28 Şubat 2026 tarihli Resmi Gazete’de yayımlanan Kişisel Verileri Koruma Kurulu’nun (‘’Kurul’’) 11 Şubat 2026 tarih ve 2026/266 sayılı İlke Kararı (“Karar’’) kapsamında sadakat kart programları kapsamında gerçekleştirilen bazı alışveriş uygulamaları değerlendirilmiştir.
İlgili karar uyarınca Kurul tarafından, bir müşteriye ait cep telefonu numarası veya sadakat kart numarasının, ilgili kişinin bilgisi ve rızası olmaksızın üçüncü kişiler tarafından alışveriş sırasında kasa görevlisine bildirilmesi suretiyle alışveriş işlemi gerçekleştirilmesi, ilgili kişi adına fatura vb. belge düzenlenmesi ve alışverişe ilişkin işlem kayıtlarının ilgili kişi kayıtlarına işlenmesi uygulamalarının;
- 6698 s. Kanun’un (“Kanun”) 5. maddesinde yer alan herhangi bir veri işleme şartına dayandırılamayacağı ve hukuka aykırı kişisel veri işleme faaliyetine yol açacağı,
- Kanun’un 4. maddesinde öngörülen “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil edebileceği,
- Kanun’un 12’nci maddesinde düzenlenen kişisel veri güvenliğini sağlama yükümlülüğü kapsamında hukuka aykırılık oluşturabileceği
ifade edilmiştir.
Bu kapsamda Kurul tarafından;
- Söz konusu alışveriş işlemlerine imkân sağlayan uygulamalara son verilmesi,
- Veri sorumlularınca gerekli teknik ve idari tedbirlerin alınması,
- Sadakat kart uygulamalarında üyelik doğrulama, puan/indirim/promosyon kazanma ve puan harcama gibi farklı işlem türleri ve bu işlemlerin risk oranına göre farklı doğrulama mekanizmalarının uygulanması
gerektiği belirtilmiştir.
Bahse konu doğrulama mekanizmalarının oluşturulabilmesi için veri sorumlularına İlke Kararının yayımlanma tarihinden itibaren 6 aylık uyum süresi öngörülmüştür.
Karar’ın tamamına buradan ulaşabilirsiniz.
Saygılarımızla,
Balay, Eryiğit & Erten
