- Tümünü Gör
- Altyapı Projeleri & Proje Finansmanı
- Birleşme & Devralmalar
- Banka & Finans
- Enerji & Doğal Kaynaklar
- Gayrimenkul Hukuku
- Rekabet Hukuku
- Uluslararası Ticaret ve Gümrük
- Kişisel Verilerin Korunması
- Genel Şirketler Hukuku
- Uyuşmazlık Çözümü
- Sermaye Piyasaları
- Beyaz Yaka Suçları & Yolsuzlukla Mücadele
- Varlık ve Servet Yönetimi
Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 11 Şubat 2026 tarihli ve 2026/266 sayılı İlke Kararı (“Karar”), 28 Şubat 2026 tarihli Resmî Gazete’de yayımlandı. Karar, sadakat kart üyeliği bulunan kişilere ait cep telefonu numarasının veya sadakat kart numarasının ilgili kişinin bilgisi ve rızası dışında üçüncü kişiler tarafından alışveriş sırasında kullanılmasını ve bu uygulamanın doğurduğu kişisel veri ihlallerini ele alıyor.
Kurul’a iletilen ihbar ve şikayetlere göre, gıda, kozmetik, teknoloji, giyim ve yapı market gibi sadakat programı yürüten çeşitli sektörlerde kasada yalnızca telefon numarası veya kart numarası beyan edilerek indirim ya da puan kazanımı/harcaması yapılabiliyor. Çoğu durumda işlemin gerçekten ilgili kişi tarafından gerçekleştirilip gerçekleştirilmediğini doğrulayan bir mekanizma bulunmuyor. Bu durum, faturaların sadakat kart sahibi adına düzenlenmesine ve işlem bilgilerinin ilgili kişinin üyelik hesabına işlenmesine imkan tanıyor; hatta işlemlerin ilgili kişinin bilgisi ve rızası dışında gerçekleşmesine yol açabiliyor.
Kurul, söz konusu uygulamanın 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 5. maddesindeki veri işleme şartlarından hiçbirine dayanamayacağını, 4. maddedeki doğruluk ilkesine aykırılık oluşturduğunu ve 12. maddedeki veri güvenliği yükümlülüğüyle bağdaşmadığını değerlendiriyor. Ayrıca, sadakat sözleşmelerinde sorumluluğun kullanıcıya yüklenmiş olmasının veri sorumlusunun bu yükümlülüklerini ortadan kaldırmadığını da açıkça ortaya koyuyor.
Bu değerlendirmeler ışığında Karar, veri sorumluları bakımından üç temel yükümlülük öngörüyor:
- ilgili kişinin bilgisi ve rızası dışında üçüncü kişiler tarafından sadakat kart numarası veya cep telefonu numarası kullanılarak işlem yapılmasına son verilmesi,
- uygun ve etkin doğrulama mekanizmalarının tesis edilmesi,
- söz konusu mekanizmaların Karar’ın yayım tarihinden itibaren 6 ay içinde hayata geçirilmesi.
Karar’da, doğrulama yükümlülüğünün somut ve uygulanabilir şekilde kurgulanması gerektiği belirtilerek şu yöntemlere işaret ediliyor:
- Kasada SMS ile doğrulama kodu (OTP) gönderilmesi,
- Mobil uygulama veya internet sitesi üzerinden QR kod / barkod kullanımı,
- Fiziksel sadakat kartın ibrazı,
- Sadakat kart şifresinin (PIN) girilmesi,
- İşlem bazlı onay tercihleri (örneğin yalnızca puan kazanımında numara beyanının yeterli olması, puan harcamasında ek doğrulama aranması gibi “opt-in” kurguları).
Ayrıca, işlem türüne ve risk seviyesine göre kademeli ve farklılaştırılmış doğrulama mekanizmalarının tasarlanabileceği de ifade edilmekte.
Karar, sadakat programı yürüten şirketler açısından doğrudan operasyonel sonuçlar doğuruyor. Yalnızca telefon numarası beyanına dayalı işlem akışları artık yeterli kabul edilmeyecek. Kasa süreçlerinin, üyelik sözleşmelerinin ve teknik altyapının birlikte gözden geçirilmesi; doğrulama mekanizmalarının ise sistematik ve izlenebilir şekilde yeniden kurgulanması gerekiyor.
Kararın yayım tarihinden itibaren öngörülen 6 aylık süre, şirketler açısından bir uyum takvimi niteliği taşıyor. Bu süre içinde gerekli teknik ve idari tedbirlerin alınmaması halinde, Kanun’un 18. maddesi kapsamında idari yaptırım riski gündeme gelebilecek.
Yazarlar: