ICT Media
Karar, alışveriş sırasında sadakat kartı sahibi kişinin cep telefonu numarasının ya da kart numarasının, ilgili kişinin bilgisi ve rızası olmaksızın üçüncü kişiler tarafından kullanılması sebebiyle gerçekleştirilen işlemlere odaklanıyor. Kurul’a iletilen şikayetlerde, alışverişi yapan kişinin kasada başka birine ait telefonu bildirmesi, SMS doğrulama kodunun paylaşılması yoluyla indirim ve puan kazanımı sağlanması ve işlem sonrasında düzenlenen fatura ile müşteri bilgilerinin kart sahibi adına oluşturulması gibi uygulamaların yaygın olduğu tespit edildi.
Kurul, bu tür uygulamaların 6698 sayılı Kişisel Verileri Koruma Kanunu’nun “Genel İlkeler” ve “Veri güvenliğine ilişkin yükümlülükler” hükümleri çerçevesinde değerlendirilmesi gerektiğini belirtti. Kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi, doğru ve gerektiğinde güncel olması ile veri güvenliğinin sağlanması yükümlülüklerine dikkat çekilerek, üçüncü kişilerin sadakat kartı üzerinden işlem yapmasının Kanun’da öngörülen işleme şartlarına dayanmadığı ve hukuka aykırı veri işleme riskini doğurabileceği ifade edildi.
Kararda ayrıca, yalnızca telefon numarası beyanı ile işlem yapılmasının yeterli bir güvenlik önlemi olmadığına işaret edilerek, SMS doğrulama kodu, mobil uygulama üzerinden barkod veya QR gösterimi ya da fiziki kart ibrazı gibi ek doğrulama yöntemlerinin etkin şekilde uygulanması gerektiği vurgulandı. Veri sorumluluklarının, puan kazanımı, puan harcama veya indirim kullanımı gibi farklı işlem türleri için risk temelli doğrulama mekanizmaları geliştirmesi ve kişisel veri güvenliğini sağlayacak teknik ve idari tedbirleri artırması gerektiğini belirtti.
Kurul, ilke kararının yayımı tarihinden itibaren 6 ay içinde veri sorumlularının uygulamalarını mevzuata uygun hale getirmesi gerektiğini kaydederken, belirlenen yükümlülüklere uyulmaması halinde 6698 sayılı Kanun kapsamında işlem tesis edilebileceğini bildirdi.
Söz konusu kararın, perakende zincirlerinden e-ticaret platformlarına kadar geniş bir alanda faaliyet gösteren işletmelerin sadakat programı uygulamalarında kimlik doğrulama süreçlerini yeniden yapılandırmasına yol açması bekleniyor.
