Kişisel Verileri Koruma Kurulunun Sadakat Kart Üyeliği Bulunan Bir Kişinin Cep Telefonu Numarasının Veya Sadakat Kart Numarasının Üçüncü Bir Kişi Tarafından Alişveriş Esnasında Kullanılması Hakkında İlke Kararı Yayımlandı

Sadakat Kart Üyeliği Bulunan Bir Kişinin Cep Telefonu Numarasının veya Sadakat Kart Numarasının Üçüncü Bir Kişi Tarafından Alışveriş Esnasında Kullanılması Hakkında Kişisel Verileri Koruma Kurulunun 11/02/2026 tarihli ve 2026/266 sayılı İlke Kararı (“İlke Kararı”) 28 Şubat 2026 tarihinde Resmi Gazete'de yayımlandı.

Veri sorumluları tarafından muhtelif sektörlerde yürütülen Sadakat Kart Programları kapsamında sadakat kart sahibi ilgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının üçüncü bir şahıs tarafından alışveriş sırasında kasa görevlisine bildirilmek suretiyle ilgili kişinin bilgisi ve rızası olmaksızın ve herhangi bir işlem onay kodu sisteme girilmeksizin alışveriş işlemlerinin gerçekleştirildiğine ilişkin Kişisel Verileri Koruma Kurumuna intikal eden ihbar ve şikayetler dikkate alınarak yürütülen inceleme sonucunda, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından bahse konu uygulamanın kişisel verilerin korunması mevzuatına uygun hale getirilmesini teminen İlke Kararı alınmasına ihtiyaç duyulmuştur.

İlke Kararı kapsamında, Kurul tarafından ilgili kişiye ait cep telefonu numarasına SMS yoluyla tek kullanımlık doğrulama kodu gönderilmesi, mobil uygulama/internet sitesi üzerinden sağlanan barkod/QR kod okutma ve benzeri doğrulama yöntemlerinin kullanılması suretiyle üyelik sözleşmesi çerçevesinde ilgili kişilerin şahsi kullanımına verilen sadakat kartların alışveriş esnasında;

• indirim, promosyon, puan kazanımı gibi amaçlarla kullanımı için alışverişin bizzat ilgili kişi tarafından veya ilgili kişinin bilgisi ve onayı dahilinde yapılıp yapılmadığına dair veri sorumlularınca herhangi bir doğrulama mekanizması oluşturulmaksızın kasadaki görevliye yalnızca ilgili kişiye ait cep telefonu numarası veya sadakat kart numarasının bildirilmesi suretiyle sadakat kart üzerinden alışveriş işleminin gerçekleştirilebilmesine ilişkin uygulamanın yaygın olduğu,
• diğer taraftan ise sadakat kart kullanımı ile kazanılan puanların harcanmasına ilişkin işlemler bakımından, ilgili kişiye ait cep telefonu numarasına SMS yoluyla gönderilen tek kullanımlık doğrulama kodunun kasa görevlisine bildirilmesi, mobil uygulama/internet sitesi üzerinden sağlanan barkodun /QR kodun kasada okutulması ve benzeri yöntemlerin kullanılması suretiyle oluşturulan doğrulama mekanizmalarının yaygın olarak kullanıldığı ve
• sadakat kart üzerinden gerçekleştirilen alışveriş işlemleri sonucunda düzenlenen fatura ve benzeri belgelerin çoğunlukla sadakat kart sahibi adına düzenlendiği ve alışverişe ilişkin müşteri işlem bilgilerinin kart sahibi ile alışverişi fiilen yapan kişi arasında ilişkilendirildiği; bu nedenle, kart sahibine ait bilgi ve rıza olmaksızın cep telefonu numarası veya sadakat kart numarasının üçüncü kişilerce kullanılması halinde, ilgili kişiye ait kayıtlara/üyelik hesabına hatalı müşteri işlem bilgisi işlenmesi veya ilgili kişi adına gerçekleştirmediği bir alışverişe ilişkin fatura düzenlenmesi suretiyle kişisel veri ihlallerinin ortaya çıkabildiği

tespit edilmiştir.

Bu doğrultuda, Sadakat Kart Programları kapsamında yaygın olduğu anlaşılan bahse konu uygulamaya ilişkin Kurul tarafından yapılan araştırmalar ve derlenen çeşitli sektör temsilcileri görüşleri çerçevesinde (i) sadakat kart sahibinin bilgisi ve rızası olmaksızın üçüncü bir kişi tarafından sadakat kart sahibi adına alışveriş işlemi gerçekleştirilmesinin, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (“Kanun”) 5'inci maddesinde yer alan veri işleme şartlarından herhangi birine dayandırılamayacağı ve hukuka aykırı kişisel veri işleme faaliyetine yol açacağı, (ii) söz konusu uygulamanın neticesinde sadakat kart sahibi adına fatura ve benzeri belge düzenlenmesi ve/veya hatalı müşteri işlem bilgisinin sadakat kart sahibi ile ilgili kayıtlara/üyelik hesabına işlenmesinin Kanun'un 4'üncü maddesinde düzenlenen “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil edeceği ve (iii) her ne kadar veri sorumluları tarafından Sadakat Kart Üyelik Sözleşmesi kapsamında sadakat kartın üçüncü kişilere kullandırılmaması sorumluluğu sadakat kart sahiplerine / üyelere yüklenmiş olsa da anılan durumun Kanun'un 12'nci maddesi kapsamında veri sorumlularının kişisel veri güvenliğini sağlama yükümlülüğünü ortadan kaldırmayacağı değerlendirmesinde bulunulmuştur.

Söz konusu değerlendirmeler ışığında İlke Kararı ile;

• sadakat kart sahibine ait cep telefonu numarasının veya sadakat kart numarasının üçüncü bir kişi tarafından alışveriş esnasında kasadaki görevliye bildirilmesi suretiyle herhangi bir doğrulama yapılmaksızın sadakat kart üzerinden alışveriş işleminin yapılabilmesine imkan sağlayan uygulamaya son verilmesine,
• Kanun'un 12'nci maddesinde düzenlenen gerekli teknik ve idari tedbirlerin veri sorumlularınca alınması gerektiğine,
• Sadakat kartların yalnızca puan kullanımı, indirimden / promosyondan faydalanma ve benzeri durumlarla sınırlı olmamak üzere örneğin üyelik oluşturma ve alışverişte puan kazanımı gibi kullanımlar için de farklı yöntemler (örn. ilgili kişilerin cep telefonu numarasına SMS yoluyla gönderilen tek kullanımlık doğrulama kodunun kasa görevlisine bildirilmesi, sadakat kart şifresinin işlem cihazına girilmesi) sunulmak suretiyle veri sorumluları tarafından kişisel veri ihlallerini önlemeyi amaçlayan en uygun doğrulama mekanizmalarının oluşturulması gerektiğine,
• Bu kapsamda, kişisel veri ihlallerini önlemek gayesiyle farklı ilgili kişi gruplarına yönelik alternatif doğrulama mekanizmalarının sunulabileceğine (örn. sadakat kart uygulamasında üyelik doğrulama, puan/indirim/promosyon kazanma, puan harcama gibi farklı işlem türlerine ve bu işlemlerin risk oranına göre farklı doğrulama mekanizmaları) ve
• Bahse konu doğrulama mekanizmaların oluşturulabilmesi adına veri sorumlularına İlke Kararı'nın yayımlanma tarihinden itibaren 6 aylık bir uyum süresi tanınmasına ve İlke Kararı'nda belirtilen hususlara uygun hareket etmediği tespit edilen veri sorumluları hakkında Kanun'un 18'inci maddesi hükümleri kapsamında işlem tesis edileceği hususunda kamuoyunun ve sektör temsilcilerinin bilgilendirilmesine

karar verilmiştir.

İlke Kararı'nda bahsedilen hususların yanı sıra Kurul'un daha önce vermiş olduğu 05/07/2019 tarihli ve 2019/198 sayılı kararı ve 25/03/2019 tarihli ve 2019/82 sayılı  kararı bakımından da (i) sadakat programına katılımın zorunlu olmayıp açık rıza vermeyen ilgili kişilerin de mağaza ve internet sitesi üzerinden alışveriş yapabildiği, (ii) mevzuata uygun şekilde aydınlatma yapılması gerektiği ve ilgili kişilerin açık rızasının temin edilmesi gerektiği, (iii) açık rızanın belirli bir konuya ilişkin olma, bilgilendirmeye dayanma ve özgür irade ile açıklanma unsurlarını içermesi gerektiği, (iv) açık rıza verilmemesi halinde yalnızca indirimlerden yararlanılamamasının, rızanın özgür irade ile verilmesi unsurunu ortadan kaldırmayacağı ve bu yaklaşımın Avrupa Birliği uygulamalarında da kabul edildiği, (v) özel indirimli fiyat uygulanmasının açık rızanın koşul olarak dayatılması anlamına gelmediğine ilişkin tespitlerini de bu vesileyle hatırlatmak isteriz.

İlke Kararı'na  buradan ulaşabilirsiniz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.