Kişisel Verileri Koruma Kurumu (KVKK), perakende sektöründe yaygın olarak kullanılan sadakat kartı ve telefon numarası üzerinden indirim tanımlama işlemlerine yönelik radikal bir düzenlemeye gitti.
Resmi Gazete'de yayımlanan yeni ilke kararıyla, tüketicilerin kişisel verilerinin korunması amacıyla alışveriş sırasında kimlik doğrulama yapılması zorunlu hale geldi.
Karar, özellikle başkasının telefon numarasını söyleyerek indirimlerden yararlanan veya haksız veri işlenmesine neden olan uygulamaların önüne geçmeyi hedefliyor.
'Bu fotoğraftaki sen misin?' tuzağına düşenlerden 400 milyon TL kazandılar
ŞİKAYETLER VE HUKUKA AYKIRI VERİ İŞLEME FAALİYETLERİ
Kişisel Verileri Koruma Kurumu (KVKK) tarafından yapılan açıklamada, son dönemde kuruma bu konuda çok sayıda ihbar ulaştı.
Tüketiciler, kendileri kasada olmamasına rağmen telefon numaralarının üçüncü şahıslar tarafından kullanıldığını ve bu işlemlerin kasa görevlileri tarafından hiçbir onay mekanizması işletilmeden onaylandığını bildirdi.
Şikayet dilekçelerinde, "Sadakat kartlarıyla yapılan bu alışverişin kasa görevlisi tarafından onay kodu sisteme girilmeksizin gerçekleştirildiği" ve, "Hukuka aykırı veri işleme faaliyetinin yürütüldüğü" gibi ifadeler dikkat çekti.
YANLIŞ FATURA VE HATALI MÜŞTERİ KAYITLARI RİSKİ
Kurumun gerçekleştirdiği teknik incelemeler, mevcut sistemdeki açıkların ciddi veri kirliliğine yol açtığını ortaya koydu.
Yapılan araştırmalarda, başkasına ait cep telefonu veya sadakat kartı numarasıyla yapılan alışverişler sonucunda düzenlenen faturaların, numara sahibinin adına kesildiği belirlendi.
Bu durumun, kişilerin üyelik hesaplarına yanlış harcama bilgilerinin işlenmesine ve bilgileri dışında ticari kayıtlar oluşmasına neden olduğu tespit edildi.
Kurum, kart sahibinin bilgisi ve rızası olmaksızın cep telefonu veya numaranın üçüncü bir kişi tarafından kullanımı halinde kişisel veri ihlallerinin yaşandığını resmen kayıt altına aldı.
Evinizdeki robot süpürge sizi canlı yayında izletiyor olabilir
ÜÇ FARKLI DOĞRULAMA SEÇENEĞİ ZORUNLU OLUYOR
Kişisel Verileri Koruma Kurumu (KVKK) tarafından alınan ilke kararı uyarınca, alışverişun gerçek hak sahibi tarafından yapıldığını kanıtlayacak güvenlik adımları devreye giriyor.
Mağazalar ve veri sorumluları; SMS ile gönderilen doğrulama kodunun kasa görevlisine iletilmesi, mobil uygulamalar veya internet siteleri üzerinden üretilen barkod veya QR kodun kasada taratılması ya da sadakat kartı şifresinin işlem cihazına girilmesi gibi yöntemlerden en az birini kullanmak zorunda kalacak.
Bu sayede, sadece telefon numarası söyleyerek başkasının profilinden işlem yapma dönemi teknik olarak sona eriyor.
6 AY UYUM SÜRESİ VE AĞIR PARA CEZASI TEHDİDİ
İlke kararının yayımlandığı 2026 Nisan ayı itibarıyla işletmelere sistemlerini bu yeni güvenli altyapıya uygun hale getirmeleri için 6 aylık bir uyum süresi tanındı.
Belirlenen takvim sonunda, zorunlu doğrulama mekanizmalarını kurmayan veya hukuka aykırı veri işlemeye devam eden kuruluşlar hakkında yasal işlem başlatılacak.
Kişisel Verilerin Korunması Kanunu'nun 18. maddesine atıfta bulunan KVKK, kurallara uymayanlara ağır idari para cezaları uygulanacağı konusunda uyarıda bulundu.
Şirketlerin ekim ayına kadar tüm teknik hazırlıklarını tamamlaması gerekiyor.
