- within Intellectual Property, Criminal Law and Energy and Natural Resources topic(s)
Kisisel Verileri Koruma Kurulu'nun ("Kurul") 11 Subat 2026 tarihli ve 2026/266 sayili Ilke Karari ("Karar"), 28 Subat 2026 tarihli Resmî Gazete'de yayimlandi. Karar, sadakat kart üyeligi bulunan kisilere ait cep telefonu numarasinin veya sadakat kart numarasinin ilgili kisinin bilgisi ve rizasi disinda üçüncü kisiler tarafindan alisveris sirasinda kullanilmasini ve bu uygulamanin dogurdugu kisisel veri ihlallerini ele aliyor.
Kurul'a iletilen ihbar ve sikayetlere göre, gida, kozmetik, teknoloji, giyim ve yapi market gibi sadakat programi yürüten çesitli sektörlerde kasada yalnizca telefon numarasi veya kart numarasi beyan edilerek indirim ya da puan kazanimi/harcamasi yapilabiliyor. Çogu durumda islemin gerçekten ilgili kisi tarafindan gerçeklestirilip gerçeklestirilmedigini dogrulayan bir mekanizma bulunmuyor. Bu durum, faturalarin sadakat kart sahibi adina düzenlenmesine ve islem bilgilerinin ilgili kisinin üyelik hesabina islenmesine imkan taniyor; hatta islemlerin ilgili kisinin bilgisi ve rizasi disinda gerçeklesmesine yol açabiliyor.
Kurul, söz konusu uygulamanin 6698 sayili Kisisel Verilerin Korunmasi Kanunu'nun ("Kanun") 5. maddesindeki veri isleme sartlarindan hiçbirine dayanamayacagini, 4. maddedeki dogruluk ilkesine aykirilik olusturdugunu ve 12. maddedeki veri güvenligi yükümlülügüyle bagdasmadigini degerlendiriyor. Ayrica, sadakat sözlesmelerinde sorumlulugun kullaniciya yüklenmis olmasinin veri sorumlusunun bu yükümlülüklerini ortadan kaldirmadigini da açikça ortaya koyuyor.
Bu degerlendirmeler isiginda Karar, veri sorumlulari bakimindan üç temel yükümlülük öngörüyor:
- ilgili kisinin bilgisi ve rizasi disinda üçüncü kisiler tarafindan sadakat kart numarasi veya cep telefonu numarasi kullanilarak islem yapilmasina son verilmesi,
- uygun ve etkin dogrulama mekanizmalarinin tesis edilmesi,
- söz konusu mekanizmalarin Karar'in yayim tarihinden itibaren 6 ay içinde hayata geçirilmesi.
Karar'da, dogrulama yükümlülügünün somut ve uygulanabilir sekilde kurgulanmasi gerektigi belirtilerek su yöntemlere isaret ediliyor:
- Kasada SMS ile dogrulama kodu (OTP) gönderilmesi,
- Mobil uygulama veya internet sitesi üzerinden QR kod / barkod kullanimi,
- Fiziksel sadakat kartin ibrazi,
- Sadakat kart sifresinin (PIN) girilmesi,
- Islem bazli onay tercihleri (örnegin yalnizca puan kazaniminda numara beyaninin yeterli olmasi, puan harcamasinda ek dogrulama aranmasi gibi "opt-in" kurgulari).
Ayrica, islem türüne ve risk seviyesine göre kademeli ve farklilastirilmis dogrulama mekanizmalarinin tasarlanabilecegi de ifade edilmekte.
Karar, sadakat programi yürüten sirketler açisindan dogrudan operasyonel sonuçlar doguruyor. Yalnizca telefon numarasi beyanina dayali islem akislari artik yeterli kabul edilmeyecek. Kasa süreçlerinin, üyelik sözlesmelerinin ve teknik altyapinin birlikte gözden geçirilmesi; dogrulama mekanizmalarinin ise sistematik ve izlenebilir sekilde yeniden kurgulanmasi gerekiyor.
Kararin yayim tarihinden itibaren öngörülen 6 aylik süre, sirketler açisindan bir uyum takvimi niteligi tasiyor. Bu süre içinde gerekli teknik ve idari tedbirlerin alinmamasi halinde, Kanun'un 18. maddesi kapsaminda idari yaptirim riski gündeme gelebilecek.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
