SADAKAT KART ÜYELİK BİLGİLERİNİN ÜÇÜNCÜ KİŞİ TARAFINDAN ALIŞVERİŞ ESNASINDA KULLANILMASINA İLİŞKİN KVK KURULU İLKE KARARI HAKKINDA

Kişisel Verileri Koruma Kurulu (“Kurul”), muhtelif sektörlerde faaliyet gösteren veri sorumlularınca yürütülen “Sadakat Kart Programları” kapsamında, sadakat kartı üyesine ait telefon numarasıyla indirimden yararlanma uygulamasının hukuki boyutunu incelemiş ve 11/02/2026 tarihli, 2026/266 sayılı bir İlke Kararı tesis etmiştir. 28.02.2026 tarihli 33182 sayılı Resmi Gazete’de yayımlanmış olan işbu karara ilişkin bilgilendirmeye aşağıda yer verilmiştir.

​Kişisel Verileri Koruma Kurumu’na iletilen ihbar ve şikayetlere istinaden gerçekleştirilen araştırmalar sonucunda; gıda, kozmetik, teknoloji, yapı market, giyim vb. muhtelif sektörlerde mağaza kasalarında sadakat kart sahibi ilgili kişinin bizzat bulunmamasına, bilgisi ve rızası olmamasına rağmen, üçüncü bir şahsın sadece cep telefonu numarasını beyan etmesiyle alışveriş yapabildiği, bu süreçte kasa görevlileri tarafından herhangi bir işlem onay kodu sisteme girilmeksizin işlemin tamamlandığı tespit edilmiştir. Ayrıca yapılan alışverişe ilişkin fatura vb. belgenin ilgili kişi adına düzenlenerek hukuka aykırı veri işleme faaliyetinin gerçekleştirildiği, kişisel veri güvenliğinin ihlal edildiği saptanmıştır.

​İşbu uygulamanın en temel hukuki sakıncası, yapılan alışverişe ilişkin fatura ve benzeri ödeme belgelerinin, alışverişi fiilen gerçekleştiren kişi adına değil, sadakat kart sahibi adına düzenlenmesidir. Bu durum, ilgili kişinin rızası dışında adına resmi ve mali kayıt oluşturulması suretiyle kişisel veri güvenliğinin ihlal edilmesine yol açmaktadır. Kurul, söz konusu uygulamanın 6698 sayılı Kişisel Verileri Korunması Kanunu (“Kanun”) kapsamında düzenlenen kişisel verilerin işlenmesine ilişkin genel ilkeler, kişisel verilerin işlenme şartları ve veri güvenliğine ilişkin yükümlülükler aykırılık teşkil ettiğini belirtmiştir. Şöyle ki;

• Sadakat kart sahibinin bilgi ve rızası olmadan üçüncü kişilerin beyanıyla alışveriş işlemi, Kanun’un 5. maddesinde yer alan herhangi bir veri işleme şartına dayanmadığından hukuka aykırı veri işleme faaliyeti teşkil etmektedir. 

• ​Alışverişi yapmayan bir sadakat kart sahibinin ilgili kayıtlara/üyelik hesabına; hangi mağazadan, hangi tarihte ve hangi ürünlerin satın alındığına dair "müşteri işlem bilgilerinin" işlenmesi, Kanun’un 4. maddesinde düzenlenen verilerin “doğru ve gerektiğinde güncel olma” ilkesine açıkça aykırıdır.

• Veri Güvenliği Sorumluluğu: Şirketlerin sadakat kartlarını şahsi kullanım şartıyla vermiş olmaları, Kanun’un 12. maddesinde düzenlenen "teknik ve idari tedbirleri alma" yükümlülüğünü ortadan kaldırmamaktadır.

​İlke Kararı uyarınca, veri sorumlularının sadece sadakat kart sahibinin telefon numarası veya kart numarası beyanıyla işlem yapmasının hukuka aykırı olduğu değerlendirilmiş olup bu doğrultuda söz konusu uygulamalara son verilmesi gerekmektedir. İşlemin kart sahibi ilgili kişinin bilgisi ve rızası dahilinde gerçekleştiğini teyit etmek amacıyla veri sorumluları tarafından şu doğrulama yöntemlerinden birinin kullanılması zorunlu kılınmıştır:   

• İlgili kişilerin cep telefonuna SMS yoluyla tek kullanımlık doğrulama kodu gönderilerek kasa görevlisine bildirilmesi. 

• ​Mobil uygulama veya internet sitesi üzerinden sağlanan barkodun/QR kodun kasada okutulması. 

• ​Fiziki sadakat kartın kasada ibrazı/okutulması veya kart şifresinin işlem cihazına girilmesi. 

• Online üyelik hesapları üzerinden sunulacak bir “opt-in” (seçimlik onay) mekanizması ile ilgili kişilerin, sadece numara beyanıyla hangi işlemleri (puan kazanma, indirimden veya faydalanma, puan harcama vb.) yapabileceğine dair tercih hakkı sunulması.   

​

Kurul tarafından üyelik doğrulama, puan/indirim/promosyon kazanma, puan harcama gibi farklı işlemlerin risk oranlarına göre farklı doğrulama mekanizmalarının kullanılabileceği belirtilmiş ve veri sorumlularına bu amaca hizmet edecek en uygun doğrulama mekanizmalarını kurabilmeleri için işbu kararın yayımlanma tarihinden itibaren 6 ay, bir başka deyişle 28.08.2026 tarihine kadar uyum süresi tanımıştır. Bu süre zarfında gerekli önlemleri almayarak Kanun hükümlerine aykırı uygulamaya devam eden veri sorumluları hakkında Kanun’un 18. maddesi hükümleri çerçevesinde idari yaptırımlar uygulanacağı belirtilmiştir.

Kararın tamamına buradan ulaşabilirsiniz.