SADAKAT PROGRAMLARININ KİŞİSEL VERİLERİN KORUNMASI MEVZUATI KAPSAMINDA İNCELENMESİNE İLİŞKİN TASLAK REHBERE YÖNELİK DEĞERLENDİRMELER

Yazan: Ahmet Haşim Alagüney

“Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı” (“Taslak Rehber”) 16.06.2022 tarihinde Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayınlandı. Önceki benzer çalışmalarda olduğu gibi bu rehber de görüş ve önerilere açık olarak paydaşların dikkatine sunuldu.

Bu değerlendirme yazısında, 11 başlık ve 2 ekten oluşmakta olan Taslak Rehber’in başlık sistematiğine ve sırasına göre birtakım görüşlere yer verilmiştir. Sonuç bölümünde ise genel bir değerlendirme yapılmıştır.

1. Giriş

Taslak Rehber’in giriş kısmında, kısaca Taslak Rehber’in hazırlanma amacına yer verilmiş ise de kanaatimizce bu kısımda Taslak Rehber’in hukuki niteliği, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından verilecek kararlarda Taslak Rehber’in ne şekilde ele alınacağı gibi hususlarda da bilgi verilmesi faydalı olurdu. Zira Kurum tarafından yayınlanan çeşitli konulardaki rehberler, bu tür açıklamaları içermediklerinden rehberlerin hukuki niteliği, bu alanda tartışılan konulardan bir tanesi haline gelmiştir. Kişisel verilerin korunması gibi dinamik bir alanı regüle etmenin zorlukları, alanda çalışan herkes tarafından bilinmektedir. Bu bağlamda rehberler de mümkün olduğunca bu alandaki uygulamayı kolaylaştırıcı ve uygulayıcılar için olası tereddütleri giderici mahiyette olmalıdır.

2. Kurum Tanıtımı

Bu bölümde Kurum’un 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 20’nci maddesinde yer alan görev ve yetkileri ile Kurul’un Kanun’un 22’nci maddesinde yer alan görev ve yetkileri sıralanmıştır. Kanun maddelerini olduğu gibi metin içerisine yerleştirmek yerine bu Taslak Rehber’in anılan maddelerin hangi hükmüne dayanılarak hazırladığının belirtilmesi kanaatimizce daha uygun olurdu. Örneğin, “bu Rehber 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 20(1)(a) hükmü ile Kişisel Verilerin Korunması Kurumu’na verilen yetki ve görev doğrultusunda Kurum tarafından hazırlanmıştır” şeklinde bir cümle yeterli olabilirdi.

3. Amaç ve Kapsam

Yayınlanan Taslak Rehber’in amacı kişisel verilerin korunması mevzuatı çerçevesinde sadakat programlarının incelenmesidir. Bu husus bir önceki bölümde belirtilen Kurum’un “görev alanı itibarıyla uygulamaları ve mevzuattaki gelişmeleri takip etmek, değerlendirme ve önerilerde bulunmak, araştırma ve incelemeler yapmak veya yaptırmak” görevi ile örtüşmektedir. Bu yönüyle ise Kurum tarafından yayınlanan rehberler yalnızca tavsiye niteliğinde olup, bağlayıcı bir nitelikleri bulunduğunu söylemek mümkün değildir.

3.1. Sadakat Programlarının Tarihçesi, Tanımı ve Türleri

Öncelikle bu başlık altındaki Türkçe’nin özellikle zaman kullanımı bakımından gözden geçirilmesi gerekmektedir. Ayrıca paragraf ve satır aralıkları da metnin genelinden farklı düzenlenmiş olup bu bölümün, rehberin genelinden farklı bir kişi tarafından kaleme alındığı, metnin geri kalanından kopukluklar içerdiği gözlenmektedir. Kurum tarafından yayınlanacak rehberlerin yazı standardizasyonu sağlamak adına belli bir standart da taşıması gerekmektedir. Örneğin, bu başlığın neden alt başlık olarak ele alındığı anlaşılamamaktadır. Bu başlığın amaç ve kapsam konusuyla ilgisi olmadığı gibi 3 nolu başlığın altında başka bir alt başlık da bulunmamaktadır.

Tarihçe kısmında, sadakat programlarının müşterilerin işletmeye sadakatini sağlamak temelinde çalışan sıklık programları şeklinde ortaya çıktığı; daha sonrasında sadakat kart uygulamasının müşterinin kimliğinin, demografik özelliklerinin, harcama kayıtlarının tespit edilmesi gibi bir yöne evrildiği; sınırlı müşteri sadakat programları yerine üyeliğin basit ve ücretsiz olduğu açık müşteri sadakat programlarına doğru bir yönelim olduğu aktarılmaktadır.

Taslak Rehber’de çeşitli sadakat programı türlerine yer verilmiştir: Puan tabanlı sadakat programları, katmanlı sadakat programları, ücret tabanlı sadakat programları/VIP üyelik, geri ödemeli sadakat programları, değere dayalı programlar, ortaklık programları, oyun programları, karışık sistemli programlar örnek olarak sayılmıştır. Sadakat kart olarak, önce fiziksel kartlar kullanıldığı sonrasında telefon numaralarının işlenmesi ya da mobil uygulama içerisinde yer alan barkodların ve ID’lerin kullanılması yoluna gidildiği belirtilmiştir.

Bu bölümde sadakat programı kapsamında kullanılan bir teknoloji türü olarak RFID uygulamalarından bahsedilmiştir. RFID’nin işletme bakımından getirdiği avantajların yanı sıra kişisel verilerin korunması açısından veri minimizasyonu yani işlendikleri amaçla bağlı, sınırlı ve ölçülü veri işleme ilkesi bakımından ihtiyatla yaklaşılması gerektiği vurgulanmıştır.

Taslak Rehber ekinde yer alan RFID uygulamaları hakkındaki bilginin, Taslak Rehber’in amacından ve bağlamından kopuk olduğu gözlenmektedir. Bu sebeple RFID ile ilgili ekin bu rehberden çıkartılması ya da gerektiği kadar ile sınırlı tutulması yerinde olacaktır. Zira Taslak Rehber’in amacı RFID teknolojinin incelenmesi değildir. Buna karşılık, bu türden teknolojilerin (RFID, Beacon vb.) detaylı olarak ele alındığı farklı bir rehber hazırlanması ve kamuoyu görüşüne sunulmasının ise son derece fayda olacağı kanaatindeyiz.

Taslak Rehber’de, Rekabet Kurumu’nun 2021 yılında yayınladığı E-Pazaryeri Raporu’ndan bazı alıntılara yer verilmiş ve sadakat uygulamaları nedeniyle tüketicilerin ilgili pazaryeri platformuna bağlı hale geldikleri ve pazaryeri lehine bir bilgi asimetrisinin oluştuğu, platformu sıfır ya da negatif fiyatla kullanan tüketiciler tarafından esasında verileri ile bir ödeme yapıldığı hususları aktarılmıştır. Rekabet hukuku bakımından oldukça ilgi çekici olan e-pazaryerlerinin bu uygulamaları Kanun çerçevesinde incelenmemiş ve uygulayıcılara yol gösterici hiçbir hususa yer verilmemiştir. Taslak Rehber’in genelinde böyle bir yaklaşım olduğu görülmektedir. Nitekim bir kısım tespitlere yer verilmiş olmakla birlikte bu tespitlerin sonuçlarına ilişkin değerlendirmeler eksik bırakılmıştır. Oysaki rehberler uygulayıcılar tarafından bir kanunun, yönetmeliğin uygulanmasını kolaylaştıracak, yasal metinlerin lafzından kaynaklanabilecek olası belirsizlikleri giderecek basitlikte olmalıdır. Ancak Taslak Rehber’in özellikle bu kısımdaki ifade şekliyle yol gösterici ve yönlendirici olduğunu söylemek pek mümkün değildir.

4. Veri Sorumlusu ve Veri İşleyen

Sadakat programlarında olduğu gibi bazı somut durumlarda, veri sorumlusu-veri işleyen ilişkisi oldukça karmaşık ve ayırt edilmesi zor hale gelebilmektedir. Ancak Taslak Rehber’de bu bölümde yalnızca üç cümleye yer verilmiştir. Oysaki sadakat programı kapsamındaki uygulamalar çoğu zaman veri sorumlusu-veri işleyen ilişkisiyle sınırlı olarak tarif edilemez. Birçok durumda taraflar ayrı ayrı ya da ortak veri sorumlusu olabilmekte; bu durum da açık rızaların alınması, yurtdışına veri aktarımı, ilgili kişilerin aydınlatılması gibi hususlarda süreçler daha karmaşık hale getirebilmektedir. Nitekim Taslak Rehber’de yer verilen “ortak sadakat programlarına” yönelik açıklamalar bu nitelikteki uygulamalarının yaygınlığını da ortaya koymaktadır. Dolayısıyla kanaatimizce bu bölümde uygulamaya daha fazla yol gösterecek ve soru işaretlerini giderecek sayıda örnek verilmesi ve bu örneklerin ortak veri sorumluluğu ya da birden fazla kişinin ayrı ayrı veri sorumlusu olması gibi ihtimalleri içermesi faydalı olacaktır.

5. İlgili Kişi

Taslak Rehber’de, sadakat programlarında kişisel verisi işlenen farklı kişi grupları olduğu belirtilmekle birlikte; Taslak Rehber kapsamında sadece müşteri odaklı sadakat programlarına üye olan gerçek kişilerle sınırlı olarak bir çalışma yapıldığı belirtilmiştir. Nitekim Taslak Rehber’in amacı dikkate alındığında bu yaklaşımın uygun olduğu düşünülmektedir.

6. İşlenen Kişisel Veriler

Sadakat programları aracılığıyla işlenen kişisel veriler -Avustralya Rekabet ve Tüketici Komisyonu (“ACCC”) tarafından hazırlanan rehbere[1] atıfla- aşağıdaki şekilde sınıflandırılmıştır:

• Müşteri tarafından aktif ve gönüllü bir şekilde sağlanan kişisel veriler (form doldurma)
• Müşteri tarafından pasif olarak sağlanan kişisel veriler (IP, lokasyon)
• Diğer kaynaklardan sağlanan müşteri verileri (birleşik verilere dayanarak analizler yapılması yoluyla elde edilen veriler)

Müşteri tarafından pasif olarak sağlanan kişisel veriler arasında birçok meta veri bulunmaktadır. Her ne kadar Taslak Rehber’de bu pasif verilerden ve birleşik verilere dayanarak yapılan analizler neticesinde elde edilen verilerden başlık olarak bahsedilmiş ise de bu veri işleme süresince ne tür verilere ulaşılabileceği tartışılmamış ve bu verilerin işlenmesi durumu kişisel verilerin korunmasındaki temel ilkeler bakımından değerlendirilmemiştir. Bu meta verilerin kullanımı ve taşıdığı riskler, bu kapsamda risk değerlendirmesi yapılmasının önemi gibi hususlarda çok yüzeysel bilgiye yer verilmiştir.

Ayrıca Taslak Rehber’de her ne kadar ACCC’ye atıfla işlenen kişisel veriler sınıflandırılmış ise de bu sınıflandırma OECD tarafından 2013 yılında yayınlanan bir rapordan alıntılanmıştır. Dolayısıyla bu alıntının da düzeltilmesi gerekmektedir.

7. İşleme Şartları

7.1. Sadakat programı kapsamında yürütülen veri işleme faaliyetlerinin hukuka uygunluk sebepleri uyarınca değerlendirilmesi

Bu başlık altındaki ilk cümlede yer alan “bir firmanın sadakat programından yararlanabilmek için bir mal veya hizmeti bu firmadan satın almış veya alacak olmak gerekmektedir” şeklindeki ifadenin sınırlandırıcı olduğunu belirtmek gerekmektedir. “Satın alacak” ifadesinin yerine satın alması muhtemel gibi daha genel bir ifade kullanılması uygun olacaktır. Bu şekilde bir giriş yapılmasındaki amaç, veri sorumlusu konumundaki sadakat programı uygulayıcısının “müşteri” konumundaki ilgili kişilerin kişisel verilerini “sözleşmesel ilişki, hukuki yükümlülüğün yerine getirilmesi, kanunlarda açıkça öngörülme” gibi hukuka uygunluk sebepleri çerçevesinde işleyebileceğidir. Zira bu hukuka uygunluk sebeplerinin varlığı halinde kişisel verilerin işlenmesi için açık rızaya başvurulmasına gerek olmayacaktır.

Sadakat programı kapsamında yürütülen veri işleme faaliyetlerinin hukuka uygunluk sebepleri bakımından değerlendirildiği bu bölümde, “sözleşmenin ifası” hukuka uygunluk sebebi tartışılırken ticari elektronik ileti onayı ile ilgili hususlara yer verildiği görülmektedir. Kanaatimizce ticari elektronik iletilerle ilgili hususun ayrı bir başlık altında ele alınması yerinde olurdu.

Hukuka uygunluk sebeplerinin tartışıldığı bu başlıkta, Birleşik Krallık Veri Koruma Otoritesi’nin (ICO) web sitesinde sadakat uygulamalarına ilişkin ICO tarafından yapılan yorumlar ve hukuka uygunluk nedenlerinin örnek olarak değerlendirilebileceği belirtilmiştir. Bu başlık altında çeşitli sadakat programlarına ilişkin örnekler verilmiştir. Gıda sektörü ile ilgili örnekte sadakat programı kapsamındaki hususların sözleşme içerisinde düzenlenmesi mevzuata aykırı bulunmuştur. Aydınlatma metinleri ve açık rıza beyanlarının sözleşme içerisine yerleştirilmemesi gerektiği vurgulanmış ve sözleşme kapsamında işlenecek kişisel veriler için açık rıza alınmasının hukuka aykırılık oluşturacağı belirtilmiştir. Ancak bu husus da bu başlık altında örnek olarak sunulan ticari elektronik iletiler mevzuatıyla çelişmektedir. Zira, Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin 7’nci maddesinin 5’inci fıkrasında onayın bir sözleşmenin içeriğine dahil edilerek alınabileceği düzenlenmektedir. Taslak Rehber’de bu hususa ilişkin açıklamalara yer verilmesi gerekirdi.

7.2. Sadakat programları bakımından açık rızanın gerekliliği ve program sözleşmesinin açık rıza şartına bağlanıp bağlanamayacağı

Bu başlık altında açık rızanın üç unsuruna -kanaatimizce olması gerekenden çok daha detaylı bir şekilde- yer verilmiş, ancak sadakat programları ile ilişkilendirilmeden olduğu gibi aktarılmıştır. Halihazırda açık rıza ile ilgili ayrı bir rehber olduğu göz önüne alındığında bu üç unsurun somut olaylarla ilişkilendirilmeden anlatılmasının elzem olmadığı görüşündeyiz.

Veri sorumlusu tarafından verilecek hizmetin kural olarak açık rıza şartına bağlanmaması gerekmektedir. Ancak Taslak Rehber’de de ifade edildiği üzere sadakat uygulamasına katılmak için verilerin işlenmesine açık rıza verilmesinin veri sorumlusunca talep edilmesi, her zaman için hizmetin rıza şartına bağlanması olarak değerlendirilmeyecek ve bu bağlamda da hukuka uygun kabul edilecektir. Bu görüşe gerekçe olarak, Avrupa Birliği Veri Koruma Hukuku El Kitabı’nda[2] yer alan ilgili açıklamalar gösterilmiştir. Ayrıca Kurul’un sadakat programlarına ilişkin 05.07.2019 tarih ve 2019/198 sayılı kararına da atıfta bulunulmuştur. Karara göre sadakat programının sağlamış olduğu menfaatin özgür iradeye olan etkisi bir ölçüt olarak değerlendirilebilecektir. Nitekim Kurul’un 05.07.2019 tarihli ve 2019/198 sayılı kararında, veri sorumlusunun 99,99 TL olan ürünün fiyatını sadakat karta özel indirim kapsamında 79,99 TL olarak satışa sunmasının açık rızanın koşul olarak dayatılması anlamına gelmediği ifade edilmiştir. Ancak, sadakat programının sağlamış olduğu menfaatin özgür iradeye etkisi, olabildiğince somut örneklerle desteklenmesi gereken bir husustur. Doğru bir yaklaşım olmakla birlikte Kurum’un ve yaptırımlara karar verecek olan Kurul’un bakış açısının ortaya konulması açısından kurgusal vakalar üzerinden örnek vermek Taslak Rehber’in amacına ulaşması açısından büyük önem taşımaktadır. Ancak Taslak Rehber’de böylesine önemli bir hususun yeterince detaylandırılmadığı görülmektedir.

Öte yandan dikkat çekmek gerekir ki sadakat programları kapsamında kişisel verilerin işlenmesinde açık rızanın geçerliliği tartışılırken özgür iradeyi etkileyen tek husus maddi menfaat, yani fiyat ve fiyata bağlı unsurlar olmayabilmektedir. Bazı web sitelerinde, ilgili portalı işleten veri sorumlusu dışında aynı gruba ait başka bir şirketin sunduğu sadakat programına ait kart numarası gibi bilgilerin talep edildiği gözlenmektedir. Veri sorumlusunun da mensup olduğu şirketler topluluğunun; ayrıca veri sorumluluğu bulunan bir başka mensubuna ait sadakat programı bilgilerinin girilmesi suretiyle iki tarafın işlediği kişisel verilerin birbirine bağlanması ile şirketler topluluğu arasında usule uygun olmayan bir veri aktarımı yapılması sağlanmış olmaktadır. Uygulamada sıklıkla karşımıza çıkan bu ve benzeri senaryoların da Taslak Rehber’de ele alınarak değerlendirilmesinin faydalı olacağı görüşündeyiz.

7.3. Sadakat programları kapsamında kişisel verilerin ticari elektronik ileti gönderilmek amacıyla işlenmesi

Sadakat uygulaması kapsamında müşterinin tanınması için kişisel verilerin işlenmesi ile ticari elektronik ileti gönderebilmek için müşterinin kişisel verilerinin işlenmesinde “işleme amaçlarının” birbirinden farklı olduğu vurgulanmıştır. Bu hususla ilgili olarak Taslak Rehber’in 20’nci sayfasının ilk paragrafında, “sadakat programı üyesinin iletişim bilgilerinin kendisine ticari elektronik ileti ile göndermek amacıyla kullanılıp kullanmayacağının ayrıca ve dikkatle değerlendirilmesi gerekmektedir” şeklinde bir değerlendirmeye yer verilmiştir.

Bu ayrımı desteklemek üzere vurgulanmasında fayda gördüğümüz bir husus daha bulunmaktadır. Nitekim Yönetmelik’in 7’nci maddesinin 7’nci fıkrası gereği hizmet sağlayıcı aldığı onayı, sözleşme kapsamında olmak kaydıyla promosyon amaçlı ticari elektronik ileti göndermesi için kullanabilecekse de bu onay, sadakat programı kapsamında kişisel veri işlenmesi, aktarılması gibi hususlar için bir hukuka uygunluk sebebi teşkil etmemektedir. Taslak Rehber’de bu ayrımın da ele alınmasının yararlı olacağı kanaatindeyiz.

8. Sadakat Programları Kapsamında Yürütülen Veri İşleme Faaliyetlerinin Genel İlkeler Uyarınca Değerlendirilmesi

Bu başlık altında veri minimizasyonu ve amaçla bağlılık ilkeleri, yerinde bir şekilde defalarca vurgulanmıştır.

Bölüm içerisinde (Taslak Rehber’in 24’üncü sayfasında), Belçika Veri Koruma Otoritesi ile ilgili verilen örnekte[3] bazı yerlerde “veri sahibi” bazı yerlerde ise “ilgili kişi” kavramının kullanıldığı görülmektedir. Bu terimin mevzuatta kullanıldığı şekliyle “ilgili kişi” olarak kullanılması kavram birliğinin oluşturulması bakımından yerinde olacaktır.

9. Sadakat Programları ve Aydınlatma Yükümlülüğü

Bu bölüm içerisinde aydınlatma yükümlülüğüne ilişkin olarak uygulamadan birtakım örnekler verilmiş ve sadakat programı sunan veri sorumlularına iki önemli öneride bulunulmuştur:

• Sadakat programı müşterilerine özel aydınlatma metni hazırlanması,
• Veri işleme süreçlerine ilişkin genel nitelikteki aydınlatma metinlerinde sadakat programı kullanıcılarına özel açıklamalara yer verilmesi (link verme, katmanlı aydınlatma yapma gibi)

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesinin 1’imci fıkrasının ç bendinde “veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca getirilmelidir” hükmü yer almaktadır. Bu hükümden yola çıkan Kurul, daha önceki kararlarında faaliyete özel aydınlatma yapılması gerektiğini sıklıkla vurgulamıştır. Ancak Taslak Rehber’in bu kısmında, uygulamayı doğrudan ilgilendiren pratik bir yol gösterilerek, genel aydınlatma metinlerinin içerisinde sadakat programı kullanıcılarına özel açıklamalara yer verilerek katmanlı aydınlatma yapılabileceği belirtilmiştir. Ancak Taslak Rehber’de katmanlı aydınlatma metnine örnek sunulmamış olması önemli bir eksikliktir.

10. Veri Güvenliği

Veri güvenliği ile ilgili başlık açılmasına rağmen Kanun’un 12’nci maddesine atıf yapılmakla yetinilmiştir. Özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler konulu ilgili karar doğrultusunda karar verilmesi gerektiği belirtilmiş ancak işlenen kişisel veriler bölümünde özel nitelikli kişisel verilerden bahsedilmemiş ve sadakat programlarında hangi durumlarda özel nitelikli kişisel verilerin işlenebileceği detaylandırılmamıştır. Ayrıca işlenen meta veriler ve olası riskler, veri koruma etki değerlendirmesi, risk değerlendirmesi gibi hususlardan bahsedilmemiştir.

11. Sonuç ve Öneriler

Sonuç ve önerilerde yer alan hususlar yerinde olmakla birlikte bu Taslak Rehber kapsamında yeterince özelleştirilmediği gözlenmektedir. Örneğin, aydınlatma metinleri ile ilgili 9’uncu bölümde sadakat kart özelinde önemli ve pratik bir bilgi verilmesine rağmen bu hususa sonuç ve öneriler bölümünde yer verilmemiştir. Taslak Rehber’in son cümlesinde rehberin hukuki niteliğine ışık tutacak şekilde, “veri sorumluları açısından aydınlatıcı ve yol gösterici olacağı” şeklinde bir değerlendirmeye yer verilmiştir.

Genel Değerlendirme

Kurum tarafından rehberler yayınlanması ve bu rehberlerin paydaşların görüşüne açılması hiç şüphesiz ki alana olumlu katkı sağlamaktadır. Ancak, dinamik mahiyeti nedeniyle regülasyona ihtiyaç duyulan, özellikle de başta Avrupa Genel Veri Koruma Tüzüğü olmak üzere alanda sık başvurulan uluslararası mevzuat ile uyumluluğu önem arz eden bu gibi alanların rehberlerle regüle edilmesinin uzun vadede olumsuz etkileri de olacaktır.

Kurum her ne kadar bu rehberlerin bağlayıcı bir mahiyette olmadığını, aydınlatıcı ve yol gösterici olduğunu belirtse de rehberlerde kullanılan dil itibariyle mevzuatta yer almayan hususlarla ilgili kural ihtiva eden ifadelere yer verildiği görülmektedir. Bu da uygulayıcılar için kolaylaştırıcı olması gereken rehberlerin bazı durumları daha karışık hale getirmesine yol açmaktadır. Bu bağlamda Kurum tarafından hazırlanan rehberlerin daha sade, anlaşılır ve öz olması uygulayıcılar için faydalı olacaktır.

Kurum’un görevlerini yerine getirmek için sarfettiği emeği ve gayreti takdir etmekle birlikte, rehberlerin mevzuatta yer alan mevcut düzenlemeler doğrultusunda uygulama örnekleri içeren metinler olarak kalması gerekmektedir. Kural içerecek nitelikteki hususların ise yasal mevzuat içerisinde düzenlenmesi ya da ihlalin yaygın olduğu durumlarda Kanun’un 15’inci maddesinin 6’ncı fıkrasında yer alan yetki doğrultusunda ilke kararı şeklinde alınması ve bu kararların gerek Resmi Gazete’de, gerekse Kurum’un internet sitesinde “karar formatıyla ve kararın künyesi de belirtilmek suretiyle yayımlanması” hukuki güvenlik ve belirlilik ilkeleri açısından daha yerinde olacaktır.

Öte yandan sadakat programı yürüten firmaların Taslak Rehber nihai hale getirildikten sonra rehberi dikkatle incelemesi ve kişisel veri işleme faaliyetlerinin, hukuka uygunluk nedenlerinin, aydınlatma ve açık rızaya ilişkin uygulamalarını nihai rehber doğrultusunda değerlendirmesi önem arz etmektedir.

[1]https://www.accc.gov.au/system/files/Customer%20Loyalty%20Schemes%20-%20Final%20Report%20-%20December%202019.PDF (E.T. 07.08.2022)

[2] https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data-protection_en.pdf

[3] https://edpb.europa.eu/news/national-news/2019/belgian-data-protection-authority-imposes-fine-eu-10000_en ve https://gdprhub.eu/index.php?title=Supreme_Court_-_C.20.0323.N#English_Machine_Translation_of_the_ Decision kararları