Türkiye: Sadakat Kartı Programlarına İlişkin Yeni Veri Koruma Kararı – Uluslararası Şirketler Neleri Bilmeli?
Yazar: Aigerim Sabit Bıkmaz
Türkiye Kişisel Verileri Koruma Kurumu (KVKK), 11 Şubat 2026 tarihli (No. 2026/266) İlke Kararı ile Türkiye’de sadakat kartı programlarının kullanımına ilişkin önemli bir düzenleme yayımlamıştır. Karar, sadakat kartı sahibine ait telefon numarasının veya kart numarasının, yeterli doğrulama yapılmaksızın üçüncü kişiler tarafından kullanılabilmesi riskine odaklanmaktadır. Bu karar, özellikle Türkiye’de müşteri sadakat programları yürüten perakendeciler, süpermarketler, e-ticaret platformları, restoran zincirleri ve benzeri işletmeler açısından büyük önem taşımaktadır.
Kararın Arka PlanıTürkiye’de birçok sadakat programı, müşterilerin satış noktasında yalnızca telefon numaralarını veya sadakat kartı numaralarını paylaşarak indirim elde etmelerine, puan toplamalarına veya kampanyalardan yararlanmalarına olanak tanımaktadır.
Ancak KVKK’ya yapılan şikâyetlere göre bu sistem sıklıkla şu durumlara yol açmaktadır:
KVKK’nın Hukuki Değerlendirmesi6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, kişisel verilerin işlenme amaç ve yöntemlerini belirleyen kişiler “veri sorumlusu” olarak kabul edilmektedir.
KVKK, yalnızca telefon numarası veya sadakat kartı numarasına dayanarak, herhangi bir doğrulama mekanizması olmaksızın işlem yapılmasının kişisel verilerin hukuka aykırı işlenmesine yol açabileceğini değerlendirmiştir.
Özellikle, veri sorumlularının:
Ayrıca, üçüncü bir kişinin sadakat kartı sahibine ait bilgilerle işlem yapması ve bu işlemin kart sahibinin profiline kaydedilmesi, verilerin doğruluğu ilkesine de aykırılık teşkil edebilecektir.
Şirketlerin YükümlülükleriKVKK, sadakat programı yürüten şirketlerin, sadakat avantajlarının kullanılmasına izin vermeden önce kimlik doğrulama mekanizmaları uygulamasını beklemektedir.
Kararda örnek olarak şu yöntemler belirtilmiştir:
Uyum SüresiTürkiye’de sadakat programı yürüten işletmelere, kararın yayımlanmasından itibaren 6 ay süre tanınmıştır.
Bu süre içinde gerekli önlemleri almayan şirketler, idari para cezaları ve diğer yaptırımlarla karşı karşıya kalabilir.
Uluslararası Şirketler Açısından ÖnemiTürkiye’de faaliyet gösteren veya Türkiye’deki müşterilere ait verileri işleyen yabancı şirketler için bu karar özel önem taşımaktadır.
Kasada yalnızca telefon numarası girilmesine dayanan sadakat sistemleri — birçok ülkede yaygın bir uygulama olmakla birlikte — artık Türkiye’de veri koruma mevzuatına uygun olmayabilir.
Bu nedenle şirketlerin aşağıdaki alanları gözden geçirmesi önerilmektedir:
Kararın Arka PlanıTürkiye’de birçok sadakat programı, müşterilerin satış noktasında yalnızca telefon numaralarını veya sadakat kartı numaralarını paylaşarak indirim elde etmelerine, puan toplamalarına veya kampanyalardan yararlanmalarına olanak tanımaktadır.
Ancak KVKK’ya yapılan şikâyetlere göre bu sistem sıklıkla şu durumlara yol açmaktadır:
- Başka bir kişinin telefon numarasının kasada kullanılması
- Sadakat puanları veya indirimlerin kart sahibinin kimliği doğrulanmadan kullanılması
- Satın alma işlemlerinin, fiilen başka biri tarafından yapılmış olmasına rağmen sadakat kartı sahibinin adına kaydedilmesi ve faturalandırılması
KVKK’nın Hukuki Değerlendirmesi6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, kişisel verilerin işlenme amaç ve yöntemlerini belirleyen kişiler “veri sorumlusu” olarak kabul edilmektedir.
KVKK, yalnızca telefon numarası veya sadakat kartı numarasına dayanarak, herhangi bir doğrulama mekanizması olmaksızın işlem yapılmasının kişisel verilerin hukuka aykırı işlenmesine yol açabileceğini değerlendirmiştir.
Özellikle, veri sorumlularının:
- Kişisel verileri hukuka ve dürüstlük kurallarına uygun şekilde işlemesi
- Yetkisiz erişim ve kötüye kullanımı önlemek için gerekli teknik ve idari tedbirleri alması
Ayrıca, üçüncü bir kişinin sadakat kartı sahibine ait bilgilerle işlem yapması ve bu işlemin kart sahibinin profiline kaydedilmesi, verilerin doğruluğu ilkesine de aykırılık teşkil edebilecektir.
Şirketlerin YükümlülükleriKVKK, sadakat programı yürüten şirketlerin, sadakat avantajlarının kullanılmasına izin vermeden önce kimlik doğrulama mekanizmaları uygulamasını beklemektedir.
Kararda örnek olarak şu yöntemler belirtilmiştir:
- Kart sahibine gönderilen SMS doğrulama kodu
- Mobil uygulama üzerinden doğrulama
- QR kod veya barkod doğrulaması
- Fiziksel sadakat kartının ibrazı
- Sadakat hesabına bağlı PIN veya şifre kullanımı
Uyum SüresiTürkiye’de sadakat programı yürüten işletmelere, kararın yayımlanmasından itibaren 6 ay süre tanınmıştır.
Bu süre içinde gerekli önlemleri almayan şirketler, idari para cezaları ve diğer yaptırımlarla karşı karşıya kalabilir.
Uluslararası Şirketler Açısından ÖnemiTürkiye’de faaliyet gösteren veya Türkiye’deki müşterilere ait verileri işleyen yabancı şirketler için bu karar özel önem taşımaktadır.
Kasada yalnızca telefon numarası girilmesine dayanan sadakat sistemleri — birçok ülkede yaygın bir uygulama olmakla birlikte — artık Türkiye’de veri koruma mevzuatına uygun olmayabilir.
Bu nedenle şirketlerin aşağıdaki alanları gözden geçirmesi önerilmektedir:
- Sadakat programı tasarımı
- Satış noktası (checkout) süreçleri
- Müşteri doğrulama mekanizmaları
- Veri koruma uyum süreçleri ve dokümantasyonu
