SADAKAT KARTI UYGULAMALARINDA KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN KVKK İLKE KARARI YAYIMLANDI

28/02/2026 tarihli ve 33182 sayılı Resmi Gazete’de yayımlanan Kişisel Verileri Koruma Kurulu’nun 2026/266 sayılı İlke Kararı (“İlke Kararı”) ile sadakat kartı uygulamaları kapsamında kişisel verilerin işlenmesine ilişkin önemli düzenlemeler getirilmiştir. İlke Kararı, özellikle perakende sektörü, zincir mağazalar, marketler ve benzeri işletmeler tarafından yürütülen sadakat programlarında, üyelerin cep telefonu numarası ve kart numarası gibi kişisel verilerinin üçüncü kişiler tarafından kullanılmasına yönelik uygulamaları değerlendirmekte ve hukuka uygunluk kriterlerini ortaya koymaktadır.

İlke Kararı ile veri güvenliği ve kimlik doğrulama mekanizmalarının güçlendirilmesi amaçlanmıştır.

İlke Kararı Neler Getiriyor?

Üçüncü Kişi Kullanımına Sınırlama Getirilmiştir
Sadakat kartı üyeliğine ait cep telefonu numarası veya kart numarasının, kart sahibinin bilgisi ve açık rızası olmaksızın üçüncü kişiler tarafından kullanılması hukuka aykırı kabul edilmiştir.

Kimlik Doğrulama Yükümlülüğü Getirilmiştir
Veri sorumlularının, sadakat kartı kullanımında ilgili kişinin gerçekten işlem sahibi olup olmadığını doğrulayacak teknik ve idari tedbirleri alması gerektiği belirtilmiştir.

Uygun Doğrulama Yöntemleri Belirtilmiştir
Aşağıdaki yöntemler hukuka uygun doğrulama mekanizması olarak değerlendirilmiştir:

• SMS ile tek kullanımlık doğrulama kodu gönderilmesi,

• Mobil uygulama üzerinden onay mekanizması,

• QR kod/barkod okutma sistemi,

• Kart sahibine özgü şifre ile işlem yapılması.

Bu yöntemler dışında, yalnızca telefon numarasının sözlü beyanı ile işlem yapılması veri güvenliği ihlali riski doğuracaktır.

Aydınlatma ve Açık Rıza Süreçlerinin Gözden Geçirilmesi Gerekmektedir
Sadakat programlarına ilişkin aydınlatma metinlerinin, veri işleme amaçlarını açık ve anlaşılır biçimde ortaya koyması; kampanya, analiz, pazarlama gibi faaliyetler bakımından gerekli hallerde açık rıza alınması gerektiği vurgulanmıştır.

İdari Para Cezası Riski
İlke Kararı’na aykırı uygulamaların 6698 sayılı Kanun’un 12. ve 18. maddeleri kapsamında idari para cezasına konu olabileceği belirtilmektedir.

Uygulamada Beklenen Etkiler

İlke Kararı ile birlikte özellikle perakende sektöründe:

• Kasa süreçlerinin yeniden yapılandırılması,

• POS sistemlerinin SMS doğrulamalı hale getirilmesi,

• Mobil uygulama entegrasyonlarının artırılması,

• Personel eğitimlerinin güncellenmesi gerekecektir.

Bu düzenleme, fiilen “telefon numarası söyleyerek puan kazanma” uygulamasını sona erdirmektedir.

Uyum

İlke Kararı’nın Resmi Gazete’de yayımlanma tarihinden itibaren veri sorumlularına 6 aylık uyum süresi tanınmış olup bu süre içinde gerekli önlemleri almadan uygulamaya devam eden veri sorumluları hakkında 6698 sayılı Kanun’un 18. maddesi uyarınca idari yaptırım uygulanacaktır. 2026 yılı yeniden değerleme oranları dikkate alındığında, Kurul kararlarını yerine getirmemenin idari para cezası 427.263,00 TL ile 17.092.242,00 TL arasındadır. 

Konuyla ilgili herhangi bir sorunuz olması halinde bizimle temasa geçebilirsiniz.

Saygılarımızla