SADAKAT KARTLARINDA DOĞRULAMA ZORUNLULUĞU
SADAKAT KARTLARINDA DOĞRULAMA ZORUNLULUĞU
Sadakat Kartı Sistemleri ve Kişisel Veri İşleme Faaliyetleri
Sadakat kartı sistemleri, işletmelerin müşterileriyle uzun vadeli bir ilişki kurmak ve tüketici davranışlarını analiz ederek pazarlama faaliyetlerini geliştirmek amacıyla kullandıkları üyelik temelli programlardır. Bu sistemlerde müşterilere belirli bir üyelik numarası, kart veya dijital hesap tanımlanır ve yapılan alışverişler bu hesap üzerinden kaydedilir. Müşteriler ise bu programlar aracılığıyla puan kazanma, indirim elde etme, özel kampanyalardan yararlanma veya kişiselleştirilmiş tekliflere erişme gibi avantajlar elde eder. Günümüzde fiziksel kartların yanı sıra cep telefonu numarası, mobil uygulama üyeliği veya QR kod gibi dijital kimlik doğrulama araçları da sadakat programlarının bir parçası hâline gelmiştir.
Sadakat kartı sistemleri aynı zamanda yoğun bir kişisel veri işleme faaliyeti içermektedir. Zira bu programlara kayıt sırasında müşterilerin ad, soyad, telefon numarası, e-posta adresi gibi kimlik ve iletişim bilgileri alınmakta; alışveriş sırasında ise ürün tercihleri, harcama tutarları, alışveriş sıklığı ve mağaza tercihleri gibi davranışsal veriler işlenmektedir. Bu veriler çoğu zaman müşteri profili oluşturma, pazarlama stratejileri geliştirme ve hedefli reklam faaliyetleri yürütme amacıyla analiz edilmektedir. Bu nedenle sadakat kartı sistemleri, 6698 sayılı Kişisel Verilerin Korunması Kanunu bakımından veri sorumlularının hukuka uygun veri işleme, veri güvenliği sağlama ve veri minimizasyonu ilkelerine uygun hareket etmesini gerektiren önemli bir kişisel veri işleme alanı olarak değerlendirilmektedir.
Sadakat Kartı Sistemlerinde Üçüncü Kişi Kullanımı ve Veri Güvenliği Sorunu: KVKK İlke Kararının Ortaya Çıkardığı Riskler
Sadakat kartı sistemleri, müşteri davranışlarının izlenmesi ve kişiselleştirilmiş pazarlama faaliyetlerinin yürütülmesi açısından önemli bir veri işleme altyapısı oluşturmaktadır. Ancak uygulamada bu sistemlerin çoğu zaman yeterli doğrulama mekanizmaları içermediği görülmektedir. Özellikle perakende sektöründe alışveriş sırasında müşterilerin yalnızca bir cep telefonu numarası veya sadakat kart numarası söyleyerek üyelik avantajlarından yararlanabilmesi, sistemin üçüncü kişiler tarafından kullanılmasına imkân tanıyabilmektedir. Bu durum, kart sahibi ile alışveriş yapan kişi arasında bir ayrım yapılmasını zorlaştırmakta ve sadakat programlarının veri doğruluğu ile veri güvenliği bakımından çeşitli sorunlar doğurmasına neden olmaktadır.
Bu uygulama, kişisel verilerin doğruluğu ve güvenliği bakımından önemli riskler yaratmaktadır. Zira üçüncü bir kişinin kasada başka bir bireyin telefon numarasını kullanarak işlem yapması halinde alışveriş bilgileri kart sahibinin hesabına işlenmekte, böylece kart sahibi gerçekte gerçekleştirmediği bir alışveriş faaliyetiyle ilişkilendirilebilmektedir. Bu durum yalnızca hatalı veri kaydı oluşturmakla kalmamakta; aynı zamanda kişinin tüketim alışkanlıklarının yanlış analiz edilmesine, profil oluşturma süreçlerinin hatalı yürütülmesine ve bazı durumlarda fatura veya işlem kayıtlarının yanlış kişiyle ilişkilendirilmesine yol açabilmektedir. Dolayısıyla bu tür uygulamalar, kişisel verilerin doğru ve güncel tutulması ile veri güvenliğinin sağlanması ilkeleri açısından ciddi sakıncalar doğurabilmektedir.
Bu riskler nedeniyle Kişisel Verileri Koruma Kurulu, sadakat kartı sistemlerinde üçüncü kişiler tarafından kullanımın önlenmesine yönelik bir ilke kararı yayımlamıştır. Kurul, yalnızca telefon numarası veya kart numarası beyan edilerek işlem yapılmasının veri güvenliği bakımından yeterli bir kontrol mekanizması oluşturmadığını değerlendirmiş ve veri sorumlularının kimlik doğrulamasına yönelik ek tedbirler alması gerektiğini belirtmiştir. Bu kapsamda SMS doğrulama kodu, mobil uygulama üzerinden doğrulama, kart şifresi veya benzeri yöntemlerle işlemi gerçekleştiren kişinin gerçekten kart sahibi olduğunun teyit edilmesini sağlayacak teknik ve idari önlemlerin uygulanması gerektiği vurgulanmıştır. Böylece sadakat kartı sistemlerinin yalnızca pazarlama aracı olmanın ötesinde, kişisel verilerin korunması hukuku bakımından da güvenli bir veri işleme altyapısına sahip olması gerektiği ortaya konulmuştur.
Sadakat Kartı Sistemlerinde Doğrulama Yükümlülüğü ve Veri Sorumlularının Hukuki Sorumluluğu
Kişisel Verileri Koruma Kurulu tarafından yayımlanan ilke kararı, sadakat kartı sistemlerinde yalnızca cep telefonu numarası veya kart numarası beyan edilerek işlem yapılmasının kişisel veri güvenliği açısından yeterli bir koruma sağlamadığını ortaya koymuştur. Bu nedenle veri sorumlularının, sadakat kartı kullanımında işlemi gerçekleştiren kişinin gerçekten kart sahibi olup olmadığını doğrulayacak mekanizmalar kurması gerektiği belirtilmiştir. Böylece sadakat programlarını işleten şirketler bakımından yalnızca veri toplama ve pazarlama faaliyetleri yürütme değil, aynı zamanda kişisel verilerin hukuka uygun şekilde işlenmesini ve korunmasını sağlayacak güvenlik önlemlerini oluşturma yükümlülüğü de açık biçimde vurgulanmıştır.
Kurul kararında ayrıca veri sorumlularının alması gereken teknik ve organizasyonel tedbirlerin kapsamına da işaret edilmiştir. Bu çerçevede alışveriş sırasında kart sahibinin doğrulanmasını sağlayacak SMS doğrulama kodu gönderilmesi, mobil uygulama üzerinden barkod veya QR kod okutulması, üyelik şifresi kullanılması veya benzeri kimlik doğrulama yöntemlerinin uygulanması önerilmektedir. Bu tür doğrulama mekanizmaları yalnızca teknik bir güvenlik önlemi olarak değil, aynı zamanda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun veri güvenliğine ilişkin hükümlerinin somut bir yansıması olarak değerlendirilmektedir. Dolayısıyla veri sorumlularının bu tür sistemleri kurması, Kanun’un öngördüğü “kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemeye yönelik gerekli teknik ve idari tedbirleri alma” yükümlülüğünün bir parçası niteliği taşımaktadır.
Kurul tarafından yayımlanan ilke kararında, veri sorumlularına bu düzenlemelere uyum sağlayabilmeleri için belirli bir süre tanındığı ve bu süre içerisinde gerekli sistemsel düzenlemelerin yapılmasının beklendiği ifade edilmiştir. Belirlenen süre sonunda doğrulama mekanizmalarını kurmayan veya veri güvenliğini sağlayacak tedbirleri almayan işletmeler bakımından ise 6698 sayılı Kanun’un 18. maddesi kapsamında idari para cezaları uygulanabileceği belirtilmektedir. Bu yönüyle ilke kararı, perakende sektöründe faaliyet gösteren veri sorumluları için yalnızca teknik bir sistem değişikliğini değil, aynı zamanda kişisel veri koruma hukukuna uyum sağlama bakımından önemli bir yükümlülük ve yaptırım riskini de beraberinde getirmektedir.
Sonuç: Perakende Sektöründe Kişisel Veri Güvenliğinin Yeni Aşaması
Sadakat kartı sistemleri, modern perakende sektörünün en yaygın müşteri ilişkileri araçlarından biri hâline gelmiştir. Ancak bu sistemlerin sağladığı pazarlama avantajları, aynı zamanda yoğun bir kişisel veri işleme faaliyetini de beraberinde getirmektedir. Kişisel Verileri Koruma Kurulu tarafından yayımlanan ilke kararı, sadakat kartlarının üçüncü kişiler tarafından kullanılmasının yalnızca pratik bir uygulama sorunu değil, aynı zamanda kişisel veri güvenliği bakımından önemli bir risk oluşturduğunu ortaya koymuştur. Bu çerçevede doğrulama mekanizmalarının zorunlu hâle getirilmesi, sadakat programlarının veri koruma hukukuna uygun şekilde işletilmesi bakımından önemli bir dönüm noktası niteliği taşımaktadır.
Bu gelişme, perakende sektöründe faaliyet gösteren veri sorumlularının müşteri verilerini yalnızca ticari bir kaynak olarak değil, aynı zamanda korunması gereken hukuki bir değer olarak ele alması gerektiğini göstermektedir. Doğrulama mekanizmalarının kurulması, veri doğruluğunun sağlanması ve kişisel verilerin yetkisiz kişiler tarafından kullanılmasının önlenmesi bakımından önemli bir güvenlik katmanı oluşturacaktır. Böylece sadakat kartı uygulamaları, yalnızca müşteri bağlılığını artıran bir pazarlama aracı olmanın ötesine geçerek, kişisel veri güvenliği ve veri sorumluluğu bilincinin güçlendiği yeni bir hukuki ve teknik altyapının parçası hâline gelmektedir.
Av. Selin Ceren CANBULUT
KAYNAKÇA:
- https://www.resmigazete.gov.tr/eskiler/2026/02/20260228-5.pdf
- https://www.kvkk.gov.tr/Icerik/8670/sadakat-kart-uyeligi-bulunan-bir-kisinin-cep-telefonu-numarasin…
Yorumlar