跳转到主要内容

022年6月16日,个人数据保护局(“KVKK”)在其官方网站上发布了第6698号个人数据保护法(“法律”)范围内的忠诚度计划审查指南草案,以供公众咨询,直到2022年7月16日为止,KVKK接受利益相关者对指南草案的意见,BTS&Partners提供了KVKK在指南草案中提出的要点的总结。

尽管指南草案不具有法律约束力,因为它反映了KVKK的大多数建议,这些建议已经在不同的案例中提出,并且由于KVKK指南一旦定稿,通常不会受到重大修订,在土耳其提供忠诚度计划的数据控制员应考虑根据指南草案审查其数据处理活动。

忠诚度计划的定义

在指南草案中,忠诚度计划被定义为“所有或部分策略,例如通过处理客户的个人数据,使其对业务具有特定性或可识别性,跟踪客户的购物习惯,为客户提供积分/礼物/优势,以换取购物。”,以及通过分析处理后的个人数据提供个性化的产品/服务,或旨在增加业务销售额和利润同时为客户提供利益的单边或合作计划。

应注意的是,KVKK并未对其他主要工作领域(如零售、电子商务市场)的服务提供商提供的忠诚度计划以及直接和单独运营忠诚度计划的公司提供的忠诚度项目做出任何区分。

忠诚计划范围内个人数据处理的法律依据

准则草案强调了考虑到数据处理活动的目的确定适当法律基础的重要性,并举例说明了忠诚度计划范围内最常见的数据处理目的。

准则草案规定,数据控制人可依据法律第5条规定的“建立或履行联系”的法律依据,开展忠诚度计划协议条款所涵盖的个人数据处理活动;向数据主体提供礼品/积分优惠,告知他们获得的积分,并提醒他们积分将过期等。总体而言,可以看出,KVKK对这一法律基础的解释非常狭隘。

另一方面,准则草案强调,涉及分析数据主体的个人数据处理活动必须在明确同意的基础上进行。

所以,为了确保个人数据按照法律合法处理,所有向土耳其境内的数据主体提供忠诚度计划的数据控制员都应相应评估其数据处理活动,并为每项数据处理活动确定适当的法律依据。

关于忠诚计划的同意有效性

法律规定,明确的同意应当是:(一)自由给予的;(二)对特定主题作出规定;以及(iii)在得到充分通知后提供。

在指南草案中,KVKK提到了这些标准,并得出结论,如果不导致将同意与提供主要商品和服务捆绑在一起,则可能需要数据主体的明确同意,引用《欧洲数据保护法手册》1以及KVKK关于忠诚度计划的第2019/198号决定。在这一范围内,很明显,KVKK专注于服务提供商提供的另一个主要工作领域(如零售、电子商务市场)的忠诚度计划,而不是直接和单独运营忠诚度计划的公司。

根据KVKK的评估,如果不提供明确的同意只会导致提供主要商品和服务,而没有额外的好处,则有可能在忠诚度计划的范围内要求明确的同意。因此,重要的是确保不同意的后果不会构成重大不利因素。

忠诚度计划范围内的电子营销传播

准则草案侧重于忠诚度计划范围内的电子营销通信,并指出,根据法律和土耳其关于电子商务监管的第6563号法律2,发送电子通信必须获得数据主体的同意。

KVKK对联合会员卡计划的评估是这方面最引人注目的评估之一。与其他市场类似,在土耳其市场,具有合作伙伴公司额外利益的联合忠诚度计划非常常见。根据指南草案,为忠诚度计划获得的电子营销传播同意包括为第三方促销而发送电子营销传播,前提是它们在忠诚度计划协议的范围内。在这方面,已经澄清,在联合忠诚度计划的情况下,不需要单独同意发送用于推广忠诚度计划合作伙伴的电子营销通信。

然而,KVKK强调,网络营销传播同意不包括与其他联合忠诚度计划合作伙伴公司的个人数据传输,此类传输只能根据法律的数据传输条款(第8条和第9条)进行。此外,忠诚计划合作伙伴必须获得数据主体的同意,才能代表其发送电子营销通信。

遵守一般原则

与《一般数据保护条例》(条例(欧盟)2016/679)(“GDPR”)类似,第4条中概述的一般原则是法律的核心,所有数据处理活动必须遵守这些原则。指南草案强调了遵守一般原则的重要性,特别是避免与比例原则和数据最小化原则相反的过度数据收集,即使有明确的同意。

其他重要注释

如上所述,指南草案从不同角度阐述了忠诚度计划的数据处理活动。除上述几点外,请查看以下KVKK的某些评估:

  • 数据控制员必须向数据主体提供为忠诚度计划量身定制的特定隐私声明或包括专门针对忠诚度计划的章节的一般客户隐私声明。
  • 隐私声明和明确同意书必须单独提交。为了完全符合要求,应在隐私声明和明确同意文本方面考虑其他KVKK规则(例如,提供相关数据类别、映射目的和法律依据)。
  • 所有数据处理活动必须遵守法律第12条规定的数据安全义务。
  • 如果数据控制员收集和处理特殊类别的个人数据(与GDPR下列出的数据非常相似,但略有差异);应更严格地评估数据最小化和目的限制原则,并且必须采取额外的安全措施(即KVKK第2018/10号决定)。
  • 最后,指南草案为RFID技术(在忠诚度计划中经常使用)提供了一个单独的章节,并主要强调在涉及RFID时遵守一般原则的重要性。

本文:https://cioctocdo.com/turkey-loyalty-programs-how-process-personal-data