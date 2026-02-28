Kişisel Verileri Koruma Kurumu (KVKK), alışveriş esnasında indirim, promosyon ve puan kazanımı gibi amaçlarla kullanılan sadakat kartlarının, kart sahibinin bilgisi ve rızası dışında üçüncü kişiler tarafından kullanılmasını engellemek için doğrulama mekanizmaları oluşturulması yönünde ilke kararı verdi.

Resmi Gazete'de yayımlanan karara göre, üçüncü kişilerin, sadakat kartı sahiplerinin bilgisi ve rızası olmadan, cep telefonu numaralarını kasa görevlisine söyleyerek alışveriş yapmalarıyla ilgili KVKK'ya çok sayıda şikayet ve ihbar ulaştı.

Şikayetlerde "sadakat kartlarıyla yapılan bu alışverişin kasa görevlisi tarafından onay kodu sisteme girilmeksizin gerçekleştirildiği", "kart sahibinin alışveriş sırasında kasada olmamasına rağmen alışveriş yapılmasına olanak sağlandığı" ve "hukuka aykırı veri işleme faaliyetinin gerçekleştirildiği" belirtildi.

Kurum tarafından yapılan incelemede, sadakat kartlarıyla gerçekleştirilen alışveriş sonucunda düzenlenen fatura gibi belgelerin sıklıkla kart sahibi adına düzenlendiği ve yapılan alışverişe ilişkin bilgilerin kart sahibinin kayıtlarına işlendiği belirlendi.

Kart sahibinin bilgisi ve rızası olmaksızın cep telefonu veya sadakat kartı numarasının üçüncü bir kişi tarafından alışverişte kullanımı halinde, ilgili kişinin üyelik hesabına hatalı müşteri işlem bilgisinin işlenmesi veya ilgili kişi adına yapmadığı, bilgisi ve rızasının olmadığı bir alışverişe ilişkin fatura düzenlenerek kişisel veri ihlallerinin yaşanabildiği tespit edildi.

İlke kararlarına uymayanlara cezai işlem uygulanacak

KVKK, alışveriş sırasında yaygın olarak yaşandığı anlaşılan bu durumla ilgili ilke kararı aldı.

Buna göre, ilgili kişiye ait cep telefonu veya sadakat kartı numarasının, kişinin bilgisi ve rızası dışında üçüncü bir kişi tarafından kasadaki görevliye söylenerek alışveriş yapılabilmesine imkan sağlayan uygulamaya son verilecek.

Alışverişin kart sahibinin bilgisi ve rızası dahilinde gerçekleştiğini teyit etmek için "SMS ile gönderilen doğrulama kodunun kasa görevlisine bildirilmesi", "mobil uygulama veya internet sitesi üzerinden sağlanan barkod veya QR kodun kasada okutulması" ve "sadakat kartı şifresinin kasada işlem cihazına girilmesi" gibi doğrulama mekanizmaları oluşturulacak.

Bahse konu doğrulama mekanizmalarının oluşturulabilmesi için veri sorumlularına ilke kararının yayımlanma tarihinden itibaren 6 aylık uyum süresi verilecek.

Bu önlemleri almayarak kanun hükümlerine aykırı şekilde uygulamaya devam eden, ilke kararında belirtilen hususlara uygun hareket etmediği tespit edilen veri sorumluları hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 18. maddesinde yer alan cezai işlemler uygulanacak.