SADAKAT KART ÜYELİĞİ BULUNAN BİR KİŞİNİN CEP TELEFONU NUMARASININ VEYA SADAKAT KART NUMARISININ ÜÇÜNCÜ BİR KİŞİ TARAFINDAN ALIŞVERİŞ ESNASINDA KULLANILMASI HAKKINDA İLKE KARARI RESMİ GAZETE’DE YAYIMLANDI

Kişisel Verileri Koruma Kurumu’na yapılan şikâyetler üzerine Kişisel Verileri Koruma Kurulu 11/02/2026 tarihli ve 2026/266 sayılı İlke Kararı yayımlamıştır. Kararda, alışveriş esnasında yalnızca cep telefonu numarasının ya da sadakat kart numarasının bildirilmesinin veri güvenliğinin sağlanması açısından yeterli bir yöntem olarak kabul edilemeyeceği; ilgili kişinin haberi ve rızası olmadan üçüncü kişilerce gerçekleştirilen işlemlerin, kişisel verilerin hukuka aykırı şekilde işlenmesine yol açabileceği belirtilmektedir.

Karara göre Hukuka Aykırı Kabul Edilen İşlemler

Gıda, kozmetik, teknoloji, yapı market ve giyim gibi birçok sektörde uygulanan sadakat kart programlarında; kart sahibine ait cep telefonu numarası veya kart numarasının, üçüncü kişiler tarafından kasa görevlisine söylenerek herhangi bir doğrulama yapılmadan alışverişte kullanılabildiği tespit edilmiştir. 

Bu uygulamanın, ilgili kişinin bilgisi ve açık rızası dışında kişisel verilerinin işlenmesine, kişinin gerçekleştirmediği alışverişler nedeniyle adına hatalı fatura düzenlenmesine, gerçeğe aykırı müşteri işlem kayıtlarının oluşturulmasına ve buna bağlı olarak kişisel veri ihlallerinin ortaya çıkmasına yol açabileceği değerlendirilmiştir.

Kurul’a göre bu uygulama:

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. maddesindeki veri işleme şartlarına dayandırılamaz.
  • Kanun’un 4. maddesindeki “doğru ve gerektiğinde güncel olma” ilkesine aykırılık oluşturabilir.
  • Kartın üçüncü kişilerce kullanılmaması yönünde sözleşmeye hüküm konulmuş olsa bile, bu durum veri sorumlusunun 12. maddede düzenlenen veri güvenliği yükümlülüğünü ortadan kaldırmaz.

Kurul, doğrulama yapılmadan üçüncü kişilerce sadakat kart kullanımına son verilmesine karar vermiştir.

Karar Uyarınca Veri Sorumluları Açısından Alınması Gereken Önlemler

Bu kapsamda veri sorumluları:

  • Sadakat kartın alışverişte kullanımı sırasında, işlemin kart sahibinin bilgisi ve rızasıyla yapıldığını doğrulayan mekanizmalar kurmak zorundadır.
  • Teknik ve idari tedbirleri almakla yükümlüdür.
  • Risk seviyesine göre farklı doğrulama yöntemleri (SMS kodu, mobil uygulama doğrulaması vb.) geliştirebilir.
  • Farklı kullanıcı gruplarına uygun alternatif doğrulama yöntemleri sunabilir.

Uyum Süresi ve İdari Yaptırım Uygulaması

Kararın Resmî Gazete’de yayımlanmasından itibaren 6 ay uyum süresi verilmiştir. Bu süre sonunda gerekli önlemleri almayan veri sorumluları hakkında Kanun’un 18. maddesi uyarınca idari yaptırım uygulanacaktır.

Herhangi bir sorunuz olması halinde, bizimle iletişime geçebilirsiniz.

Yılmazlar Hukuk
Author posts

Privacy Preference Center

Privacy Preferences