Yeni düzenleme geliyor. Kişisel Verileri Koruma Kurumu (KVKK), market ve mağazalar tarafından verilen puan ve ödül kartları uygulaması için önemli bir karar verdi. Kurum, bu kartların asıl sahibi dışında kullanılmasının durdurulmasını istedi. KVKK, marketlerden onay kodu mekanizması oluşturmalarını istedi, 6 ay geçiş süresi verdi.
Aynı Kurum, Resmi Gazete'de 28 Şubat 2026 tarihinde yayınlanan kararına göre, bu kartların kullanımında yasalara aykırılıklar olduğu sonucuna vardı. Kurul, bu kartların sahipleri dışında kullanılmasının yasaya aykırı olduğuna, asıl kart sahibi için onay mekanizması kurulması gerektiğine dikkat çekti. Mağazalar, 6 ay içinde onay kodu gönderme için sistemler kuracak.
İLGİLİ İHBARI ÜZERİNE İNCELEME BAŞLATILDI
Yine ilgili Kurumun kararında gıda, kozmetik, teknoloji, yapı market, giyim olmak üzere birçok işletme tarafından bu kartların müşterilere verildiğine dikkat çekilerek, “Kart sahibi ilgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının üçüncü bir şahıs tarafından alışveriş sırasında kasa görevlisine bildirilmek suretiyle, ilgili kişinin bilgisi ve rızası olmaksızın ve herhangi bir işlem onay kodu sisteme girilmeksizin alışveriş işlemlerinin gerçekleştirildiğine ilişkin Kişisel Verileri Koruma Kurumuna intikal ettirilen ihbar ve şikayetler” nedeniyle konunun ele alındığı anlatıldı.
O KARTIN SAHİBİ DIŞINDA KULLANIMI VERİ İHLALİ
O kararda, kart sahibine ait cep telefonu numarasına SMS yoluyla tek kullanımlık doğrulama kodu gönderilmesi, mobil uygulama barkod/ okutma gibi yöntemlerin kullanılmasıyla üyeliklerin gerçekleştirildiği, işlemin bu haliyle hukuka aykırı olmadığına dikkat çekilirken, bu yöntemin dışındaki kullanımların veri ihlali olduğu belirtildi. Yani, KVKK; kartın sahibi dışında herhangi bir doğrulama kodu gönderilmeden bir başkası tarafından kullanılmasını veri ihlali saydı.
Aynı kararda, “Kart numarasının, ilgili kişinin bilgisi ve rızası olmaksızın ve üyelik sürecindekine benzer bir şekilde herhangi bir doğrulama yapılmaksızın üçüncü bir şahıs tarafından alışveriş sırasında kasa görevlisine bildirilmesi suretiyle, ilgili kişinin sadakat kartı üzerinden alışveriş işlemlerinin gerçekleştirilmesinin hukuka aykırı veri işleme faaliyetine ve kişisel veri ihlaline yol açabileceği değerlendirilmektedir.” denildi.
UYGULAMA DURDURulDU 6 AY SÜRE
Asıl sahibi dışında kart kullanımının engellenmesi gerektiği belirtilen kararda, “Kart numarasının üçüncü bir kişi tarafından alışveriş esnasında kasadaki görevliye bildirilmesi suretiyle herhangi bir doğrulama yapılmaksızın sadakat kart üzerinden alışveriş işleminin yapılabilmesine imkân sağlayan uygulamaya son verilmesine karar verilmiştir.” ifadesine yer verildi.
ONAY KODU ZORUNLULUĞU
İlgili Kurum, sadakat kartlarının üyelik oluşturma, alışverişte puan kazanımı, puan kullanımı, indirimden, promosyondan faydalanma gibi herhangi bir amaçla alışveriş sırasında kullanılmasının, asıl kart sahibinin bilgisi sonucu gerçekleşmesini sağlamak için “Oluşabilecek kişisel veri ihlallerini önlemek amacıyla veri sorumluları tarafından bu amaca hizmet edecek uygun doğrulama mekanizmalarının oluşturulması gerektiğine.” karar verdi. Mağazalar bu karar göre, müşterilerin telefonlarına doğrulama kodu gönderecek sistem kuracak.
Yine aynı karar metninde, market ve mağazalara bu onay mekanizmasını kurmaları için 6 ay süre verildi. Kararda, “ Kanun hükümlerine aykırı şekilde bu uygulamaya devam eden, İlke Kararında belirtilen hususlara uygun hareket etmediği tespit edilen veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri çerçevesinde işlem tesis edilecektir.” uyarısı yapıldı.
