Çeşitli Sektörlerde Kullanılan Sadakat Kart Üyeliklerine İlişkin KVKK İlke Kararı Yayımlandı

Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 11 Şubat 2026 tarih ve 2026/266 sayılı “Sadakat Kart Üyeliği Bulunan Bir Kişinin Cep Telefonu Numarasının veya Sadakat Kart Numarasının Üçüncü Bir Kişi Tarafından Alışveriş Esnasında Kullanılması Hakkında İlke Kararı” (“Karar”) 28 Şubat 2026 tarihli ve 33182 sayılı Resmî Gazete’de yayımlanarak ilan edilmiştir. Karar’ın tam metnine buradan ulaşabilirsiniz.

Karar, özellikle perakende sektörü başta olmak üzere çeşitli sektörlerde yaygın şekilde kullanılan sadakat kart programlarında sıkça karşılaşılan bir uygulamayı konu almaktadır. Veri sorumluları tarafından yürütülmekte olan sadakat kart programları kapsamında, sadakat kart sahibi ilgili kişiye ait cep telefonu numarasının alışveriş esnasında üçüncü bir kişi tarafından kasa görevlisiyle paylaşılması suretiyle alışveriş yapıldığı, sadakat kart üzerinden yapılan bu alışverişlerin herhangi bir işlem onay kodu doğrulama adımı veya kimlik teyidi yapılmaksızın tamamlandığı tespit edilmiştir. İlgili kişinin alışveriş sırasında kasada bulunmamasına ve işleme ilişkin bilgisi ile rızası olmamasına rağmen sadakat kart üzerinden işlem gerçekleştirildiği ve herhangi bir kimlik doğrulama veya işlem onay mekanizması olmaksızın işlem bilgilerinin ilgili kişi hesabına kullanıldığı belirlenmiştir.

Karar’da, söz konusu alışverişlerin bizzat ilgili kişi tarafından veya ilgili kişinin bilgisi ve onayı dâhilinde gerçekleştirilip gerçekleştirilmediğine ilişkin veri sorumlularınca herhangi bir doğrulama mekanizması oluşturulmadığı belirtilmiştir. Dolayısıyla, ilgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının üçüncü kişiler tarafından kullanılması suretiyle alışveriş yapılmasının, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 5. maddesinde düzenlenen veri işleme şartlarından herhangi birine dayandırılamayacağı ve bu nedenle hukuka aykırı veri işleme faaliyetine yol açabileceği belirtilmiştir.

Bunun yanı sıra Kurul, Karar’da, sadakat kart kullanılmak suretiyle kartın gerçek sahibi ilgili kişi tarafından yapılmayan ve bilgisi ve rızası olmayan bir alışveriş işlemine ilişkin düzenlenen fatura vb. belgenin de bu ilgili kişi adına düzenlenmesi ve ilgili kişi kayıtlarına ve üyelik hesabına işlenmesinin Kanun’un 4. Maddesinde öngörülen kişisel veri işleme ilkelerinde düzenlenen “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil edeceğini vurgulamıştır.  

Ek olarak Karar’da, sadakat kart üyelik sözleşmeleri kapsamında ilgili kişi adına düzenlenen kartın üçüncü kişilere kullandırılmamasına ilişkin yükümlülüğün ilgili kişilere yükletilmiş olmasının, Kanun’un 12. maddesinde düzenlenen veri sorumlusunun kişisel veri güvenliğini sağlama yükümlülüğünü ortadan kaldırmayacağı açıkça belirtilmiştir.

Bu değerlendirmeler ışığında Kurul tarafından;

• Tek kullanımlık SMS doğrulama kodu gönderilmesi,
• Mobil uygulama üzerinden oluşturulan QR kodun okutulması,
• Fiziki sadakat kartının ibraz edilmesi veya
• Sadakat kart şifresinin ödeme/işlem cihazına girilmesi

gibi kimlik doğrulama mekanizmalarının ilgili veri sorumluları tarafından tesis edilmesi gerektiğine karar verilmiştir.

Kurul ayrıca veri sorumlularına bu mekanizmaların oluşturulabilmesi amacıyla Karar’ın yayım tarihinden itibaren altı aylık bir uyum süresi tanımış, gerekli önlemlerin alınmaması halinde Kanun’un 18. maddesi uyarınca idari yaptırım uygulanabileceğini belirtmiştir.

Bu Karar ile birlikte, sadakat kart programı yürüten veri sorumlularının mevcut uygulamalarını gözden geçirmeleri ve kimlik doğrulama ile işlem onay mekanizması içermeyen uygulamaları yeniden yapılandırmaları gerekeceği anlaşılmaktadır. Karar aynı zamanda, sadakat kart sistemleri bakımından kişisel veri güvenliği ve kimlik doğrulama süreçlerine ilişkin uygulamada önemli bir standart oluşturma potansiyeli taşımaktadır. Bu çerçevede, alışveriş işlemlerinin ilgili kişinin bilgisi ve iradesiyle gerçekleştirildiğinin teyit edilmesine yönelik doğrulama mekanizmalarının hayata geçirilmesi, veri güvenliği yükümlülüğünün ayrılmaz bir parçası olarak değerlendirilmelidir.

 

Gamze Güngör Bulut, Kıdemli Avukat
Işıl Gizem Demirtaş, Avukat