Dert Sende, Derman Bende: Kişiselleştirilmiş Fiyatlandırma Üzerine BIAC-OECD Değerlendirmeleri

1920 senesinde alışverişe çıkan bir insanın, alacağı ürünlere dair aklına gelebilecek pek çok soru vardır. Ne var ki, bu ürünlerin fiyatının, alıcı profiline göre değişip değişmeyeceği bu sorular arasında yer almamaktadır. Zira fiyatların kişiselleştirilmesi, o dönem ekonominin maruz kaldığı bir kavram değildir. Fakat aradan geçen yıllarda, teknolojide meydana gelen gelişmeler, müşteri davranışlarına ilişkin kapsamlı verileri toplamayı ve çeşitli algoritmalar üzerinden işleyerek kullanmayı mümkün kılmıştır. İşte bu dijitalleşme, ticaret hayatında yeni bir perde açmış ve böylece başlayan yaratıcı yıkım süreci bizleri fiyatların müşteri profiline göre kişiselleştirilmesi yönündeki çok boyutlu uygulamalar ile baş başa bırakmıştır.

İşte bu bağlam içerisinde, OECD de bu konuya kayıtsız kalmayarak 28 Kasım 2018 tarihinde, Rekabet ve Tüketici Politikaları Komiteleri arasında ortak bir çalışma grubu toplantısı gerçekleştirdi. Dijital çağda kişiselleştirilmiş fiyatlandırma konusunu değerlendirmek için toplanan çalışma grubuna, çeşitli ülkelerin rekabet otoritelerinin yanı sıra özel sektör temsilcilerinden oluşan Business and Industry Advisory Committee (Business at OECD – BIAC) de iştirak etti.

Konuya ilişkin OECD görüşü kapsamında, müşteri verilerinin analitik incelemeleri sonucu fiyatlama algoritmaları oluşturulmasının, dijital dönüşümün bir sonucu olarak ticaret hayatının mutat bir uygulaması haline geldiği tespit edilirken; kişiselleştirilmiş fiyatlandırmanın tahsis etkinliğini artıracağını ve düşük seviyeli müşterilerin -başka türlü alamayacakları ürünleri- almalarına imkân tanıyabileceği değerlendiriliyor. Öte yandan, fiyatları kişiselleştirmek için kullanılan parametrelerin şeffaf olmamasının, dijital pazara duyulan güvenin sarsabileceği ve fiyat ayrımcılığına dönüşerek tüketici refahını düşürebileceği yönünde endişeler de dile getiriliyor.

Uygulamayı Tanıyalım

Bu kapsamda, özel sektör temsilcilerinin değerlendirmelerine geçmeden evvel, fiyat kişiselleştirmesi hakkında kısa bir arka plan bilgisi vermek isabetli olacaktır. Fiyat kişiselleştirmesi, temelde her bir müşteri için, kişisel eğilimleri ve harcamaya hazır olduğu en yüksek tutar üzerinden bir değerlendirme yapılmasını içeriyor. Elbette, bu değerlendirmenin en önemli girdisini, müşteriler hakkında farklı mecralardan elde edilen bilgiler oluşturuyor. Yaptığı değerlendirmede OECD, gelişen teknolojilerin şirketlere, müşterilerin harcamayı göze aldıkları en yüksek tutarları tahmin edebilme imkânı sağladığını belirtirken bu tahminlerin mükemmel olmadığını da ekliyor. Office of Fair Trade’in (OFT) 2013 tarihli bir raporu ise kişiselleştirilmiş fiyatı; bireylerin işlem veya karakteristikleri hakkında gözlem, gönüllü paylaşım veya veri toplama gibi faaliyetler üzerinden bilgi edinip bu bireylerin ne kadar harcama yapmaya razı olduklarını değerlendirerek farklı müşteriler için (bireysel veya grup olarak) farklı fiyatlamalar yapılması olarak tanımlanmaktadır.

Buradan hareketle OECD, fiyat kişiselleştirmesini üç kategoride inceliyor;

  • birinci derece fiyat ayrımcılığı (mükemmel fiyat),
  • ikinci derece fiyat ayrımcılığı (versiyonlama) ve
  • üçüncü derece fiyat ayrımcılığı (grup fiyatlama).

Bu kapsamda birinci derece fiyat ayrımcılığı; her bir müşteriye, ödemeye razı oldukları tutarların en fazlası üzerinden fiyat teklif edilmesini ifade etmektedir. Bu yöntem içim müşteriler arası farklar çok iyi gözlemlenip fiyatlandırmaya yansıtılmalıdır. İkinci derece fiyat ayrımcılığında ise satıcı, aynı ürünün farklı versiyonları için farklı fiyatlar vermekte ve seçimi müşteriye bırakmaktadır. Burada ayrımcılık dolaylıdır ve bu faaliyet müşteriler hakkında sahip olunan bilgilere dayanmamaktadır. Son olarak, üçüncü derece fiyat ayrımcılığı, farklı müşteri grupları için farklı fiyatlandırmalar belirlenmesini ifade etmektedir. Burada fiyatlama bireysel davranışların değil grup tercihlerinin gözlemlenmesine dayanmaktadır.

BIAC’ın Görüşü

Uygulamanın esaslarına kısaca temas ettikten sonra, BIAC çatısı altındaki özel sektör temsilcilerinin görüşlerine geçtiğimizde; çevrimiçi fiyat farklılaşmalarının, fiziki mağazalarda sunulanlar ile benzer nitelikte kişiselleştirilmiş teklifler içerdiği yönünde önemli bir tespit paylaşıldığını görüyoruz. Aynı kapsamda, bu ikisinin bir kombinasyonu olarak, bazı şirketlerin müşterilerine çevrimiçi ortamda kendi indirimlerini seçme ve daha sonra bu indirimleri fiziki mağazalarda kullanma imkânı tanıması örneği paylaşılıyor.

Özel sektör temsilcilerinin dikkati çektiği bir başka önemli vurgu noktası ise fiziki mağazalarda uygulanan fiyatlandırma politikalarının, gerek müşteri beklentilerini gerekse geleneksel perakendecilerin beklenmedik sonuçlar ile karşılaşmasını engellemek açısından oldukça önemli olduğudur. Bu kapsamda, çok-kanallı bir değerlendirme yapılması hem fiziksel mağazalarda hem de çevrimiçi mecralarda inovasyonun ve yenilikçi yaklaşımların engellenmemesi için elzem olarak tespit ediyor.

Müşterilerin Yaklaşımı

Tüm bu dijital muharebe içerisinde müşterilerin karşı-davranışları (veya davranışsızlıkları) da BIAC’ın değerlendirdiği mülahazalar arasında. Bu kapsamda özel sektör temsilcileri, müşterilerin, fiyat kişiselleştirmesinin temelini oluşturan veri toplama faaliyeti karşısında pasif kalmak mecburiyetinde olmadıklarını belirterek satın alma davranışlarına dair bilgileri stratejik olarak bloke edebileceklerini değerlendiriyor. Bu amaca hizmet eden uygulamalara örnek olarak ise satın alımların geciktirilmesi, veri geçmişini muhafaza eden “çerezlerin” silinmesi veya alternatif e-posta adreslerinin kullanılması sunuluyor.

Öte yandan müşterilerin, fiyatların kişiselleştirilmesine dair harcanan tüm bu çabaya olumlu bakan tarafta da yer alabileceklerini belirten özel sektör temsilcileri, kişiselleşen fiyatlardan elde edilebilecek menfaatlerin, bu yaklaşımı güçlendireceğini vurguluyor. Bu kapsamda tedarikçilerin -genellikle- müşterilerini kişisel verilerini kullanıma açmaları yönünde ikna etmeye çalıştıkları ve bu amaçla ücretsiz üyelik gibi teşvik mekanizmaları kurdukları da değerlendiriliyor.

Uygulamanın Güncel Durumu ve Rekabet Hukuku Perspektifinden Değerlendirilmesi

Güncel uygulamalar değerlendirildiğinde ise BIAC, kişiselleştirilmiş fiyatların hâlihazırda oldukça kısıtlı durumlarda kullanıldığı yönünde bir gözlem paylaşıyor. Ayrıca, bahse konu uygulamanın rekabetçi süreçleri akamete uğrattığını gösteren bir örneğin de bulunmadığı vurgulanıyor.

Bu değerlendirmeyi bir adım ileri taşıyan özel sektör temsilcileri, kişiselleştirilmiş fiyatların bazı müşteriler açısından daha düşük fiyat uygulayarak bunları, aksi takdirde ulaşamayacakları mal ve hizmetlere kavuşturduğunu belirtiyor. Tüketici refahını artıran bir unsur olarak değerlendirilen bu durum ve benzeri pozitif geri dönüşlerin, bahse konu uygulamanın baskın unsuru olduğuna kanaat getiren özel sektör temsilcileri; tüketicilerin bu uygulamadan zarar görebileceklerinin ise ancak hâkim durumda teşebbüslerin söz konusu olduğu özel koşullar için gündeme gelebileceğini değerlendiriyor.

Rekabet politikaları ve tüketicinin korunması merceğinden bakıldığında ise BIAC, mevcut düzenlemelerin etkin olduklarını ve ilave bir şeffaflık getirilmesinin gerekli veya yararlı olmadığını değerlendiriyor.

Özel Sektörden Uyarılar

Yukarıdaki değerlendirmeleri kapsamında; yeni pazarlara giriş imkanını, mal ve hizmetlerde artan çeşitliliği ve araştırma maliyetlerinin azalmasını dijital ekonomide inovasyonun gerçek faydaları arasında sayan özel sektör temsilcileri, bu alana müdahale etmek isteyen otoritelerin bu faydaları göz ardı etmemesi gerektiğini not ediyor. Aşırı uygulamalardan kaçınılmasını savunan bu görüş kapsamında ayrıca, toplam refahın her daim gözetilmesi gerektiği değerlendiriliyor.

Aynı kapsamda, tüketiciler nezdinde oluşabilecek olası risklere müdahale ederken, dijital ekonomi için gereken yenilik dostu eko-sistemin zarar görmemesi gerektiği de vurgulanırken çevrimiçi pazarlar ile fiziki mağazalar arasındaki dengenin de gözetilmesi tavsiye ediliyor.

Sonuç olarak, BIAC’ın, rekabet ve tüketici politikalarını düzenleyen otoritelerin müdahalelerine ılımlı baktıklarını, bu müdahalelerin koordinasyon içerisinde yapılması gerektiğini ve gelişmekte olan uygulamalar ile müşterilerin eğitilmesi gereken muhtemel durumların gözlemlenmesi gerektiği vurgulanıyor.

Kişisel Verileri Koruma Kurulu’ndan Kamuoyu Duyurusu

Kişisel Verileri Koruma Kurulu 5 Aralık 2018’de yeni bir kamuoyu duyurusu yayınlanmıştır. Söz konusu duyuruda Marriott International, Inc tarafından gerçekleşen veri ihlaline ilişkin bilgiye yer verilmektedir.

Kişisel Verilerin Korunması Kanunu’na göre kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmelidir. Yine aynı maddede ifade edildiği üzere Kişisel Verileri Koruma Kurulu, bu durumu kendi internet sitesinde ilan edebilmektedir.

Starwood ağına (konuk rezervasyon veri tabanı) yetkisiz erişimin tespit edilmesi üzerine Marriott International, Inc söz konusu ihlali Kişisel Verileri Koruma Kurulu’na bildirmiştir. Veri tabanında 500 milyon konuğun kişisel verilerinin bulunduğu belirtilmektedir. Çeşitli kişisel verilerin yanında bazı konukların kredi kartı bilgilerinin de veri tabanında olduğu ancak bunlara erişimin sağlandığı konusunda bir netlik olmadığı belirtilmiştir. İhlale ilişkin detaylı bilgi info.starwoodhotels.com internet sitesinde bulunmaktadır. Kişisel Verileri Koruma Kurulu tarafından yayınlanmasına karar verilen duyuru metnine ise https://www.kvkk.gov.tr/Icerik/5322/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi- linkinden ulaşabilirsiniz.

Kayıt Tarihleri Belli Olmuşken Sicile Kayıt Detaylarını Hatırlayalım

Geçtiğimiz günlerde sıcağı sıcağına yayınladığımız yazımız ile Kişisel Verileri Koruma Kurulu’nun (“Kurul”), uzun bir bekleyişin ardından Veri Sorumluları Sicili’ne (“Sicil”) kayıt tarihlerini belirleyip ilan ettiğinden, ayrıca aynı gün yayınlanan iki kararla bazı veri sorumlularının Sicile kayıt yükümlülüğünden müstesna tutulduğundan bahsetmiştik. Bu yazımızda da kayıt tarihlerinin de belli olmasıyla birlikte herkesin aklındaki ortak sorunun cevaplarına değineceğiz; Sicile kayıtla ilgili nelere dikkat edilmeli?

Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) genel esaslarına yer verilen Sicil, Veri Sorumluları Sicili Hakkında Yönetmelik’le (“Yönetmelik”) ayrıntılı şekilde düzenleniyor. Yönetmelik hükümlerinde özellikle dikkat edilmesi gereken konular ise Sicile ilişkin ilke ve esaslar, kayıt işlemi, verilerin azami muhafaza süresi ile irtibat kişisi ve veri sorumlusu temsilcisi alt başlıklarında düzenleniyor.

Sicile İlişkin İlke ve Esaslar

Kurul, Sicile ilişkin ilke, usul ve esaslar başlığı altında öncelikle veri sorumlularının veri işleme faaliyetlerine başlamadan önce Sicile kayıt yükümlülüklerini  tekrar ediyor. Bu noktada bu temel düzenlemenin, Sicilin faaliyetine başlamasından ve Kurul’un halihazırda yayınladığı ilk kayıt takvimi sürelerinin sona ermesinden sonra hayata geçeceğini hatırlatmakta fayda var.

Sicil kamuya açık bir şekilde tutuluyor olacak. Bu sayede kişisel verileri işlenecek ilgili kişiler, Sicil üzerinden veri sorumlularının bilgilerine erişebilecek, ayrıca hangi verilerinin ne kadar süre ile işleneceğine dair bilgi sahibi olabilecekler.

Sicile ilişkin ilkeler noktasında belki de en önemli husus Sicil ile veri envanterinin birbirleri ile olan bağlantısı. Zira Yönetmelik hükmüne göre Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanacak. Öte yandan veri sorumlularının Kanun’dan doğan yükümlülüklerinin çerçevesinin belirlenmesinde de veri envanterine dayalı olarak Sicile bildirilip yayınlanan bilgiler esas alınacak. Bu kapsamda aydınlatma yükümlüğünün, ilgili kişilerin başvurularına verilecek yanıtların ve ilgili kişilerden alınacak açık rızaların kapsamlarının belirlenmesinde Sicilde yayınlanan bilgiler önem arz edecek. Dolayısıyla Sicile kayıt öncesinde veri envanterinin sürece uygun şekilde hazırlanmış olması dikkat edilmesi gereken hususlardan.

Daha önceden Sicile kayıt yükümlülüğüne tabi olmadığı halde kayıt yükümlüsü haline gelen veri sorumlularının kayıt yükümlüsü haline geldikleri tarihten itibaren otuz gün içerisinde kayıt yükümlülüklerini yerine getirmeleri gerekeceğini de hatırlatalım.

Sicile Kayıtta Verilecek Bilgiler

Sicile Kayıt İşlemi

Sicile kayıt işlemi ve sonrasında Sicil üzerinde veri sorumlularınca gerçekleştirilecek tüm işlemler, internet üzerinden erişim sağlanabilecek bir bilişim ağı olan VERBİS üzerinden yapılacak.

Sicile kayıt başvurusunda bulunacak veri sorumlularının VERBİS üzerinden, veri envanteri ile de paralellik arz edecek şekilde aşağıdaki asgari bilgileri iletmeleri gerekiyor:

  • Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin başvuru formunda yer alan bilgiler,
  • Kişisel verilerin hangi amaçlarla işleneceği,
  • Veri konusu kişi grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Kişisel veri güvenliğine ilişkin veri sorumluları tarafından alınan tedbirler,
  • Kişisel verilerin azami muhafaza edilme süresi.

Azami Muhafaza Süreleri

Yönetmelikte düzenlenen en önemli konulardan biri de kişisel verilerin ne kadar süre ile muhafaza edileceği belirlenirken dikkate alınacak kriterler. Kanun’un belirlediği genel ilkelerde de belirtildiği üzere kişisel veriler, ilgili mevzuatta öngörülen ya da işlendikleri amaç için gerekli olan süre boyunca veri sorumluları tarafından muhafaza edilebiliyor.

Düzenlemeye göre veri sorumluları tarafından verilerin hangi sürelerle işleneceğine ilişkin bilgiler ilgili veri kategorileri de eşleştirilerek Sicile bildirilecek. Veri sorumlusu tarafından Sicile bildirilen işleme amaçlarına dayalı muhafaza süreleri ile mevzuattaki süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza süresi öngörülmüşse bu süre, yoksa bunlardan en uzun süre esas alınarak veri kategorisi için süre bildirimi yapılması gerekiyor. Kişisel verilerin işlendikleri amaç için gerekli azami muhafaza süreleri belirlenirken Kurulca aşağıdaki hususların dikkate alınması gerektiği düzenlenmiş:

  • İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
  • Kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
  • Veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak devam edeceği süre,
  • İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
  • Belirlenecek olan azami sürenin ilgili veri kategorisinin doğru ve güncel tutulmasına elverişli olup olmadığı,
  • Veri sorumlusunun hukuki yükümlülüğü gereği kişisel verileri saklamak zorunda olduğu süre,
  • Veri sorumlusu tarafından kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen azami zamanaşımı süresi.

İrtibat Kişisi ve Veri Sorumlusu Temsilcisi

Bilindiği üzere tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir ve veri sorumlusu sıfatından doğan yükümlülükler bu tüzel kişiliği temsil ve ilzama yetkili organ ya da kişilerce yerine getirilir. Bu sorumluluk baki kalmak kaydıyla pek çok sicil tipinde olduğu gibi Veri Sorumluları Sicilinde de irtibat kişisi kavramının düzenlendiğini görüyoruz. İrtibat kişisi, Türkiye’de yerleşik tüzel kişi veri sorumluları tarafından belirlenip Kurum ile kurulacak iletişim için Sicile kayıt esnasında bildirilen gerçek kişidir. Bu noktada irtibat kişisinin veri sorumlusunun hiçbir surette temsile yetkili olmadığını belirtmekte fayda var. İrtibat kişisinin tek görevi ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusundaki iletişimin sağlanmasıdır.

Türkiye’de yerleşik olmayan veri sorumlularının da Sicile kaydolacağı, Sicil nezdinde çeşitli işlemler yürüteceği düşünüldüğünde, Yönetmelik ile bu kimselerin temsil sorununa ilişkin bir çözüm getiriliyor; veri sorumlusu temsilcisi. Veri sorumlusu temsilcileri, Türkiye’de yerleşik olmayan veri sorumlularının Sicil nezdindeki işlemleri yürütebilmeleri adına yetkilendirdikleri Türkiye Cumhuriyeti vatandaşı gerçek kişiler ya da Türkiye’de yerleşik tüzel kişilerdir. Veri sorumlusu temsilcisinin, çoğunluğu veri sorumlusunun iletişim sorunlarını gidermek üzerine kurulmuş çeşitli görevleri bulunuyor:

  • Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yapılan tebligat ve yazışmaları veri sorumlusu adına tebellüğ veya kabul etmek,
  • Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna; veri sorumlusundan gelecek cevapları da Kurum’a iletmek,
  • Kurulca ayrı bir düzenleme yapılmamışsa, ilgili kişi başvurularını veri sorumlusu adına almak ve veri sorumlusuna iletmek,
  • Kurulca ayrı bir düzenleme yapılmamışsa, başvurular üzerine veri sorumlusunun cevabını ilgili kişilere iletmek,
  • Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapmak.

Son olarak hatırlatmakta fayda var; Sicile kayıt ve bildirim yükümlülüğüne tam olarak riayet edilmesi, Sicile yapılan bildirimlerin gerçeği tam olarak yansıtması ve yanıltıcı bilgi içermemesi çok önemli. Aksi takdirde veri sorumlularının yirmi bin TL ile bir milyon TL arasında bir idari para cezası ile karşılaşmaları mümkün.

Kimler VERBİS’e kayıt yükümlülüğünün dışında tutuluyor?

Bildiğiniz üzere, 2016 yılında yayımlanarak yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen tüm veri sorumluları için, veri işleme faaliyetine başlamadan önce Veri Sorumluları Siciline (“VERBİS”) kaydolma yükümlülüğü getirilmişti. Aynı kanun ile sicile kayıt yükümlülüğünün uygulanmayacağı bazı istisnai haller düzenlenirken, Kişisel Verileri Koruma Kurumu’na (“KVKK”) da ayrıca istisna getirme yetkisi verilmişti.

Bu doğrultuda KVKK’nın, VERBİS’e kaydolma yükümlülüğünden istisna tutulacak veri sorumlularını belirleyen kararı 15 Mayıs 2018 tarihinde Resmi Gazete’de yayımlandı. Karara göre aşağıda belirtilenler, veri işleme faaliyetleri açısından açıklığı temin etmek amacıyla getirilen kayıt yükümlülüğünden istisna tutuluyor:

  • Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
  • Noterlik Kanunu uyarınca faaliyet gösteren noterler,
  • Dernekler Kanunu’na göre kurulmuş derneklerden, Vakıflar Kanunu’na göre kurulmuş vakıflardan ve Sendikalar ve Toplu İş Sözleşmesi Kanunu’na göre kurulmuş sendikalardan yalnızca söz konusu mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
  • Siyasi Partiler Kanunu’na göre kurulmuş siyasi partiler,
  • Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar,
  • Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.

Kişisel Verileri Koruma Kurumu’ndan İki Yeni Tebliğ!

Kişisel Verileri Koruma Kurumu tarafından hazırlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Aydınlatma Yükümlülüğü Tebliği”) ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ (“Veri Sorumlusuna Başvuru Tebliği”) 10 Mart 2018 tarihli Resmi Gazete’ de yayımlanarak yürürlüğe girdi. Bu iki tebliğ ile kişisel verilerinizin korunmasına ilişkin oldukça önemli düzenlemeler getirildi.

Bu tebliğler hakkında detaylı bilgiler anlatılmadan önce veri sorumlusu ve veri sahibinin kimler olduğu konusunda kısa bir bilgi vermekte fayda var. Veri sorumlusu, kişisel verileri işleyen ve tüm sürecin merkezinde bulunan; veri sahibi, kişisel verileri işlenen toplanan kaydedilen kişiler olarak açıklanabilir.

Öncelikli olarak Aydınlatma Yükümlülüğü Tebliği kapsamında, yapılacak olan bilgilendirmenin içermesi gereken zorunlu hususlar açıklığa kavuşturuldu. Veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verinin işlenme amacı, kimlere hangi amaçla aktarılabileceği, bunların toplama yöntemleri, hukuki sebepleri ve veri sorumlusuna başvuru yapıldığı takdirde ilgili kişinin bilgi alabilmesine ilişkin düzenlemeler getirildi.

Bunun yanı sıra veri sorumlularına ilişkin aydınlatma yükümlülüğünün nasıl yerine getirilmesi gerektiğine ilişkin detaylı ve oldukça önemli düzenlemelere yer verildiği de görülüyor. Veri sahibinin veri işleme amacı hakkında belirli ve açık, muğlak ifadelere yer vermeyecek şekilde aydınlatılması, veri işleme amacı değiştiğinde veri sahibinin bu değişikliğe istinaden ayrıca ve tekrar bilgilendirilmesi gerekliliği yer alıyor. Öte yandan, veri sorumlusuna aynı veri sahibine ilişkin bilgilerin birden fazla amaç için işlendiği durumlarda da her bir amaç için ayrı ayrı aydınlatma yükümlülüğü getirdiği anlaşılıyor. Böylelikle alınan veriler sadece belirli bir amaç dâhilinde kullanılabilecek.

Tebliğ kapsamında belki de en çok üzerinde durulması gereken düzenleme, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak yapılması durumunda aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin veri sorumlusu tarafından ayrı ayrı gerçekleştirilmesi gerekliliğine ilişkin düzenlemedir. Bir başka deyişle, kişisel verilerin işlenmesine ilişkin olarak alınan rızanın aydınlatma metninin içerisine yedirilmeksizin, ayrı bir sekmede açıkça alınması gerekiyor.

Tebliğ’de aydınlatma yükümlülüğüne ilişkin son düzenleme ise, kişisel verilerin veri sahibinden elde edilmemesi durumunda veri sorumlusuna yüklenen bir sorumluluğa ilişkin. Buna göre, kişisel veri doğrudan veri sahibinden elde edilmiyorsa bu verilerin elde edilmesinden itibaren makul bir sürede bir başka deyişle mümkün olan en kısa sürede veri sorumlusunun veri sahibine karşı aydınlatma yükümlülüğü doğuyor.

Öte yandan Veri Sorumlusuna Başvuru Tebliği ise adından da anlaşılacağı üzere kişisel verileri işlenen gerçek kişilerin veri sorumlusuna başvuruyu nasıl yapacağına ilişkin düzenlemeleri içeriyor. Başvuru dilinin Türkçe olması şartının yanı sıra başvurunun yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletileceği düzenleniyor. Bu konuda belirtilmesi gereken noktalardan bir diğeri ise veri sorumlusunun gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olmasıdır. Böyle bir düzenlemeye yer verilmesinin nedeni ise başvuruların etkin bir şekilde sonuçlandırılması olarak açıklanıyor. Ancak veri sorumlusu, veri sahibinin talebini yerine getirirken sınırsız bir süreye sahip olmayıp 30 günlük bir süreyle sınırlandırılıyor.

Kişisel Verileri Koruma Kurumu bu iki tebliğ ile veri sahibinin haklarını mümkün olduğunca güvence altına alarak kendisi hakkında oluşturulan her türlü verinin kullanımı ile ilgili bilgilendirme yükümlülüğünü veri sorumlusuna yüklediğini, veri sahibine de dilediğinde bilgi alma hakkını tanıdığını ayrıntılarıyla açıklıyor. Ayrıca bu düzenlemeler, Kişisel Verileri Koruma Kurumu’nun kişisel verilerin korunmasına yönelik çalışmalarını tam gazla sürdürdüğünü gösteriyor. Bakalım bu alanda Kurum tarafından ilerleyen dönemlerde ne gibi yeni düzenlemeler getirilecek…

Bundeskartellamt: Facebook’un Veri Toplama ve Kullanma Politikası Rekabete Aykırı

Alman Rekabet Otoritesi Bundeskartellamt, bugün itibariyle Facebook’a karşı devam eden hakim durumun kötüye kullanılması soruşturmasının ön incelemesini tamamladığını duyurdu.

Söz konusu duyuruya göre Bundeskartellamt, Facebook’un Almanya’da sosyal ağlar pazarında hakim durumda olduğuna ve bu hakim durumunu, Facebook uygulaması kullanımını, diğer internet siteleri ve uygulamaları (third-party sources) kullanımı yoluyla elde edilen tüm veriyi, herhangi bir kısıtlamaya tabi tutulmaksızın toplama ve kullanıcının Facebook hesabıyla birleştirme şartına bağlaması sebebiyle kötüye kullandığına karar verdi. “Third-party sources” tanımına Whatsapp ve Instagram gibi Facebook’un sahip olduğu uygulamaların yanı sıra Facebook ile entegre edilebilen diğer tüm uygulamalar da giriyor.

Başkan Andreas Mundt yapmış olduğu açıklamada, mevcut durumdaki en büyük endişelerinin Facebook dışındaki sosyal ağlardan elde edilen verinin, herhangi bir sınırlamaya tabi tutulmaksızın kullanıcının Facebook hesabına aktarılması olarak nitelendiriyor. Bu noktada, Facebook’un veri takibi ve söz konusu verinin işlenerek Facebook hesabındaki veri ile birleştirilmesi noktasında kullanıcı rızası aldıkları yönündeki itirazları da yeterince ikna edici bulmadığını ifade ediyor.

Soruşturma hakkında daha fazla bilgiye buradan ulaşabilirsiniz.