Kişisel Verileri Koruma Kurulu’nun Sadakat Kart Programlarına İlişkin İlke Kararı

28 Şubat 2026 tarihli ve 33182 sayılı Resmî Gazete’ de yayımlanan Kişisel Verileri Koruma Kurulu’nun Sadakat Kart Programlarına ilişkin Kararı uyarınca; perakende ve hizmet sektörlerinde yaygın bir uygulama olan, alışveriş esnasında bizzat ilgili kişinin mevcudiyeti aranmaksızın sadece cep telefonu numarası veya sadakat kart numarası beyan edilerek indirim, puan kazanımı veya promosyonlardan faydalanılması yöntemi, herhangi bir kimlik doğrulama mekanizması içermediği gerekçesiyle hukuka aykırı bulunmuştur.

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yapılan değerlendirmede, üçüncü kişilerin sadece numara beyan ederek başkasının üyeliği üzerinden işlem yapmasının 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 5. maddesinde yer alan veri işleme şartlarından hiçbirine dayanmadığı, bu durumun hem hukuka aykırı veri işlenmesine hem de ilgili kişinin rızası dışında veri sorumlusu nezdinde kayıt oluşturulmasına sebebiyet verdiği tespit edilmiştir. Ayrıca, başkasının gerçekleştirdiği alışverişe dair satın alınan ürün, tarih ve mağaza lokasyonu gibi hassas müşteri işlem detaylarının asıl kart sahibinin hesabına işlenmesinin ve faturanın bu kişi adına düzenlenmesinin, Kanun’un 4. maddesinde düzenlenen verilerin “doğru ve gerektiğinde güncel olma” ilkesini doğrudan ihlal ettiği açıkça vurgulanmıştır.

Veri sorumlusu şirketlerin, sadakat kart üyelik sözleşmelerine “kartın kullanım ve muhafaza sorumluluğu üyeye aittir” şeklinde hükümler ekleyerek sorumluluğu müşteriye yansıtmaya çalışmalarının, Kanun’un 12. maddesi kapsamındaki teknik ve idari tedbirleri alma yükümlülüğünü ortadan kaldırmadığı ifade edilerek; veri güvenliğini sağlamak amacıyla SMS yoluyla tek kullanımlık doğrulama kodu (OTP) gönderilmesi, mobil uygulama üzerinden dinamik QR kod/barkod okutulması, fiziki kartın ibrazı veya kasa cihazına şifre girişi gibi yöntemlerin yanı sıra, hangi işlemlerin (sadece puan kazanma veya sadece indirim) doğrulamasız yapılabileceğine dair müşteriye “opt-in” (seçimlik onay) tercihlerinin sunulması gibi katmanlı doğrulama mekanizmalarının tesisi zorunlu kılınmıştır.

Bu doğrultuda, söz konusu İlke Kararı ile tüm veri sorumlularına kararın yayımı tarihinden itibaren altı aylık bir uyum süresi tanınmış olup, 28 Ağustos 2026 tarihine kadar gerekli teknik altyapıyı oluşturmayan ve kontrolsüz numara beyanı ile işlem yapmaya devam eden işletmeler hakkında Kanun’un 18. maddesi hükümleri uyarınca ağır idari para cezalarının uygulanacağı hususu kamuoyuna bildirilmiştir.

Karar metninin tamamına bağlantıdan ulaşabilirsiniz:  (https://www.resmigazete.gov.tr/eskiler/2026/02/20260228-5.pdf )