Kişisel Verileri Koruma Kurumu'nun (KVKK) "Sadakat Kart Üyeliği Bulunan Bir Kişinin Cep Telefonu Numarasının veya Sadakat Kart Numarasının Üçüncü Bir Kişi Tarafından Alışveriş Esnasında Kullanılması Hakkında İlke Kararı" Resmi Gazete'de yayımlandı.
Buna göre, alışveriş sırasında başkasının sadakat kartıyla indirim yararlanmak ya da puan toplamak için yapılan alışveriş devri bitiyor.
Konuyla ilgili yapılan incelemelerde gıda, kozmetik, teknoloji, yapı market, giyim vb. muhtelif sektörlerde faaliyet gösteren veri sorumlularınca yürütülen sadakat kart üyelik programları kapsamında bahse konu uygulamanın yaygın olduğunun tespit edildiği bildirildi.
Ayrıca, sadakat kart üyeliğinin, ilgili kişiye ait cep telefonu numarasına SMS yoluyla tek kullanımlık doğrulama kodu gönderilmesi, mobil uygulama/ internet sitesi üzerinden sağlanan barkod/ QR kod okutma vb. yöntemlerin kullanılması suretiyle gerçekleştirildiği ve ilgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının kasadaki görevliye bildirilmesi suretiyle sadakat kart üzerinden alışveriş yapılabildiği, indirim ve promosyondan faydalanılabildiğinin tespit edildiği de belirtildi.
Doğrulama mekanizmasındaki boşluk vurgulandı
Ayrıca, alışveriş sırasında indirimden veya puandan yararlanabilmek için görevliye verilen cep telefonu numarası veya sadakat kart numarasının kişinin bilgisi dahilin olup olmadığına ilişkin herhangi bir doğrulama mekanizmasının oluşturulmadığına da dikkat çekildi.
Bunun yanında ise sadakat kart kullanımı ile kazanılan puanların harcanmasına ilişkin işlemlerde ilgili kişiye ait cep telefonu numarasına SMS yoluyla gönderilen tek kullanımlık doğrulama kodunun kasa görevlisine bildirilmesi, mobil uygulama/ internet sitesi üzerinden sağlanan barkodun/ QR kodun kasada okutulması vb. yöntemlerin kullanılmasıyla oluşturulan doğrulama mekanizmalarının yaygın olarak kullanıldığının gözlendiği de ifade edildi.
Sadakat kart üzerinden gerçekleştirilen alışverişler sonucunda düzenlenen fatura gibi belgelerin çoğunlukla kart sahibi adına kesildiği ve müşteri işlem bilgilerinin bu kayıtlara işlendiği, kişinin bilgisi dışında yapılan alışverişlerde ise bu nedenle hatalı işlem bilgilerinin kayıtlara yansıdığı tespit edildiği kaydedildi.
6 ay süre verildi
Kararda, kanun kapsamında hukuka aykırı olduğu değerlendirilen, ilgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının ilgili kişinin bilgisi ve rızası dışında üçüncü bir kişi tarafından alışveriş esnasında kasadaki görevliye bildirilmesi suretiyle sadakat kart üzerinden alışveriş işleminin yapılabilmesine imkân sağlayan uygulamaya son verilmesine karar verildiği ifade edildi.
Bu tür hataların önüne geçilmesi için de veri sorumluları tarafından doğrulama mekanizmalarının oluşturulması gerektiği belirtildi. Söz konusu karara göre, kart sahibine işlemler için kod gönderilecek, ayrıca hangi işlemlere onay verdiğine ilişkin de tercih sunulacak.
Doğrulama mekanizmalarının oluşturulabilmesi için veri sorumlularına kararın yayımlanma tarihinden itibaren 6 aylık süre verildiği de bildirildi.
