Haber Detayı
KVKK'dan sadakat kartlarına doğrulama zorunluluğu
KVKK, sadakat kartlarının kart sahibinin bilgisi ve rızası olmadan üçüncü kişilerce kullanılmasının önüne geçmek için doğrulama mekanizmaları kurulmasını zorunlu kıldı. Veri sorumlularına 6 ay uyum süresi tanınırken, yükümlülüklere uymayanlara 6698 sayılı Kanun kapsamında cezai işlem uygulanacak.
Kişisel Verileri Koruma Kurumu (KVKK), alışverişlerde indirim, promosyon ve puan kazanımı amacıyla kullanılan sadakat kartlarının, kart sahibinin bilgisi ve açık rızası olmadan üçüncü kişilerce kullanılmasının önüne geçilmesi için doğrulama mekanizmaları kurulmasına yönelik ilke kararı aldı.
Resmi Gazete de yayımlanan karara göre, üçüncü kişilerin sadakat kartı sahiplerinin bilgisi ve rızası olmaksızın cep telefonu numaralarını kasa görevlisine ileterek alışveriş yapmaları nedeniyle KVKK ye çok sayıda şikayet ve ihbar başvurusu yapıldı.
Şikayetlerde sadakat kartlarıyla yapılan bu alışverişin kasa görevlisi tarafından onay kodu sisteme girilmeksizin gerçekleştirildiği , kart sahibinin alışveriş sırasında kasada olmamasına rağmen alışveriş yapılmasına olanak sağlandığı ve hukuka aykırı veri işleme faaliyetinin gerçekleştirildiği ifade edildi.
Kurumun yaptığı incelemede, sadakat kartları kullanılarak yapılan alışverişler sonucunda düzenlenen fatura gibi belgelerin çoğunlukla kart sahibi adına kesildiği ve alışveriş bilgilerinin kart sahibinin sistem kayıtlarına işlendiği tespit edildi.
Kart sahibinin bilgisi ve rızası bulunmadan cep telefonu ya da sadakat kartı numarasının üçüncü bir kişi tarafından kullanılması halinde, ilgili kişinin üyelik hesabına hatalı müşteri işlem kaydı düşülebildiği veya kişinin bilgisi ve rızası dışında gerçekleştirilen bir alışverişe ilişkin fatura düzenlenebildiği, bu durumun kişisel veri ihlallerine yol açabildiği belirlendi.
Kararlara uymayanlara cezai işlem uygulanacak KVKK, alışveriş esnasında yaygın şekilde yaşandığı anlaşılan bu uygulamaya ilişkin ilke kararı yayımladı.
Karar kapsamında, ilgili kişiye ait cep telefonu ya da sadakat kartı numarasının, kişinin bilgisi ve rızası olmadan üçüncü bir kişi tarafından kasadaki görevliye iletilerek alışveriş yapılmasına imkan tanıyan uygulamaya son verilecek.
Alışverişin kart sahibinin bilgisi ve rızası çerçevesinde yapıldığını doğrulamak amacıyla SMS ile gönderilen doğrulama kodunun kasa görevlisine bildirilmesi , mobil uygulama veya internet sitesi üzerinden sağlanan barkod veya QR kodun kasada okutulması ve sadakat kartı şifresinin kasada işlem cihazına girilmesi gibi doğrulama yöntemleri devreye alınacak.
Söz konusu doğrulama mekanizmalarının hayata geçirilmesi için veri sorumlularına, ilke kararının Resmi Gazete de yayımlandığı tarihten itibaren 6 ay süre tanınacak.
Bu tedbirleri uygulamayan ve kanun hükümlerine aykırı şekilde işlem yapmayı sürdüren, ilke kararında yer alan yükümlülüklere uygun davranmadığı belirlenen veri sorumluları hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu nun 18. maddesi uyarınca idari yaptırım uygulanacak.
