- within Insolvency/Bankruptcy/Re-Structuring, Environment and Real Estate and Construction topic(s)
Kararın Özeti
Kurul başta gıda, kozmetik, teknoloji, yapı market ve giyim gibi sektörlerde yaygın kullanılan sadakat kart programlarında ve mağaza sadakat programı KVKK süreçlerinde, “kasada yalnızca ilgili kişinin cep telefonu numarasının veya sadakat kart numarasının söylenmesi” suretiyle üçüncü kişilerin ilgili kişinin bilgisi ve rızası olmadan işlem yapabildiğine ilişkin ihbar ve şikâyetleri değerlendirmiştir. Kurul, ilgili kişinin kasada bulunmamasına rağmen, herhangi bir doğrulama işletilmeksizin kasada cep telefonu ile alışveriş KVKK kapsamında değerlendirilen sadakat kart üzerinden alışveriş yapılmasının; ayrıca bu alışverişe ilişkin fatura ve/veya müşteri işlem bilgisinin ilgili kişi adına işlenmesinin, hukuka aykırı kişisel veri işleme riskini doğurduğunu tespit etmiştir.
Kurul, ilgili kişinin cep telefonu numarasının veya kart numarasının üçüncü kişi tarafından kasada bildirilerek alışverişin ilgili kişi adına işletilmesini, KVKK m.5’teki işleme şartlarına dayandırılamayacağını; dolayısıyla kasada telefon numarası KVKK bağlamındaki bu akışın “hukuka aykırı kişisel veri işleme faaliyeti” niteliğinde olacağını tespit etmiştir. Ayrıca üçüncü kişinin yaptığı alışverişin ilgili kişinin hesabına yazılması ve fatura gibi belgelerin ilgili kişi adına düzenlenmesi, KVKK m.4’teki “doğru ve gerektiğinde güncel olma” ilkesine doğrudan aykırılık yaratır.
Kurul ayrıca, üyelik sözleşmelerinde “kartın üçüncü kişilere kullandırılmaması” yönünde ilgili kişiye yüklenen sorumlulukların, veri sorumlusunun KVKK madde 12 kapsamındaki sadakat programlarında veri güvenliği yükümlülüğünü ortadan kaldırmayacağını 2026/266 sayılı KVKK kararı ile özellikle vurgulamıştır.
Kurul’un Kararları ve Getirilen Standartlar
Kurul, KVKK sadakat kartı ilke kararı çerçevesinde yalnızca cep telefonu numarası veya sadakat kart numarası beyan edilerek sadakat kart üzerinden alışveriş yapılmasına imkân veren uygulamaya son verilmesi gerektiğini ilke olarak belirlemiştir. Bu yaklaşım, “puan/indirim/promosyon kazanımı” gibi düşük riskli görülen işlemler dâhil olmak üzere, sadakat kartın alışveriş esnasında herhangi bir amaçla kullanımında işlemin ilgili kişinin bilgisi ve rızası dâhilinde gerçekleştiğinin doğrulanmasını hedefler.
Kurul, sadakat kartı KVKK uyumu için veri sorumlularının KVKK m.12 uyarınca gerekli teknik ve idari tedbirleri almasını zorunlu görmüş; bu kapsamda sadakat kartı doğrulama yöntemleri ve mekanizmalarının oluşturulmasını somut yöntem örnekleriyle çerçevelemiştir. Örneklenen yöntemler; ilgili kişinin telefonuna gönderilen tek kullanımlık doğrulama kodunun kasada teyidi, mobil uygulama veya website üzerinden barkod-QR okutma, fiziki sadakat kartın ibrazı veya okutulması, sadakat kart şifresi/PIN girilmesi ve ayrıca online üyelik hesabı üzerinden “yalnızca telefon numarası ile yapılmasına izin verilen işlem türlerinin” ilgili kişiye opt-in biçiminde seçtirilebildiği tercih mekanizmalarıdır.
Kurul, tek tip bir doğrulama zorunluluğuna indirgemek yerine, ilgili kişi gruplarının farklılıklarını gözeten alternatif doğrulama mekanizmalarının sunulabileceğini ve işlem türlerine/risk seviyesine göre farklı doğrulama katmanlarının kurgulanabileceğini kabul etmiştir. Buna göre puan harcama gibi daha yüksek riskli işlemlerde daha güçlü doğrulama, puan kazanımı gibi işlemlerde ise risk-temelli ve tercihe dayalı tasarımlar gündeme gelebilecektir.
Kurul, ilke kararına uyum için veri sorumlularına Resmî Gazete’de yayımlanma tarihinden itibaren 6 ay süre tanımış; bu süre sonunda uyumsuzluk tespit edilen veri sorumluları hakkında KVKK idari yaptırım (KVKK m.18 kapsamında) tesis edileceğini açıkça belirtmiştir. Uyum süresi, yayın tarihi 28/02/2026 esas alındığında pratikte 28/08/2026 itibarıyla dolacaktır.
Kararın Olası Etkileri
İlke kararı ile ilgili kişi adına alışveriş yapılmasına ve alışveriş davranış verilerinin ilgili kişinin profiline yanlış şekilde işlenmesine yol açmasını hedefleyerek engelleyecektir. Böylece hem kimlik/hesap kötüye kullanımı riski azalacak, hem de ilgili kişi adına düzenlenen fatura ve işlem kayıtlarının doğruluğu korunarak özellikle iade, garanti, tüketici uyuşmazlığı ve veriye erişim/düzeltme süreçlerinde pratik bir güvence sağlayacaktır.
Veri sorumluları açısından perakende POS akışları başta olmak üzere, sadakat kartın “kasada kullanım” senaryolarının yeniden tasarlanması gerekecektir. Özellikle “telefon söyle–puan/indirim kazan” gibi yaygın akışlar için, en azından ilgili kişinin iradesini ve işlem yetkilendirmesini kanıtlayabilen OTP/QR/kart/PIN veya hesap içi opt-in mekanizmaları gibi doğrulama katmanı kurgulanması beklenir. Aynı zamanda kasiyer süreçleri, eğitim, kayıt/loglama, yetki matrisi ve ihlal önleme kontrolleri gibi idari tedbirlerin de kararın ruhuna uygun şekilde güncellenmesi gerekir.
Bu karar, “sözleşmeye hüküm koyarak sorumluluğu ilgili kişiye yükleme” yaklaşımının veri güvenliği bakımından Kurul nezdinde yeterli görülmediğini netleştirdiği için, sadakat programı işleten veri sorumlularında uyum projesinin odağı sözleşme metinlerinden ziyade işlem güvenliği mimarisi ve doğrulama tasarımı olacaktır.
Sonuç ve Yaptırım
KVKK, doğrulamasız sadakat kart kullanımına imkân veren uygulamaların hukuka aykırı kişisel veri işlemeye yol açtığını açıkça ortaya koymuş; bu uygulamalara son verilmesini ve veri güvenliğini teminen uygun teknik-idari tedbirlerin alınmasını sektör standardı hâline getirmiştir. Karara uyulmaması hâlinde, Kurul’un KVKK m.18 kapsamında idari yaptırım sürecini işleteceği; ayrıca uygulamanın kişisel veri ihlaline dönüşmesi hâlinde veri sorumlularının daha geniş uyum ve itibar riski ile karşılaşacağı açıktır.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
[View Source]