KVKK’dan sadakat kartlarında üçüncü kişi kullanımına son
Kişisel Verileri Koruma Kurumu (KVKK), sadakat kart programlarında yaşanan veri güvenliği sorunlarına ilişkin ilke kararı yayımladı. 11 Şubat 2026 tarihli ve 2026/266 sayılı karar, Resmi Gazete’de yayımlanarak yürürlüğe girdi.
KVKK’ya yapılan ihbar ve şikayetler üzerine gerçekleştirilen incelemelerde; gıda, kozmetik, teknoloji, yapı market ve giyim sektörlerinde faaliyet gösteren bazı şirketlerin sadakat kart uygulamalarında ciddi açıklar bulunduğu tespit edildi. Özellikle kart sahibinin bilgisi ve rızası olmadan üçüncü kişilerin kasa sırasında cep telefonu numarası paylaşarak indirim, promosyon veya puan kazanımı sağlaması kişisel veri ihlallerine yol açıyordu. Ayrıca faturaların kart sahibi adına düzenlenmesi ve hatalı işlem kayıtları, veri doğruluğu ilkesini zedeliyordu.
Kararın ana başlıkları
Doğrulama mekanizmaları zorunlu olacak:
Sadakat kartlarının kullanımında üyelik oluşturma, puan kazanma ve harcama, indirimden yararlanma gibi işlemlerde SMS ile tek kullanımlık doğrulama kodu, mobil uygulama üzerinden barkod/QR kod okutma, fiziki kart ibrazı veya şifre girişi gibi yöntemler uygulanacak. Online üyeliklerde ise “opt-in” yöntemiyle açık kullanıcı onayı alınacak.
Risk bazlı yaklaşım getirilecek:
İşlemin türü ve risk seviyesine göre farklı doğrulama yöntemleri uygulanabilecek. Özellikle puan harcama gibi yüksek riskli işlemlerde daha sıkı güvenlik kontrolleri zorunlu olacak.
6 aylık uyum süresi tanındı:
Veri sorumluları, kararın yayımlanmasından itibaren 6 ay içinde sistemlerini yeni düzenlemeye uygun hale getirecek. Süre sonunda yükümlülüklerini yerine getirmeyen şirketler hakkında 6698 sayılı Kanun’un 18. maddesi kapsamında idari para cezası uygulanabilecek.
KVKK Başkanı Prof. Dr. Faruk Bilir, kararın kişisel verilerin hukuka aykırı işlenmesini ve güvenlik ihlallerini önlemeyi amaçladığını belirterek, şirketlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun genel ilkelerine ve veri güvenliği yükümlülüklerine uymak zorunda olduğunu vurguladı.
Karar; Kanun’un 4, 5 ve 12. maddelerine dayanıyor. Veri işleme şartlarının sağlanmaması ve yeterli güvenlik tedbirlerinin alınmaması temel sorun alanları olarak öne çıktı.
Sektör temsilcileri düzenlemenin tüketici güvenini artıracağını ifade ederken, bazı şirketler uyum sürecinde ek maliyetler oluşabileceğine dikkat çekti. KVKK, kararın tam metnini resmi internet sitesinde yayımladı. Tüketiciler, sadakat kartlarıyla ilgili şikayetlerini Kuruma iletebilecek.
