Blog'a Dön
3/1/2026
Av. Yusuf Kılıçkan
YÖNETMELİKLER

Sadakat Kartlarında KVKK Doğrulama Zorunluluğu

Paylaş
Sadakat Kartlarında KVKK Doğrulama Zorunluluğu

28 Şubat 2026 tarihli Resmi Gazete'de yayımlanan Kişisel Verileri Koruma Kurulu'nun 2026/266 sayılı İlke Kararı, sadakat kartı uygulamalarında önemli bir değişiklik getirmiştir. Bu karara göre, sadakat kartı üyeliği bulunan bir kişinin cep telefonu numarasının veya sadakat kart numarasının üçüncü bir kişi tarafından alışveriş esnasında kullanılması durumunda doğrulama mekanizması zorunlu hale gelmiştir.

Sorunun Tespiti: Sadakat Kartlarında Güvenlik Açığı

Türkiye'de yaygın olarak uygulanan sadakat kartı programlarında, kart sahibi ilgili kişiye ait cep telefonu numarasının alışveriş sırasında üçüncü bir kişi tarafından kasa görevlisi ile paylaşılması suretiyle alışveriş yapıldığı tespit edilmiştir. Bu uygulama, sadakat kartı üzerinden yapılan alışveriş işleminin kasa görevlisi tarafından herhangi bir işlem onay kodu sisteme girilmeksizin gerçekleştirildiği anlamına gelmektedir.

Kişisel Veri İhlalinin Boyutları

Bu uygulamada ortaya çıkan temel sorunlar şunlardır:

1. Kimlik Doğrulama Eksikliği: İlgili kişinin alışveriş işlemi sırasında kasada olmamasına, bilgisinin ve rızasının bulunmamasına rağmen, veri sorumlusu tarafından ilgili kişiye ait cep telefonu numarasının üçüncü kişi tarafından paylaşılması suretiyle kişisel verileri kullanılarak sadakat kartı üzerinden alışveriş yapılmasına olanak sağlanmaktadır.

2. Fatura ve Belge Düzenleme Sorunu: Yapılan alışverişe ilişkin fatura veya belgenin ilgili kişi adına düzenlenerek hukuka aykırı veri işleme faaliyetinin gerçekleştirildiği ve kişisel veri güvenliğinin ihlal edildiği durumlar mevcuttur.

3. Müşteri İşlem Bilgilerinin Güvenliği: Sadakat kartı üzerinden gerçekleştirilen alışveriş işlemi sonucunda düzenlenen fatura veya belgenin sıklıkla sadakat kartı sahibi ilgili kişi adına düzenlendiği ve yapılan alıverişe ilişkin müşteri işlem bilgilerinin (satın alınan ürün/hizmet, satın alma tarihi vb.) ilgili kişi ile ilgili kayıtlara/üyelik hesabına hatalı müşteri işlem bilgisinin işlenmesi veya ilgili kişi adına yapmadığı, bilgisi ve rızası olmadığı bir alışverişe ilişkin fatura düzenlenmesi suretiyle kişisel veri ihlallerinin yaşanabildiği tespit edilmiştir.

KVKK İlke Kararı 2026/266'nın İçeriği

Kişisel Verileri Koruma Kurulu, 11 Şubat 2026 tarihinde aldığı 2026/266 sayılı İlke Kararı ile sadakat kartı programlarında doğrulama mekanizması zorunluluğu getirmiştir.

Yasal Dayanak

İlke Kararı, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun şu hükümlerine dayanmaktadır:

1. Genel İlkeler (m. 4): Kişisel verilerin ancak Kanun'da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği; kişisel verilerin işlenmesinde "hukuka ve dürüstlük kurallarına uygun olma",

"doğru ve gerektiğinde güncel olma",

"belirli, açık ve meşru amaçlar için işlenme",

"işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma"

"ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme" ilkelerine uyulmasının zorunlu olduğu hükmüne yer verilmiştir.

2. Veri Güvenliğine İlişkin Yükümlülükler (m. 12): Veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hüküm altına alınmıştır.

Kararın Getirdiği Zorunluluklar

Kurul, yaptığı araştırmalar doğrultusunda, çeşitli sektörlerin temsilcilerinin de görüşleri alınmak suretiyle sadakat kartı programları kapsamında yaygın olduğu anlaşılan uygulamaya ilişkin olarak şu değerlendirmeleri yapmıştır:

1. Doğrulama Mekanizması Zorunluluğu:

İlgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının, bilgisi ve rızası olmaksızın üçüncü bir kişi tarafından alışveriş esnasında kasada görevli kişiye bildirilmesi suretiyle ilgili kişi adına alışveriş işlemi gerçekleştirilmesinin, Kanun'un 5'inci maddesinde yer alan herhangi bir veri işleme şartına dayandırılamayacağı ve hukuka aykırı kişisel veri işleme faaliyetine yol açacağı tespit edilmiştir.

2. KVKK m. 4 İlkesine Aykırılık:

İlgili kişiye ait cep telefonu numarası veya sadakat kart numarası kullanılarak ilgili kişinin bizzat kendisi tarafından yapılmayan, bilgisinin ve rızasının olmadığı bir alışveriş işlemine ilişkin olarak ilgili kişi adına fatura veya belge düzenlenmesi ve/veya müşteri işlem bilgisinin (hangi mağazadan, hangi tarihte, hangi ürünün satın alındığı vb.) ilgili kişi ile ilgili kayıtlara/üyelik hesabına işlenmesi suretiyle gerçekleşen kişisel veri işleme faaliyetinin Kanun'un 4'üncü maddesinde öngörülen "doğru ve gerektiğinde güncel olma" ilkesine aykırılık teşkil edeceği değerlendirilmiştir.

3. Kişisel Veri Güvenliği İhlali:

Her ne kadar veri sorumluları tarafından sadakat kartı üyelik sözleşmesi kapsamında ilgili kişilerin şahsi kullanımına yönelik olarak düzenlenen sadakat kartın üçüncü kişilere kullandırılmaması hususunda ilgili kişilere sorumluluk yüklenmiş olsa da bu durumun veri sorumluları tarafından yürütülen kişisel veri işleme faaliyetlerinde Kanun'un 12'nci maddesinde düzenlenen kişisel veri güvenliğini sağlama yükümlülüğünü ortadan kaldırmadığı değerlendirilmiştir.

Uygulanacak Doğrulama Mekanizmaları

Kurul, hukuka aykırı olduğu değerlendirilen sadakat kartı üyelik sözleşmesi kapsamında yayımlanma tarihinden itibaren 6 aylık uyum süresi öngörmüştür. Bu süre içerisinde veri sorumlularının aşağıdaki doğrulama mekanizmalarını oluşturması gerekmektedir:

1. SMS ile Tek Kullanımlık Doğrulama Kodu

İlgili kişilerin cep telefonu numarasına SMS yoluyla gönderilen tek kullanımlık doğrulama kodunun kasa görevlisine bildirilmesi suretiyle sadakat kartı üzerinden alışveriş işleminin yapılabilmesine imkan sağlayan uygulama.

Özellikler:

  • Her işlem için yeni kod üretilmesi
  • Kodun sınırlı süre geçerli olması
  • Sadece ilgili kişinin telefonuna gönderilmesi

2. Mobil Uygulama veya İnternet Sitesi Üzerinden Barkod/QR Kod

Mobil uygulama/internet sitesi üzerinden sağlanan barkod/QR kodun kasada okutulması yöntemi.

Özellikler:

  • Dinamik QR kod/barkod üretimi
  • Gerçek zamanlı doğrulama
  • Uygulama/site üzerinden kontrol

3. Fiziki Sadakat Kartın Kasada Okutulması

Sadakat kartın herhangi bir amaçla (üyelik oluşturma, alışverişte puan kazanımı, puan kullanımı, indirimden/promosyondan faydalanma vb.) kullanımı için ilgili kişilerin cep telefonu numarasına SMS yoluyla gönderilen tek kullanımlık doğrulama kodunun kasa görevlisine bildirilmesi.

Özellikler:

  • Fiziki kartın ibrazı zorunluluğu
  • Kart üzerindeki bilgilerin doğrulanması
  • Kart ve kimlik uyumu kontrolü

4. Sadakat Kart Şifresinin Kasada İşlem Cihazına Girilmesi

Sadakat kart programları kapsamında oluşturulan online üyelik hesabı üzerinden sadakat kartı kullanımında yalnızca cep telefonu numarası bildirilmek suretiyle alışveriş esnasında hangi işlemlerin (alışverişte puan kazanma/indirim veya promosyondan faydalanma/puan harcama) yapılmasına onay verildiğine ilişkin "opt-in" olarak ilgili kişilere tercih imkanının sunulması.

Özellikler:

  • Önceden belirlenen şifre sistemi
  • Kasada manuel giriş
  • İşlem türüne göre farklılaştırma

5. Online Üyelik Hesabı Üzerinden "Opt-in" Tercihi

İlgili kişilerin sadakat kartı uygulamasında üyelik doğrulama, puan/indirim/promosyon kazanma, puan harcama gibi farklı işlem türlerine ve bu işlemlerin risk oranına göre farklı doğrulama mekanizmalarının kullanılabileceği sistem.

Özellikler:

  • Farklı işlem türleri için farklı güvenlik seviyeleri
  • Kullanıcı tercihleri doğrultusunda özelleştirme
  • Risk bazlı doğrulama mekanizması

Veri Sorumluları İçin Uyum Süreci

Altı Aylık Süre

İlke Kararının Resmi Gazete'de yayımlanma tarihinden (28 Şubat 2026) itibaren 6 aylık uyum süresi öngörülmüştür. Bu süre 28 Ağustos 2026 tarihinde sona erecektir.

Bu süre içerisinde veri sorumlularının:

1. Teknik Altyapı Hazırlığı:

  • Doğrulama mekanizmalarının kurulması
  • Yazılım ve donanim güncellemeleri
  • Test süreçlerinin tamamlanması

2. Politika ve Prosedür Güncellemeleri:

  • Sadakat kartı üyelik sözleşmelerinin güncellenmesi
  • Kişisel veri saklama ve işleme politikalarının revize edilmesi
  • Çalışan eğitim programlarının oluşturulması

3. İlgili Kişilerin Bilgilendirilmesi:

  • Mevcut üyelere değişiklik bildirimi
  • Aydınlatma metinlerinin güncellenmesi
  • İletişim kanalları üzerinden duyuru

gerçekleştirilmesi gerekmektedir.

Uyum Sürecinde Dikkat Edilmesi Gereken Hususlar

Veri sorumlularının bu İlke Kararına uyum sağlarken dikkat etmesi gereken hususlar:

1. Farklı İlgili Kişi Gruplarına Yönelik Alternatif Doğrulama:

Alışveriş esnasında sadakat kartı üyeliği bulunan ilgili kişinin cep telefonu numarasının veya sadakat kart numarasının ilgili kişinin bilgisi ve rızası olmaksızın üçüncü bir kişi tarafından kullanılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinde yaşanabilecek kişisel veri ihlallerini önlemeyi amaçlayan en uygun doğrulama yöntemlerinin kullanılmasının temel amaç olduğu dikkate alındığında; farklı ilgili kişi gruplarına yönelik alternatif doğrulama mekanizmalarının sunulabileceği değerlendirilmektedir.

2. Risk Bazlı Yaklaşım:

Sadakat kartı uygulamasında üyelik doğrulama, puan/indirim/promosyon kazanma, puan harcama gibi farklı işlem türlerine ve bu işlemlerin risk oranına göre farklı doğrulama mekanizmalarının kullanılabileceği dikkate alınmalıdır.

3. Kişisel Veri Güvenliği:

Veri sorumlularından bu amaca hizmet edecek doğrulama mekanizmalarının tercih edilmesi; bu kapsamda, farklı ilgili kişi gruplarına yönelik alternatif doğrulama mekanizmalarının sunulabileceği değerlendirilmektedir.

KVKK Kapsamında İhlal ve Yaptırımlar

İdari Para Cezaları

Kanun'un 18'inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun ve sektör temsilcilerinin bilgilendirilmesine karar verilmiştir.

KVKK Madde 18 Yaptırımları:

6698 sayılı Kanun'un 18. maddesi uyarınca, İlke Kararında belirtilen hususlara uygun hareket etmediği tespit edilen veri sorumlularına idari para cezası uygulanabilir.

Ceza Miktarları:

  • Kişisel veri güvenliği tedbirlerini almama
  • Veri sorumlusu sicil bildirimlerinde eksiklik
  • Aydınlatma yükümlülüğünü yerine getirmeme
  • KVKK'nın diğer hükümlerine aykırılık

hallerinde ilgili madde uyarınca idari para cezası uygulanması söz konusudur.

Başvuru Yolları

İlgili kişiler, sadakat kartı kullanımı sırasında kişisel veri güvenliği ihlali yaşadıklarını düşündüklerinde şu başvuru yollarını kullanabilirler:

1. Veri Sorumlusuna Başvuru

KVKK Madde 13:

İlgili kişi, veri sorumlusuna başvurarak:

  • Kişisel veri işlenip işlenmediğini öğrenme
  • İşlenmişse buna ilişkin bilgi talep etme
  • İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
  • Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
  • Eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme
  • Kişisel verilerin silinmesini veya yok edilmesini isteme
  • Düzeltme, silme veya yok etme işlemlerinin paylaşıldığı üçüncü kişilere bildirilmesini isteme
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin aleyhine bir sonucun ortaya çıkmasına itiraz etme
  • Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme

haklarına sahiptir.

2. Kişisel Verileri Koruma Kurumuna Şikayet

Veri sorumlusuna yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi halinde, ilgili kişi Kişisel Verileri Koruma Kurumu'na şikayette bulunabilir.

Başvuru Şekli:

  • Kurumun internet sitesi üzerinden online başvuru
  • Yazılı başvuru (Kişisel Verileri Koruma Kurumu Başkanlığı, Nasuh Akar Mah. Ziya Gökalp Cad. No: 8 Yenişehir/ANKARA)

Süre: Başvuru sonucunun öğrenilmesinden itibaren 30 gün, başvuruya cevap verilmemesi halinde 60 gün içinde yapılmalıdır.

3. Tüketici Hakem Heyeti ve Mahkeme Yolu

Sadakat kartı kullanımı sırasında maddi zarar oluşması durumunda:

Tüketici Hakem Heyeti:

  • 2026 yılı için 149.000 TL'ye kadar uyuşmazlıklarda
  • İlçe veya il tüketici hakem heyetlerine başvuru
  • Hızlı çözüm süreci

Tüketici Mahkemesi:

  • 149.000 TL üzeri uyuşmazlıklarda
  • İlk derece mahkemesi olarak tüketici mahkemelerine başvuru
  • Tam yargı davası olarak maddi tazminat talebi

İlke Kararının Pratik Etkileri

Tüketiciler Açısından

Olumlu Etkiler:

  • Sadakat kartı puanlarının güvenliği artacak
  • Üçüncü kişilerin yetkisiz puan kullanımı engellenecek
  • Kişisel verilerin korunması güçlenecek
  • Haksız fatura düzenlenmesi önlenecek

Dikkat Edilmesi Gerekenler:

  • Doğrulama kodlarının üçüncü kişilerle paylaşılmaması
  • Mobil uygulama/internet sitesi şifrelerinin güvenliği
  • Fiziki kartların kaybolması durumunda ivedilikle bildirim

İşletmeler Açısından

Yükümlülükler:

  • 6 ay içinde teknik altyapı kurulması
  • Personel eğitimi
  • Üyelik sözleşmelerinin güncellenmesi
  • Mevcut üyelere bilgilendirme

Maliyetler:

  • Yazılım ve donanım yatırımları
  • Eğitim programları
  • İletişim kampanyaları

Fırsatlar:

  • Müşteri güveninin artması
  • KVKK uyumluluğu
  • Veri güvenliği standartlarının yükselmesi

Sonuç

Kişisel Verileri Koruma Kurulu'nun 2026/266 sayılı İlke Kararı, sadakat kartı programlarında önemli bir güvenlik standardı getirmektedir. Bu karar, ilgili kişilerin sadakat kartı üyeliği kapsamında cep telefonu numarasının veya sadakat kart numarasının üçüncü kişiler tarafından kötüye kullanılmasını önlemeyi amaçlamaktadır.

28 Şubat 2026 tarihinde yayımlanan karar, veri sorumlularına 6 aylık bir uyum süresi tanımış olup, bu süre içerisinde SMS ile doğrulama kodu, mobil uygulama/internet sitesi üzerinden barkod/QR kod, fiziki kart okutma, şifre sistemi veya opt-in tercihi gibi doğrulama mekanizmalarından en az birinin kurulması gerekmektedir.

İlgili kişiler, kişisel veri güvenliği ihlali yaşadıklarında öncelikle veri sorumlusuna başvurabilir, başvurunun sonuçsuz kalması halinde Kişisel Verileri Koruma Kurumu'na şikayette bulunabilir. Ayrıca, maddi zarar oluşması durumunda Tüketici Hakem Heyeti veya Tüketici Mahkemesi yoluna başvurarak tazminat talep edebilirler.

Bu düzenleme, hem tüketicilerin kişisel veri güvenliğini güçlendirmekte hem de veri sorumluları için KVKK uyumluluğu açısından önemli bir yol haritası sunmaktadır.

Hukuki Danışmanlık

Sadakat kartı uygulamanız için KVKK uyumluluğu sağlamak, doğrulama mekanizmalarını kurmak veya kişisel veri güvenliği ihlali nedeniyle başvuru yapmak istiyorsanız, hukuki destek almanız hakların korunması açısından önemlidir.

KVKK uyum süreçlerinde:

  • İlke Kararı gerekliliklerinin analizi
  • Doğrulama mekanizmalarının hukuki değerlendirmesi
  • Üyelik sözleşmelerinin güncellenmesi
  • Aydınlatma metinlerinin hazırlanması
  • Veri sorumlusu sicil bildirimleri
  • İhlal durumunda başvuru süreçleri

konularında uzman hukuki desteğe ihtiyaç duyabilirsiniz.

İletişim sayfamızdan bize ulaşabilir, KVKK uyumluluğu ve kişisel veri güvenliği konularında danışmanlık alabilirsiniz.

Kaynaklar

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu
  • Kişisel Verileri Koruma Kurulu İlke Kararı 2026/266 (11 Şubat 2026)
  • 28 Şubat 2026 tarihli ve 33182 sayılı Resmi Gazete
  • KVKK Rehberleri (Kişisel Verileri Koruma Kurumu)

Yasal Uyarı: Bu yazı genel bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. Somut olayınız için bir avukata danışmanız gerekmektedir.