USD 45,9522 ₺ EUR 53,3728 ₺ GBP 61,9096 ₺ CHF 58,3639 ₺ BIST 100 13.966 TCMB Faiz %50,00
↑↓ gezin esc kapat
Müşavirler Kulübü Gelişmiş Ara
Mevzuat Sorular Makaleler Araclar Hesapla Exceller SMMM Sinav Anketler
Tümü Vergi SGK Muhasebe e-Defter / e-Fatura Tartışmalar Bordro KDV Denetim Kurumlar Vergisi Mevzuat Şirketler Genel Enflasyon Muhasebesi Amortisman Tesvikler Muhasebe Kayitlari SMMM Sınavları Kira ve Gayrimenkul Is Hukuku Şirket İşlemleri Sirketler ve Ticaret Dış Ticaret Mali Musavirlik Meslegi Gayrimenkul ve Kira Gelir Vergisi Beyannameler Dis Ticaret ve Gumruk Damga Vergisi ve Harclar Ticaret Hukuku Denetim ve Uyum E-Ticaret ve Dijital Banka ve Finans Miras ve Veraset Ceza ve Uzlasma Serbest Tartışma Serbest Sohbet
Son Güncelleme: 03 Haziran 2026

KVKK Sadakat Kartı Kararı: Üçüncü Taraf Kullanımında Veri Koruma Yükümlülükleri

Kısa Özet

KVKK'nın 11 Şubat 2026 tarihli kararı, sadakat kartı bilgilerinin üçüncü kişilerce kullanımında veri sorumlularının alması gereken önlemleri ve mali müşavirler...

Pinar Celik
Pinar Celik
5 dk okuma 30 goruntuleme
KVKK Sadakat Kartı Kararı: Üçüncü Taraf Kullanımında Veri Koruma Yükümlülükleri

Giriş

Kişisel Verileri Koruma Kurulu (KVKK), 11 Şubat 2026 tarihli ve 2026/266 sayılı İlke Kararı ile sadakat kartı programlarında önemli bir düzenlemeye imza atmıştır. Bu karar, sadakat kart üyeliği bulunan bir kişinin cep telefonu numarasının veya sadakat kart numarasının, ilgili kişinin bilgisi ve rızası olmaksızın üçüncü bir kişi tarafından alışveriş esnasında kullanılmasının önüne geçmeyi hedeflemektedir. Özellikle perakende, akaryakıt, gıda ve benzeri sektörlerde yaygın olarak kullanılan sadakat programlarında karşılaşılan bu durum, kişisel veri ihlallerine yol açabilmekteydi. Mali müşavirler olarak, danışmanlık verdiğiniz işletmelerin bu yeni düzenlemeye uyum sağlaması için gerekli adımları atması büyük önem taşımaktadır.

Dikkat Edilmesi Gerekenler

Kurul'a ulaşan çok sayıda şikayet ve ihbar, sadakat kartlarıyla yapılan alışverişlerde, kart sahibinin bilgisi ve rızası olmadan üçüncü kişilerin cep telefonu numaralarını kasa görevlisine ileterek işlem yapabildiğini ortaya koymuştur. Bu durum, alışverişin kart sahibinin sistem kayıtlarına işlenmesine, hatalı müşteri işlem kaydı düşülmesine ve hatta kişinin bilgisi dışında adına fatura düzenlenmesine neden olabilmekteydi.

KVKK, bu tür uygulamaların 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) temel ilkelerine aykırılık teşkil ettiğini belirtmiştir. Özellikle;

  • Hukuka ve Dürüstlük Kurallarına Uygun Olma: İlgili kişinin rızası olmadan yapılan işlemler bu ilkeye aykırıdır.
  • Doğru ve Gerektiğinde Güncel Olma: Yanlış işlem kayıtları ve faturalar, verilerin doğruluğu ilkesini ihlal etmektedir.
  • Veri İşleme Şartları: Üçüncü taraf kullanımı, KVKK'nın 5. maddesinde belirtilen veri işleme şartlarından hiçbirine dayandırılamaz.
  • Veri Güvenliği Yükümlülüğü: Veri sorumlularının, kişisel verilerin hukuka aykırı işlenmesini ve erişimini önlemek için gerekli teknik ve idari tedbirleri alma yükümlülüğü bulunmaktadır. Bu karar, veri güvenliği yükümlülüğünün yalnızca sözleşmesel risk aktarımı ile bertaraf edilemeyeceğini bir kez daha teyit etmektedir.

Bu kararla birlikte, veri sorumlularının sadakat programlarını veri koruma hukukunun temel ilkeleri ekseninde yeniden konumlandırması gerekmektedir.

Yapılması Gerekenler

KVKK, veri sorumlularına, İlke Kararı'nın Resmî Gazete'de yayımlanma tarihinden itibaren 6 aylık bir uyum süresi tanımıştır (28 Şubat 2026 tarihli Resmi Gazete'de yayımlanmıştır). Bu süre zarfında işletmelerin aşağıdaki adımları atması gerekmektedir:

  • Doğrulama Mekanizmalarının Oluşturulması: Sadakat kartlarının üyelik oluşturma, puan kazanımı, puan kullanımı, indirimden/promosyondan faydalanma gibi herhangi bir amaçla alışveriş sırasında kullanılmasının ilgili kişinin bilgisi ve rızası dahilinde gerçekleştiğini doğrulamak amacıyla uygun teknik ve idari tedbirler alınmalıdır.
  • Kimlik Teyidi Yöntemleri: Tek kullanımlık SMS doğrulama kodu gönderilmesi, mobil uygulama/internet sitesi üzerinden sağlanan barkod/QR kod okutma veya sadakat kartı şifresinin kasada işlem cihazına girilmesi gibi yöntemler hukuka uygun doğrulama mekanizmaları olarak değerlendirilmektedir.
  • Aydınlatma Yükümlülüğünün Güncellenmesi: Sadakat programı kapsamında işlenen kişisel verilerin hangi amaçla, kim tarafından işlendiği, kimlere aktarılabileceği, hukuki dayanağı ve ilgili kişilerin hakları konusunda aydınlatma metinleri açık ve anlaşılır bir şekilde güncellenmelidir.
  • Rıza Yönetimi: Kişisel verilerin işlenmesi için açık rıza gerektiren durumlarda, rızanın belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle verilmiş olması sağlanmalıdır.
  • İhlal Yönetimi ve Denetim: Olası veri ihlallerine karşı etkin bir ihlal müdahale planı oluşturulmalı ve sadakat programı süreçleri düzenli olarak denetlenerek KVKK uyumu sürekli sağlanmalıdır.

Sonuç

KVKK'nın bu İlke Kararı, sadakat programları yürüten tüm veri sorumluları için önemli bir dönüm noktasıdır. Karara uyum sağlanmaması halinde, 6698 sayılı Kanun'un 18. maddesi uyarınca idari para cezaları gibi yaptırımlar uygulanabilecektir. Mali müşavirler olarak, danışmanlık verdiğiniz işletmelerin bu yeni düzenlemelere eksiksiz bir şekilde uyum sağlaması için proaktif bir rol üstlenmeniz, hem hukuki riskleri minimize edecek hem de işletmelerin itibarını koruyacaktır. Bu süreçte, işletmelerin mevcut sadakat kart altyapılarını gözden geçirmeleri, uygun doğrulama mekanizmalarını belirleyerek uygulamaya almaları ve gerekli idari düzenlemeleri tamamlamaları konusunda rehberlik etmeniz büyük önem arz etmektedir.

Yorumlar (0)

Yorum yapmak icin giris yapin.
Bu makaleye henuz yorum yapilmamis. Ilk yorumu siz yapin!
Akış Mevzuat
Sinav Giriş