Alışveriş yapanlar dikkat KVKK duyurdu: 6 ay içinde tüm sistem değişiyor!

Kişisel Verileri Koruma Kurumu, alışverişlerde kullanılan sadakat kartlarının hak sahibi dışındaki kişilerce usulsüz kullanımını engellemek amacıyla doğrulama sistemlerinin kurulmasını zorunlu kılan ilke kararını yayımladı.

Kişisel Verileri Koruma Kurumu (KVKK), perakende sektöründe indirim, promosyon ve puan kazanımı sağlayan sadakat kartlarının, kart sahibinin bilgisi ve açık rızası dışında üçüncü şahıslar tarafından kullanılmasının önüne geçmek için harekete geçti. Başkasına ait para puanların ve indirim avantajlarının izinsiz kullanımına yönelik artan şikayetler üzerine alınan bu karar ile veri sorumlularına yeni yükümlülükler getirildi. Resmi Gazete'de yayımlanan düzenleme uyarınca, işletmelere sistemlerini yeni kurala uyumlu hale getirmeleri için 6 aylık bir uyum süresi tanındı. Belirlenen yükümlülüklere uymayan veri sorumluları hakkında 6698 sayılı Kanun kapsamında idari yaptırım uygulanacak. SADAKAT PUANLARI Kurum tarafından yapılan incelemelerde, üçüncü kişilerin sadakat kartı sahiplerinin onayı olmaksızın sadece cep telefonu numaralarını kasa görevlilerine beyan ederek alışveriş yaptıkları yönünde çok sayıda ihbar alındığı kaydedildi. Şikayet dileçelerinde, "sadakat kartlarıyla yapılan bu alışverişin kasa görevlisi tarafından onay kodu sisteme girilmeksizin gerçekleştirildiği", "kart sahibinin alışveriş sırasında kasada olmamasına rağmen alışveriş yapılmasına olanak sağlandığı" ve "hukuka aykırı veri işleme faaliyetinin gerçekleştirildiği" gibi iddialar yer aldı. KVKK, bu tür uygulamalar sonucunda faturaların kart sahibi adına kesildiğini ve hatalı işlem kayıtlarının asıl üyenin sistemine işlendiğini, bu durumun kişisel veri ihlallerine sebebiyet verdiğini tespit etti. KARARLARA UYMAYANLARA CEZAİ İŞLEM UYGULANACAK Yayımlanan ilke kararı doğrultusunda, cep telefonu veya kart numarasının üçüncü kişilerce kasada beyan edilerek işlem yapılmasına imkan tanıyan mevcut uygulamalara son verilecek. Alışverişin asıl hak sahibi tarafından yapıldığını teyit etmek amacıyla güvenli doğrulama yöntemleri devreye alınacak. Bu kapsamda "SMS ile gönderilen doğrulama kodunun kasa görevlisine bildirilmesi", "mobil uygulama veya internet sitesi üzerinden sağlanan barkod veya QR kodun kasada okutulması" ve "sadakat kartı şifresinin kasada işlem cihazına girilmesi" gibi teknik metotların kullanılması şart koşulacak. 6 AYLIK SÜRE Veri sorumlularına söz konusu güvenlik mekanizmalarını sistemlerine entegre etmeleri için Resmi Gazete yayım tarihinden itibaren 6 aylık bir geçiş süreci verildi. Bu süre zarfında gerekli teknik tedbirleri almayan veya ilke kararına aykırı şekilde veri işlemeye devam eden işletmeler hakkında, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 18. maddesi uyarınca ağır idari para cezaları uygulanacak.