Kişisel Verilerin Korunması Kurumu'nun Sadakat Kart Kararlarına İlişkin Bilgi Notu

Kişisel Verilerin Korunması Kurulu’nun(“Kurul”) sadakat kart uygulamasına ilişkin yayınladığı kararlar 3 adet olup, aşağıdaki tabloda kısaca bahsedilmiştir.

25.03.2019 Tarihli ve 2019/82 Sayılı Kararında:

ŞİKAYET: Sadakat kart ile ilgili internet sitesine giriş yapıldığı esnada ekranlara gelen uyarı metninde “….. Kart avantajlarından faydalanmaya devam edebilmek için KVKK kapsamında veri işleme iznini vermen yeterli…iznin yoksa karşına çıkacak olan üyelik ve rıza beyanı metnini okuyarak onayla.” ya da …. Kart tarafından kişilerin cep telefonlarına gönderilen kısa mesajlarda “KVKK izninizi lütfen güncelleyiniz. İzni güncel olmayan müşterilerimiz, kişisel bilgileri silineceği için kasalarımızdan cep telefonu söyleyerek alışveriş yapamayacaklar.” şeklinde açıklamalara yer verildiği, bu anlamda açık rızanın bir ürün veya hizmetin sunulmasına ilişkin koşul olarak ileri sürüldüğü, şikayet konusu yapılmıştır.

DEĞERLENDİRME: Sadakat karta ilişkin olarak internet sitesinde yayımlanan “…. Kart Üyelik ve Rıza Beyanı” başlıklı metinde, “Üye; Program kapsamında otomatik ve otomatik olmayan yollarla edinilen mevcut ve/veya yeni kişisel bilgilerinin (Alışveriş bilgisi, isim, soyisim, rumuz, cep telefon numaraları, e-mail adresleri, doğum tarihi, yaşadığı şehir, cinsiyet, medeni durum, eğitim düzeyi, ilgi alanları, zevk ve beğenileri gibi) ve elektronik programlar nedeniyle ulaşılabilen lokasyon bilgisinin, kişisel olmayan bilgilerinin,

- Program kapsamında mal ve hizmetlerini tanıtmak,

- üyelerini tanımak ve iletişimini arttırmak, imajını arttırmak, ürün, hizmet ve iletişimini geliştirmek,

- kulüplere üye kaydetmek, müşteri memnuniyeti uygulamaları ve bilgilendirmeleri yapabilmek,

- denetim, veri analizi, araştırma, trendleri anlama, pazarlama ve reklam hizmetlerinde de

kullanılmak üzere toplanmasına, veri kayıt sisteminde muhafaza edilmesine, sayılan amaçlarla ….. Ailesi ile “yurtiçinde ve yurtdışında ilgili yasal mevzuatın öngördüğü azami süreleri aşmamak üzere paylaşılmasına ve işlenmesine izin verir. …… Ailesi olarak bahsedilen kurumlar, Yönetim Hissedarları, Yönetim Hissedarlarının ve Şirket’in bağlı şirketleri, iştirakleri, alt kuruluşları, işletmeleri, Şirketin her türlü temsilcisi, hizmet sağlayıcısı ve/veya alt yüklenicisi ve bağlı şirketleri, GSM Operatörleri /Sosyal Paylaşım Siteleri ile Şirketin hak ve/veya görevlerini devretmeyi teklif ettiği her türlü kişilerdir.” gibi genel nitelikte ifadeler kullandığı tespit edilmiştir.

İNCELEME SONUCU: Müşterinin Sadakat Kart Programına üye olmadığı durumda Şirketin sunduğu ürüne ve kişiye özel fırsat dünyasından faydalanamadığı ancak bu durumun hiçbir şekilde herhangi bir müşterinin Şirketin sunduğu alışveriş ortamından faydalanmasını engellemediği dolayısıyla, veri sorumlusu Şirket tarafından hizmet sunumu kapsamında Sadakat Kart Programına katılımın müşteriler açısından zorunlu tutulmadığı, söz konusu Programa üye olmayan müşterilere hizmet sunulmaması gibi bir durum ortaya çıkmadığı dikkate alındığında, Sadakat Kart Programına üye olunması sırasında kişilerin açık rızalarına başvurulması aksi takdirde söz konusu programdan yararlanılmaması hususunda Şikayetçinin Şirket tarafından bir hizmet veya ürün sunulmasının açık rıza şartına bağlandığı iddiası ile ilgili Kurumca yapılacak bir işlem bulunmadığına karar verilmiştir.

16.05.2019 Tarihli ve 2019/144 Sayılı Kararında:

İHLAL: Cathay Pasific Airway Limited (Cathay Pasific) şirketinde 13.03.2018 tarihinde yetkisiz erişim gerçekleştiği ve yetkisiz erişimin 07.05.2018 tarihinde tespit edildiği, saldırganın Müşteri Sadakat Sisteminin kısmi veri tabanı(müşteri ödemesi ile işlem verisi) yedeği olarak hitap edilebilecek belgeleri ele geçirdiği, Türkiye’de toplam 1.286 kişinin yolcu ismi, uyruğu, doğum tarihi, telefon numarası, elektronik posta adresi, kimlik kartı numarası, “frequent flyer” üyelik numarası, müşteri hizmetleri notları ve geçmiş seyahat bilgilerinin ihlalden etkilendiği, diğer taraftan Türkiye’de toplam 155 kişinin pasaport numarasına erişildiği tespit edilmiştir.

DEĞERLENDİRME: İhlalin yaklaşık 2 ay sonra 07.05.2018 tarihinde tespit edildiği, bu durumun bir güvenlik açığı olduğu, Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığı, Şirket tarafından ihlalden önce alındığı belirtilen güvenlik önlemleri ve bildirim ekinde gönderilen kötücül yazılımların listesi incelendiğinde; saldırganların sistemler üzerinde yatay bir şekilde hareket ederek Müşteri Sadakat Sistemi (CLS), Online İş Hizmeti Platformu (EBSP), web sitesi yönetici konsolu (iRedeem), Müşteri Bilgi Sistemi’ni (CIS) etkilenmesinin Şirket bünyesinde bulunan donanım ve yazılımların yapılandırmalarının doğru bir şekilde yapılmadığının ve alınan güvenlik önlemlerinin yetersiz olduğunun göstergesi olduğu değerlendirilmiştir.

İNCELEME SONUCU: KVKK 12(1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18(1)(b) bendi uyarınca 450.000 TL, 07.05.2018 tarihinde gerçekleşen siber saldırıya ilişkin Kurula 25.10.2018 tarihinde bildirim yapılmasının, ihlalden etkilenen ilgili kişilere ise 25.10.2018 tarihinden itibaren bildirim yapmaya başlanmasının, Kanunun 12(5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle, Kanunun 18(1)(b) bendi uyarınca Şirket hakkında 100.000 TL, olmak üzere toplam 550.000 TL idari para cezası uygulanmasına karar verilmiştir.

01.10.2019 Tarihli ve 2019/294 Sayılı Kararında:

ŞİKAYET: Bir havayolu taşımacılık şirketinin sadakat programını kullanırken kullanıcı adı ve parola bilgilerini değiştirme talebiyle başvuran ilgili kişiye, arkalı önlü kimlik görüntüsünü iletmesi halinde talebinin yerine getirileceği cevabının verilmesi, o sırada bilet bilgilerine erişmek için kimlik görüntüsünü elektronik olarak ileten, ancak daha sonra kimlik görüntülerinin silinmesi ve kişisel verileri üçüncü kişilere aktarıldıysa, verilerin aktarılan üçüncü kişilerin kayıtlarından da silinmesi talebine kişisel verilerinin sistemlerinde tutulmadığı ve üçüncü kişilerle paylaşılmadığı yanıtını alan ilgili kişi, Kuruma şikayette bulunmuştur.

DEĞERLENDİRME: Veri sorumlusunun, Kanun kapsamındaki başvurusuna cevap verebilmek amacıyla ilgili kişinin kimliğinin teyidi noktasında ek bilgi istemesinin yerinde olduğu değerlendirilmekle birlikte, ilgili kişinin din ve kan grubu gibi özel nitelikli kişisel verilerini de içeren arkalı önlü kimlik görüntüsünün talep edilmesinin, “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine uygun olmadığını, İlgili kişinin kimliğinde yer alan “kan grubu” ve “din” bilgilerin özel nitelikli kişisel veri niteliğinde olduğu, ilgili kişinin açık rızası olmadan gerçekleştirilen veri işleme faaliyetinin hukuka aykırı bir işleme olduğu değerlendirilmiştir.

Başvuruya konu olay Genel İlkeler bakımından değerlendirildiğinde,

- Kimlik görüntüsünün muhafaza edilmesine rağmen kayıt altına alınmadığı yönünde ilgili kişiye cevap vermesinden dolayı şeffaf olmadığı, bu nedenlerle de dürüstlük kuralına aykırı veri işleme faaliyetinde bulunduğu,

- Veri sorumlusunun kimlik görüntülerini işlemesinde hangi hukuki işleme şartına dayandığı hususunun ilgili kişiye verilen cevapta belirtilmediği, bu nedenle veri sorumlusunun veri işleme faaliyetinin belirli, açık ve meşru amaçlar için işlenme ilkesine aykırı olduğu,

- Kimlik doğrulama işlemi için daha az verinin işlenmesinin mümkün olduğundan hareketle veri sorumlusunun somut olayda işlediği kimlik görüntüsünün işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu,

- Kimlik doğrulama işlemi bittikten sonra bu verileri silmediği, Kurumumuzca bilgi belge talep edilmesi üzerine sildiğini beyan ettiği gerçeğinden yola çıkarak, veri sorumlusunun veri işleme faaliyetinin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesine de aykırı olduğu,

- İlgili kişi ile iletişim halinde olan çağrı merkezi ekibi tarafından ilgili kişinin ilk başvurusu işleme alınırken kimlik doğrulama sürecinin Şirket kurallarına uygun olarak yürütülmediği, kimlik görüntülerinin alınmasına dair şikayetin içeriğinin doğru tahlil edilemediği, ilgili kişinin, kimlik görüntülerinin kaydedilmediği ve üçüncü kişilerle paylaşılmadığı şeklinde hatalı bilgilendirildiği ve yazılı çalışma kurallarının aksine talep değerlendirme, görüş ve destek birimlerinin yeterli bilgisi olmadan şikayetlerin yanıtlandığının tespit edildiği, ilgili kişinin iletmiş olduğu kimlik görüntülerinin şikayet modülü yazılım firmasının sunucuları üzerinde bulundurulduğu, kimlik görüntülerinin silinmediğinin tespit edildiği, dolayısıyla inceleme neticesinde işlem yapan çağrı merkezi personelinin başvuru sahibi ilgili kişiyi kişisel verilerinin saklandığı yerler ve paylaşıldığı üçüncü kişiler hakkında yanlış bilgilendirdiğinin ve bilgi eksikliği nedeniyle verilerinin silinmesine ve veri işleyenleri öğrenmeye yönelik taleplerini işleme almadığının tespit edildiğinin belirtildiği, bu nedenle veri sorumlusunun, ilgili kişinin veri sorumlusuna başvuru hakkına riayet etmediği, diğer bir deyişle, veri sorumlusunun ilgili kişinin başvurusuna hukuka ve dürüstlük kuralına uygun bir yanıt vermediği değerlendirilmiştir.

İNCELEME SONUCU: kimlik görüntüsüne yönelik olarak ilgili kişinin açık rızasının alınmadığı, genel ilkelere uyulmadığı ve ilgili kişinin haklarına riayet edilmediği gerekçesiyle veri işleme faaliyetinin hukuka aykırı olduğu, bu çerçevede kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olan veri sorumlusunun veri güvenliğine ilişkin yükümlülüğüne aykırı davrandığı tespit edilmiştir. Kanunun 12 (1) numaralı fıkrasında yer alan veri güvenliğine ilişkin yükümlülükleri yerine getirmediği değerlendirilen Veri Sorumlusu hakkında Kanunun 18(1)(b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına, Veri sorumlusunun Kurumumuza ilettiği yazıda, kişisel verilerinin silindiği hususunda ilgili kişinin bilgilendirileceğini belirtmiş olmasına rağmen, inceleme sürecinde bu bilgilendirmenin yapıldığına dair taraflardan gelen herhangi bir bildirim olmadığı dikkate alındığında, ilgili kişinin kimlik görüntüsünü içeren kişisel ve özel nitelikli kişisel verilerinin veri sorumlusu ve veri işleyenlerin sistemlerinden silindiği bilgisinin ilgili kişiye bildirilerek Kurumumuza bilgi verilmesi, önceden bildirildi ise bunu tevsik edecek bilgi ve belgelerin Kurumumuza iletilmesi konusunda veri sorumlusunun talimatlandırılmasına, sadakat kart uygulaması ve diğer hizmetlerin sunulması sürecinde kendi adına veya bir başkası adına kişisel verilere ilişkin talepte bulunan kişilerin kimliklerinin teyit edilmesi noktasında uygulanacak yöntem ve bu durumda işlenecek kişisel verilere ilişkin kurumsal düzenlemeleri Kanun kapsamında gözden geçirerek, ilgili birimleri ile veri işleyenleri bilgilendirmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

KAYNAK : https://www.kvkk.gov.tr/Icerik/5406/Kurul-Karar-Ozetleri