Sadakat Kartları Hakkında Kritik İlke Kararı: 6 Ay İçinde Sistemlerinizi Güncelleyin!

Kişisel Verileri Koruma Kurulu (KVKK), perakende, gıda, teknoloji ve giyim gibi pek çok sektörde yaygın olarak kullanılan Sadakat Kart (Loyalty Card) uygulamalarına yönelik ezber bozan bir İlke Kararı (No: 2026/266) yayımladı. 11 Şubat 2026 tarihli bu karar, müşteri verilerini işleyen tüm işletmeleri doğrudan ilgilendiriyor.

Sadakat Kart Uygulamalarında Yeni Dönem: Neler Yasaklandı?

Bugüne kadar kasalarda, kart sahibi yanında olmasa dahi sadece cep telefonu numarası beyan edilerek indirimlerden faydalanılabiliyordu. Ancak Kurul, bu durumun ciddi bir kişisel veri ihlali riski taşıdığına hükmetti. Üçüncü kişilerin, veri sahibinin rızası ve bilgisi dışında başkasına ait numaralarla işlem yapması; faturaların yanlış kişiler adına düzenlenmesine ve müşteri işlem geçmişinin hatalı kaydedilmesine neden oluyor.

Kurul Kararının Temel Dayanakları

Kurul, incelemesinde şu üç kritik noktaya dikkat çekmiştir:

  1. Veri İşleme Şartı Yokluğu: Başkasının verisi üzerinden işlem yapılması 6698 sayılı Kanun’un 5. maddesine aykırıdır.
  2. Doğruluk ve Güncellik İlkesi: Yanlış kişinin hesabına işlenen veriler, Kanun’un 4. maddesindeki “verilerin doğru ve güncel olması” ilkesini ihlal eder.
  3. Veri Sorumlusunun Güvenlik Yükümlülüğü: İşletmeler, kullanıcı sözleşmesine “kartınızı başkasına kullandırmayın” maddesi eklemiş olsa dahi; bu durum Kanun’un 12. maddesindeki teknik ve idari tedbir alma yükümlülüğünü ortadan kaldırmaz.

İşletmeler Ne Yapmalı? (Uyum Rehberi)

Karar uyarınca, veri sorumlularının artık doğrulama mekanizmaları oluşturması zorunlu hale gelmiştir. İşletmeler şu yöntemleri tercih edebilir:

  • SMS ile Tek Kullanımlık Kod (OTP): İşlem anında müşterinin telefonuna doğrulama kodu gönderilmesi.
  • Mobil Uygulama / QR Kod: Fiziksel kart yerine dijital ve doğrulanabilir yöntemlerin kullanımı.
  • Alternatif Yöntemler: Müşterinin teknoloji okuryazarlığına göre farklı (yaş, eğitim vb. kriterlere uygun) doğrulama seçenekleri sunulması.

6 Aylık Uyum Süresine Dikkat!

KVKK, bu yeni düzene geçiş için işletmelere İlke Kararının Resmî Gazete’de yayımlanmasından itibaren 6 aylık bir süre tanımıştır. Bu süre sonunda gerekli önlemleri almayan işletmeler hakkında, Kanun’un 18. maddesi uyarınca ağır idari para cezaları uygulanabilecektir.

Hukuki Riskleri Fırsata Çevirin

Bu süreç, ilk bakışta operasyonel bir yük gibi görünse de; müşteri güvenini artırmak ve veri kalitesini yükseltmek için büyük bir fırsattır. Hukuki riskleri minimize etmek ve KVKK uyum sürecinizi eksiksiz tamamlamak için uzman danışmanlık almak kritik önem taşır. Doğru bir strateji ile hem verilerinizi hem de işletmenizin itibarını koruyabilirsiniz.