Mevzuatın Adı: Kişisel Verileri Koruma Kurulunun 11/02/2026 Tarihli ve 2026/266 Sayılı Kararı
28 Şubat 2026 Tarihli Resmi Gazete
Sayı: 33182
Kişisel Verileri Koruma Kurumundan:
Sadakat Kart Üyeliği Bulunan Bir Kişinin Cep Telefonu Numarasının veya Sadakat Kart Numarasının Üçüncü Bir Kişi Tarafından Alışveriş Esnasında Kullanılması Hakkında İlke Kararı
Karar No: 2026/266
Karar Tarihi: 11/02/2026
ÖZET:
28 Şubat 2026 tarihli Resmi Gazete’de yayımlanan Kişisel Verileri Koruma Kurumu’nun ilke kararı, sadakat kartlarının hukuka aykırı kullanımıyla ilgili önemli düzenlemeler getirdi. Kişisel verilerin güvenliğini sağlamak adına üçüncü şahıslar tarafından yapılan işlemler yasaklandı. Karara dair detaylar ve uyum süresi.
Kişisel Verileri Koruma Kurumu, bazı sektörlerdeki sadakat kart programlarının kötüye kullanımına dair gelen şikayetler üzerine bir İlke Kararı almıştır. Bu karar, sadakat kartı kullanan kişilerin cep telefonu numarası veya kart numarasının, kullanıcı bilgisi ve rızası olmadan üçüncü şahıslar tarafından kullanılarak alışveriş yapılmasının hukuka aykırı olduğunu vurgulamaktadır.
İlke Kararına göre:
- Sadakat kart üyelik bilgileri, veri sorumluları tarafından kişisel verilerin güvenliği ve doğru kullanımı sağlanacak şekilde işlenmelidir.
- Alışveriş esnasında üçüncü şahıslar tarafından sadakat kartı bilgileri kullanılarak işlem yapılması, kişisel veri güvenliğini ihlal eder ve hukuka aykırıdır.
- Verilerin işlenmesinde açık rıza ilkesi gereği, ilgili kişinin onayı alınmadan kişisel verilerin işlenmesi yasaktır.
- Bu uygulamalara son verilmesi ve doğrulama mekanizmaları kurulması gerektiği belirtilmiştir.
Yapılması Gerekenler:
- Veri sorumluları, sadakat kartlarından faydalanmak için SMS doğrulama kodları, QR/barkod okutma, veya şifreli işlem yöntemleri gibi güvenlik önlemleri almak zorundadır.
- Uygulama öncesinde 6 aylık bir uyum süresi tanınmıştır.
- Mevzuatın ihlaline devam eden veri sorumluları, 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde cezai işlemle karşılaşacaktır.
Bu karar, kişisel verilerin korunması açısından önemli bir adım olup, sadakat kartı programlarının doğru yönetilmesi ve kullanıcı rızasının alınması gerekliliğini vurgulamaktadır.
Muhtelif sektörlerde veri sorumluları tarafından yürütülmekte olan Sadakat Kart Programları kapsamında; sadakat kart sahibi ilgili kişiye ait cep telefonu numarasının alışveriş sırasında üçüncü bir şahıs tarafından kasa görevlisi ile paylaşılması suretiyle alışveriş yapıldığı; sadakat kart üzerinden yapılan bu alışveriş işleminin kasa görevlisi tarafından herhangi bir işlem onay kodu sisteme girilmeksizin gerçekleştirildiği; ilgili kişinin alışveriş işlemi sırasında kasada olmamasına, bilgisinin ve rızasının bulunmamasına rağmen veri sorumlusu tarafından ilgili kişiye ait cep telefonu numarasının üçüncü şahıs tarafından paylaşılması suretiyle kişisel verileri kullanılarak sadakat kaili üzerinden alışveriş yapılmasına olanak sağlandığı; ayrıca yapılan alışverişe ilişkin fatura vb. belgenin ilgili kişi adına düzenlenerek hukuka aykırı veri işleme faaliyetinin gerçekleştirildiği ve kişisel veri güvenliğinin ihlal edildiği hususlarında Kişisel Verileri Koruma Kurumuna (Kurum) muhtelif kanallardan ihbar ve şikayetler iletilmiş olup konuya ilişkin olarak Kişisel Verileri Koruma Kurulu (Kurul) tarafından İlke Kararı alınması gereği hasıl olmuştur.
Konuya ilişkin yapılan araştırma neticesinde;
• Gıda, kozmetik, teknoloji, yapı market, giyim vb. muhtelif sektörlerde faaliyet gösteren veri sorumlularınca yürütülen sadakat kart üyelik programları kapsamında bahse konu uygulamanın yaygın olduğu;
• Genel olarak sadakat kartın veri sorumluları tarafından üyelik sözleşmesi çerçevesinde ilgili kişilerin şahsi kullanımı için verildiği,
• Sadakat kart üyeliğinin, ilgili kişiye ait cep telefonu numarasına SMS yoluyla tek kullanımlık doğrulama kodu gönderilmesi, mobil uygulama/ internet sitesi üzerinden sağlanan barkod/ QR kod okutma vb. yöntemlerin kullanılması suretiyle gerçekleştirildiği,
• İlgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının kasadaki görevliye bildirilmesi suretiyle sadakat kart üzerinden alışveriş yapılabildiği, indirim ve promosyondan faydalanılabildiği,
• Sadakat kartın alışveriş esnasında indirim, promosyon, puan kazanımı gibi amaçlarla kullanımı için: alışverişin bizzat ilgili kişi tarafından veya ilgili kişinin bilgisi ve onayı dahilinde yapılıp yapılmadığına dair veri sorumlularınca herhangi bir doğrulama mekanizması oluşturulmaksızın, kasadaki görevliye yalnızca ilgili kişiye ait cep telefonu numarası veya sadakat kart numarasının bildirilmesi suretiyle sadakat kart üzerinden alışveriş işleminin gerçekleştirilebilmesine ilişkin uygulamanın yaygın Olduğu,
• Diğer taraftan; sadakat kart kullanımı ile kazanılan puanların harcanmasına ilişkin işlemlerde ise ilgili kişiye ait cep telefonu numarasına SMS yoluyla gönderilen tek kullanımlık doğrulama kodunun kasa görevlisine bildirilmesi, mobil uygulama/ internet sitesi üzerinden sağlanan barkodun/ QR kodun kasada okutulması vb. yöntemlerin kullanılması suretiyle oluşturulan doğrulama mekanizmalarının yaygın olarak kullanıldığı.
• Sadakat kart üzerinden gerçekleştirilen alışveriş işlemi sonucunda düzenlenen fatura vb. belgenin sıklıkla sadakat kart sahibi ilgili kişi adına düzenlendiği ve yapılan alışverişe ilişkin müşteri işlem bilgilerinin (satın alınan ürün/hizmet, satın alma tarihi vb.) ilgili kişi ile ilgili kayıtlar arasına işlendiği; bu nedenle, sadakat kart sahibi ilgili kişinin bilgisi ve rızası olmaksızın cep telefonu numarasının veya sadakat kart numarasının üçüncü bir kişi tarafından alışverişte kullanımı halinde, ilgili kişiye ait kayıtlara/ üyelik hesabına hatalı müşteri işlem bilgisinin islenmesi veya ilgili kişi adına yapmadığı, bilgisi ve rızasının olmadığı bir alışverişe ilişkin fatura düzenlenmesi suretiyle kişisel veri ihlallerinin yaşanabildiği
tespit edilmiştir.
İlgili mevzuat hükümleri incelendiğinde;
• 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Genel ilkeler” başlıklı 4:üncü maddesinde; kişisel verilerin ancak Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği; kişisel verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma”, “doğru ve gerektiğinde güncel olma”, “belirli, açık ve meşru amaçlar için işlenme”, “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ve “ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkelerine uyulmasının zorunlu olduğu hükmüne yer verilmiştir.
• Kanun un ”Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği; (2) numaralı fıkrasında ise “kanunlarda açıkça öngörülmesi”, “fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması”, “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması”, “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”, “ilgili kişinin kendisi tarafından alenileştirilmiş olması”, “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması”, “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartlarından birinin varlığı hâlinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükme bağlanmıştır.
• Kanun un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hüküm altına alınmıştır.
Bu çerçevede: yapılan araştırmalar doğrultusunda, çeşitli sektörlerin temsilcilerinin de görüşleri alınmak suretiyle Sadakat Kart Programları kapsamında yaygın olduğu anlaşılan bahse konu uygulamaya ilişkin olarak Kurul tarafından yapılan değerlendirmeler neticesinde;
• İlgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının, bilgisi ve rızası olmaksızın üçüncü bir kişi tarafından alışveriş esnasında kasada görevli kişiye bildirilmesi suretiyle ilgili kişi adına alışveriş işlemi gerçekleştirilmesinin, Kanun’un 5’inci maddesinde yer alan herhangi bir veri işleme şartına dayandırılamayacağı ve hukuka aykırı kişisel veri işleme faaliyetine yol açacağı,
• İlgili kişiye ait cep telefonu numarası veya sadakat kart numarası kullanılarak ilgili kişinin bizzat kendisi tarafından yapılmayan, bilgisinin ve rızasının olmadığı bir alışveriş işlemine ilişkin olarak ilgili kişi adına fatura vb. belge düzenlenmesi ve/veya müşteri işlem bilgisinin (hangi mağazadan, hangi tarihte, hangi ürünün satın alındığı vb.) ilgili kişi ile ilgili kayıtlara/ üyelik hesabına işlenmesi suretiyle gerçekleşen kişisel veri işleme faaliyetinin Kanun’un 4’üncü maddesinde öngörülen “doğru ve gerekliğinde güncel olma” ilkesine aykırılık teşkil edeceği,
• Her ne kadar veri sorumluları tarafından Sadakat Kart Üyelik Sözleşmesi kapsamında ilgili kişilerin şahsi kullanımına yönelik olarak düzenlenen sadakat kartın üçüncü kişilere kullandırılmaması hususunda ilgili kişilere sorumluluk yüklenmiş olsa da bu durumun veri sorumluları tarafından yürütülen kişisel veri işleme faaliyetlerinde Kanunun 12’nci maddesinde düzenlenen kişisel veri güvenliğini sağlama yükümlülüğünü ortadan kaldırmadığı
değerlendirilmiş olup
• Kanun kapsamında hukuka aykırı olduğu değerlendirilen, ilgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının ilgili kişinin bilgisi ve rızası dışında üçüncü bir kişi İmalından alışveriş esnasında kasadaki görevliye bildirilmesi suretiyle sadakat kart üzerinden alışveriş işleminin yapılabilmesine imkân sağlayan uygulamaya son verilmesine,
• Sadakat kart üzerinden gerçekleşen alışveriş işlemlerine ilişkin kişisel veri işleme süreçlerinin Kanunda uygun olmasını teminen, Kanun’un 12’nci maddesinde düzenlenen gerekli teknik ve idari tedbirlerin veri sorumlularınca alınması gerektiğine,
• Sadakat kart sahibi ilgili kişinin cep telefonu numarasının veya sadakat kart numarasının kasa görevlisine bildirilmesi suretiyle gerçekleşen alışveriş işleminin ilgili kişinin bilgisi ve rızası dahilinde gerçekleştiğini doğrulamak amacıyla; sadakat kartların herhangi bir amaçla (üyelik oluşturma, alışverişte puan kazanımı, puan kullanımı, indirimden” promosyondan faydalanma vb.) kullanımı için ilgili kişilerin cep telefonu numarasına SMS yoluyla gönderilen tek kullanımlık doğrulama kodunun kasa görevlisine bildirilmesi: mobil uygulama/ internet sitesi üzerinden sağlanan barkodun/ QR kodun kasada okutulması; fiziki sadakat kartın kasada ibrazı/ okutulması; sadakat kart şifresinin kasada işlem cihazına girilmesi; sadakat kart programları kapsamında oluşturulan online üyelik hesabı üzerinden sadakat kart kullanımında yalnızca cep telefonu numarası bildirilmek suretiyle alışveriş esnasında hangi işlemlerin (alışverişte puan kazanma/ indirim veya promosyondan faydalanma/ puan harcama) yapılmasına onay verildiğine ilişkin “opt-in” olarak ilgili kişilere tercih imkanının sunulması vb. yöntemler kullanılmak suretiyle veri sorumluları tarafından doğrulama mekanizmalarının oluşturulması gerektiğine,
• Alışveriş esnasında sadakat kari üyeliği bulunan ilgili kişinin cep telefonu numarasının veya sadakat kart numarasının ilgili kişinin bilgisi ve rızası olmaksızın üçüncü bir kişi tarafından kullanılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinde yaşanabilecek kişisel veri ihlallerini önlemeyi amaçlayan en uygun doğrulama yöntemlerinin kullanılmasının temel amaç olduğu dikkate alındığında; veri sorumluları tarafındım bu amaca hizmet edecek doğrulama mekanizmalarının tercih edilmesi gerektiği; bu kapsamda, farklı ilgili kişi gruplarına yönelik alternatif doğrulama mekanizmalarının sunulabileceği; sadakat kart uygulamasında üyelik doğrulama, puan/incirim/promosyon kazanma, puan harcama gibi farklı işlem türlerine ve bu işlemlerin risk oranına göre farklı doğrulama mekanizmalarının kullanılabileceğine,
• Bahse konu doğrulama mekanizmalarının oluşturulabilmesi için veri sorumlularına bu İlke Kararının yayımlanma tarihinden itibaren 6 aylık uyum süresi öngörülmesine,
• Bahse konu önlemleri almayarak, Kanun hükümlerine aykırı şekilde bu uygulamaya devam eden, bu İlke Kararında belirtilen hususlara uygun hareket etmediği tespit edilen veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun ve sektör temsilcilerinin bilgilendirilmesine,
• Kanun’un 15’inci maddesinin altıncı fıkrası hükmü uyarınca alınan bu İlke Kararının Resmi Gazetede ve Kurumun internet sitesinde yayımlanmasına
oybirliği ile karar verilmiştir.
