Kişisel Verileri Koruma Kurumu (KVKK), alışverişlerde indirim, promosyon ve puan kazanımı amacıyla kullanılan sadakat kartlarına ilişkin önemli bir ilke kararı yayımladı.

Resmi Gazete’de yayımlanan karara göre, yalnızca cep telefonu numarasının kasa görevlisine söylenmesi suretiyle sadakat kartı avantajlarından yararlanılması uygulamasına son verilecek.

Kararın, kart sahibinin bilgisi ve rızası dışında üçüncü kişiler tarafından yapılan işlemlerin önüne geçilmesi amacıyla alındığı belirtildi.

Şikayetler Üzerine İnceleme Başlatıldı

KVKK’ya ulaşan çok sayıda şikayet ve ihbarda, üçüncü kişilerin sadakat kartı sahiplerinin cep telefonu numaralarını kasada beyan ederek alışveriş yaptığı ifade edildi.

Şikayetlerde, bazı işlemlerin onay kodu sisteme girilmeksizin gerçekleştirildiği, kart sahibinin kasada bulunmamasına rağmen alışveriş yapılmasına imkan sağlandığı ve hukuka aykırı veri işleme faaliyetlerinin oluştuğu öne sürüldü.

Kurumun yaptığı incelemede, sadakat kartıyla yapılan alışverişler sonucunda düzenlenen faturaların çoğu zaman kart sahibi adına kesildiği ve işlem bilgilerinin kart sahibinin üyelik hesabına işlendiği tespit edildi.

Kişisel Veri İhlali Tespiti

İncelemeler sonucunda, kart sahibinin bilgisi ve rızası olmadan cep telefonu ya da sadakat kartı numarasının üçüncü kişilerce kullanılması halinde;

• Üyelik hesabına hatalı işlem kaydı düşülebildiği,

• Kişinin yapmadığı bir alışverişe ilişkin fatura düzenlenebildiği,

• Kişisel veri ihlallerinin meydana gelebildiği

belirlendi.

KVKK, bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında hukuka aykırı veri işleme faaliyeti oluşturabileceğine dikkat çekti.

Yeni Dönemde Doğrulama Zorunlu

İlke kararı kapsamında, alışverişin kart sahibinin bilgisi ve rızası dahilinde gerçekleştiğinin teyit edilmesi için doğrulama mekanizmaları zorunlu hale getirilecek.

Buna göre işletmeler tarafından şu uygulamaların devreye alınması gerekecek:

• SMS ile gönderilen doğrulama kodunun kasada ibraz edilmesi

• Mobil uygulama veya internet sitesi üzerinden oluşturulan barkod/QR kodun okutulması

• Sadakat kartı şifresinin kasada işlem cihazına girilmesi

Söz konusu uygulamaların, kişisel verilerin korunması ve yetkisiz kullanımın engellenmesi amacıyla hayata geçirileceği bildirildi.

6 Ay Uyum Süresi Verildi

KVKK, veri sorumlularına ilke kararının yayımlanma tarihinden itibaren 6 aylık uyum süresi tanıdı.

Bu süre içinde gerekli teknik ve idari tedbirleri almayan, ilke kararına aykırı şekilde uygulamaya devam ettiği tespit edilen veri sorumluları hakkında 6698 sayılı Kanun’un 18. maddesi kapsamında idari para cezaları uygulanacak.

Kararla birlikte, alışverişlerde yalnızca telefon numarası söyleyerek indirim ve puan kazanma uygulamasında yeni bir döneme girilmiş oldu.