KVKK’dan Kredi/Banka Kartı Bilgisini Zorunlu Kaydeden E-Ticaret Sitesine 500.000 TL Ceza
Kişisel Verileri Koruma Kurulu (KVKK), bir e-ticaret sitesinden alışveriş sırasında kredi/banka kartı bilgilerinin kaydedilmesinin zorunlu tutulması üzerine 500.000 TL para cezası verdi.
KVKK şikayetinde, ilgili kişinin e-ticaret sitesinden alışveriş yapacağı sırada ödeme ekranında açılan “kredi/banka kartı ekle” butonu ile kartını kaydetmesinin talep edildiği, alışveriş yapabilmesi için kart bilgilerini kaydetmesinin zorunlu tutulduğu ve bu bilgiler girilmeden “devam et” butonunun işlemediği, veri işleme şartı bulunmadığı ve aydınlatma yapılmadığı ileri sürülüyor.
Veri sorumlusu savunmasında özetle, kart bilgilerinin KVKK’nın “sözleşmenin kurulması veya ifası” kapsamında işlendiği, bunun yanı sıra; dolandırıcılığı ve suiistimali tespit edebilmek için KVKK’nın “meşru menfaat” ve müşterinin Premium müşteri olması halinde aylık üyelik ücretini tahsil edebilmek adına “sözleşmenin kurulması veya ifası” kapsamında işlendiği ve aydınlatma yükümlülüğünün yerine getirildiği belirtiliyor.
KVK Kurulun yaptığı incelemede, ilgili kişinin iddiaları ve veri sorumlusunun beyanlarının teyiti için internet sitesinde jenerik bir hesap oluşturuluyor ve ilgili kişinin iddiası ile uyumlu şekilde, kart bilgisi sisteme kaydedilmeden alışverişin tamamlanamadığı ve alışveriş tamamlandıktan sonra da kart bilgilerinin cüzdan bölümünde kayıtlı olmaya devam ettiği anlaşılıyor.
Kararda Avrupa Veri Koruma Otoritesi’nin “Kredi Kartı Verilerinin Yalnızca Sonraki Çevrimiçi Satınalmaları Kolaylaştırmak Amacıyla İşlenmesinde Veri İşleme Şartları Konulu 02/2021 sayılı Tavsiye Kararı”nda satın almaları kolaylaştırmak amacıyla kart bilgilerinin işlenmeye devam edilmesi için rıza gerektiğine atıf yapılıyor.
Veri sorumlusunun KVKK’da yer alan muhtelif işleme şartlarına dayandığı ancak alışveriş tamamlandıktan sonra kart bilgilerinin üyelik hesabında işlenmeye devam edilmesinde aynı işleme şartlarına dayanmasının mümkün olmayacağı belirtiliyor.
Veri sorumlusunun öne sürdüğü işleme şartlarının ancak mevcut alışverişler kapsamında geçerli olabileceği, sonraki satın almaları kolaylaştırılmak için kart bilgilerinin işlenmeye devam edilmesinde amaç değişikliği olduğundan bu amacın gerçekleştirilmesi kapsamında uygun işleme şartının da mevcut olması gerektiği ve bunun da açık rıza kapsamında yapılabileceği vurgulanıyor.
Kart bilgilerinin sisteme kaydedilmesinin zorunlu tutularak ilgili kişilerce sonradan bu bilgilerin silinmesine izin verildiği, bu suretle hem kart bilgilerinin kaydedilmesinde açık rızanın alınmadığı hem de “hukuka ve dürüstlük kuralına uyma”, “belirli, açık ve meşru amaçla işleme” ve “işlendikleri amaçla bağlı sınırlı ve ölçülü olma” ilkelerine aykırılık nedenleriyle 500.000 TL para cezası veriliyor.
Ayrıca, ilgili kişilerin aktif olarak rıza göstermelerini sağlayacak bir sistem geliştirilmesi ve aydınlatma metinlerinde de gerekli düzenlemelerin yapılarak KVK Kurula bilgi verilmesi konusunda talimat veriliyor.
KVKK para cezası kararının tamamı için⬇️
https://lnkd.in/du9b-xgK