Kişisel Verileri Koruma Kurumu (Kurum) 11 Şubat 2026 tarihli ilke kararı ile, sadakat kartı avantajlarının alışveriş sırasında herhangi bir doğrulama yapılmaksızın yalnızca üyelik sahibine ait cep telefonu numarasının veya sadakat kart numarasının kasada beyan edilmesi suretiyle kullanılmasına imkân tanıyan yaygın uygulamayı ele almıştır.
Kurum söz konusu uygulamanın 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında, özellikle kişisel verilerin hukuka uygun işlenme şartları, kişisel verilerin doğru ve gerektiğinde güncel olma ilkesi ve veri güvenliğine ilişkin yükümlülükler bakımından önemli uyum riskleri doğurduğu sonucuna varmıştır.
Kararın arka planı ve kapsamı
Kurum değerlendirmesinde sadakat kartı programlarının gıda, kozmetik, teknoloji, yapı market ve giyim gibi sektörlerde yaygın olarak kullanıldığını belirtmiş; üyelik oluşturulması aşamasında uygulanan tek kullanımlık SMS doğrulama kodları veya mobil uygulamalar ya da internet siteleri üzerinden barkod/QR kod okutulması gibi doğrulama yöntemlerinin genel olarak hukuka uygun kabul edildiğini teyit etmiştir.
Buna karşılık Kurum alışveriş sırasında sisteme herhangi bir onay veya doğrulama kodu girilmeksizin, yalnızca üyelik sahibinin cep telefonu numarasının veya sadakat kart numarasının kasada beyan edilmesi suretiyle sadakat kartı avantajlarından yararlanılmasının önemli veri koruma riskleri yarattığını vurgulamıştır. Bu uygulamanın ilgili kişinin bilgisi veya rızası olmaksızın kişisel verilerin işlenmesine yol açabileceği ve kişisel veri ihlali riskini artırabileceği belirtilmiştir. Bu tür durumlarda, sadakat kartı sahibi işlemi gerçekleştirmemiş veya onaylamamış olsa dahi, faturaların veya işlem kayıtlarının sadakat kartı sahibi adına düzenlenerek üyelik hesabına kaydedilebildiği ifade edilmiştir.
Bu çerçevede Kurum yalnızca numara beyanı yoluyla gerçekleştirilen işlemlerin, veri sorumlularına alışverişin bizzat ilgili kişi tarafından yapılıp yapılmadığını veya bu işleme onay verilip verilmediğini doğrulama imkânı tanımadığını ve bu işlemlerin ilgili kişinin hesabına kaydedilmesinin yanlış veya yanıltıcı kişisel verilerin işlenmesine yol açabileceğini değerlendirmiştir.
Kurum hukuki açıdan bu uygulamanın sürdürülmesinin çeşitli sonuçlar doğurabileceğini vurgulamıştır. Özellikle üçüncü kişilerin sadakat kartı bilgilerini ilgili kişi adına kullanarak alışveriş yapmasının geçerli bir hukuki sebep olmaksızın kişisel veri işlenmesine neden olabileceği belirtilmiştir. Ayrıca bu işlemlerin ilgili kişinin hesabına kaydedilmesinin veya faturaların ilgili kişi adına düzenlenmesinin, doğru ve gerektiğinde güncel olma ilkesine aykırı sonuçlar doğurabileceği ifade edilmiştir.
Kurum sadakat kartlarının üçüncü kişiler tarafından kullanılmasını yasaklayan sözleşmesel düzenlemeler bulunsa dahi, bunun veri sorumlularının gerekli veri güvenliği tedbirlerini alma yükümlülüğünü ortadan kaldırmadığını özellikle vurgulamıştır.
İvedilikle yerine getirilmesi gereken uyum yükümlülükleri
Bu çerçevede Kurum söz konusu uygulamaya son verilmesi ve bu uygulamanın sadakat kartlarının alışveriş sırasında yalnızca ilgili kişinin bilgisi ve rızası dahilinde kullanılmasını sağlayacak uygun doğrulama mekanizmalarıyla değiştirilmesi gerektiğini belirtmiştir.
Bu amaçla veri sorumlularına, 28 Şubat 2026 tarihinden itibaren başlayan altı aylık katı bir uyum süresi tanınmıştır. Bu süre içerisinde veri sorumlularının mevcut sadakat kartı süreçlerini gözden geçirmeleri ve güncellemeleri beklenmektedir. Geçiş süresinin sona ermesinin ardından, gerekli tedbirleri almayan veya doğrulama yapılmaksızın sadakat kartı kullanımına izin vermeye devam eden veri sorumluları hakkında idari işlem tesis edilebilecektir.
Uygulamadaki etkiler ve önerilen adımlar
Karar özellikle kasa ve satış süreçleri bakımından doğrudan ve ivedilikle uygulanması gereken operasyonel sonuçlar doğurmakta olup birçok kuruluşun uzun süredir uyguladığı sadakat kartı uygulamalarını nispeten kısa bir geçiş süresi içinde yeniden değerlendirmesini gerektirecektir.
Kurum uygulamada satış noktasında pozitif bir doğrulama adımının hayata geçirilmesini beklemektedir. Bu doğrulama adımı hâlihazırda puan harcama işlemlerinde yaygın olarak kullanılan yöntemlere benzer şekilde kurgulanabilecektir. Bu kapsamda Kurum aşağıdaki doğrulama yöntemlerini örnek olarak göstermektedir:
- Tek kullanımlık SMS doğrulama kodları,
- Mobil uygulamalar veya internet siteleri üzerinden barkod veya QR kod okutulması,
- Fiziki sadakat kartının ibraz edilmesi veya okutulması ve
- Kasa aşamasında sadakat kartı şifresinin kullanılması
Çevrim içi işlemler bakımından ise Kurum, yalnızca telefon numarası beyanı ile gerçekleştirilen işlemler için açık ve anlaşılır opt-in tercihleri sunulmasını ve bu onayın hangi işlem türlerini kapsadığının şeffaf bir şekilde belirtilmesini önermektedir.
Öte yandan doğrulama yöntemleri işlemin risk seviyesine göre (örneğin puan kazanma, indirimlerden yararlanma veya puan kullanımı) ve farklı ilgili kişi grupları bakımından değişiklik gösterebilecektir.
Anılan karar ışığında veri sorumlularının, mevcut sadakat kartı süreçlerinde kasa aşamasında ilgili kişinin aktif onayı olmaksızın kullanım imkânı bulunup bulunmadığını değerlendirmeleri ve böyle bir durum söz konusu ise uyum süresi içerisinde gerekli iyileştirmeleri önceliklendirmeleri gerekmektedir.
Yaptırımlar
Karara uyulmaması hâlinde, KVKK’nın 18. maddesi uyarınca idari yaptırımlar uygulanabilecektir. Kurum’un kararlarına uyulmaması hâlinde, 2026 yılı için uygulanabilecek para cezaları 427.263 TL ile 17.092.242 TL arasında değişmektedir.
Kurum ayrıca, hukuka aykırı veri işleme faaliyetlerinin durdurulması ve Kurum’un veri sorumluları hakkındaki kararlarının yayımlanması gibi ek tedbirler de uygulayabilecektir.
Paylaş
İlgili kişiler
Detaylı bilgi için bizimle irtibata geçebilirsiniz.
Yasal Bilgilendirme
Bu içerik sadece bilgilendirme amaçlı olup hukuki görüş içermemektedir. İçerikteki konulara ilişkin bir sorunuz olması halinde lütfen bizi arayınız. Tüm hakları saklıdır.
