01 Mart 2026 Pazar
KVKK, market ve mağazalarda kullanılan puan ve ödül kartlarına ilişkin önemli bir karar aldı. Resmi Gazete’de yayımlanan karara göre sadakat kartlarının asıl sahibi dışında doğrulama yapılmadan kullanılması hukuka aykırı veri işleme olarak değerlendirildi. Karar kapsamında işletmelere 6 ay süre tanındı. Bu sürede uygun doğrulama mekanizmalarının kurulması gerekecek.
Kararda, kart sahibine ait cep telefonu numarasının ya da kart numarasının üçüncü kişiler tarafından kasa görevlisine bildirilerek, herhangi bir onay kodu olmadan işlem yapılmasının kişisel veri ihlali riski taşıdığı vurgulandı. Bu tür uygulamaların hukuka aykırı veri işleme faaliyetine yol açabileceği ifade edildi.
KVKK, üyelik sürecinde SMS ile tek kullanımlık doğrulama kodu gönderilmesi veya mobil uygulama üzerinden barkod okutulması gibi yöntemlerin hukuka uygun olduğunu belirtti. Ancak doğrulama yapılmadan kart kullanımına izin verilmesinin veri güvenliği açısından risk oluşturduğu kaydedildi.
Karara göre marketler ve mağazalar, sadakat kartlarının alışverişte kullanımı sırasında kart sahibinin bilgisi ve rızasını teyit edecek bir sistem kurmak zorunda olacak. Bu kapsamda SMS doğrulama kodu, mobil uygulama onayı veya benzeri güvenlik yöntemlerinin devreye alınması bekleniyor.
KVKK’nın değerlendirmesinde, Türkiye’de gıda, kozmetik, teknoloji, yapı market ve giyim sektörlerinde yaygın olarak kullanılan sadakat kartlarının üçüncü kişilerce doğrulama yapılmadan kullanılmasına yönelik çok sayıda ihbar ve şikâyet geldiği belirtildi.
Yeni düzenleme ile birlikte alışveriş sırasında puan kazanımı, puan kullanımı, indirim ve promosyon işlemlerinin kart sahibinin bilgisi dahilinde yapılması zorunlu hale gelecek. Kararın, kişisel verilerin korunması ve veri güvenliğinin güçlendirilmesi amacıyla alındığı ifade ediliyor.
