Kişisel Verileri Koruma Kurulu'nun 11.02.2026 Tarihli Ve 2026/266 Sayılı İlke Kararı Hakkında (Sadakat Kart Sistemlerinde Kimlik Doğrulama Yükümlülüğü)

1. Kararın Konusu ve Düzenleme İhtiyacı

Kişisel Verileri Koruma Kurulu (“Kurul”), 11.02.2026 tarihli ve 2026/266 sayılı İlke Kararı ile, sadakat kart sistemlerinde uzun süredir uygulamada bulunan önemli bir veri güvenliği açığını düzenlemiştir.

Perakende, akaryakıt, gıda ve benzeri sektörlerde yaygın olarak kullanılan sadakat programlarında; kart sahibinin fiziken hazır bulunmasına gerek olmaksızın yalnızca cep telefonu numarasının veya kart numarasının kasa görevlisine bildirilmesi suretiyle indirim, puan kazanımı veya kampanya avantajlarından yararlanılabilmektedir. Bu uygulama sonucunda alışverişe ilişkin müşteri işlem verileri (satın alınan ürün/hizmet bilgisi, işlem tarihi, tutar, lokasyon vb.) ilgili kişinin üyelik hesabına işlenmektedir.

Kurul, bu uygulamanın; 6698 sayılı Kanun'un 5. maddesinde düzenlenen veri işleme şartlarından herhangi birine dayanmadığını, Kanun'un 4. maddesinde yer alan “hukuka ve dürüstlük kurallarına uygun olma” ve “doğru ve gerektiğinde güncel olma” ilkeleri ile bağdaşmadığını, veri sorumlusunun 12. madde kapsamındaki veri güvenliğini sağlama yükümlülüğü çerçevesinde gerekli teknik ve idari tedbirleri alma sorumluluğunu ihlal edebileceğini, değerlendirmiştir.

Kararın temel hareket noktası; işlem verisinin gerçekten ilgili kişiye ait olup olmadığının teyit edilmeden üyelik hesabına işlenmesinin üçüncü kişiler tarafından yetkisiz kullanım riskini doğurmasıdır.

2. Kurul'un Getirdiği Yükümlülükler

Kurul, herhangi bir doğrulama mekanizması olmaksızın sadakat kart üzerinden işlem yapılmasına imkân sağlayan mevcut uygulamaların sonlandırılmasına karar vermiştir.

Bu kapsamda veri sorumlularının; işlemin ilgili kişinin bilgisi ve onayı dahilinde gerçekleştiğini teyit edecek uygun doğrulama yöntemleri tesis etmesi, teknik ve idari tedbirleri somut biçimde hayata geçirmesi, farklı kullanıcı grupları bakımından alternatif doğrulama mekanizmaları sunması, gerektiği belirtilmiştir.

Bu doğrulama mekanizmaları; tek kullanımlık doğrulama kodu (OTP), mobil uygulama üzerinden onay, biyometrik doğrulama veya benzeri teknik yöntemler şeklinde tasarlanabilecektir. Kurul, yöntemin içeriğini belirlememiş ancak doğrulamanın etkili ve gerçek anlamda kimlik teyidine elverişli olmasını zorunlu kılmıştır.

İlke Kararı'nın Resmî Gazete'de yayımlanmasından itibaren 6 aylık uyum süresi öngörülmüş; sürenin sonunda yükümlülüklere aykırı hareket eden veri sorumluları hakkında Kanun'un 18. maddesi uyarınca idari para cezası uygulanabileceği belirtilmiştir.

3. İlgili Kişi Açısından Sonuçlar

Karar, sadakat programlarına üye ilgili kişiler bakımından iki temel sonucu beraberinde getirmektedir. Bunlar yetkisiz kullanımın önlenmesi ve Güven ilişkisinin güçlenmesi olacaktır. Yetkisiz kullanımın önüne geçilerek üçüncü kişilerin yalnızca telefon numarası veya kart numarası bilgisi ile işlem yapabilmesinin önüne geçilmektedir. Güven ilişkisi noktasındaysa meydana gelecek sonuç, sadakat programlarının veri koruma hukuku ile uyumlu şekilde yeniden yapılandırılması ile tüketici güvenini artırıcı bir etki doğması olacaktır.

4. Sadakat Programı Kullanan Şirketler Açısından Sonuçlar

Karar, özellikle geniş müşteri portföyüne sahip perakende zincirleri ve çok şubeli işletmeler açısından önemli uyum yükümlülükleri doğurmaktadır. Şirketlerin sadakat programı işleyişini yeniden tasarlaması, aydınlatma metinlerini ve açık rıza kurgularını gözden geçirmesi, veri işleme envanterini güncellemesi, üçüncü kişilerin yetkisiz kullanımını önleyici teknik tedbirleri uygulaması, iç kontrol ve denetim mekanizmalarını güçlendirmesi, gerekecektir.

Özellikle “kartın üçüncü kişilerce kullanılmayacağı” yönündeki sözleşmesel hükümlerin tek başına yeterli olmadığı; veri sorumlusunun aktif teknik ve idari tedbir alma yükümlülüğünün devam ettiği Kurul tarafından açık biçimde ortaya konulmuştur. Bu yaklaşım, veri güvenliği yükümlülüğünün yalnızca sözleşmesel risk aktarımı ile bertaraf edilemeyeceğini bir kez daha teyit etmektedir.

Karara uyum sağlanmaması hâlinde idari para cezaları, Kurul tarafından re'sen inceleme, itibar kaybı ve tüketici güveninin zedelenmesi gibi riskler söz konusu olabilecektir.

5. Genel Değerlendirme

11.02.2026 tarihli İlke Kararı, sadakat programlarını veri koruma hukukunun temel ilkeleri ekseninde yeniden konumlandıran önemli bir düzenleyici adımdır. Karar; veri minimizasyonu, doğruluk ve veri güvenliği ilkelerinin yalnızca teorik prensipler değil, iş süreçlerine entegre edilmesi gereken somut yükümlülükler olduğunu vurgulamaktadır.

Uygulamada yeknesaklığın sağlanabilmesi için teknik standartlara ilişkin sektörel rehberlerin geliştirilmesi faydalı olacaktır. Bununla birlikte, mevcut haliyle dahi karar, veri sorumlularına açık bir uyum yükümlülüğü yüklemekte ve sadakat programlarının kimlik doğrulama temelli yeniden yapılandırılmasını zorunlu kılmaktadır.

Bu nedenle, sadakat kart sistemi kullanan tüm veri sorumlularının 6 aylık süre dolmadan önce teknik ve hukuki uyum çalışmalarını tamamlamaları kritik önem taşımaktadır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.