Yeni Gelişme

Kişisel Verileri Koruma Kurulu ("Kurul"), 11.02.2026 tarihli ve 2026/266 sayılı İlke Kararı ("İlke Kararı") ile, sadakat kartı üyeliği bulunan kişilere ait cep telefonu numarası veya sadakat kartı numarasının alışveriş sırasında üçüncü kişiler tarafından kullanılması suretiyle gerçekleştirilen işlemler bakımından önemli değerlendirmelerde bulunmuştur. Söz konusu İlke Kararı, 28 Şubat 2026 tarihli ve 33182 sayılı Resmî Gazete'de yayımlanmıştır.

Karar Ne Diyor?

Kurul, uygulamada sadakat kartı avantajlarının, kasada yalnızca cep telefonu numarasının beyan edilmesi gibi nispeten düşük doğrulama seviyesiyle kullanılabildiğini; buna alternatif olarak SMS doğrulama kodu, mobil uygulama barkodu/QR kod veya sadakat kartı numarasının ibrazı gibi yöntemlerin de bulunduğunu tespit etmektedir. Bu çerçevede Kurul, cep telefonu numarası veya sadakat kartı numarasının ilgili kişinin bilgisi ve rızası olmaksızın üçüncü bir kişi tarafından kullanılması suretiyle alışveriş yapılmasının, kural olarak Kişisel Verilerin Korunması Kanunu'ndaki ("Kanun") herhangi bir işleme şartına dayandırılamayacağını ve bu nedenle hukuka aykırı bir veri işleme faaliyeti oluşturacağını değerlendirmektedir.

Kurul ayrıca, ilgili kişi adına fiilen alışveriş yapılmamasına rağmen işlem bilgilerinin ilgili kişiyle ilişkilendirilmesi, ilgili kişi adına fatura vb. belge düzenlenmesi veya müşteri işlem kayıtlarının bu şekilde oluşturulması hâllerinde; kişisel verilerin "doğru ve gerektiğinde güncel olma" ilkesinin zedelenebileceğini, bunun da hem ilgili kişinin veri güvenliği hem de müşteri kayıtlarının bütünlüğü bakımından risk doğurabileceğini vurgulamaktadır. Bu kapsamda, sadakat kartı üyelik sözleşmelerinde kartın üçüncü kişilerce kullanılmamasına ilişkin yükümlülüklerin ilgili kişiye yöneltilmiş olmasının, veri sorumlularının yürüttüğü kişisel veri işleme faaliyetlerini tek başına hukuka uygun hâle getirmeyeceği değerlendirilmektedir. Kurul'un yaklaşımı, veri sorumlularının somut riskleri dikkate alarak, işlemin gerçekten ilgili kişi tarafından yapıldığını teyit etmeye elverişli doğrulama mekanizmalarını kurmalarını gerektiği yönündedir.

Sonuç ve Uygulamaya Etkileri

Kurul İlke Kararı'nda, veri sorumlularının sadakat kartı programlarını aşağıdaki esaslara uygun şekilde yapılandırmaları gerektiğine işaret etmiştir:

Üyelik ve alışveriş işlemlerinin gerçekten ilgili kişi tarafından yapıldığının doğrulanmasını sağlayan güvenlik mekanizmaları kurulmalıdır.

Farklı işlem türleri (puan kazanımı, harcama, promosyon kullanımı vb.) için risk bazlı doğrulama yöntemleri uygulanmalıdır.

Üçüncü kişiler tarafından gerçekleştirilen işlemler sonucu oluşabilecek hatalı veri işleme risklerini azaltacak teknik ve idari tedbirler alınmalıdır.

Sadakat kartı kullanım süreçleri, kişisel verilerin doğruluğu ve güncelliği ilkesine uygun şekilde yeniden tasarlanmalıdır.

Kurul ayrıca, söz konusu yükümlülüklere uyum sağlanması amacıyla veri sorumlularına kararın yayım tarihinden (28.02.2026) itibaren 6 aylık uyum süresi tanımıştır.

