- within Compliance and Transport topic(s)
A. Giris
Kisisel Verileri Koruma Kurulu'nun ("Kurul"), sadakat karti üyeligi bulunan bir kisiye ait cep telefonu numarasi veya sadakat karti numarasinin üçüncü bir kisi tarafindan alisveris esnasinda kullanilmasi uygulamasina iliskin olarak 11 Subat 2026 tarihinde 2026/266 sayili Ilke Karari ("Karar") 28 Subat 2026 tarihli ve 33182 sayili Resmî Gazete'de yayimlanmistir.
Ilgili Karar'a buradan ulasabilirsiniz
B. Kararin Arka Plani
Çesitli sektörlerde veri sorumlulari tarafindan yürütülmekte olan sadakat kart programlari kapsaminda; sadakat kart sahibi ilgili kisiye ait cep telefonu numarasinin alisveris sirasinda üçüncü bir sahis tarafindan kasa görevlisi ile paylasilmasi suretiyle alisveris yapildigi, bu islemin herhangi bir onay kodu girilmeksizin gerçeklestirildigi ve ilgili kisinin rizasi olmaksizin onun adina alisveris yapilmasina ve fatura düzenlenmesine yol açan uygulamalara iliskin Kuruma çesitli kanallardan ihbar ve sikayetler iletilmistir.
Konuya iliskin yapilan arastirma neticesinde söz konusu uygulamanin gida, kozmetik, teknoloji, yapi market ve giyim gibi pek çok farkli sektörde yaygin oldugu tespit edilmistir. Sadakat kartin alisveris esnasinda indirim, promosyon ve puan kazanimi gibi amaçlarla kullanimi için alisverisin bizzat ilgili kisi tarafindan ya da ilgili kisinin bilgisi ve onayi dahilinde yapilip yapilmadigina dair herhangi bir dogrulama mekanizmasi olusturulmaksizin, kasadaki görevliye yalnizca cep telefonu numarasi veya sadakat kart numarasinin bildirilmesinin yeterli sayildigi; buna karsin puan harcama islemlerinde SMS dogrulama kodu, barkod veya QR kod gibi dogrulama mekanizmalarinin yaygin biçimde kullanildigi görülmüstür.
C. Mevcut Uygulamanin Degerlendirilmesi
Kurul sadakat kart kullanimina iliskin izah edilen sekilde gerçeklestirilen veri isleme faaliyetlerinin, 6698 sayili Kisisel Verilerin Korunmasi Kanunu'nun ("Kanun") 4'üncü maddesinde öngörülen "dogru ve gerektiginde güncel olma" ilkesine aykiri oldugunu, ayrica bu faaliyetin Kanun'un 5'inci maddesindeki herhangi bir veri isleme sartina dayandirilamayacagini belirtilerek hukuka aykiri oldugunu tespit etmistir. Kurul ayrica, sadakat kart sözlesmelerinde yer alan ve sadakat kartin üçüncü kisilere kullandirilmamasi hususunda ilgili kisilere sorumluluk yükleyen düzenlemelerin, veri sorumlularinin Kanun'un 12'nci maddesi kapsamindaki veri güvenligini saglama yükümlülügünü ortadan kaldirmadigini da degerlendirmistir.
D. Getirilen Yükümlülükler
Kurul öncelikle, ilgili kisinin bilgisi ve rizasi disinda üçüncü bir kisi tarafindan sadakat kart üzerinden alisveris yapilabilmesine imkân saglayan uygulamaya son verilmesine karar vermistir.
Bu dogrultuda alisveris isleminin ilgili kisinin bilgisi ve rizasi dahilinde gerçeklestigini dogrulamak amaciyla veri sorumlularinin;
- (i) Ilgili kisinin cep telefonu numarasina SMS yoluyla gönderilen tek kullanimlik dogrulama kodunun kasa görevlisine bildirilmesi,
- (ii) Mobil uygulama veya internet sitesi üzerinden saglanan barkod/QR kodun kasada okutulmasi,
- Fiziki sadakat kartin kasada ibrazi veya okutulmasi,
- Sadakat kart sifresinin kasada islem cihazina girilmesi,
- (v) Yalnizca cep telefonu numarasi bildirilmek suretiyle alisveris yapildigi durumlarda, hangi islem türlerine (puan kazanma, indirim/promosyon, puan harcama) izin verildigine iliskin "opt-in" tercih imkâninin sunulmasi
gibi dogrulama mekanizmalarini hayata geçirmesi zorunlu tutulmustur. Kurul ayrica, farkli ilgili kisi gruplarina yönelik alternatif dogrulama mekanizmalarinin sunulabilecegini ve islem türü ile risk oranina göre kademeli dogrulama mekanizmalarinin kullanilabilecegini de belirtmistir.
E. Uyum Süreci
Karar, 28 Subat 2026 tarihinde Resmî Gazete'de yayimlanarak yürürlüge girmis olup veri sorumlularina dogrulama mekanizmalarini olusturabilmeleri için yayimlanma tarihinden itibaren 6 aylik uyum süresi taninmistir. Bu dogrultuda uyum süresi 28 Agustos 2026 tarihinde sona erecektir. Söz konusu tedbirleri almayarak Kanun'a aykiri uygulamaya devam eden veri sorumlulari hakkinda Kanun'un 18'inci maddesi çerçevesinde idari islem uygulanacaktir.
F. Sonuç
Kurul'un 2026/266 sayili Karari, sadakat kart programlari kapsaminda yürütülen kisisel veri isleme faaliyetlerinin hukuki çerçevesini netlestirmekte ve söz konusu programlari yürüten veri sorumlularina dogrulama mekanizmasi kurma yükümlülügü getirmektedir. Kararin yayimlanma tarihi olan 28 Subat 2026 itibariyla baslayan 6 aylik uyum süresinde gerekli teknik ve idari tedbirlerin ivedilikle hayata geçirilmesi büyük önem tasimaktadir.
Gida, kozmetik, teknoloji, yapi market ve giyim basta olmak üzere sadakat kart programi yürüten tüm sektörlerdeki veri sorumlularinin bu dogrultuda; mevcut sadakat kart altyapilarini gözden geçirmeleri, uygun dogrulama mekanizmalarini belirleyerek uygulamaya almalari ve Kanun'a uyumun saglanmasi amaciyla gerekli idari düzenlemeleri tamamlamalari gerekmektedir.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
