KVKK, alışveriş sırasında sadakat kartı kullanımına ilişkin güvenlik sorunlarını ele alarak, kart sahibinin bilgisi ve rızası olmadan üçüncü kişilerin işlem yapmasını engelleyecek doğrulama mekanizmalarının oluşturulması gerektiğini belirledi. Resmi Gazete’de yayımlanan karar, kasa görevlisinin doğrulama olmadan işlem yapmasını önlemek amacıyla güçlü kontrollerin uygulanmasını amaçlamaktadır.
Kişisel veri ihlali uyarısı Şikayetlerde, sadakat kartı ile yapılan alışverişlerin çoğunlukla kasa görevlisinin onay kodu girmeden gerçekleştirildiği, kart sahibinin alışveriş sırasında kasada bulunmadığı durumlarda dahi işlem yapılabildiği ve bunun hukuka aykırı veri işleme faaliyetlerini doğurabileceği belirtilmiştir. İnceleme sonucunda, fatura ve ilgili belgelerin çoğunlukla kart sahibi adına düzenlendiği ve işlem kayıtlarının sahibin hesaplarına aktarıldığı tespit edilmiştir.
6 ay uyum süreci Buna göre, kart sahibi bilgisi ve rızası olmadan cep telefonu numarası veya sadakat kartı bilgisi ile üçüncü bir kişinin kasadaki görevlilere söyleyerek alışveriş yapmasına olanak tanıyan uygulama son bulacak. Doğrulama mekanizmalarının çeşitleri olarak SMS ile doğrulama kodunun kasa görevlisine iletilmesi, mobil uygulama ya da internet üzerinden sunulan barkod/QR kodunun kasada okutulması ve sadakat kartı şifresinin işlem cihazına girilmesi gibi yöntemler öne çıkmaktadır. Bu mekanizmaların uygulanabilir olması için veri sorumlularına yayımlanma tarihinden itibaren 6 aylık bir uyum süresi öngörülüyor.
Uyum sağlamayan veri sorumluları hakkında 6698 sayılı KVKK’nın 18. maddesinde yer alan cezai işlemler uygulanacaktır. Böylece, kanun hükümlerine aykırı olarak faaliyet gösteren uygulamaların hızla düzeltilmesi hedeflenmektedir.
