Kişisel Verileri Koruma Kurumu, kamuoyunda alışveriş kartı olarak bilinen sadakat kartlarına ilişkin önemli bir ilke kararını 28 Şubat 2026 tarihli Resmi Gazete’de yayımladı. Kararla birlikte, başkasına ait cep telefonu numarası ya da kart numarası kullanılarak indirim ve puan kazanılması uygulamasına son verilmesi hükme bağlandı.
Karar, gıda, kozmetik, teknoloji, yapı market ve giyim gibi farklı sektörlerde yaygın olarak kullanılan sadakat programlarında kişisel veri güvenliğini esas alıyor. Veri sorumlularına yeni doğrulama sistemleri kurmaları için 6 ay süre tanındı.
Başkasının kartıyla alışveriş dönemi sona eriyor
KVKK’nın “Sadakat Kart Üyeliği Bulunan Bir Kişinin Cep Telefonu Numarasının veya Sadakat Kart Numarasının Üçüncü Bir Kişi Tarafından Alışveriş Esnasında Kullanılması Hakkında İlke Kararı” ile, kart sahibinin bilgisi ve rızası dışında yapılan işlemlere son verilmesi istendi.
Yapılan incelemelerde, alışveriş sırasında yalnızca cep telefonu numarası veya kart numarasının kasiyere söylenmesiyle indirim ve promosyonlardan yararlanılabildiği, bu süreçte kart sahibinin bilgisine dair herhangi bir doğrulama mekanizmasının bulunmadığı tespit edildi.
Doğrulama boşluğu veri ihlali riski doğuruyor
Kurul kararında, alışveriş sonrası düzenlenen faturaların çoğunlukla kart sahibi adına kesildiği ve işlem bilgilerinin bu kayıtlara işlendiği belirtildi. Kart sahibinin bilgisi dışında yapılan işlemlerin ise hatalı kayıt oluşmasına ve kişisel veri ihlali riskine yol açtığı vurgulandı.
Öte yandan, puan harcama işlemlerinde SMS ile gönderilen tek kullanımlık doğrulama kodu, mobil uygulama barkodu ya da QR kod okutma gibi yöntemlerin yaygın biçimde kullanıldığı, ancak indirimden yararlanma aşamasında benzer bir güvenlik mekanizmasının çoğu zaman bulunmadığı kaydedildi.
Yeni sistem için 6 ay süre verildi
Karara göre, veri sorumluları alışveriş sırasında kart sahibinin bilgisi ve onayı olmadan işlem yapılmasını engelleyecek doğrulama mekanizmaları kurmak zorunda olacak. İşlemler için kart sahibine doğrulama kodu gönderilmesi ve hangi işlemlere onay verdiğine ilişkin tercih imkânı sunulması öngörülüyor.
Kurul, yeni sistemin oluşturulabilmesi için kararın Resmi Gazete’de yayımlandığı tarihten itibaren 6 ay süre verdi. Bu sürenin sonunda mevcut uygulamaların mevzuata uygun hale getirilmesi gerekecek.
Kişisel veri güvenliği öncelik olacak
KVKK’nın ilke kararı, sadakat kartı uygulamalarında “kişiye özel” doğrulama dönemini başlatıyor. Amaç, hem indirim ve puan sistemlerinin suistimal edilmesini önlemek hem de kişisel verilerin hukuka uygun şekilde işlenmesini sağlamak olarak belirtiliyor.
Uzmanlar, düzenlemenin özellikle perakende sektöründe yaygın olan sadakat programlarında teknik altyapı değişikliklerini zorunlu kılacağını ve tüketici verilerinin korunmasına yönelik denetimlerin artabileceğini ifade ediyor.