MEVBANK NEO GİRİŞ

MEVZUATTAKİ SON
DEĞİŞİKLİKLER

R.Gazete No: 33182

R.G. Tarihi: 28.02.2026

 

 

Kişisel Verileri Koruma Kurumundan:


Sadakat Kart Üyeliği Bulunan Bir Kişinin Cep Telefonu Numarasının veya Sadakat
Kart Numarasının Üçüncü Bir Kişi Tarafından Alışveriş Esnasında Kullanılması

Hakkında İlke Kararı


Karar No: 2026/266

Karar Tarihi: 11/02/2026



Muhtelif sektörlerde veri sorumluları tarafından yürütülmekte olan Sadakat Kart Programları kapsamında; sadakat kart sahibi ilgili kişiye ait cep telefonu numarasının alışveriş sırasında üçüncü bir şahıs tarafından kasa görevlisi ile paylaşılması suretiyle alışveriş yapıldığı; sadakat kart üzerinden yapılan bu alışveriş işleminin kasa görevlisi tarafından herhangi bir işlem onay kodu sisteme girilmeksizin gerçekleştirildiği; ilgili kişinin alışveriş işlemi sırasında kasada olmamasına, bilgisinin ve rızasının bulunmamasına rağmen veri sorumlusu tarafından ilgili kişiye ait cep telefonu numarasının üçüncü şahıs tarafından paylaşılması suretiyle kişisel verileri kullanılarak sadakat kartı üzerinden alışveriş yapılmasına olanak sağlandığı; ayrıca yapılan alışverişe ilişkin fatura vb. belgenin ilgili kişi adına düzenlenerek hukuka aykırı veri işleme faaliyetinin gerçekleştirildiği ve kişisel veri güvenliğinin ihlal edildiği hususlarında Kişisel Verileri Koruma Kurumuna (Kurum) muhtelif kanallardan ihbar ve şikayetler iletilmiş olup konuya ilişkin olarak Kişisel Verileri Koruma Kurulu (Kurul) tarafından İlke Kararı alınması gereği hasıl olmuştur.


Konuya ilişkin yapılan araştırma neticesinde;


      Gıda, kozmetik, teknoloji, yapı market, giyim vb. muhtelif sektörlerde faaliyet gösteren veri sorumlularınca yürütülen sadakat kart üyelik programları kapsamında bahse konu uygulamanın yaygın olduğu;

      Genel olarak sadakat kartın veri sorumluları tarafından üyelik sözleşmesi çerçevesinde ilgili kişilerin şahsi kullanımı için verildiği,

      Sadakat kart üyeliğinin, ilgili kişiye ait cep telefonu numarasına SMS yoluyla tek kullanımlık doğrulama kodu gönderilmesi, mobil uygulama / internet sitesi üzerinden sağlanan barkod/ QR kod okutma vb. yöntemlerin kullanılması suretiyle gerçekleştirildiği,

      İlgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının kasadaki görevliye bildirilmesi suretiyle sadakat kart üzerinden alışveriş yapılabildiği, indirim ve promosyondan faydalanılabildiği,

      Sadakat kartın alışveriş esnasında indirim, promosyon, puan kazanımı gibi amaçlarla kullanımı için: alışverişin bizzat ilgili kişi tarafından veya ilgili kişinin bilgisi ve onayı dahilinde yapılıp yapılmadığına dair veri sorumlularınca herhangi bir doğrulama mekanizması oluşturulmaksızın, kasadaki görevliye yalnızca ilgili kişiye ait cep telefonu numarası veya sadakat kart numarasının bildirilmesi suretiyle sadakat kart üzerinden alışveriş işleminin gerçekleştirilebilmesine ilişkin uygulamanın yaygın olduğu,

      Diğer taraftan; sadakat kart kullanımı ile kazanılan puanların harcanmasına ilişkin işlemlerde ise ilgili kişiye ait cep telefonu numarasına SMS yoluyla gönderilen tek kullanımlık doğrulama kodunun kasa görevlisine bildirilmesi, mobil uygulama/ internet sitesi üzerinden sağlanan barkodun/ QR kodun kasada okutulması vb. yöntemlerin kullanılması suretiyle oluşturulan doğrulama mekanizmalarının yaygın olarak kullanıldığı.

      Sadakat kart üzerinden gerçekleştirilen alışveriş işlemi sonucunda düzenlenen fatura vb. belgenin sıklıkla sadakat kart sahibi ilgili kişi adına düzenlendiği ve yapılan alışverişe ilişkin müşteri işlem bilgilerinin (satın alınan ürün/hizmet, satın alma tarihi vb.) ilgili kişi ile ilgili kayıtlar arasına işlendiği; bu nedenle, sadakat kart sahibi ilgili kişinin bilgisi ve rızası olmaksızın cep telefonu numarasının veya sadakat kart numarasının üçüncü bir kişi tarafından alışverişte kullanımı halinde, ilgili kişiye ait kayıtlara/ üyelik hesabına hatalı müşteri işlem bilgisinin işlenmesi veya ilgili kişi adına yapmadığı, bilgisi ve rızasının olmadığı bir alışverişe ilişkin fatura düzenlenmesi suretiyle kişisel veri ihlallerinin yaşanabildiği 

tespit edilmiştir.


İlgili mevzuat hükümleri incelendiğinde;

      6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (Kanun) "Genel ilkeler" başlıklı 4:üncü maddesinde; kişisel verilerin ancak Kanun'da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği; kişisel verilerin işlenmesinde "hukuka ve dürüstlük kurallarına uygun olma", "doğru ve gerektiğinde güncel olma", "belirli, açık ve meşru amaçlar için işlenme", "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ve "ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme" ilkelerine uyulmasının zorunlu olduğu hükmüne yer verilmiştir.

      Kanun un "Kişisel verilerin işlenme şartları" başlıklı 5'inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği; (2) numaralı fıkrasında ise "kanunlarda açıkça öngörülmesi", "fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması", "bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması", "veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması". "ilgili kişinin kendisi tarafından alenileştirilmiş olması", "bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması", "ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması " şartlarından birinin varlığı hâlinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükme bağlanmıştır.

•      Kanun'un "Veri güvenliğine ilişkin yükümlülükler" başlıklı 12'nci maddesinin (1) numaralı fıkrasında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hüküm altına alınmıştır.


Bu çerçevede: yapılan araştırmalar doğrultusunda, çeşitli sektörlerin temsilcilerinin de görüşleri alınmak suretiyle Sadakat Kart Programları kapsamında yaygın olduğu anlaşılan bahse konu uygulamaya ilişkin olarak Kurul tarafından yapılan değerlendirmeler neticesinde;


       İlgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının, bilgisi ve rızası olmaksızın üçüncü bir kişi tarafından alışveriş esnasında kasada görevli kişiye bildirilmesi suretiyle ilgili kişi adına alışveriş işlemi gerçekleştirilmesinin, Kanun'un 5'inci maddesinde yer alan herhangi bir veri işleme şartına dayandırılamayacağı ve hukuka aykırı kişisel veri işleme faaliyetine yol açacağı,

       İlgili kişiye ait cep telefonu numarası veya sadakat kart numarası kullanılarak ilgili kişinin bizzat kendisi tarafından yapılmayan, bilgisinin ve rızasının olmadığı bir alışveriş işlemine ilişkin olarak ilgili kişi adına fatura vb. belge düzenlenmesi ve/veya müşteri işlem bilgisinin (hangi mağazadan, hangi tarihte, hangi ürünün satın alındığı vb.) ilgili kişi ile ilgili kayıtlara/ üyelik hesabına işlenmesi suretiyle gerçekleşen kişisel veri işleme faaliyetinin Kanun'un 4'üncü maddesinde öngörülen "doğru ve gerektiğinde güncel olma" ilkesine aykırılık teşkil edeceği,

       Her ne kadar veri sorumluları tarafından Sadakat Kart Üyelik Sözleşmesi kapsamında ilgili kişilerin şahsi kullanımına yönelik olarak düzenlenen sadakat kartın üçüncü kişilere kullandırılmaması hususunda ilgili kişilere sorumluluk yüklenmiş olsa da bu durumun veri sorumluları tarafından yürütülen kişisel veri işleme faaliyetlerinde Kanunun 12'nci maddesinde düzenlenen kişisel veri güvenliğini sağlama yükümlülüğünü ortadan kaldırmadığı


değerlendirilmiş olup


       Kanun kapsamında hukuka aykırı olduğu değerlendirilen, ilgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının ilgili kişinin bilgisi ve rızası dışında üçüncü bir kişi tarafından alışveriş esnasında kasadaki görevliye bildirilmesi suretiyle sadakat kart üzerinden alışveriş işleminin yapılabilmesine imkân sağlayan uygulamaya son verilmesine,

       Sadakat kart üzerinden gerçekleşen alışveriş işlemlerine ilişkin kişisel veri işleme süreçlerinin Kanun'a uygun olmasını teminen, Kanun'un 12'nci maddesinde düzenlenen gerekli teknik ve idari tedbirlerin veri sorumlularınca alınması gerektiğine,

       Sadakat kart sahibi ilgili kişinin cep telefonu numarasının veya sadakat kart numarasının kasa görevlisine bildirilmesi suretiyle gerçekleşen alışveriş işleminin ilgili kişinin bilgisi ve rızası dahilinde gerçekleştiğini doğrulamak amacıyla; sadakat kartların herhangi bir amaçla (üyelik oluşturma, alışverişte puan kazanımı, puan kullanımı, indirimden promosyondan faydalanma vb.) kullanımı için ilgili kişilerin cep telefonu numarasına SMS yoluyla gönderilen tek kullanımlık doğrulama kodunun kasa görevlisine bildirilmesi: mobil uygulama/ internet sitesi üzerinden sağlanan barkodun/ QR kodun kasada okutulması; fiziki sadakat kartın kasada ibrazı/ okutulması; sadakat kart şifresinin kasada işlem cihazına girilmesi; sadakat kart programları kapsamında oluşturulan online üyelik hesabı üzerinden sadakat kart kullanımında yalnızca cep telefonu numarası bildirilmek suretiyle alışveriş esnasında hangi işlemlerin (alışverişte puan kazanma/ indirim veya promosyondan faydalanma/ puan harcama) yapılmasına onay verildiğine ilişkin "opt-in" olarak ilgili kişilere tercih imkanının sunulması vb. yöntemler kullanılmak suretiyle veri sorumluları tarafından doğrulama mekanizmalarının oluşturulması gerektiğine,

       Alışveriş esnasında sadakat kart üyeliği bulunan ilgili kişinin cep telefonu numarasının veya sadakat kart numarasının ilgili kişinin bilgisi ve rızası olmaksızın üçüncü bir kişi tarafından kullanılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinde yaşanabilecek kişisel veri ihlallerini önlemeyi amaçlayan en uygun doğrulama yöntemlerinin kullanılmasının temel amaç olduğu dikkate alındığında; veri sorumluları tarafından bu amaca hizmet edecek doğrulama mekanizmalarının tercih edilmesi gerektiği; bu kapsamda, farklı ilgili kişi gruplarına yönelik alternatif doğrulama mekanizmalarının sunulabileceği; sadakat kart uygulamasında üyelik doğrulama, puan/indirim/promosyon kazanma, puan harcama gibi farklı işlem türlerine ve bu işlemlerin risk oranına göre farklı doğrulama mekanizmalarının kullanılabileceğine,

       Bahse konu doğrulama mekanizmalarının oluşturulabilmesi için veri sorumlularına bu İlke Kararının yayımlanma tarihinden itibaren 6 aylık uyum süresi öngörülmesine,

       Bahse konu önlemleri almayarak, Kanun hükümlerine aykırı şekilde bu uygulamaya devam eden, bu İlke Kararında belirtilen hususlara uygun hareket etmediği tespit edilen veri sorumluları hakkında Kanun'un 18'inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun ve sektör temsilcilerinin bilgilendirilmesine,

       Kanun'un 15'inci maddesinin altıncı fıkrası hükmü uyarınca alınan bu İlke Kararının Resmi Gazetede ve Kurumun internet sitesinde yayımlanmasına


oybirliği ile karar verilmiştir.

 

----------o----------

    × Popup Görseli

    E-Bültenimizi İnceleyin