Kişisel Verileri Koruma Kurumu (KVKK), market ve çeşitli mağazalar tarafından sunulan puan ve ödül kartlarının kullanımına ilişkin önemli bir düzenlemeye imza attı. Kurum, kartların asıl sahibi dışında herhangi bir doğrulama yapılmadan kullanılmasını hukuka aykırı buldu.
Karara göre, kart sahibinin bilgisi ve açık rızası olmaksızın, cep telefonu numarası ya da kart numarasının üçüncü kişiler tarafından kasada beyan edilerek işlem yapılması kişisel veri ihlali kapsamında değerlendirilecek. Bu nedenle mağazalara, kart sahibine SMS yoluyla tek kullanımlık doğrulama kodu gönderilmesini sağlayacak bir sistem kurmaları için 6 ay süre tanındı.
İhbarlar Sonrası İnceleme Başlatıldı
KVKK’nın açıklamasında, gıda, kozmetik, teknoloji, yapı market ve giyim başta olmak üzere birçok sektörde benzer uygulamaların bulunduğu belirtildi. Kuruma ulaşan ihbar ve şikâyetlerde, sadakat kartlarının sahipleri dışında kişiler tarafından herhangi bir onay mekanizması olmadan kullanılabildiği ifade edildi.
Yapılan değerlendirmede, mobil uygulama üzerinden barkod okutulması ya da SMS ile tek kullanımlık doğrulama kodu gönderilmesi gibi yöntemlerin hukuka uygun olduğu vurgulandı. Ancak bu yöntemler dışında gerçekleşen işlemlerin veri güvenliği açısından risk oluşturduğu kaydedildi.
6 Ay İçinde Yeni Sistem Kurulacak
Kurul kararında, doğrulama olmadan kart kullanımına imkân tanıyan mevcut uygulamaların sonlandırılmasına hükmedildi. Buna göre işletmeler, en geç 6 ay içinde teknik altyapılarını güncelleyerek işlem onay sistemi oluşturmak zorunda olacak.