Market ve mağazaların müşterilerine puan ve indirim sağlayan sadakat kartlarına ilişkin Kişisel Verileri Koruma Kurumu (KVKK) önemli bir ilke kararı aldı.
Resmi Gazete’nin 28 Şubat 2026 tarihli sayısında yayımlanan karara göre, sadakat kartlarının kart sahibi dışında üçüncü kişiler tarafından doğrulama yapılmaksızın kullanılmasının mevzuata aykırı olduğu tespit edildi. Kurul, mağazalara 6 ay içinde yeni bir onay sistemi kurma zorunluluğu getirdi.
İHBARLAR ÜZERİNE İNCELEME BAŞLATILDI
Kararda; gıda, kozmetik, teknoloji, yapı market ve giyim sektörlerinde faaliyet gösteren çok sayıda işletmenin müşterilerine verdiği sadakat kartlarına ilişkin şikâyetler üzerine inceleme başlatıldığı belirtildi.
İddialara göre, kart sahibine ait cep telefonu numarası ya da kart numarası, üçüncü kişiler tarafından kasa görevlilerine iletilerek, herhangi bir doğrulama kodu girilmeden alışveriş işlemi yapılabiliyordu. KVKK, bu durumun kart sahibinin bilgisi ve rızası olmadan kişisel verilerin işlenmesi anlamına gelebileceğini değerlendirdi.
DOĞRULAMA OLMADAN KULLANIM VERİ İHLALİ
Kurul kararında, SMS ile tek kullanımlık doğrulama kodu gönderilmesi ya da mobil uygulama üzerinden barkod okutulması gibi yöntemlerle yapılan işlemlerin hukuka uygun olduğu vurgulandı.
Ancak bu yöntemler dışında, kart numarasının üçüncü kişilerce doğrulama olmaksızın kullanılması “hukuka aykırı veri işleme faaliyeti” ve “kişisel veri ihlali” olarak nitelendirildi.
Kararda, kart sahibinin bilgisi ve açık rızası olmadan yapılan işlemlerin veri güvenliği açısından risk oluşturduğu açıkça ifade edildi.
UYGULAMAYA SON, 6 AY SÜRE
KVKK, kart numarasının üçüncü bir kişi tarafından kasa görevlisine bildirilerek doğrulama yapılmadan işlem yapılmasına imkân tanıyan uygulamanın sonlandırılmasına karar verdi.
Market ve mağazalara, sadakat kartlarının kullanımı sırasında uygun doğrulama mekanizmaları oluşturulması için 6 ay süre tanındı. Bu kapsamda işletmelerin, alışveriş esnasında kart sahibinin cep telefonuna onay kodu göndererek işlem doğrulaması yapacak sistemleri devreye alması gerekecek.
UYMAYANLARA YAPTIRIM UYARISI
Kurul, belirlenen ilkelere aykırı şekilde uygulamaya devam eden veri sorumluları hakkında, Kanun’un 18. maddesi kapsamında idari yaptırım uygulanacağı uyarısında bulundu.
Kararla birlikte, sadakat kartlarının kullanımında kimlik doğrulama süreci zorunlu hale gelirken, kişisel verilerin korunmasına yönelik denetimlerin de sıkılaştırılacağı mesajı verildi.
