KVKK Sadakat Kartı Kararı: Üye Kartı Uygulamalarında Veri İşleme Kuralları

KVKK’dan Sadakat Kartı (Üyelik Kartı) Uygulamalarına İlişkin Yeni İlke Kararı: Mağazalarda Telefon Numarası Söyleme Devri Kapanıyor

Kişisel Verileri Koruma Kurulu (KVKK), 2 Şubat 2026 tarihli ve 2026/266 sayılı İlke Kararı’nı 28 Şubat 2026 tarihli Resmî Gazete’de yayımladı. Bu karar; gıda, giyim, teknoloji ve kozmetik gibi pek çok sektörde yaygın olarak kullanılan sadakat kartı (clubcard) programlarında köklü değişiklikler getiriyor.

Yeni düzenlemeyle birlikte, özellikle kasalarda herhangi bir doğrulama yapılmaksızın sadece cep telefonu numarası söylenerek gerçekleştirilen işlemler hukuka aykırı kabul edildi. İşletmelerin idari ve mali yaptırımlarla karşılaşmamak için veri işleme süreçlerini acilen güncellemeleri gerekiyor.

Sadakat Kartlarında Mevcut Sorun Neydi?

Birçok mağazada tüketiciler, alışveriş yaparken indirim veya puan kazanmak amacıyla cep telefonu numaralarını ya da kart numaralarını kasiyere sözlü olarak beyan ediyordu. Kurum’a ulaşan şikâyetlere göre bu durum şu ihlallere yol açıyordu:

• Yetkisiz Kullanım: Kasiyerlerin, sistem üzerinden herhangi bir onay kodu girmeden, üçüncü kişilere ait telefon numaralarıyla işlemi tamamlayabilmesi.
• Rıza Dışı İşlem: Kart sahibinin bilgisi ve rızası dışında hesabı üzerinden işlemler yapılması.
• Hatalı Veri Kaydı: Yapılan bu alışverişlere ilişkin fatura ve işlem bilgilerinin (alınan ürün, tarih vb.), işlemi yapmayan asıl kart sahibi adına düzenlenerek hatalı kayıtlar oluşturulması.

KVKK’nın Hukuki Değerlendirmesi: “Sözleşmeye Güvenmek Yeterli Değil”

Kurul, asıl kart sahibinin bilgisi dışında bir numara beyan edilerek işlem yapılmasının, kanundaki hiçbir veri işleme şartına dayanmadığını belirtti. Ayrıca bu durum, kişisel verilerin “doğru ve gerektiğinde güncel olma” ilkesini açıkça ihlal etmektedir.

Kararın en dikkat çekici noktalarından biri de veri güvenliği yükümlülüğü ile ilgilidir. İşletmeler (veri sorumluları), Üyelik Sözleşmesi’ne “kartın üçüncü kişilere kullandırılmaması” sorumluluğunu müşteriye yüklese dahi, bu durum işletmenin kişisel verilerin güvenliğini sağlama yükümlülüğünü ortadan kaldırmamaktadır.

İşletmeler Uyum İçin Neler Yapmalı?

Bu karar, sadece telefon numarası beyanıyla alışveriş yapılmasına olanak tanıyan güvensiz uygulamalara son verilmesini zorunlu kılıyor. İşletmelerin hayata geçirebileceği yeni doğrulama mekanizmaları şunlardır:

• Tek Kullanımlık Kod (SMS): Müşterinin telefonuna SMS ile doğrulama kodu gönderilmesi ve bu kodun kasada sorgulanması.
• Mobil Uygulama / QR Kod: Mobil uygulama üzerinden üretilen dinamik bir barkod veya QR kodun kasada okutulması.
• Fiziksel Kart veya Şifre: Fiziksel kartın ibrazı veya POS cihazı üzerinden kart şifresinin girilmesi.
• Çevrimiçi Onay: Müşterilerin sadece numara ile işlem yapabilmesi için önceden online ortamda özel bir onay (opt-in) vermiş olması.

6 Aylık Uyum Süresine Dikkat!

Kurul, veri sorumlularına gerekli teknik ve idari tedbirleri almaları için 6 aylık bir uyum süresi tanımıştır. Bu süre, kararın yayımlandığı tarihten itibaren başlamıştır. Bu süre zarfında gerekli güvenlik önlemlerini almayan ve eski uygulamalara devam eden işletmeler hakkında idari para cezaları uygulanacaktır.

Hukuki Desteğimizle Yanınızdayız: İşletmenizin sadakat programlarının ve KVKK uyum süreçlerinin denetlenmesi, üyelik sözleşmelerinin revize edilmesi ve idari para cezalarından korunmak için hukuk büromuzla iletişime geçebilirsiniz.

Yasal Uyarı: Bu makalede yer alan bilgiler sadece genel bilgilendirme amaçlıdır. Hukuki tavsiye, profesyonel danışmanlık veya bağlayıcı bir hukuki görüş teşkil etmez. Kanun ve yönetmelikler değişikliğe tabidir. Bu makaleye erişilmesi, okuyucu ile Karacabey Hukuk arasında bir avukat-müvekkil ilişkisi kurmaz. Özel durumunuzla ilgili aksiyon almadan önce yetkin bir hukukçuya danışmanızı öneririz.