info@srp-legal.com
Şakayıklı Sokak No:10 | Levent 34330 | İstanbul | Türkiye
 

Güncel BilgilerSadakat Kartlarında Yeni Dönem: Kişisel Verileri Koruma Kurumundan Sadakat Kart Uygulamalarında Doğrulama Zorunluluğu

2 Mart 2026

28 Şubat 2026 tarihinde Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanan 11.02.2026 tarihli ve 2026/266 sayılı İlke Kararı (“Karar”) ile sadakat kart programlarına ilişkin önemli bir düzenleme getirilmiştir. Karar, sadakat kart sahibi bir kişinin cep telefonu numarasının veya sadakat kart numarasının üçüncü kişiler tarafından alışveriş esnasında doğrulama yapılmaksızın kullanılmasına ilişkindir.

  1. Kararın Arka Planı

Kişisel Verileri Koruma Kurumu’na (“Kurum”) intikal eden ihbar ve şikâyetlerde; başta perakende, gıda, kozmetik, teknoloji ve giyim sektörleri olmak üzere birçok sektörde, sadakat kart sahibine ait cep telefonu numarasının veya kart numarasının üçüncü kişiler tarafından kasa görevlisine bildirilmesi suretiyle:

  • İndirim ve promosyonlardan faydalanıldığı,
  • Puan kazanımı sağlandığı,
  • Faturaların kart sahibi adına düzenlendiği,
  • İşlem bilgilerinin ilgili kişinin üyelik hesabına işlendiği

tespit edilmiştir.

Bu işlemlerin çoğunlukla herhangi bir SMS doğrulama kodu, mobil uygulama onayı, QR/barkod okutma gibi ikinci bir doğrulama mekanizması olmaksızın gerçekleştirildiği belirlenmiştir.

  1. Kurulun Hukuki Değerlendirmesi

Kurul, söz konusu uygulamanın:

  • Hukuka Uygun İşleme Şartlarına Aykırılık

6698 sayılı Kişisel Verileri Koruma Kanunu’nun (“Kanun”) 5. maddesinde düzenlenen veri işleme şartlarından herhangi birine dayanmadığını ve bu haliyle hukuka aykırı veri işleme faaliyeti oluşturduğunu değerlendirmiştir.

  • Genel İlkelere Aykırılık

İlgili kişinin bilgisi ve rızası dışında gerçekleştirilen alışverişlere ilişkin:

  1. Fatura düzenlenmesi,
  2. Müşteri işlem bilgilerinin ilgili kişinin hesabına işlenmesi,

Kanun’un 4. maddesinde yer alan “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil etmektedir.

  • Veri Güvenliği Yükümlülüğü

Her ne kadar sadakat kart üyelik sözleşmelerinde kartın üçüncü kişilere kullandırılmaması yönünde hükümler bulunsa da, bu durum veri sorumlusunun Kanun’un 12. maddesi kapsamındaki kişisel veri güvenliğini sağlama yükümlülüğünü ortadan kaldırmamaktadır.

  1. İlke Kararı ile Getirilen Yükümlülükler

Kurul, sadakat kart sahibi ilgili kişiye ait cep telefonu numarası veya kart numarasının üçüncü kişiler tarafından doğrulama yapılmaksızın kullanılmasına imkân tanıyan uygulamaya son verilmesine karar vermiştir.

Veri Sorumlularının Yükümlülükleri

Sadakat kart uygulamaları kapsamında:

  • Üyelik doğrulama
  • Puan kazanımı
  • Puan harcama
  • İndirim ve promosyon kullanımı

gibi işlemlerin, ilgili kişinin bilgisi ve rızası dahilinde gerçekleştiğinin doğrulanmasını sağlayacak uygun teknik ve idari tedbirlerin alınması gerekmektedir.

Bu kapsamda:

  • SMS ile tek kullanımlık doğrulama kodu
  • Mobil uygulama içi onay
  • QR/barkod okutma
  • İşlem riskine göre kademeli doğrulama sistemleri

gibi mekanizmalar oluşturulabilecektir.

Ayrıca, farklı ilgili kişi gruplarının (yaş, teknoloji okuryazarlığı, ekonomik durum vb.) özellikleri dikkate alınarak alternatif doğrulama yöntemleri sunulabilecektir.

  1. Uyum Süresi ve Yaptırımlar

Kurul, İlke Kararı’nın Resmî Gazete’de yayımlanmasından itibaren 6 aylık uyum süresi tanımıştır.

Bu süre içerisinde gerekli teknik ve idari tedbirleri almayan ve uygulamaya aykırı şekilde devam eden veri sorumluları hakkında, Kanun’un 18. maddesi kapsamında idari yaptırım uygulanabilecektir.

  1. Şirketler Açısından Önerilen Aksiyonlar

Sadakat kart programı yürüten şirketlerin:

  1. Mevcut sadakat kart kullanım süreçlerini analiz etmeleri,
  2. Doğrulama mekanizmalarının yeterliliğini değerlendirmeleri,
  3. Risk bazlı işlem doğrulama politikası oluşturmaları,

önerilmektedir.

Sonuç

28.02.2026 tarihli İlke Kararı, sadakat kart uygulamalarında yaygın olarak sürdürülen “numara beyanı ile işlem” pratiğini hukuka aykırı kabul ederek veri sorumlularına açık bir doğrulama yükümlülüğü getirmiştir.

Karar, özellikle perakende sektöründe faaliyet gösteren veri sorumluları açısından önemli operasyonel ve teknik değişiklikler gerektirmektedir. Uyum süresinin sınırlı olması nedeniyle şirketlerin gecikmeksizin aksiyon almaları tavsiye edilmektedir.

Kişisel Verileri Koruma Kurumu tarafından yayınlanan İlke Kararına aşağıdaki linkten ulaşabilirsiniz.

Sadakat Kart Üyeliği Bulunan Bir Kişinin Cep Telefonu Numarasının veya Sadakat Kart Numarasının Üçüncü Bir Kişi Tarafından Alışveriş Esnasında Kullanılması Hakkında İlke Kararı | Kişisel Verileri Koruma Kurumu

Konuyla ilgili detaylı bilgi edinmek ve uyum sürecinde profesyonel destek almak için bizimle her zaman iletişime geçebilirsiniz.

İşbu hukuki duyuru güncel hukuki konular hakkında sadece genel bilgilendirme amacı ile hazırlanmış olup, Hukuki Duyuru içerisinde yer alan değerlendirmeler hukuki tavsiye ya da hukuki görüş niteliği teşkil etmemektedir. İşbu Hukuki Duyuru içeriğinden dolayı herhangi bir şekilde SRP-Legal Hukuk Ofisine sorumluluk tahmili mümkün değildir. Bu Hukuki Duyuru kapsamındaki soru ve sorunlarınız bakımından hukuki danışman görüşü alınması tavsiye edilir.

<<<
Bir Kare Kod, Çoklu Risk: Kişisel Verileri Koruma Kurumundan “Quishing Tehdidi” Uyarısı
>>>
Kişisel Verileri Koruma Kurumundan Yapay Zeka Alarmı: Agentic AI ve Veri Koruma Riskleri