KVKK’dan Sadakat Kart Uygulamalarına İlişkin Kritik İlke Kararı

01 Mart 2026
KVKK’dan Sadakat Kart Uygulamalarına İlişkin Kritik İlke Kararı

 

KVKK’DAN SADAKAT KART UYGULAMALARINA İLİŞKİN KRİTİK İLKE KARARI

Kişisel Verileri Koruma Kurulu, 11/02/2026 tarihli ve 2026/266 sayılı kararı ile perakende sektöründe yaygın olarak kullanılan "sadakat kart" uygulamalarındaki güvenlik açıklarına yönelik bir İlke Kararı yayınlamıştır.

KARARIN ÖZETİ VE AMACI

Kurum'a ulaşan ihbar ve şikayetler doğrultusunda yapılan incelemelerde; kasa görevlisine sadece cep telefonu numarası veya kart numarası söylenerek, herhangi bir doğrulama (SMS kodu vb.) yapılmadan başkası adına alışveriş yapılabildiği tespit edilmiştir. Bu durumun, kişisel verilerin hukuka aykırı işlenmesine ve veri ihlallerine yol açtığı değerlendirilmiştir.

İLGİLİ KİŞİLER (VATANDAŞLAR) İÇİN NE DEĞİŞİYOR?

  • Bilginiz Dışında İşlem Yapılamayacak: Artık telefon numaranızın başkaları tarafından kullanılarak adınıza puan toplanması veya indirim alınması engellenecek.

  • Veri Doğruluğu Sağlanacak: Başkalarının yaptığı alışverişlerin sizin fatura ve işlem geçmişinize (profilinize) hatalı bir şekilde işlenmesinin önüne geçilecek. Bu, Kanun’un "doğru ve güncel olma" ilkesinin bir gereğidir.

  • Onay Mekanizması: Alışveriş sırasında size bir SMS kodu gönderilmesi veya mobil uygulama üzerinden QR kod okutulması gibi yöntemlerle işlemin size ait olduğu doğrulanacaktır.

VERİ SORUMLULARI (İŞLETMELER, KURUMLAR, VS.) İÇİN YÜKÜMLÜLÜKLER

  • Doğrulama Mekanizması Kurma Zorunluluğu: Sadakat kart üzerinden puan kazanımı, kullanımı veya indirim tanımlanması gibi tüm işlemlerde uygun bir doğrulama yöntemi (SMS, QR kod, mobil uygulama barkodu vb.) oluşturulmalıdır.

  • Sorumluluk Paylaştırılamaz: Üyelik sözleşmelerinde "kartın kullanım sorumluluğu üyeye aittir" maddesinin bulunması, veri sorumlusunun KVKK Madde 12 kapsamındaki veri güvenliği yükümlülüğünü ortadan kaldırmaz.

  • Alternatif Yöntemler: Müşterilerin teknoloji okuryazarlığı veya yaş gibi farklılıkları gözetilerek alternatif doğrulama kanalları sunulabilecektir.

UYUM SÜRECİ VE YAPTIRIMLAR

Veri sorumlularına, bu sistemleri kurmaları için İlke Kararı'nın Resmî Gazete'de yayımlanmasından itibaren 6 ay süre verilmiştir. Bu süre sonunda gerekli önlemleri almayan işletmeler hakkında Kanun’un 18’inci maddesi çerçevesinde idari para cezası uygulanacaktır.

Kişisel Verileri Koruma Kurulunun Resmi Gazete'de yayınlanan 11/02/2026 Tarihli ve 2026/266 sayılı İlke Kararı