KVKK İlke Kararı: Sadakat Kart Programlarında Doğrulama Mekanizması Zorunlu Hale Geldi
A. Giriş
Kişisel Verileri Koruma Kurulu’nun (“Kurul”), sadakat kartı üyeliği bulunan bir kişiye ait cep telefonu numarası veya sadakat kartı numarasının üçüncü bir kişi tarafından alışveriş esnasında kullanılması uygulamasına ilişkin olarak 11 Şubat 2026 tarihinde 2026/266 sayılı İlke Kararı (“Karar”) 28 Şubat 2026 tarihli ve 33182 sayılı Resmî Gazete’de yayımlanmıştır.
İlgili Karar’a buradan ulaşabilirsiniz.
B. Kararın Arka Planı
Çeşitli sektörlerde veri sorumluları tarafından yürütülmekte olan sadakat kart programları kapsamında; sadakat kart sahibi ilgili kişiye ait cep telefonu numarasının alışveriş sırasında üçüncü bir şahıs tarafından kasa görevlisi ile paylaşılması suretiyle alışveriş yapıldığı, bu işlemin herhangi bir onay kodu girilmeksizin gerçekleştirildiği ve ilgili kişinin rızası olmaksızın onun adına alışveriş yapılmasına ve fatura düzenlenmesine yol açan uygulamalara ilişkin Kuruma çeşitli kanallardan ihbar ve şikayetler iletilmiştir.
Konuya ilişkin yapılan araştırma neticesinde söz konusu uygulamanın gıda, kozmetik, teknoloji, yapı market ve giyim gibi pek çok farklı sektörde yaygın olduğu tespit edilmiştir. Sadakat kartın alışveriş esnasında indirim, promosyon ve puan kazanımı gibi amaçlarla kullanımı için alışverişin bizzat ilgili kişi tarafından ya da ilgili kişinin bilgisi ve onayı dahilinde yapılıp yapılmadığına dair herhangi bir doğrulama mekanizması oluşturulmaksızın, kasadaki görevliye yalnızca cep telefonu numarası veya sadakat kart numarasının bildirilmesinin yeterli sayıldığı; buna karşın puan harcama işlemlerinde SMS doğrulama kodu, barkod veya QR kod gibi doğrulama mekanizmalarının yaygın biçimde kullanıldığı görülmüştür.
C. Mevcut Uygulamanın Değerlendirilmesi
Kurul sadakat kart kullanımına ilişkin izah edilen şekilde gerçekleştirilen veri işleme faaliyetlerinin, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 4’üncü maddesinde öngörülen “doğru ve gerektiğinde güncel olma” ilkesine aykırı olduğunu, ayrıca bu faaliyetin Kanun’un 5’inci maddesindeki herhangi bir veri işleme şartına dayandırılamayacağını belirtilerek hukuka aykırı olduğunu tespit etmiştir. Kurul ayrıca, sadakat kart sözleşmelerinde yer alan ve sadakat kartın üçüncü kişilere kullandırılmaması hususunda ilgili kişilere sorumluluk yükleyen düzenlemelerin, veri sorumlularının Kanun’un 12’nci maddesi kapsamındaki veri güvenliğini sağlama yükümlülüğünü ortadan kaldırmadığını da değerlendirmiştir.
D. Getirilen Yükümlülükler
Kurul öncelikle, ilgili kişinin bilgisi ve rızası dışında üçüncü bir kişi tarafından sadakat kart üzerinden alışveriş yapılabilmesine imkân sağlayan uygulamaya son verilmesine karar vermiştir.
Bu doğrultuda alışveriş işleminin ilgili kişinin bilgisi ve rızası dahilinde gerçekleştiğini doğrulamak amacıyla veri sorumlularının;
(i) İlgili kişinin cep telefonu numarasına SMS yoluyla gönderilen tek kullanımlık doğrulama kodunun kasa görevlisine bildirilmesi,
(ii) Mobil uygulama veya internet sitesi üzerinden sağlanan barkod/QR kodun kasada okutulması,
(iii) Fiziki sadakat kartın kasada ibrazı veya okutulması,
(iv) Sadakat kart şifresinin kasada işlem cihazına girilmesi,
(v) Yalnızca cep telefonu numarası bildirilmek suretiyle alışveriş yapıldığı durumlarda, hangi işlem türlerine (puan kazanma, indirim/promosyon, puan harcama) izin verildiğine ilişkin “opt-in” tercih imkânının sunulması gibi doğrulama mekanizmalarını hayata geçirmesi zorunlu tutulmuştur. Kurul ayrıca, farklı ilgili kişi gruplarına yönelik alternatif doğrulama mekanizmalarının sunulabileceğini ve işlem türü ile risk oranına göre kademeli doğrulama mekanizmalarının kullanılabileceğini de belirtmiştir.
E. Uyum Süreci
Karar, 28 Şubat 2026 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe girmiş olup veri sorumlularına doğrulama mekanizmalarını oluşturabilmeleri için yayımlanma tarihinden itibaren 6 aylık uyum süresi tanınmıştır. Bu doğrultuda uyum süresi 28 Ağustos 2026 tarihinde sona erecektir. Söz konusu tedbirleri almayarak Kanun’a aykırı uygulamaya devam eden veri sorumluları hakkında Kanun’un 18’inci maddesi çerçevesinde idari işlem uygulanacaktır.
F. Sonuç
Kurul’un 2026/266 sayılı Kararı, sadakat kart programları kapsamında yürütülen kişisel veri işleme faaliyetlerinin hukuki çerçevesini netleştirmekte ve söz konusu programları yürüten veri sorumlularına doğrulama mekanizması kurma yükümlülüğü getirmektedir. Kararın yayımlanma tarihi olan 28 Şubat 2026 itibarıyla başlayan 6 aylık uyum süresinde gerekli teknik ve idari tedbirlerin ivedilikle hayata geçirilmesi büyük önem taşımaktadır.
Gıda, kozmetik, teknoloji, yapı market ve giyim başta olmak üzere sadakat kart programı yürüten tüm sektörlerdeki veri sorumlularının bu doğrultuda; mevcut sadakat kart altyapılarını gözden geçirmeleri, uygun doğrulama mekanizmalarını belirleyerek uygulamaya almaları ve Kanun’a uyumun sağlanması amacıyla gerekli idari düzenlemeleri tamamlamaları gerekmektedir.
Daha fazla bilgi ve destek için bizimle iletişime geçebilirsiniz.
Kişisel Verileri Koruma Kurulu’nun (“Kurul”), sadakat kartı üyeliği bulunan bir kişiye ait cep telefonu numarası veya sadakat kartı numarasının üçüncü bir kişi tarafından alışveriş esnasında kullanılması uygulamasına ilişkin olarak 11 Şubat 2026 tarihinde 2026/266 sayılı İlke Kararı (“Karar”) 28 Şubat 2026 tarihli ve 33182 sayılı Resmî Gazete’de yayımlanmıştır.
İlgili Karar’a buradan ulaşabilirsiniz.
B. Kararın Arka Planı
Çeşitli sektörlerde veri sorumluları tarafından yürütülmekte olan sadakat kart programları kapsamında; sadakat kart sahibi ilgili kişiye ait cep telefonu numarasının alışveriş sırasında üçüncü bir şahıs tarafından kasa görevlisi ile paylaşılması suretiyle alışveriş yapıldığı, bu işlemin herhangi bir onay kodu girilmeksizin gerçekleştirildiği ve ilgili kişinin rızası olmaksızın onun adına alışveriş yapılmasına ve fatura düzenlenmesine yol açan uygulamalara ilişkin Kuruma çeşitli kanallardan ihbar ve şikayetler iletilmiştir.
Konuya ilişkin yapılan araştırma neticesinde söz konusu uygulamanın gıda, kozmetik, teknoloji, yapı market ve giyim gibi pek çok farklı sektörde yaygın olduğu tespit edilmiştir. Sadakat kartın alışveriş esnasında indirim, promosyon ve puan kazanımı gibi amaçlarla kullanımı için alışverişin bizzat ilgili kişi tarafından ya da ilgili kişinin bilgisi ve onayı dahilinde yapılıp yapılmadığına dair herhangi bir doğrulama mekanizması oluşturulmaksızın, kasadaki görevliye yalnızca cep telefonu numarası veya sadakat kart numarasının bildirilmesinin yeterli sayıldığı; buna karşın puan harcama işlemlerinde SMS doğrulama kodu, barkod veya QR kod gibi doğrulama mekanizmalarının yaygın biçimde kullanıldığı görülmüştür.
C. Mevcut Uygulamanın Değerlendirilmesi
Kurul sadakat kart kullanımına ilişkin izah edilen şekilde gerçekleştirilen veri işleme faaliyetlerinin, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 4’üncü maddesinde öngörülen “doğru ve gerektiğinde güncel olma” ilkesine aykırı olduğunu, ayrıca bu faaliyetin Kanun’un 5’inci maddesindeki herhangi bir veri işleme şartına dayandırılamayacağını belirtilerek hukuka aykırı olduğunu tespit etmiştir. Kurul ayrıca, sadakat kart sözleşmelerinde yer alan ve sadakat kartın üçüncü kişilere kullandırılmaması hususunda ilgili kişilere sorumluluk yükleyen düzenlemelerin, veri sorumlularının Kanun’un 12’nci maddesi kapsamındaki veri güvenliğini sağlama yükümlülüğünü ortadan kaldırmadığını da değerlendirmiştir.
D. Getirilen Yükümlülükler
Kurul öncelikle, ilgili kişinin bilgisi ve rızası dışında üçüncü bir kişi tarafından sadakat kart üzerinden alışveriş yapılabilmesine imkân sağlayan uygulamaya son verilmesine karar vermiştir.
Bu doğrultuda alışveriş işleminin ilgili kişinin bilgisi ve rızası dahilinde gerçekleştiğini doğrulamak amacıyla veri sorumlularının;
(i) İlgili kişinin cep telefonu numarasına SMS yoluyla gönderilen tek kullanımlık doğrulama kodunun kasa görevlisine bildirilmesi,
(ii) Mobil uygulama veya internet sitesi üzerinden sağlanan barkod/QR kodun kasada okutulması,
(iii) Fiziki sadakat kartın kasada ibrazı veya okutulması,
(iv) Sadakat kart şifresinin kasada işlem cihazına girilmesi,
(v) Yalnızca cep telefonu numarası bildirilmek suretiyle alışveriş yapıldığı durumlarda, hangi işlem türlerine (puan kazanma, indirim/promosyon, puan harcama) izin verildiğine ilişkin “opt-in” tercih imkânının sunulması gibi doğrulama mekanizmalarını hayata geçirmesi zorunlu tutulmuştur. Kurul ayrıca, farklı ilgili kişi gruplarına yönelik alternatif doğrulama mekanizmalarının sunulabileceğini ve işlem türü ile risk oranına göre kademeli doğrulama mekanizmalarının kullanılabileceğini de belirtmiştir.
E. Uyum Süreci
Karar, 28 Şubat 2026 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe girmiş olup veri sorumlularına doğrulama mekanizmalarını oluşturabilmeleri için yayımlanma tarihinden itibaren 6 aylık uyum süresi tanınmıştır. Bu doğrultuda uyum süresi 28 Ağustos 2026 tarihinde sona erecektir. Söz konusu tedbirleri almayarak Kanun’a aykırı uygulamaya devam eden veri sorumluları hakkında Kanun’un 18’inci maddesi çerçevesinde idari işlem uygulanacaktır.
F. Sonuç
Kurul’un 2026/266 sayılı Kararı, sadakat kart programları kapsamında yürütülen kişisel veri işleme faaliyetlerinin hukuki çerçevesini netleştirmekte ve söz konusu programları yürüten veri sorumlularına doğrulama mekanizması kurma yükümlülüğü getirmektedir. Kararın yayımlanma tarihi olan 28 Şubat 2026 itibarıyla başlayan 6 aylık uyum süresinde gerekli teknik ve idari tedbirlerin ivedilikle hayata geçirilmesi büyük önem taşımaktadır.
Gıda, kozmetik, teknoloji, yapı market ve giyim başta olmak üzere sadakat kart programı yürüten tüm sektörlerdeki veri sorumlularının bu doğrultuda; mevcut sadakat kart altyapılarını gözden geçirmeleri, uygun doğrulama mekanizmalarını belirleyerek uygulamaya almaları ve Kanun’a uyumun sağlanması amacıyla gerekli idari düzenlemeleri tamamlamaları gerekmektedir.
Daha fazla bilgi ve destek için bizimle iletişime geçebilirsiniz.
PDF İndirin
e.copur@lbfpartners.com
