Kişisel Verileri Koruma Kurumu (KVKK), sadakat kartı sahiplerinin bilgisi ve rızası dışında, üçüncü şahısların kasa görevlilerine cep telefonu numarası söyleyerek alışveriş yapmalarına dair çok sayıda bildirim aldı. Kuruma iletilen şikayet dosyalarında, bu işlemlerin "sadakat kartlarıyla yapılan bu alışverişin kasa görevlisi tarafından onay kodu sisteme girilmeksizin gerçekleştirildiği" ve "kart sahibinin alışveriş sırasında kasada olmamasına rağmen alışveriş yapılmasına olanak sağlandığı" gibi detaylar öne çıktı. Başvurularda ayrıca, söz konusu durumun "hukuka aykırı veri işleme faaliyetinin gerçekleştirildiği" bir süreç olduğu ifade edildi.
Hatalı veri işleme ve usulsüz fatura düzenleme riskleri tespit edildi
KVKK tarafından yürütülen detaylı incelemeler sonucunda, sadakat kartları kullanılarak yapılan harcamalarda düzenlenen fatura gibi resmi belgelerin çoğu zaman asıl kart sahibi adına oluşturulduğu anlaşıldı. Bu süreçte yapılan alışverişlere ait verilerin, kart sahibinin sistemdeki kayıtlarına doğrudan işlendiği belirlendi. Kart sahibinin onayı olmaksızın cep telefonu veya kart numarasının üçüncü taraflarca kullanılması durumunda, ilgili kişinin üyelik hesabına gerçeği yansıtmayan işlem bilgilerinin girildiği veya rızası dışındaki bir alışveriş için adına fatura kesilerek kişisel veri ihlallerine sebebiyet verildiği saptandı.
Alışverişin hak sahibi tarafından yapıldığını kanıtlayacak güvenlik yöntemleri uygulanacak
Yaygın olarak yaşandığı görülen bu hak ihlallerine karşı KVKK, sektörü disipline edecek bir ilke kararı imzaladı. Alınan karar doğrultusunda, bir kişiye ait telefon numarasının veya kart bilgisinin, o kişinin rızası dışında başkası tarafından kasada beyan edilerek işlem yapılması uygulamasına son verilecek. İşlemin asıl hak sahibi tarafından gerçekleştirildiğini teyit etmek amacıyla; "SMS ile gönderilen doğrulama kodunun kasa görevlisine bildirilmesi", "mobil uygulama veya internet sitesi üzerinden sağlanan barkod veya QR kodun kasada okutulması" ya da "sadakat kartı şifresinin kasada işlem cihazına girilmesi" gibi güvenlik katmanları devreye alınacak.
Karara uymayan veri sorumlularına altı ayın sonunda cezai işlem yapılacak
Söz konusu doğrulama altyapılarının kurulabilmesi için veri sorumlularına, ilke kararının yayım tarihinden itibaren 6 aylık bir uyum süreci tanındı. Bu süre zarfında gerekli önlemleri almayan, kanun hükümlerine aykırı uygulamalarını sürdüren veya ilke kararındaki esaslara riayet etmediği belirlenen işletmeler hakkında yaptırım uygulanacak. Bu kapsamda, şartları yerine getirmeyen veri sorumluları için 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 18. maddesinde öngörülen cezai işlemler yürürlüğe konulacak.