Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesinin ardından pazarlama aktivitelerini veri kullanılabilirliği açısından değerlendirmek iyice önem kazandı. CRM alanında çalışan ve global uygulamaları takip eden insanlar olarak bu soruları her zaman soruyorduk ancak kanun artık bu soruları herkes için sorulması gereken zaruri sorular haline getirdi:

  1. Kampanyam için kimlerle iletişime geçebilirim?
  2. Kampanya neticesinde elde ettiğim bilgileri ileride kullanabilir miyim? Evet ise hangi amaçla kullanabilirim?

KVKK’nın 2019 yılı Haziran ayında yayınladığı “Örneklerle Kişisel Verilerin Korunması” kitapçığı bu sorulara ve daha fazlasına örneklerle doyurucu bir şekilde yanıt veriyor.

“Kampanyam için kimlerle iletişime geçebilirim?”

Kısa yanıt: Kendisiyle iletişime geçilmesine izin veren kişilere kampanyanız ile ilgili duyuru yapabilirsiniz.

Uzun yanıt: Potansiyel veya mevcut müşterilerinizin iletişim verilerinin elinizde olması onlara istediğiniz gibi SMS veya e-posta gibi birebir iletişim mecralarından mesajlarınızı iletme hakkını vermemektedir. Müşterinizin kişisel iletişim araçlarından kendisine kampanyalarınız ile ilgili erişmenize izin vermiş olması gerekmektedir.

“Kampanya neticesinde elde ettiğim bilgileri ileride kullanabilir miyim? Evet ise hangi amaçla kullanabilirim?”

Kısa yanıt: Kampanya süresince yeterli seviyede izin alındıysa belirlenen koşullar ile kullanılabilir.

Uzun yanıt: İzin alırken de iznin hangi amaçla alındığı, verinin ne kadar süre ile saklanacağı, verinin hangi metotlar ile silinebileceği gibi bilgilerin müşteri ile paylaşılması gerekmektedir. Örneğin bir çekiliş kampanyası için verinin alınması esnasında yeterli seviyede izin alınmadıysa, toplanan veri daha sonraki iletişim faaliyetlerinde kullanılamaz. Hatta veri saklanamaz, verinin ortadan kaldırılması veya anonimleştirilmesi gerekmektedir.

Kitapçıktaki Kişisel Verilerin Korunması Kanunu ile ilgili öne çıkan örnekleri ise aşağıdaki şekilde toparlayabiliriz:

“Veri işleme faaliyeti hangi hukuki sebebe/işleme şartına dayanırsa dayansın tüm veri işleme faaliyetleri belirlenen ilkelere uygun olarak gerçekleştirilmelidir. Bu ilkeler:

  • Hukuka ve dürüstlük kurallarına uygun olma
  • Doğru ve gerektiğinde güncel olma
  • Belirli, açık ve meşru amaçlar için işlenme
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

şeklinde sıralanmıştır.

  • Bir e-ticaret sitesinin, alışveriş yapan kişinin ad, soyad ve kargo gönderimi için adres bilgilerini işlemesi meşru amaç kapsamındayken, anne kızlık soyadı veya kan grubu bilgisini işlemesi meşru amaç kapsamında değerlendirilemeyecektir.
  • Kredi kartı başvurusunda bulunan kişiden, sosyal hayatındaki tercihlerine yönelik bilgi talep edilmesi ölçülülük ilkesine aykırılık oluşturur.
  • Bir vakıf üniversitesi tarafından düzenlenen sempozyuma katılım için e-posta adresini bildiren kişiye, bu üniversite tarafından e-posta ile reklam gönderilmesi, amaçla sınırlı olma ilkesine aykırılık oluşturur.
  • Bir benzin istasyonunun belirli bir sürede belirli miktarda benzin alan kişilere ödül vereceği bir kampanyada, kampanyaya katılım için topladığı isim ve araç plaka bilgilerini başka herhangi bir işleme şartı yok ise kampanya bitiminde silmesi gerekir.

Her ne kadar bu yazıda yer alan metinler ve yorumlar Kişisel Verileri Koruma Kurumu tarafından yayınlanan “Örneklerle Kişisel Verilerin Korunması” kitapçığını temel alsa da ilgili kanunu firmanızın pazarlama aktivitelerine yansıyan yönleriyle değerlendirilirken, konu hakkında hukuki danışmanlık ile ilerlenmesi gerektiğini vurgulamak gerekir.

Bir sonraki yazıda görüşmek üzere…