Next
Resmi Gazete'de sadakat kartlarıyla ilgili kritik karar
Kişisel Verileri Koruma Kurulu'ndan önemli düzenleme: Cep telefonu numarasıyla alışveriş dönemi bitiyor
Kişisel Verileri Koruma Kurulu (KVKK), sadakat kartı uygulamalarında yaşanan kişisel veri ihlallerinin önüne geçmek için tarihi bir karara imza attı. 28 Şubat 2026 tarihli Resmi Gazete'de yayımlanan ilke kararıyla, başkasına ait sadakat kartı veya cep telefonu numarasıyla alışveriş yapılmasının önüne geçilecek.
Sadakat kartı kullanımında yeni dönem
KVKK'nın 11 Şubat 2026 tarihli ve 2026/266 sayılı Kararı ile, sadakat kartı bulunan bir kişinin cep telefonu numarasının veya kart numarasının, üçüncü kişiler tarafından alışverişte kullanılmasıyla ilgili önemli düzenlemeler getirildi.
Kurula yapılan ihbar ve şikayetlerde, sadakat kart sahibinin bilgisi ve rızası dışında, cep telefonu numarasının üçüncü şahıslar tarafından kasa görevlilerine bildirilerek alışveriş yapıldığı, bu işlem sırasında herhangi bir doğrulama kodu kullanılmadığı ve faturaların kart sahibi adına düzenlendiği tespit edildi.
Yaygın bir uygulama
Kurulun araştırmalarına göre, gıda, kozmetik, teknoloji, yapı market ve giyim başta olmak üzere birçok sektörde bu uygulamanın yaygın olduğu belirlendi. Genellikle üyelik sözleşmesi çerçevesinde şahsi kullanım için verilen sadakat kartlarının, cep telefonu numarasının görevliye bildirilmesiyle aktif hale getirildiği ve indirim ile promosyonlardan faydalanıldığı kaydedildi.
Ancak alışverişin bizzat ilgili kişi tarafından mı yoksa bilgisi dahilinde mi yapıldığına dair herhangi bir doğrulama mekanizması bulunmadığı, sadece numara bildirimiyle işlem yapılabildiği tespit edildi. Buna karşılık, kazanılan puanların harcanması sırasında SMS doğrulama kodu veya QR kod gibi ek güvenlik önlemlerinin alındığı görüldü.
Kişisel veri ihlalleri yaşanıyor
Kurul raporunda, sadakat kartı üzerinden yapılan alışverişlerde faturanın kart sahibi adına düzenlendiği ve satın alınan ürün bilgilerinin ilgili kişinin kayıtlarına işlendiği vurgulandı. Bu durumun, kart sahibinin bilgisi ve rızası olmadan yapılan alışverişlerde, hatalı müşteri işlem bilgisi oluşmasına ve kişisel veri ihlallerine yol açtığı belirtildi.
KVKK'nın kararı ve yaptırımlar
Kişisel Verileri Koruma Kurulu, yaptığı değerlendirmeler sonucunda şu kararları aldı:
- İlgili kişinin bilgisi ve rızası dışında, üçüncü kişiler tarafından cep telefonu veya sadakat kart numarası bildirilerek alışveriş yapılmasına imkan sağlayan uygulamalara son verilecek.
- Bu şekilde yapılan alışverişlerde ilgili kişi adına fatura düzenlenmesi ve müşteri işlem bilgilerinin kaydedilmesi, Kişisel Verilerin Korunması Kanunu'nun "doğru ve gerektiğinde güncel olma" ilkesine aykırılık teşkil ediyor.
- Veri sorumluları, sadakat kartı kullanımında ilgili kişinin bilgisi ve rızası dahilinde işlem yapıldığını doğrulamak için teknik ve idari tedbirler almak zorunda.
Doğrulama mekanizmaları getiriliyor
Karar kapsamında veri sorumlularının şu doğrulama yöntemlerinden birini veya birkaçını uygulaması gerekecek:
- Cep telefonuna SMS yoluyla gönderilen tek kullanımlık doğrulama kodunun kasa görevlisine bildirilmesi
- Mobil uygulama veya internet sitesi üzerinden sağlanan barkod/QR kodun kasada okutulması
- Fiziki sadakat kartın kasada ibraz edilmesi veya okutulması
- Sadakat kart şifresinin kasada işlem cihazına girilmesi
- Online üyelik hesabı üzerinden, sadece cep telefonu numarası bildirildiğinde hangi işlemlere onay verildiğine ilişkin "opt-in" tercih imkanı sunulması
6 aylık uyum süresi
KVKK, veri sorumlularına bu düzenlemelere uyum sağlamaları için 6 aylık süre tanındığını duyurdu. Bu süre sonunda gerekli önlemleri almayan ve uygulamaya devam eden veri sorumluları hakkında, 6698 sayılı Kanun'un 18'inci maddesi çerçevesinde idari yaptırım uygulanacak.
Karar yürürlükte
Oy birliğiyle alınan ilke kararı, Kanun'un 15'inci maddesinin altıncı fıkrası uyarınca Resmi Gazete'de ve Kurumun internet sitesinde yayımlandı. Kararla birlikte, milyonlarca tüketiciyi ilgilendiren sadakat kartı uygulamalarında kişisel verilerin korunması açısından yeni bir dönem başlamış oldu.
