Турция: новое решение по защите данных о программах лояльности — что должны знать международные компании

Управление по защите данных Турции (KVKK) приняло принципиальное решение от 11 февраля 2026 года (№ 2026/266) относительно использования программ карт лояльности в Турции. Решение направлено на устранение риска того, что номер телефона или номер карты лояльности владельца карты лояльности может быть использован третьими лицами во время покупок без надлежащей проверки. Это решение особенно актуально для ритейлеров, супермаркетов, платформ электронной коммерции, сетей ресторанов и других предприятий, реализующих программы лояльности клиентов в Турции.

Предыстория решения

Многие программы лояльности в Турции позволяют клиентам получать скидки, накапливать баллы или участвовать в рекламных акциях, просто указав свой номер телефона или номер карты лояльности в точках продаж.

Однако, согласно жалобам, полученным Управлением по защите данных Турции, эта система часто позволяет:

• Человек, дающий чужой номер телефона на кассе
• Баллы лояльности или скидки, которые можно использовать без проверки личности владельца карты.
• Записи о покупках и счета-фактуры должны выписываться на имя владельца карты лояльности, даже если покупка была совершена другим лицом.

В результате персональные данные, принадлежащие владельцу карты лояльности, могут обрабатываться без ведома или разрешения этого лица.

Правовая позиция Управления по защите данных Турции

В соответствии с Законом Турции о защите персональных данных (Закон № 6698) компании, которые определяют, как обрабатываются персональные данные, считаются контролерами данных.

Управление пришло к выводу, что разрешение покупок исключительно на основе номера телефона или номера карты лояльности без какого-либо механизма проверки может привести к незаконной обработке персональных данных.

В частности, Управление подчеркнуло, что контролеры данных должны:

• Обрабатывать персональные данные законно и справедливо
• Реализация технических и организационных мер для предотвращения несанкционированного доступа или неправомерного использования персональных данных.

Если третье лицо использует информацию владельца карты лояльности и транзакция регистрируется в профиле этого лица, данные могут стать неверными или вводящими в заблуждение, что также не соответствует принципам точности данных в соответствии с турецким законодательством о защите данных.

Что должны делать компании

Управление ожидает, что компании, реализующие программы лояльности, введут механизмы проверки личности, прежде чем разрешить использование преимуществ лояльности.

Примеры, упомянутые в решении, включают:

• SMS-коды подтверждения отправляются владельцу карты.
• Проверка мобильного приложения
• Проверка QR-кода или штрих-кода
• Предъявление физической карты лояльности
• Использование PIN-кода или пароля, связанного с учетной записью лояльности
• Компании также могут внедрять механизмы проверки на основе рисков, а это означает, что в зависимости от типа транзакции могут потребоваться более строгие методы проверки.

Срок выполнения требований

Предприятиям, реализующим программы лояльности в Турции, дан шестимесячный период для выполнения решения с момента публикации.

Организации, которые не смогут реализовать соответствующие меры безопасности по истечении этого периода, могут столкнуться с административными штрафами или другими принудительными мерами в соответствии с турецким законодательством о защите данных.

Почему это важно для международных компаний

Иностранным компаниям, работающим в Турции или обрабатывающим данные клиентов резидентов Турции, следует обратить особое внимание на это решение.

Программы лояльности, которые полагаются только на ввод номера телефона при оформлении заказа (практика, распространенная во многих розничных системах), больше не могут быть достаточными в соответствии с требованиями защиты данных Турции.

Поэтому компаниям следует пересмотреть:

• Дизайн программы лояльности
• Процедуры оформления заказа
• Процессы проверки клиентов
• Документация о соответствии требованиям защиты данных

Для обеспечения соблюдения турецких правил защиты данных потребуется внедрение соответствующих механизмов проверки.