Sadakat Kart Üyeliği Bulunan Bir Kişinin Cep Telefonu Numarasının veya Sadakat Kart Numarasının Üçüncü Bir Kişi Tarafından Alışveriş Esnasında Kullanılması Hakkında İlke Kararı (11.02.2026 – 2026/266 sayılı karar)
Kişisel Verileri Koruma Kurulu ("Kurul") tarafından alınan ve 28 Şubat 2026 tarihli Resmî Gazete'de yayımlanarak yürürlüğe giren "Sadakat Kart Üyeliği Bulunan Bir Kişinin Cep Telefonu Numarasının veya Sadakat Kart Numarasının Üçüncü Bir Kişi Tarafından Alışveriş Esnasında Kullanılması Hakkında İlke Kararı" ("İlke Kararı") ile, sadakat kart uygulamaları kapsamında ortaya çıkan veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu'na ("Kanun") uygunluğunun sağlanması amacıyla önemli değerlendirmelerde bulunulmuş ve veri sorumlularına yönelik açık yükümlülükler ortaya konulmuştur. Kurul, söz konusu uygulamanın yaygınlığı ve kişisel veri ihlali riski doğurması nedeniyle kamuoyunun bilgilendirilmesine ve uygulamanın hukuka uygun hale getirilmesine ihtiyaç duyulduğunu vurgulamıştır.
Tekstil, gıda, kozmetik başta olmak üzere birçok sektörde yürütülen sadakat kart programları kapsamında; kart sahibine ait cep telefonu numarasının veya sadakat kart numarasının, kart sahibi dışındaki üçüncü kişiler tarafından alışveriş esnasında kasa görevlisine beyan edilmek suretiyle kullanıldığı; bu kullanım sırasında kart sahibinin bilgisi ve onayı alınmaksızın ve herhangi bir doğrulama/onay mekanizması (örneğin SMS doğrulama kodu, mobil uygulama onayı, QR kod doğrulaması vb.) işletilmeksizin işlemlerin tamamlandığı yönünde Kuruma çok sayıda şikayetlerin bildirildiği belirtilmiştir. Kurul tarafından söz konusu şikayetler üzerine yapılan incelemelerde ilgili uygulamanın münferit değil, sektörel ölçekte yaygın bir pratik haline geldiği ve bu haliyle hukuka aykırı veri işleme faaliyetlerine ve kişisel veri ihlallerine yol açabileceği değerlendirilmiş ve bazı önlemler alınması gerektiği belirtilmiştir.
Kurul, sadakat kartların üyelik sözleşmesi çerçevesinde, belirli kişisel veriler esas alınarak ve kural olarak ilgili kişinin şahsi kullanımına özgülenmiş şekilde oluşturulduğunu; kart kullanımının bazı sistemlerde QR kod, mobil uygulama doğrulaması veya benzeri teknik önlemlerle desteklenmesinin veri güvenliği bakımından olumlu bir uygulama teşkil ettiğini belirtmiştir. Bununla birlikte, alışveriş esnasında kart sahibi dışında üçüncü bir kişinin, herhangi bir bildirim veya doğrulama adımı olmaksızın sadakat kartı kullanabilmesine imkan tanınmasının; kart sahibinin bilgisi ve iradesi dışında kişisel verilerinin işlenmesi sonucunu doğurabileceği ve bu durumun hukuka aykırı veri işleme faaliyeti niteliği taşıyabileceği açıkça ifade edilmiştir. Özellikle, ilgili kişinin indirim, promosyon ve puan kazanımı gibi haklardan yararlanmasına imkan sağlayan sistemlerde, alışverişin bizzat ilgili kişi tarafından veya en azından onun bilgisi ve onayı dahilinde gerçekleştirilip gerçekleştirilmediğine ilişkin herhangi bir doğrulama mekanizmasının bulunmamasının ciddi bir veri güvenliği zafiyeti oluşturduğu değerlendirilmiştir.
Kurul'un dikkat çektiği bir diğer önemli husus ise, sadakat kart kullanımı neticesinde düzenlenen fatura veya benzeri belgelerin kart sahibi adına oluşturulması ve alışverişe ilişkin müşteri işlem bilgilerinin (satın alınan ürün veya hizmet, alışveriş tarihi, tutar bilgisi vb.) doğrudan kart sahibinin üyelik hesabına işlenmesidir. Bu durumda, alışverişi fiilen gerçekleştiren kişi ile sadakat kart sahibi kişinin farklı olması sebebiyle kart sahibi hakkında gerçeği yansıtmayan işlem kayıtları oluşturulması söz konusu olabilmektedir. Kurul, bu durumun Kanun'un 4'üncü maddesinde düzenlenen "doğru ve gerektiğinde güncel olma" ilkesine aykırılık teşkil edebileceğini; ayrıca kart sahibinin bilgisi ve iradesi dışında gerçekleşen veri işleme faaliyetlerinin de Kanun'un 5'inci maddesinde düzenlenen veri işleme şartlarından herhangi birine dayanmasının mümkün olmayacağını değerlendirmiştir. Bunun yanı sıra, üçüncü kişi kullanımına yönelik gerekli teknik ve idari tedbirlerin alınmaması, Kanun'un 12'nci maddesi uyarınca veri sorumlusuna yüklenen veri güvenliğini sağlama yükümlülüğünün ihlali sonucunu doğurabilecektir.
Tüm bu tespit ve değerlendirmeler çerçevesinde Kurul, herhangi bir doğrulama mekanizması işletilmeksizin sadakat kart sahibi dışındaki kişilerin kartı kullanmasına imkan tanıyan uygulamaların durdurulması gerektiğini açıkça ortaya koymuştur. Veri sorumlularının, Kanun'un 12'nci maddesi kapsamında kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek amacıyla gerekli teknik ve idari tedbirleri ivedilikle hayata geçirmesi; uygun doğrulama sistemleri (örneğin tek kullanımlık şifre, mobil uygulama onayı, biyometrik veya cihaz eşleştirme temelli doğrulama gibi) geliştirerek üçüncü kişi kullanımlarının önüne geçmesi ve farklı kullanıcı profilleri (örneğin yaş grupları, dijital okuryazarlık düzeyi vb.) dikkate alınarak alternatif doğrulama yöntemleri oluşturması gerektiği belirtilmiştir.
İlke Kararı kapsamında veri sorumlularına, İlke Kararı'nın Resmî Gazete'de yayımlandığı 28.02.2026 tarihinden itibaren başlamak üzere altı aylık bir uyum süresi tanınmıştır. Bu süre içerisinde veri sorumlularının mevcut sadakat kart uygulamalarını gözden geçirmeleri, üçüncü kişiler tarafından gerçekleştirilen kullanımlara ilişkin riskleri bertaraf edecek teknik ve idari tedbirleri hayata geçirmeleri ve sistemlerini Kanun'a uygun hale getirmeleri gerekmektedir. Bu süre içerisinde gerekli teknik ve idari düzenlemeleri gerçekleştirmeyen ve İlke Kararı'nda belirtilen esaslara uygun hareket etmediği tespit edilen veri sorumluları hakkında Kanun'un 18'inci maddesi uyarınca idari yaptırım uygulanacağı bildirilmiştir.
Söz konusu ilke kararının tamamını aşağıdaki link üzerinden de inceleyebilirsiniz.