Sadakat Kart Üyeliği Bulunan Bir Kişinin Cep Telefonu Numarasının veya Sadakat Kart Numarasının Üçüncü Bir Kişi Tarafından Alışveriş Esnasında Kullanılması Hakkında İlke Kararı
Muhtelif sektörlerde veri sorumluları tarafından yürütülmekte olan Sadakat Kart Programları kapsamında; sadakat kart sahibi ilgili kişiye ait cep telefonu numarasının alışveriş sırasında üçüncü bir şahıs tarafından kasa görevlisi ile paylaşılması suretiyle alışveriş yapıldığı; sadakat kart üzerinden yapılan bu alışveriş işleminin kasa görevlisi tarafından herhangi bir işlem onay kodu sisteme girilmeksizin gerçekleştirildiği; ilgili kişinin alışveriş işlemi sırasında kasada olmamasına, bilgisinin ve rızasının bulunmamasına rağmen veri sorumlusu tarafından ilgili kişiye ait cep telefonu numarasının üçüncü şahıs tarafından paylaşılması suretiyle kişisel verileri kullanılarak sadakat kartı üzerinden alışveriş yapılmasına olanak sağlandığı; ayrıca yapılan alışverişe ilişkin fatura vb. belgenin ilgili kişi adına düzenlenerek hukuka aykırı veri işleme faaliyetinin gerçekleştirildiği ve kişisel veri güvenliğinin ihlal edildiği hususlarında Kişisel Verileri Koruma Kurumuna (Kurum) muhtelif kanallardan ihbar ve şikayetler iletilmiş olup konuya ilişkin olarak Kişisel Verileri Korama Kurulu (Kurul) tarafından İlke Kararı alınması gereği hasıl olmuştur.
Konuya ilişkin yapılan araştırma neticesinde;
• Gıda, kozmetik, teknoloji, yapı market, giyim vb. muhtelif sektörlerde faaliyet gösteren veri sorumlularınca yürütülen sadakat kart üyelik programları kapsamında bahse konu uygulamanın yaygın olduğu;
• Genel olarak sadakat kartın veri sorumluları tarafından üyelik sözleşmesi çerçevesinde ilgili kişilerin şahsi kullanımı için verildiği,
• Sadakat kart üyeliğinin, ilgili kişiye ait cep telefonu numarasına SMS yoluyla tek kullanımlık doğrulama kodu gönderilmesi, mobil uygulama/ internet sitesi üzerinden sağlanan barkod/ QR kod okutma vb. yöntemlerin kullanılması suretiyle gerçekleştirildiği,
• İlgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının kasadaki görevliye bildirilmesi suretiyle sadakat kart üzerinden alışveriş yapılabildiği, indirim ve promosyondan faydalanılabildiği,
• Sadakat kartın alışveriş esnasında indirim, promosyon, puan kazanımı gibi amaçlarla kullanımı için: alışverişin bizzat ilgili kişi tarafından veya ilgili kişinin bilgisi ve onayı dahilinde yapılıp yapılmadığına dair veri sorumlularınca herhangi bir doğrulama mekanizması oluşturulmaksızın, kasadaki görevliye yalnızca ilgili kişiye ait cep telefonu numarası veya sadakat kart numarasının bildirilmesi suretiyle sadakat kart üzerinden alışveriş işleminin gerçekleştirilebilmesine ilişkin uygulamanın yaygın olduğu,
• Diğer taraftan; sadakat kart kullanımı ile kazanılan puanların harcanmasına ilişkin işlemlerde ise ilgili kişiye ait cep telefonu numarasına SMS yoluyla gönderilen tek kullanımlık doğrulama kodunun kasa görevlisine bildirilmesi, mobil uygulama/ internet silesi üzerinden sağlanan barkodun/ QR kodun kasada okutulması vb. yöntemlerin kullanılması suretiyle oluşturulan doğrulama mekanizmalarının yaygın olarak kullanıldığı,
• Sadakat kart üzerinden gerçekleştirilen alışveriş işlemi sonucunda düzenlenen fatura vb. belgenin sıklıkla sadakat kart sahibi ilgili kişi adına düzenlendiği ve yapılan alışverişe ilişkin müşteri işlem bilgilerinin (satın alman ürün/hizmet, satın alma tarihi vb.) ilgili kişi ile ilgili kayıtlar arasına işlendiği; bu nedenle, sadakat kart sahibi ilgili kişinin bilgisi ve rızası olmaksızın cep telefonu numarasının veya sadakat kart numarasının üçüncü bir kişi tarafından alışverişte kullanımı halinde, ilgili kişiye ait kayıtlara/ üyelik hesabına hatalı müşteri işlem bilgisinin işlenmesi veya ilgili kişi adına yapmadığı, bilgisi ve rızasının olmadığı bir alışverişe ilişkin fatura düzenlenmesi suretiyle kişisel veri ihlallerinin yaşananabildiği
tespit edilmiştir.
İlgili mevzuat hükümleri incelendiğinde;
• 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Genel ilkeler” başlıklı 4'üncü maddesinde; kişisel verilerin ancak Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği; kişisel verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma”, “doğru ve gerektiğinde güncel olma”, “belirli, açık ve meşru amaçlar için işlenme”, “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ve “ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkelerine uyulmasının zorunlu olduğu hükmüne yer verilmiştir.
• Kanun'un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği; (2) numaralı fıkrasında ise “kanunlarda açıkça öngörülmesi”, “fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması”, “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması”, “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”, “ilgili kişinin kendisi tarafından alenileştirilmiş olması”, “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması”, “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartlarından birinin varlığı hâlinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükme bağlanmıştır.
EN
TR
Salt metin olarak göster (Kelime işlemcilere uygun görünüm)
