Sadakat Kartlarda “Başkasının Numarasıyla İndirim” Dönemi Kapandı: KVKK 2026/266 Sayılı İlke Kararı

Alışveriş sırasında kasa görevlisine sadece bir cep telefonu numarası söyleyerek başkasının sadakat kartı üzerinden indirim almak veya puan toplamak, artık sadece bir “pratiklik” değil, ağır bir kişisel veri ihlalidir. Kişisel Verileri Koruma Kurulu (Kurul), 11/02/2026 tarihli ve 2026/266 sayılı ilke kararı ile bu yaygın uygulamaya son vererek, işletmelere 6 aylık uyum süresi tanıdı.

“Hatalı Veri” ve “Dürüstlük İlkesi” Aykırılığı

Bir kişinin bilgisi ve rızası olmaksızın, üçüncü bir şahsın onun telefon numarasını kullanarak alışveriş yapması, sistemde o kişi adına hatalı müşteri işlem bilgisi (satın alınan ürün, tarih, mağaza vb.) oluşmasına neden olmaktadır. Kurul, bu durumun 6698 sayılı Kanun’un 4. maddesinde yer alan “doğru ve gerektiğinde güncel olma” ilkesine açıkça aykırı olduğunu tespit etmiştir.

Mevzuat Notu (KVKK Md. 12): Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbiri almak zorundadır. Sadakat kartın şahsi kullanım sorumluluğunun üyeye yüklenmiş olması, veri sorumlusunun bu güvenlik yükümlülüğünü ortadan kaldırmaz.

Yeni Dönemde Doğrulama Mekanizmaları Zorunlu

Kurul, sadece telefon numarası beyanıyla işlem yapılmasına son verilmesini ve aşağıdaki doğrulama yöntemlerinden en az birinin kullanılmasını şart koşmuştur:

• SMS Doğrulama: İşlem anında ilgili kişinin telefonuna gelen tek kullanımlık kodun sisteme girilmesi.
• Dijital Barkod/QR Kod: Mobil uygulama veya internet sitesi üzerinden üretilen kodun kasada okutulması.
• Fiziki Kart veya Şifre: Sadakat kartın bizzat ibrazı veya üyenin kasada şifre girişi yapması.
• Tercih İmkanı (Opt-in): Üyelere, sadece numara bildirerek hangi işlemlerin (puan kazanma, indirim vb.) yapılabileceğine dair seçim imkanı sunulması.

Özgür Eralp Perspektifi: “Doğru Veri, Güvenli Ticaret”

Bilişim hukukunda 25 yılı devirirken ve 700’den fazla bilirkişi raporu tecrübesiyle sabit olan gerçek şudur: Doğrulama mekanizması olmayan her veri tabanı, bir gün hukuki bir yük haline gelir. Gıda, tekstil veya teknoloji fark etmeksizin, işletmelerin “müşteriyi bekletmeme” bahanesiyle güvenlikten ödün vermesi artık KVKK kapsamında kabul edilemez. Bir yatırımcı avukat olarak tavsiyem; işletmelerin bu 6 aylık süreci beklemeden teknik altyapılarını güncellemeleridir; zira hatalı düzenlenen her fatura, bir veri ihlali riskidir.

---

Sıkça Sorulan Sorular

1. Annemin veya eşimin telefon numarasını söyleyerek indirim alamaz mıyım? İlgili kişinin bilgisi ve rızası olsa dahi, veri sorumlusunun (mağazanın) bu rızayı doğrulama yükümlülüğü vardır. Yeni dönemde numara sahibine gelen SMS kodunu veya QR kodu ibraz etmeniz gerekecektir.

2. Mağazalar bu değişikliği ne zamana kadar yapmak zorunda? Kurul, ilke kararının yayım tarihinden (28 Şubat 2026) itibaren veri sorumlularına 6 aylık bir uyum süresi tanımıştır.

3. Sadece puan kazanırken de SMS kodu istenecek mi? Kurul, risk oranına göre farklı doğrulama mekanizmaları kullanılabileceğini belirtmiştir. Ancak numaranın rızasız kullanımını engellemek adına, puan kazanma işleminde de en azından bir “onay” mekanizması (SMS, uygulama onayı vb.) olması beklenmektedir.

4. Bu kurala uymayan işletmeleri şikayet edebilir miyim? Evet. Uyum süresi sonunda gerekli önlemleri almayan ve rızasız veri işlemeye devam eden işletmeler hakkında KVKK’nın 18. maddesi uyarınca idari işlem tesis edilecektir.

5. Faturanın başkası adına düzenlenmesi neden sorun? Alışverişi yapmayan kişinin adına fatura düzenlenmesi, o kişinin satın alma geçmişine hatalı verilerin işlenmesine ve “doğru veri” ilkesinin bozulmasına yol açar; bu da doğrudan bir kişisel veri ihlalidir.

---

Kaynaklar

• KVKK Kurumu – Sadakat Kart Programları Hakkında İlke Kararı (2026/266)
• Resmî Gazete – 28 Şubat 2026 (Sayı: 33182)
• 6698 Sayılı Kişisel Verilerin Korunması Kanunu (Madde 4, 5, 12)
• Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)
• TBB ve Ankara Barosu Bilişim Hukuku Yayınları