Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 2026/266 sayılı “Sadakat Kart Üyeliği Bulunan Bir Kişinin Cep Telefonu Numarasının veya Sadakat Kart Numarasının Üçüncü Bir Kişi Tarafından Alışveriş Esnasında Kullanılması Hakkında İlke Kararı” (“İlke Kararı”), 28 Şubat 2026 tarihli ve 33182 sayılı Resmî Gazete’de yayımlandı. Kurul, İlke Kararı ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında: sadakat kart programları çerçevesinde ilgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının üçüncü kişiler tarafından alışveriş sırasında kullanılmasına ilişkin uygulamayı incelemiştir.
Kurul, İlke Kararı nezdinde gerçekleştirdiği incelemede, muhtelif sektörlerde faaliyet gösteren veri sorumluları tarafından yürütülen sadakat kart programlarında, ilgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının kasada görevli personele bildirilmesi suretiyle, herhangi bir doğrulama yapılmaksızın alışveriş işlemlerinin gerçekleştirilebildiğini tespit etmiştir. Bu kapsamda, ilgili kişinin bilgisi ve rızası olmaksızın üçüncü kişiler tarafından sadakat kart üzerinden alışveriş yapılabildiği; yapılan alışverişlere ilişkin fatura veya benzeri belgelerin sadakat kart sahibi adına düzenlenebildiği ve alışverişe ilişkin müşteri işlem bilgilerinin ilgili kişinin üyelik hesabına işlenebildiği belirlenmiştir.
Kurul, söz konusu uygulamanın KVKK hükümleri kapsamında hukuka aykırı kişisel veri işleme faaliyetlerine yol açabileceğini değerlendirmiştir. Bu doğrultuda Kurul tarafından;
- İlgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının ilgili kişinin bilgisi ve rızası olmaksızın üçüncü bir kişi tarafından alışveriş sırasında kullanılması suretiyle ilgili kişi adına işlem yapılmasının KVKK madde 5 kapsamında düzenlenen kişisel verilerin işlenme şartlarından herhangi birine dayandırılamayacağı,
- İlgili kişinin bizzat gerçekleştirmediği bir alışverişe ilişkin fatura veya benzeri belge düzenlenmesi ve müşteri işlem bilgilerinin ilgili kişinin üyelik hesabına işlenmesi suretiyle gerçekleştirilen veri işleme faaliyetinin KVKK madde 4’te düzenlenen ilkelere aykırılık teşkil edebileceği,
- Sadakat kartların yalnızca ilgili kişilerin şahsi kullanımına yönelik olduğuna ilişkin hükümlerin üyelik sözleşmelerinde yer almasının, veri sorumlularının KVKK madde 12 kapsamında kişisel veri güvenliğini sağlamaya yönelik teknik ve idari tedbirleri alma yükümlülüğünü ortadan kaldırmadığı
değerlendirilmiştir.
Bu doğrultuda İlke Kararı ile veri sorumlularına önemli yükümlülükler getirilmiştir. Kurul, ilgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının üçüncü kişiler tarafından kullanılmasına imkân tanıyan uygulamalara son verilmesi gerektiğini belirtmiştir. Ayrıca veri sorumlularının sadakat kart üzerinden gerçekleştirilen işlemlerin ilgili kişinin bilgisi ve rızası dahilinde gerçekleştiğini doğrulayacak uygun teknik ve idari tedbirleri tesis etmeleri gerektiği ifade edilmiştir.
Kurul, doğrulama mekanizmalarının oluşturulmasına ilişkin olarak aşağıdaki yöntemlerin kullanılabileceğini belirtmiştir:
- İlgili kişinin cep telefonu numarasına SMS yoluyla tek kullanımlık doğrulama kodu gönderilmesi,
- Mobil uygulama veya internet sitesi üzerinden sağlanan barkod veya QR kodun kasada okutulması,
- Fiziki sadakat kartın kasada ibraz edilmesi veya okutulması,
- Sadakat kart şifresinin işlem cihazına girilmesi,
- Sadakat kart programı kapsamında oluşturulan online üyelik hesabı üzerinden, yalnızca cep telefonu numarası bildirilmek suretiyle hangi işlemlerin yapılabileceğine ilişkin tercihlerin ilgili kişilere sunulması.
Kurul ayrıca doğrulama mekanizmalarının işlem türüne ve risk seviyesine göre farklılaştırılabileceğini belirtmiştir. Bu kapsamda, sadakat kart uygulamalarında üyelik doğrulama, puan veya indirim kazanma ve puan harcama gibi farklı işlem türleri bakımından farklı doğrulama yöntemlerinin kullanılabileceği ifade edilmiştir.
İlke Kararı ile veri sorumlularına söz konusu doğrulama mekanizmalarının oluşturulabilmesi amacıyla kararın Resmî Gazete’de yayımlanmasından itibaren 6 aylık uyum süresi tanınmıştır. Kurul ayrıca, bu süre içerisinde gerekli teknik ve idari tedbirlerin alınmaması ve uygulamaya KVKK hükümlerine aykırı şekilde devam edilmesi halinde veri sorumluları hakkında KVKK madde 18 kapsamında idari yaptırım uygulanabileceğini belirtmiştir.
İlke Kararı’nın tam metnine buradan ulaşabilirsiniz.
