Muhtelif sektörlerde veri sorumluları tarafından yürütülmekte olan Sadakat Kart Programları kapsamında; sadakat kart sahibi ilgili kişiye ait cep telefonu numarasının alışveriş sırasında üçüncü bir şahıs tarafından kasa görevlisi ile paylaşılması suretiyle alışveriş yapıldığı, sadakat kart üzerinden yapılan bu alışveriş işleminin kasa görevlisi tarafından herhangi bir işlem onayı olmadan sisteme girilmesi suretiyle gerçekleştirildiği; ilgili kişinin alışveriş işlemi sırasında kasada bulunmamasına, bilgisinin ve rızasının bulunmamasına rağmen veri sorumlusu tarafından ilgili kişiye ait cep telefonu numarasının üçüncü şahıs tarafından paylaşılması suretiyle kişisel veriler kullanılarak sadakat kart üzerinden alışveriş yapılmasına olanak sağlandığı; ayrıca yapılan alışverişe ilişkin fatura vb. belgenin ilgili kişi adına düzenlenerek hukuka aykırı veri işleme faaliyetinin gerçekleştirildiği ve kişisel veri güvenliğinin ihlal edildiği hususlarında Kişisel Verileri Koruma Kurumuna (Kurum) muhtelif kanallardan ihbar ve şikâyetler iletilmiştir.
-
Sadakat kartın alışveriş esnasında indirim, promosyon, puan kazanımı gibi amaçlarla kullanımı için; alışverişin bizzat ilgili kişi tarafından veya ilgili kişinin bilgisi ve onayı dahilinde yapılıp yapılmadığına dair veri sorumlularınca herhangi bir doğrulama mekanizması oluşturulmaksızın, kasada görevliye yalnızca ilgili kişiye ait cep telefonu numarası veya sadakat kart numarasının bildirilmesi suretiyle sadakat kart üzerinden alışveriş işleminin gerçekleştirilebilmesine ilişkin uygulamanın yaygın olduğu,
-
Diğer taraftan; sadakat kart kullanımı ile kazanılan puanların harcanmasına ilişkin işlemlerde ise ilgili kişiye ait cep telefonu numarasına SMS yoluyla gönderilen tek kullanımlık doğrulama kodunun kasa görevlisine bildirilmesi, mobil uygulama/internet sitesi üzerinden sağlanan barkodun/QR kodun kasada okutulması vb. yöntemlerin kullanılması suretiyle oluşturulan doğrulama mekanizmalarının yaygın olarak kullanıldığı,
-
Sadakat kart üzerinden gerçekleştirilen alışveriş işlemi sonucunda düzenlenen fatura vb. belgenin sıklıkla sadakat kart sahibi ilgili kişi adına düzenlendiği ve yapılan alışverişe ilişkin müşteri işlem bilgilerinin (satın alınan ürün/hizmet, satın alma tarihi vb.) ilgili kişi ile ilgili kayıtlara işlendiği; bu nedenle sadakat kart sahibi ilgili kişinin bilgisi ve rızası olmaksızın cep telefonu numarasının veya sadakat kart numarasının üçüncü bir kişi tarafından alışverişte kullanılması halinde, ilgili kişiye ait kayıtlara/yedek hesabına hatalı müşteri işlem bilgisinin işlenmesi veya ilgili kişi adına yapılmadığı, bilgisi ve rızasının olmadığı bir alışverişe ilişkin fatura düzenlenmesi suretiyle kişisel veri ihlallerinin yaşanabildiği tespit edilmiştir.
İlgili mevzuat hükümleri incelendiğinde;
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Genel ilkeler” başlıklı 4’üncü maddesinde; kişisel verilerin ancak Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği, kişisel verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması gerektiği hüküm altına alınmıştır.
Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hükme bağlanmıştır.
Bu çerçevede yapılan araştırmalar doğrultusunda, çeşitli sektörlerin müşterilerinin de görüşleri alınmak suretiyle Sadakat Kart Programları kapsamında yaygın olduğu anlaşılan bahse konu uygulamaya ilişkin olarak Kurul tarafından yapılan değerlendirmeler neticesinde;
-
İlgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının, bilgisi ve rızası olmaksızın üçüncü bir kişi tarafından alışveriş esnasında kasada görevli kişiye bildirilmesi suretiyle ilgili kişi adına alışveriş işlemi gerçekleştirilmesinin, Kanun’un 5’inci maddesinde yer alan herhangi bir veri işleme şartına dayandırılamayacağı ve hukuka aykırı kişisel veri işleme faaliyetine yol açacağı,
-
İlgili kişiye ait cep telefonu numarası veya sadakat kart numarası kullanılarak ilgili kişinin bizzat kendisi tarafından yapılmadığı, bilgisinin ve rızasının olmadığı bir alışveriş işlemine ilişkin olarak ilgili kişi adına fatura vb. belge düzenlenmesi ve/veya müşteri işlem bilgilerinin (hangi mağazadan, hangi tarihte, hangi ürünün satın alındığı vb.) ilgili kişi ile ilgili kayıtlara/üyelik hesabına işlenmesi suretiyle gerçekleşen kişisel veri işleme faaliyetinin Kanun’un 4’üncü maddesinde öngörülen “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil edeceği,
-
Her ne kadar veri sorumluları tarafından Sadakat Kart Üyelik Sözleşmesi kapsamında ilgili kişilerin şahsi kullanımlarına yönelik olarak düzenlenen sadakat kartın üçüncü kişilere kullandırılmaması hususunda ilgili kişilere sorumluluk yüklenmiş olsa da bu durumun veri sorumluları tarafından yürütülen kişisel veri işleme faaliyetlerinde bilgisi ve rızası dahilinde gerçekleştiğini doğrulamak amacıyla, sadakat kartlarının herhangi bir amaçla (üyelik oluşturma, alışverişte puan kazanımı, puan kullanımı, indirimden/promosyondan faydalanma vb.) kullanımı için ilgili kişilerin cep telefonu numarasına SMS yoluyla gönderilen tek kullanımlık doğrulama kodunun kasa görevlisine bildirilmesi; mobil uygulama/internet sitesi üzerinden sağlanan barkodun/QR kodun kasada okutulması; fiziki sadakat kartın kasada ibrazı/okutulması; sadakat kart şifresinin kasa işlem cihazına girilmesi; sadakat kart programları kapsamında oluşturulan online üyelik hesabı üzerinden sadakat kart kullanımının yalnızca cep telefonu numarası bildirmek suretiyle alışveriş esnasında hangi işlemler için (alışverişte puan kazanımı/indirim veya promosyondan faydalanma/puan harcama) yapılmasına onay verildiğine ilişkin “opt-in” olarak ilgili kişilere tercih imkânı sunulması vb. yöntemler kullanılarak veri sorumluları tarafından doğrulama mekanizmalarının oluşturulması gerektiğine,
-
Alışveriş esnasında sadakat kart üyeliği bulunan ilgili kişinin cep telefonu numarasının veya sadakat kart numarasının ilgili kişinin bilgisi ve rızası olmaksızın üçüncü bir kişi tarafından kullanılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinde yaşanabilecek kişisel veri ihlallerinin önüne geçmek amacıyla en uygun doğrulama yöntemlerinin kullanılmasının temel amaç olduğu dikkate alındığında; veri sorumluları tarafından bu amaca hizmet edecek doğrulama mekanizmalarının tercih edilmesi gerektiğine; bu kapsamda, farklı ilgili kişi gruplarına yönelik alternatif doğrulama mekanizmaları sunulabileceğine; sadakat kart uygulamasında üyelik doğrulama, puan/indirim/promosyon kazanma, puan harcama gibi farklı işlem türlerine ve bu işlemlerin risk oranına göre farklı doğrulama mekanizmalarının kullanılabileceğine,
-
Bahse konu doğrulama mekanizmalarının oluşturulabilmesi için veri sorumlularına bu İlke Kararının yayımlanma tarihinden itibaren 6 aylık uyum süresi öngörülmesine,
-
Bahse konu önlemleri almayan, Kanun hükümlerine aykırı şekilde bu uygulamaya devam eden, bu İlke Kararında belirtilen hususlara uygun hareket etmediği tespit edilen veri sorumluları hakkında Kanun’un 18’inci maddesi uyarınca idari yaptırım uygulanmasına
karar verilmiştir.
01/10/2025 tarihinde oy çokluğuyla kesin olarak karar verildi.