuğu, izin güncellenmezse kişisel bilgilerin silineceği ve kasada cep telefonu ile işlem yapılamayacağı uyarısında bulunduğu iddia edilmiştir.
• Gereksiz Veri İşleme: Aydınlatma metinlerinde din, mezhep, ceza mahkumiyeti ve cinsel hayat gibi “özel nitelikli verilerin” de işlenebileceğine dair uyu ucu açık ifadeler yer aldığı tespit edilmiştir.
• Ücretli Veri İzni: Bazı satış fişlerinde “Veri İzni Alma Uygulaması” adı altında müşterilerden 0,01 TL ücret alındığı ihbar edilmiştir.

---

2. Kurulun Hukuki Değerlendirmesi

Kurul, uyuşmazlığı KVKK’nın temel ilkeleri ve aydınlatma yükümlülüğü çerçevesinde bölümlere ayırarak incelemiştir:

A. Hizmetin Açık Rıza Şartına Bağlanması

Kurul, marketten alışveriş yapmanın sadakat kartına sahip olma şartına bağlanmadığını saptamıştır.

• Karar: Kişi karta üye olmazsa sadece “ekstra indirim ve puan” kazanamamaktadır; ancak alışveriş yapması engellenmemektedir. Bu nedenle, avantajlı bir programa katılım için rıza istenmesi “hizmetin şarta bağlanması” (özgür iradeyi sakatlama) olarak görülmemiştir.

B. Ölçülülük ve Özel Nitelikli Veriler

Aydınlatma metninde marketin faaliyet alanı ile ilgisiz olan (ceza mahkumiyeti, sendika üyeliği, sağlık verisi vb.) özel nitelikli verilerin işlenebileceği yazmaktadır.

• İnceleme: Marketin temel işi gıda ve perakendedir. Bir pazarlama programı için bu tür verilerin istenmesi amaçla bağlantılı, sınırlı ve ölçülü değildir.
• Talimat: Şirketin aydınlatma metinlerindeki tutarsızlıkları gidermesi ve ölçülülük ilkesine aykırı olan kısımları çıkarması istenmiştir.

C. Anonimleştirme Yanılgısı

Şirket, verileri “anonim hale getirerek” sosyal medya siteleriyle paylaştığını savunmuştur.

• Değerlendirme: Anonim veri, kişiyle hiçbir surette ilişkilendirilemeyen veridir. Ancak şirket bu veriler üzerinden “kişiye özel pazarlama” yaptığını beyan etmektedir. Kişiye özel pazarlama yapılabiliyorsa o veri anonim değildir.
• Talimat: Şirketin anonimleştirme tanımını Kanun’a uygun hale getirmesi ve uygulamalarını düzeltmesi yönünde talimat verilmiştir.

D. Satış Fişindeki 1 Kuruşluk Bedel

Şirket, bu durumun teknik bir hatadan kaynaklandığını, toplam 910 TL’lik bir meblağın sehven tahsil edildiğini ancak bu tutarların müşterilerin kartlarına indirim olarak iade edildiğini savunmuştur.

• Karar: Hata derhal telafi edildiği için Kurulca yapılacak bir işlem olmadığına karar verilmiştir.

---

3. Karar Sonucu: “Süreci Düzelt ve Bilgilendir”

Kurul, marketin rıza toplama yöntemini genel olarak hukuka aykırı bulmasa da, içerik ve yöntem hataları nedeniyle şu kararları vermiştir:

1. Aydınlatma ve rıza metinleri arasındaki tutarsızlıkların giderilmesi,
2. Özel nitelikli verilerin (sağlık, ceza vb.) işlenmesine dair ölçüsüz ifadelerin metinden çıkarılması,
3. Anonimleştirme süreçlerinin Kanun’a (kimliği belirlenemez hale getirme) uygun hale getirilmesi,hususlarında şirkete talimat verilmesine karar verilmiştir.

---

4. Özgür Eralp Perspektifi: “Sadakat Kartları Veri Avcılığına Dönüşmemeli”

Bilişim hukuku alanındaki tecrübemizde, perakende sektörünün en büyük veri havuzlarını sadakat kartlar aracılığıyla oluşturduğunu görüyoruz. Şirketler genellikle matbu formlar hazırlarken her ihtimali kapsasın diye “ne varsa yazalım” (sağlık verisi, ceza verisi vb.) hatasına düşüyorlar. Ancak KVKK, bir süpermarketin neden müşterisinin dernek üyeliğini merak ettiğini sorgular.

Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketler, sadakat programlarını kurgularken “Aydınlatma Metni”ni bir hukuki formalite değil, dürüstlük kuralının bir parçası olarak görmelidir. Kişiye özel reklam yapıyorsanız buna “anonim veri” diyemezsiniz; bu “kişisel veri işlemedir” ve ona göre hukuki zemin (açık rıza) kurmanız gerekir. Ayrıca 1 kuruşluk sistemsel hatalar bile, binlerce fişte tekrarlandığında ciddi bir KVKK incelemesini ve itibar kaybını tetikleyebilir.

---

Sıkça Sorulan Sorular

1. Market kasasında telefon numaramı vermezsem indirimden yararlanamaz mıyım?

Evet, şirket sadakat programına katılımı veri paylaşımına bağlayabilir. Eğer alışveriş yapmanız engellenmiyorsa, sadece “ekstra indirim” için veri istenmesi hukuka uygundur.

2. Market benim sağlık verimi veya sabıka kaydımı neden istesin?

İsteyemez. Kurul bu kararda, marketlerin bu tür özel nitelikli verileri işlemesini “ölçüsüz” bulmuştur. Bu tür taleplerle karşılaşırsanız veri paylaşımını reddetme hakkınız vardır.

3. Anonimleştirilmiş veri üzerinden bana reklam gelebilir mi?

Hayır. Eğer size isminizle veya alışveriş alışkanlıklarınızla eşleşen bir reklam geliyorsa, o veri anonim değildir, sadece “maskelenmiş” veya “takma adlı” (pseudonymized) veridir ve hala kişisel veridir.

4. Veri izni için benden ücret alınabilir mi?

Hayır. Kişisel verilerin korunması anayasal bir haktır ve veri izni süreçleri (SMS gönderimi vb.) için müşteriye yansıtılan bir “hizmet bedeli” kabul edilemez.

5. Market verilerimi sosyal medya siteleriyle paylaşabilir mi?

Sadece aydınlatma metninde bu durum açıkça belirtilmişse ve bu amaçla açık rızanız alınmışsa paylaşabilir. Bu kararda olduğu gibi, rıza metninden bu ifadenin çıkarılması paylaşımı hukuka aykırı hale getirir.

---

Kaynaklar

• KVKK Kurumu – 2019/82 Sayılı Karar Özeti
• 6698 Sayılı KVKK (Madde 4, 5 ve 12)
• Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ

---

Etiketler

KVKK, Sadakat Kart, Market İhlali, Ölçülülük İlkesi, Anonimleştirme, Veri İzni Bedeli, Açık Rıza, Aydınlatma Metni, Bilişim Hukuku, Özgür Eralp, Özel Nitelikli Kişisel Veri, Perakende Sektörü, Veri Minimizasyonu