Kişisel Verileri Koruma Kurulu’ndan Lokasyon (Yer) Bazlı Pazarlamaya ve Ortak Veri Sorumluluğuna İlişkin Önemli Bir Karar
Contents
- A. Lokasyon Bazlı Pazarlamanın Şikâyet Edilmesi ve Kurulun İncelemesindeki Tespitler
- B. Kurulun Kararında Değindiği Önemli Kavramlar
- C. Değerlendirme ve Yaptırım
Bu makalede Yağız Soymen ortak yazar olarak yer almıştır.
Bilindiği gibi “lokasyon (yer) bazlı pazarlama” kişiselleştirilmiş pazarlamanın bir türüdür ve pazarlama alanında sıklıkla kullanılmaktadır.
“Ortak veri sorumluluğu” ise iki veri sorumlusunun veri işleme sürecinin esaslarını birlikte belirlediği durumları ifade etmektedir fakat Kişisel Verileri Koruma Kanunu’nda (Kanun) yer almamaktadır. Bununla birlikte bu kavram Kişisel Verileri Koruma Kurulu (Kurul) tarafından ilk olarak 2021 yılında verdiği bir kararında kullanılmıştır.
Fakat “ortak veri sorumluluğu” durumunda ne yapılması gerektiği konusunda Kurul kararları ya da rehberlerinde bir açıklık olmadığı için bu kavram uygulamada mecbur olmadıkça kullanılmamakta, “her bir veri sorumlusunun Kanuna uyum konusunda kendi üzerine düşeni yapması” şekilde bir yaklaşım izlenmektedir.
İşte bu “lokasyon bazlı pazarlama” ve “ortak veri sorumluluğu kavramları” kavram, Kurulun yakın tarihli bir kararında (Karar) bu sefer birlikte karşımıza çıktılar (Bilginiz için: Karar Kurul tarafından yayımlanmamıştır; Kararın varlığı ve içeriği şikayetçinin paylaşımı ile LinkedIn üzerinden öğrenilmiştir. Söz konusu LinkedIn paylaşımına göre Karar 17.10.2024 tarihli ve 2024/1780 sayılıdır)
Kurulun Kararda genel olarak yer verdiği ve önemli gördüğümüz hususları aşağıda sizler için kısaca derledik.
A. Lokasyon Bazlı Pazarlamanın Şikâyet Edilmesi ve Kurulun İncelemesindeki Tespitler
Lokasyon (yer) bazlı pazarlama, bir kişiselleştirilmiş pazarlama tekniği olarak uygulamada sıkça karşımıza çıkmaktadır. Bu etkili -ama ihtiyatla yaklaşılması gereken- pazarlama tekniği bu defa Kurula yapılan bir şikâyete konu olmuştur.
Şikâyetçi, daha önce de alışveriş yapmış olduğu bir giyim firmasının mağazasının yakınında bulunduğu sırada “Sizi gördüğümüze sevindik! Size özel en yakın … mağazamızda yeni sezon alışverişinizde geçerli tüm indirimlere ek %10 indirim tanımladık” ifadesini içeren bir SMS alması üzerine durumu Kurula şikâyet etmiştir.
Bu şikâyet üzerine Kurul incelemesinde:
▪️ Mobil Operatörün Faaliyetinin Niteliği: Mobil operatörün (Operatör) lokasyon verilerini, abonelik ilişkisi kapsamında -abonenin mobil cihazından gerçekleştirdiği son işlemlerden hizmet aldığı baz istasyonu bilgisi sayesinde- işlediği ve işlediği bu verileri saklamak ve kullanılmasının sağlamak için altyapı hizmeti sağladığı tespit edilmiştir.
▪️ Giyim Firması ve Operatör Arasındaki İlişki: Giyim firması ve Operatör arasındaki sözleşmeye dayalı iş ortaklığı, Operatörün anlaşmalı hizmet sağlayıcısı olarak faaliyet gösterdiği ve lokasyon verisi kapsamında coğrafi sınırlama (geo-fencing) yöntemiyle gerçekleştirilen bir kişisel veri işleme faaliyetine dayanmaktadır. Operatör tarafından giyim firmasına toplu SMS hizmeti verildiği, öte yandan SMS içeriğini ve gönderilecek aboneler listesini giyim firmasının belirlediği, Operatörün bu kişilere gönderilecek SMS’in tetiklenebilmesi için lokasyonun tespiti hizmeti sunduğu tespit edilmiştir. Bu ilişki Kurul tarafından “ortak veri sorumluluğu” olarak nitelendirilmiştir.
▪️ SMS Gönderim Süreci: Yapılan değerlendirmede Operatörün, konum verisini coğrafi sınırlama yöntemiyle işlediği ve giyim firmasının talebi üzerine mağazaya yakın olan ve ticari iletişim izni aldığı müşterilerine SMS gönderimi sağlandığı tespit edilmiştir. Giyim firması, hedef kitle ve mesaj içeriğini belirlemiş, Operatör ise lokasyon verisini teknik altyapı olarak sunmuştur.
B. Kurulun Kararında Değindiği Önemli Kavramlar
Kurul, lokasyon bazlı pazarlama ve ortak veri sorumluluğunun değerlendirilmesinde önemli noktalara işaret etmiş ve Kararında ilgili kavramları -Genel Veri Koruma Tüzüğü (“GDPR”) uygulaması, Avrupa Veri Koruma Kurulu ve Birleşik Krallık Veri Koruma Otoritesi gibi organların yönlendirmelerine de atıflar yaparak- açıklığa kavuşturmuştur.
Kararda detaylı olarak açıklanmış olmasa da -aydınlatıcı olması açısından- Kararda değinilen bazı temel kavramlara ilişkin açıklamalarımızı aşağıda bulabilirsiniz.
▪️ Coğrafi Konumlama (Geo-location): Coğrafi konumlama, Karara konu “Konuma Dayalı Pazarlama” (Location-Based Direct Marketing) ve benzeri konum tabanlı hizmetlerin temelini oluşturmaktadır. Mobil uygulamalar, internet tarayıcılar, baz istasyonları gibi veri kaynaklarından alınan bilgilerle kullanıcının yaklaşık konumu tespit edilerek Geo-fencing veya Geo-targeting gibi pazarlama yöntemlerinin kullanılabilmesine olanak sağlanmaktadır.
▪️ Coğrafi Sınırlama (Geo-fencing): Bir cihazın (genellikle bir akıllı telefon) belirli bir coğrafi bölgeye girdiğinde veya çıktığında otomatik olarak tetiklenen bir uyarı veya eylemdir. Cihazın belirlenen bölgeye giriş/çıkışının tespit edilebilmesi için GPS, Wi-Fi veya Bluetooth ve benzeri konum belirleme yöntemleri kullanılır. Bu yönteme dayalı pazarlama faaliyetlerinde, kullanıcılar, halihazırda sanal sınırlarla belirlenmiş alanlara girdiklerinde bir pazarlama eylemi (telefon bildirimi, e-posta, SMS) ile karşılaşırlar.
▪️ Coğrafi Hedefleme (Geo-targeting): Kullanıcıların coğrafi konumlarına göre hedeflenmiş içerik veya reklamlar sunma stratejisidir. Bu sayede, belirli bir bölgedeki kullanıcılara, ilgi alanlarına ve demografik özelliklerine uygun daha kişiselleştirilmiş bir deneyim sunulur. Bu yöntem en yaygın kullanılan veri türü IP adresi bilgidir. IP bilgisine ek olarak GPS ve Wi-Fi bağlantı bilgisi coğrafi hedefleme için kullanılabilmektedir.
Kurul tarafından yapılan değerlendirmede bazı konular ise dikkat çekmekte ve Kurulun yaklaşımına dair fikirler vermektedir.
▪️ Konum Verisi ile Elde Edilen Hassas Bilgiler: Kararda konum verilerinin, bir kişinin gerçek zamanlı olarak izlenmesine de yol açabileceğine değinilmiştir. Ayrıca bir kişinin konum geçmişi vasıtası ile kişinin ziyaret ettiği yerlerden o kişinin siyasi görüşleri, dini inançları veya tıbbi durumları hakkında belirli bilgiler hakkında çıkarım yapılmasına imkân tanınabileceğine değinilmiştir.
▪️ Konum Mahremiyeti: Kurul -her ne kadar Karara konu şikayetteki veri toplama yöntemi bu olmasa da- lokasyon bazlı pazarlama ile ilgili değerlendirmelerinde çevrimiçi cihazlar vasıtası ile toplanan verilere ilişkin görüşlere de yer vermiştir. Kullanıcılar her ne kadar cihazlarında/uygulamalarında lokasyon verisinin paylaşımı için rıza veriyor olsalar da kullanıcıların genellikle rızasının etkisini, coğrafi konumlamanın sıklığını ve doğruluğunu ölçemediklerine değinilmiş ve bu durumun kullanıcıların konum mahremiyetlerini yitirmesi sonucu doğurduğunun altı çizilmiştir.
▪️ Ortak Veri Sorumlusu Kavramı: Kurul, Kararında, Kanun’un büyük ölçüde, -GDPR ile uyumlu olan- 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Direktifi esas alınarak hazırlandığına dikkat çekerek GDPR’ın 26. Maddesine de atıf yaparak “iki ya da daha fazla sayıda veri sorumlusunun işleme amaçları ve yöntemlerini ortak bir şekilde belirlediği hallerde, söz konusu veri sorumluları, ortak veri sorumlularıdır” şeklinde bir ortak veri sorumlusu tanımı yapmıştır. Kararda, ortak veri sorumlusu kavramının ortaya çıkabilmesi için temel kriterin “kişisel veri işleme faaliyetinin amaçlarının ve araçlarının belirlenmesinde iki veya daha fazla veri sorumlusunun ortak olarak katılımı” olduğu belirtilmiştir. Ayrıca ortak veri sorumlusu kavramının ortaya çıkabilmesi için diğer bir kriterin de “kişisel veri işleme faaliyetinin her iki tarafın katılımı olmaksızın mümkün olmaması” olduğuna değinilmiştir.
C. Değerlendirme ve Yaptırım
Kurul tarafından gerçekleştirilen değerlendirme sonucu:
(I) Ortak Veri Sorumluluğu: Şikâyete konu olayda, giyim firması ve Operatör, konum verisinin işlenmesinin amacı ve araçları konusunda birlikte karar almışlardır. Giyim firması, hedef kitleyi belirleyip mesaj içeriğini tasarlarken, Operatör lokasyon verisini sağlamış ve bu mesajları teknik olarak iletmiştir. Bu iş birliği, her iki tarafın da kişisel veri işleme sürecinde ortaklaşa kararlar aldığı ve veri işleme faaliyetinin her iki tarafın katılımı olmadan mümkün olamayacağı anlamına gelmektedir. Bu nedenle, Kurul, söz konusu veri işleme faaliyeti bakımından tarafların ortak veri sorumlusu sıfatını haiz olduğuna karar verilmiştir.
Fakat ortak veri sorumluluğu durumunda nasıl hareket edilmesinin beklendiği hala belirsizliğini korumaktadır. Bu konuya bir rehber ile açıklık getirilmesi kanaatimizce yerinde olacaktır.
(II) Açık Rıza Gerekliliği: Kurul, coğrafi hedeflemeye dayalı pazarlama faaliyetinin yürütülmesinin ve elektronik haberleşme hizmeti sağlanması sırasında elde konum verilerinin kullanılması suretiyle başka işletmelerin ürün ve hizmetlerinin pazarlanması ve tanıtılması amacıyla ilgili kişilere kısa mesaj gönderilmesinin ancak ilgili kişilerden bu konuya özel açık rıza alınması durumunda mümkün olduğuna karar verilmiştir.
Bu doğrultuda Kurul Kararında, veri sorumlularının açık rıza metinlerinin güncellenmesi konusunda talimatlandırılmasına, Operatör tarafından Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik’e aykırı davranılması sebebi ile Bilgi Teknolojileri ve İletişim Kurumu’nun bilgilendirilmesine, giyim firması için yaklaşık 1 milyon TL, Operatör için ise yaklaşık 2 milyon TL idari para cezası verilmesine hükmetmiştir.