28 Şubat 2026 tarihli ve 33182 sayılı Resmî Gazete’de yayımlanan İlke Kararı ile sadakat kart uygulamalarına ilişkin önemli bir düzenleme yürürlüğe girdi. Kişisel Verileri Koruma Kurumu tarafından kamuoyuna duyurulan ve Kişisel Verileri Koruma Kurulu tarafından oy birliğiyle alınan 11/02/2026 tarihli ve 2026/266 sayılı karar, sadakat kart kullanımında üçüncü kişiler tarafından cep telefonu numarası veya kart numarası bildirilerek işlem yapılmasına son verilmesini öngörüyor.
Karar, gıda, kozmetik, teknoloji, yapı market, giyim gibi birçok sektörde yaygın olduğu tespit edilen uygulamaya ilişkin şikâyet ve ihbarlar üzerine alındı.
ÜÇÜNCÜ KİŞİNİN NUMARA BİLDİRMESİ HUKUKA AYKIRI BULUNDU
Kurul kararında, sadakat kart sahibinin bilgisi ve rızası olmaksızın, cep telefonu numarasının veya sadakat kart numarasının üçüncü bir kişi tarafından kasa görevlisine bildirilerek alışveriş yapılmasının 6698 sayılı Kanun’un 5’inci maddesinde yer alan veri işleme şartlarından hiçbirine dayanmadığı belirtildi.
Bu tür işlemlerin hukuka aykırı kişisel veri işleme faaliyeti oluşturduğu ifade edildi. Ayrıca, ilgili kişinin bilgisi dışında yapılan alışverişe ilişkin fatura veya benzeri belgenin ilgili kişi adına düzenlenmesinin ve müşteri işlem bilgilerinin (ürün, tarih, mağaza vb.) üyelik hesabına işlenmesinin Kanun’un 4’üncü maddesinde yer alan “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil ettiği kaydedildi.
DOĞRULAMA MEKANİZMASI OLMADAN İŞLEM YAPILAMAYACAK
Kurul, sadakat kartın indirim, promosyon veya puan kazanımı amacıyla kullanımında, alışverişin ilgili kişi tarafından veya onun bilgisi ve onayı dahilinde yapıldığının doğrulanması gerektiğini belirtti.
Bu kapsamda yalnızca cep telefonu numarası veya sadakat kart numarasının kasada bildirilmesi suretiyle işlem yapılmasına imkân tanıyan uygulamaya son verilmesi kararlaştırıldı.
Veri sorumlularının, doğrulama mekanizmaları oluşturması zorunlu hale getirildi.
SMS KODU, QR VE FİZİKİ KART SEÇENEKLERİ
Kararda, doğrulama için kullanılabilecek yöntemlere de yer verildi. Buna göre;
Cep telefonuna SMS yoluyla gönderilen tek kullanımlık doğrulama kodunun kasa görevlisine bildirilmesi,
Mobil uygulama veya internet sitesi üzerinden oluşturulan barkod ya da QR kodun okutulması,
Fiziki sadakat kartın ibraz edilmesi veya okutulması,
Sadakat kart şifresinin kasa cihazına girilmesi,
Online üyelik hesabı üzerinden “opt-in” yöntemiyle hangi işlemlere onay verildiğinin belirlenmesi
gibi mekanizmaların devreye alınması gerektiği belirtildi.
Farklı işlem türleri (puan kazanma, indirimden yararlanma, puan harcama gibi) ve risk oranına göre farklı doğrulama yöntemlerinin tercih edilebileceği ifade edildi.
6 AYLIK UYUM SÜRESİ TANINDI
Kurul, veri sorumlularına doğrulama mekanizmalarını oluşturabilmeleri için İlke Kararının yayımlanmasından itibaren 6 aylık uyum süresi tanıdı.
Bu süre içinde gerekli teknik ve idari tedbirlerin alınması, Kanun’un 12’nci maddesinde düzenlenen veri güvenliği yükümlülüklerinin yerine getirilmesi gerekiyor.
VERİ GÜVENLİĞİ SORUMLULUĞU DEVAM EDİYOR
Kararda, sadakat kart üyelik sözleşmelerinde kartın üçüncü kişilere kullandırılmaması yönünde ilgili kişilere sorumluluk yüklenmiş olmasının, veri sorumlusunun kişisel veri güvenliğini sağlama yükümlülüğünü ortadan kaldırmadığı açıkça belirtildi.
Veri sorumlularının, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek amacıyla gerekli her türlü teknik ve idari tedbiri almak zorunda olduğu vurgulandı.
AYKIRI UYGULAMAYA DEVAM EDENLERE İDARİ YAPTIRIM
Kararda, belirtilen önlemleri almadan uygulamaya devam eden veri sorumluları hakkında 6698 sayılı Kanun’un 18’inci maddesi kapsamında işlem tesis edileceği ifade edildi.
Kurul tarafından alınan İlke Kararının, Kanun’un 15’inci maddesinin altıncı fıkrası uyarınca Resmî Gazete’de ve Kurumun internet sitesinde yayımlanmasına oy birliğiyle karar verildi.
SADAKAT KARTLARINDA YENİ DÖNEM
Sadakat kart programları kapsamında yürütülen uygulamalarda doğrulama mekanizmalarının güçlendirilmesi ve kişisel veri ihlallerinin önlenmesi amacıyla alınan karar, birçok sektörde işleyişi doğrudan etkileyecek nitelikte.
28 Şubat 2026 itibarıyla yürürlüğe giren İlke Kararı ile sadakat kartların üçüncü kişiler tarafından yalnızca telefon numarası veya kart numarası bildirilerek kullanılmasının önü kapatılmış oldu.
Yorumlar
Kalan Karakter: