ARTICLE
9 March 2026

Sadakat Kartı Uygulamalarında Kişisel Verilerin İşlenmesine İlişkin - KVKK İlke Kararı Yayımlandı

OA
Ozbilen Aykut Attorney Partnership

Contributor

Ozbilen Aykut Attorney Partnership logo
OA provides their national and international clients operating in different sectors with legal services, ranging from mergers & acquisitions to commercial disputes. Supported by a powerful and agile legal team, OA serves its clients as reliable business advisers, moving their businesses forward by prioritizing their needs and objectives, fostering progressive solutions. OA’s sophisticated understanding of the nuances within tax and corporate law not only amplifies its litigation strengths but also emphasizes the significance of tax implications in commercial transactions. This keen focus on tax considerations as a pivotal element of legal strategy enhances client outcomes and drives the successful progression of their commercial ambitions.
Explore Firm Details
28/02/2026 tarihli ve 33182 sayılı Resmi Gazete'de yayımlanan Kişisel Verileri Koruma Kurulu'nun 2026/266 sayılı İlke Kararı ile sadakat kartı uygulamaları kapsamında kişisel verilerin işlenmesine ilişkin önemli düzenlemeler getirilmiştir.
Turkey Privacy
idil Sandiklili and Simay Lara Yörük
Your Author LinkedIn Connections
Ozbilen Aykut Attorney Partnership are most popular:
  • within Litigation, Mediation & Arbitration, Environment, Government and Public Sector topic(s)
  • with readers working within the Oil & Gas industries

28/02/2026 tarihli ve 33182 sayılı Resmi Gazete'de yayımlanan Kişisel Verileri Koruma Kurulu'nun 2026/266 sayılı İlke Kararı ("İlke Kararı") ile sadakat kartı uygulamaları kapsamında kişisel verilerin işlenmesine ilişkin önemli düzenlemeler getirilmiştir. İlke Kararı, özellikle perakende sektörü, zincir mağazalar, marketler ve benzeri işletmeler tarafından yürütülen sadakat programlarında, üyelerin cep telefonu numarası ve kart numarası gibi kişisel verilerinin üçüncü kişiler tarafından kullanılmasına yönelik uygulamaları değerlendirmekte ve hukuka uygunluk kriterlerini ortaya koymaktadır.

İlke Kararı ile veri güvenliği ve kimlik doğrulama mekanizmalarının güçlendirilmesi amaçlanmıştır.

İlke Kararı Neler Getiriyor?

Üçüncü Kişi Kullanımına Sınırlama Getirilmiştir
Sadakat kartı üyeliğine ait cep telefonu numarası veya kart numarasının, kart sahibinin bilgisi ve açık rızası olmaksızın üçüncü kişiler tarafından kullanılması hukuka aykırı kabul edilmiştir.

Kimlik Doğrulama Yükümlülüğü Getirilmiştir
Veri sorumlularının, sadakat kartı kullanımında ilgili kişinin gerçekten işlem sahibi olup olmadığını doğrulayacak teknik ve idari tedbirleri alması gerektiği belirtilmiştir.

Uygun Doğrulama Yöntemleri Belirtilmiştir
Aşağıdaki yöntemler hukuka uygun doğrulama mekanizması olarak değerlendirilmiştir:

  • SMS ile tek kullanımlık doğrulama kodu gönderilmesi,
  • Mobil uygulama üzerinden onay mekanizması,
  • QR kod/barkod okutma sistemi,
  • Kart sahibine özgü şifre ile işlem yapılması.

Bu yöntemler dışında, yalnızca telefon numarasının sözlü beyanı ile işlem yapılması veri güvenliği ihlali riski doğuracaktır.

Aydınlatma ve Açık Rıza Süreçlerinin Gözden Geçirilmesi Gerekmektedir
 Sadakat programlarına ilişkin aydınlatma metinlerinin, veri işleme amaçlarını açık ve anlaşılır biçimde ortaya koyması; kampanya, analiz, pazarlama gibi faaliyetler bakımından gerekli hallerde açık rıza alınması gerektiği vurgulanmıştır.

İdari Para Cezası Riski
 İlke Kararı'na aykırı uygulamaların 6698 sayılı Kanun'un 12. ve 18. maddeleri kapsamında idari para cezasına konu olabileceği belirtilmektedir.

Uygulamada Beklenen Etkiler

İlke Kararı ile birlikte özellikle perakende sektöründe:

  • Kasa süreçlerinin yeniden yapılandırılması,
  • POS sistemlerinin SMS doğrulamalı hale getirilmesi,
  • Mobil uygulama entegrasyonlarının artırılması,
  • Personel eğitimlerinin güncellenmesi gerekecektir.

Bu düzenleme, fiilen "telefon numarası söyleyerek puan kazanma" uygulamasını sona erdirmektedir.

Uyum

İlke Kararı'nın Resmi Gazete'de yayımlanma tarihinden itibaren veri sorumlularına 6 aylık uyum süresi tanınmış olup bu süre içinde gerekli önlemleri almadan uygulamaya devam eden veri sorumluları hakkında 6698 sayılı Kanun'un 18. maddesi uyarınca idari yaptırım uygulanacaktır. 2026 yılı yeniden değerleme oranları dikkate alındığında, Kurul kararlarını yerine getirmemenin idari para cezası 427.263,00 TL ile 17.092.242,00 TL arasındadır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

[View Source]
Authors
Photo of idil Sandiklili
idil Sandiklili
Photo of Simay Lara Yörük
Simay Lara Yörük
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More