Sadakat Kartı Uygulamarında Yeni Düzen

2026/266 Kişisel Verileri Koruma Kurulunun 11/02/2026 Tarihli ve 2026/266 Sayılı Kararı ile sadakat kartı programları kapsamında başka kişilerin cep telefonu numaralarının alışverişlerde kullanılması ele alınmıştır.

Buna göre uygulamada sadakat kartı sahibi ilgili kişiye ait cep telefonu numarasının alışveriş sırasında üçüncü bir şahıs tarafından kasa görevlisi ile paylaşılması suretiyle alışveriş yapılması; sadakat kartı üzerinden yapılan bu alışveriş işleminin kasa görevlisi tarafından herhangi bir işlem onay kodu sisteme girilmeksizin gerçekleştirilmesi; ilgili kişinin alışveriş işlemi sırasında kasada olmamasına, bilgisinin ve rızasının bulunmamasına rağmen veri sorumlusu tarafından ilgili kişiye ait cep telefonu numarasının üçüncü şahıs tarafından paylaşılması suretiyle kişisel verileri kullanılarak sadakat kartı üzerinden alışveriş yapılmasına olanak sağlanması ayrıca yapılan alışverişe ilişkin fatura vb. belgenin ilgili kişi adına düzenlenmesi gibi uygulamaların önüne geçmek için;

• 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”)  kapsamında hukuka aykırı olduğu değerlendirilen, ilgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının ilgili kişinin bilgisi ve rızası dışında üçüncü bir kişi tarafından alışveriş esnasında kasadaki görevliye bildirilmesi suretiyle sadakat kartı üzerinden alışveriş işleminin yapılabilmesine imkân sağlayan uygulamaya son verilmesine,
• Sadakat kartı üzerinden gerçekleşen alışveriş işlemlerine ilişkin kişisel veri işleme süreçlerinin Kanun’a uygun olmasını teminen, Kanun’un 12’nci maddesinde düzenlenen gerekli teknik ve idari tedbirlerin veri sorumlularınca alınması gerektiğine,
• Sadakat kartı sahibi ilgili kişinin cep telefonu numarasının veya sadakat kartı numarasının kasa görevlisine bildirilmesi suretiyle gerçekleşen alışveriş işleminin ilgili kişinin bilgisi ve rızası dahilinde gerçekleştiğini doğrulamak amacıyla doğrulama mekanizmalarının oluşturulması gerektiğine

karar verilmiştir.

Doğrulama mekanizmalarına örnek olarak;

• sadakat kartlarının herhangi bir amaçla (üyelik oluşturma, alışverişte puan kazanımı, puan kullanımı, indirimden/promosyondan faydalanma vb.) kullanımı için ilgili kişilerin cep telefonu numarasına SMS yoluyla gönderilen tek kullanımlık doğrulama kodunun kasa görevlisine bildirilmesi;
• mobil uygulama/internet sitesi üzerinden sağlanan barkodun/ QR kodun kasada okutulması;
• fiziki sadakat kartının kasada ibrazı/okutulması;
• sadakat kartı şifresinin kasada işlem cihazına girilmesi;
• sadakat kartı programları kapsamında oluşturulan üyelik hesabı üzerinden sadakat kartı kullanımında yalnızca cep telefonu numarası bildirilmek suretiyle alışveriş esnasında hangi işlemlerin (alışverişte puan kazanma/ indirim veya promosyondan faydalanma/ puan harcama) yapılmasına onay verildiğine ilişkin “opt-in” olarak ilgili kişilere tercih imkanının sunulması vb.

verilmiştir.

Alışveriş esnasında sadakat kartı üyeliği bulunan ilgili kişinin cep telefonu numarasının veya sadakat kartı numarasının ilgili kişinin bilgisi ve rızası olmaksızın üçüncü bir kişi tarafından kullanılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinde yaşanabilecek kişisel veri ihlallerini önlemeyi amaçlayan en uygun doğrulama yöntemlerinin kullanılmasının temel amaç olduğu dikkate alındığında; veri sorumluları tarafından bu amaca hizmet edecek doğrulama mekanizmalarının tercih edilmesi gerektiği; bu kapsamda, farklı ilgili kişi gruplarına yönelik alternatif doğrulama mekanizmalarının sunulabileceği; sadakat kartı uygulamasında üyelik doğrulama, puan/indirim/promosyon kazanma, puan harcama gibi farklı işlem türlerine ve bu işlemlerin risk oranına göre farklı doğrulama mekanizmalarının kullanılabileceği de belirtilmiştir.

Bahse konu doğrulama mekanizmalarının oluşturulabilmesi için veri sorumlularına bu İlke Kararının yayımlanma tarihinden itibaren 6 aylık uyum süresi öngörülmüştür.