Kişisel Verileri Koruma Kurumu (KVKK), alışverişlerde kullanılan sadakat kartlarının, kart sahibinin bilgisi ve rızası olmadan üçüncü kişiler tarafından kullanılmasını engellemek amacıyla Resmî Gazete’de yayımlanan ilke kararını duyurdu.
Karara göre, kart sahiplerinin bilgisi dışında cep telefonu veya sadakat kartı numarasının kasadaki görevliye verilerek yapılan işlemlerle ilgili çok sayıda şikayet alındı. Şikayetlerde, işlemlerin kart sahibi kasada olmadan gerçekleştirilebildiği, onay kodu girilmeden tamamlandığı ve hukuka aykırı veri işleme faaliyetlerinin yaşandığı belirtildi.
KVKK incelemesinde, sadakat kartlarıyla yapılan alışverişlerin fatura ve belgelerinin sıklıkla kart sahibi adına düzenlendiği, işlemlerin kişinin kayıtlarına işlendiği tespit edildi. Bu durum, kart sahibinin bilgisi ve rızası olmadan yapılan işlemler nedeniyle kişisel veri ihlallerine yol açıyor.
Yeni ilke kararına göre alışverişin kart sahibinin bilgisi ve rızası dâhilinde gerçekleştiğini teyit etmek için:
- SMS ile gönderilen doğrulama kodunun kasadaki görevliye bildirilmesi,
- Mobil uygulama veya internet üzerinden sağlanan barkod/QR kodun okutulması,
- Sadakat kartı şifresinin kasa cihazına girilmesi zorunlu olacak.
Veri sorumlularına, bu mekanizmaları uygulamaya geçirmek için yayımlandığı tarihten itibaren 6 aylık uyum süresi tanındı. İlke kararına uymayan veri sorumluları hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 18. maddesi kapsamında cezai işlem uygulanacak.
