ARTICLE
19 March 2026

Sadakat kartı uygulamalarına yönelik artan veri koruma denetimi

P
Paksoy

Contributor

Paksoy logo
Paksoy is an Istanbul-based independent Turkish law firm with over 120 employees, offering legal advice and counselling to foreign investors and the Turkish business community. We provide a wide range of services to meet the needs of local and international businesses in almost every field, including corporate law, capital markets, mergers and acquisitions, competition law, banking and finance, tax, real estate and project development, project finance, energy and infrastructure, litigation and arbitration.
Explore Firm Details
Kisisel Verileri Koruma Kurumu (Kurum) 11 Subat 2026 tarihli ilke karari ile, sadakat karti avantajlarinin alisveris sirasinda herhangi bir dogrulama yapilmaksizin yalnizca üyelik sahibine...
Turkey Privacy
Stéphanie Beghe Sonmez,Mert Karakaşlar, and Serra Yildirim
Your Author LinkedIn Connections
Stéphanie Beghe Sonmez’s articles from Paksoy are most popular:
  • within Privacy topic(s)
  • with Senior Company Executives, HR and Inhouse Counsel
  • in European Union
  • in European Union
  • in European Union
  • in European Union
  • with readers working within the Business & Consumer Services, Law Firm and Construction & Engineering industries

Kişisel Verileri Koruma Kurumu (Kurum) 11 Şubat 2026 tarihli ilke kararı ile, sadakat kartı avantajlarının alışveriş sırasında herhangi bir doğrulama yapılmaksızın yalnızca üyelik sahibine ait cep telefonu numarasının veya sadakat kart numarasının kasada beyan edilmesi suretiyle kullanılmasına imkân tanıyan yaygın uygulamayı ele almıştır.

Kurum söz konusu uygulamanın 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında, özellikle kişisel verilerin hukuka uygun işlenme şartları, kişisel verilerin doğru ve gerektiğinde güncel olma ilkesi ve veri güvenliğine ilişkin yükümlülükler bakımından önemli uyum riskleri doğurduğu sonucuna varmıştır.

Kararın arka planı ve kapsamı

Kurum değerlendirmesinde sadakat kartı programlarının gıda, kozmetik, teknoloji, yapı market ve giyim gibi sektörlerde yaygın olarak kullanıldığını belirtmiş; üyelik oluşturulması aşamasında uygulanan tek kullanımlık SMS doğrulama kodları veya mobil uygulamalar ya da internet siteleri üzerinden barkod/QR kod okutulması gibi doğrulama yöntemlerinin genel olarak hukuka uygun kabul edildiğini teyit etmiştir.

Buna karşılık Kurum alışveriş sırasında sisteme herhangi bir onay veya doğrulama kodu girilmeksizin, yalnızca üyelik sahibinin cep telefonu numarasının veya sadakat kart numarasının kasada beyan edilmesi suretiyle sadakat kartı avantajlarından yararlanılmasının önemli veri koruma riskleri yarattığını vurgulamıştır. Bu uygulamanın ilgili kişinin bilgisi veya rızası olmaksızın kişisel verilerin işlenmesine yol açabileceği ve kişisel veri ihlali riskini artırabileceği belirtilmiştir. Bu tür durumlarda, sadakat kartı sahibi işlemi gerçekleştirmemiş veya onaylamamış olsa dahi, faturaların veya işlem kayıtlarının sadakat kartı sahibi adına düzenlenerek üyelik hesabına kaydedilebildiği ifade edilmiştir.

Bu çerçevede Kurum yalnızca numara beyanı yoluyla gerçekleştirilen işlemlerin, veri sorumlularına alışverişin bizzat ilgili kişi tarafından yapılıp yapılmadığını veya bu işleme onay verilip verilmediğini doğrulama imkânı tanımadığını ve bu işlemlerin ilgili kişinin hesabına kaydedilmesinin yanlış veya yanıltıcı kişisel verilerin işlenmesine yol açabileceğini değerlendirmiştir.

Kurum hukuki açıdan bu uygulamanın sürdürülmesinin çeşitli sonuçlar doğurabileceğini vurgulamıştır. Özellikle üçüncü kişilerin sadakat kartı bilgilerini ilgili kişi adına kullanarak alışveriş yapmasının geçerli bir hukuki sebep olmaksızın kişisel veri işlenmesine neden olabileceği belirtilmiştir. Ayrıca bu işlemlerin ilgili kişinin hesabına kaydedilmesinin veya faturaların ilgili kişi adına düzenlenmesinin, doğru ve gerektiğinde güncel olma ilkesine aykırı sonuçlar doğurabileceği ifade edilmiştir.

Kurum sadakat kartlarının üçüncü kişiler tarafından kullanılmasını yasaklayan sözleşmesel düzenlemeler bulunsa dahi, bunun veri sorumlularının gerekli veri güvenliği tedbirlerini alma yükümlülüğünü ortadan kaldırmadığını özellikle vurgulamıştır.

İvedilikle yerine getirilmesi gereken uyum yükümlülükleri

Bu çerçevede Kurum söz konusu uygulamaya son verilmesi ve bu uygulamanın sadakat kartlarının alışveriş sırasında yalnızca ilgili kişinin bilgisi ve rızası dahilinde kullanılmasını sağlayacak uygun doğrulama mekanizmalarıyla değiştirilmesi gerektiğini belirtmiştir.

Bu amaçla veri sorumlularına, 28 Şubat 2026 tarihinden itibaren başlayan altı aylık katı bir uyum süresi tanınmıştır. Bu süre içerisinde veri sorumlularının mevcut sadakat kartı süreçlerini gözden geçirmeleri ve güncellemeleri beklenmektedir. Geçiş süresinin sona ermesinin ardından, gerekli tedbirleri almayan veya doğrulama yapılmaksızın sadakat kartı kullanımına izin vermeye devam eden veri sorumluları hakkında idari işlem tesis edilebilecektir.

Uygulamadaki etkiler ve önerilen adımlar

Karar özellikle kasa ve satış süreçleri bakımından doğrudan ve ivedilikle uygulanması gereken operasyonel sonuçlar doğurmakta olup birçok kuruluşun uzun süredir uyguladığı sadakat kartı uygulamalarını nispeten kısa bir geçiş süresi içinde yeniden değerlendirmesini gerektirecektir.

Kurum uygulamada satış noktasında pozitif bir doğrulama adımının hayata geçirilmesini beklemektedir. Bu doğrulama adımı hâlihazırda puan harcama işlemlerinde yaygın olarak kullanılan yöntemlere benzer şekilde kurgulanabilecektir. Bu kapsamda Kurum aşağıdaki doğrulama yöntemlerini örnek olarak göstermektedir:

  • Tek kullanımlık SMS doğrulama kodları,
  • Mobil uygulamalar veya internet siteleri üzerinden barkod veya QR kod okutulması,
  • Fiziki sadakat kartının ibraz edilmesi veya okutulması ve
  • Kasa aşamasında sadakat kartı şifresinin kullanılması

Çevrim içi işlemler bakımından ise Kurum, yalnızca telefon numarası beyanı ile gerçekleştirilen işlemler için açık ve anlaşılır opt-in tercihleri sunulmasını ve bu onayın hangi işlem türlerini kapsadığının şeffaf bir şekilde belirtilmesini önermektedir.

Öte yandan doğrulama yöntemleri işlemin risk seviyesine göre (örneğin puan kazanma, indirimlerden yararlanma veya puan kullanımı) ve farklı ilgili kişi grupları bakımından değişiklik gösterebilecektir.

Anılan karar ışığında veri sorumlularının, mevcut sadakat kartı süreçlerinde kasa aşamasında ilgili kişinin aktif onayı olmaksızın kullanım imkânı bulunup bulunmadığını değerlendirmeleri ve böyle bir durum söz konusu ise uyum süresi içerisinde gerekli iyileştirmeleri önceliklendirmeleri gerekmektedir.

Yaptırımlar

Karara uyulmaması hâlinde, KVKK'nın 18. maddesi uyarınca idari yaptırımlar uygulanabilecektir. Kurum'un kararlarına uyulmaması hâlinde, 2026 yılı için uygulanabilecek para cezaları 427.263 TL ile 17.092.242 TL arasında değişmektedir.

Kurum ayrıca, hukuka aykırı veri işleme faaliyetlerinin durdurulması ve Kurum'un veri sorumluları hakkındaki kararlarının yayımlanması gibi ek tedbirler de uygulayabilecektir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

[View Source]
Authors
Photo of Stéphanie Beghe Sonmez
Stéphanie Beghe Sonmez
Photo of Mert Karakaşlar
Mert Karakaşlar
Photo of Serra Yildirim
Serra Yildirim
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More