USD 45,9522 ₺ EUR 53,3728 ₺ GBP 61,9096 ₺ CHF 58,3639 ₺ BIST 100 13.966 TCMB Faiz %50,00
↑↓ gezin esc kapat
Müşavirler Kulübü Gelişmiş Ara
Mevzuat Sorular Makaleler Araclar Hesapla Exceller SMMM Sinav Anketler
Tümü Vergi SGK Muhasebe e-Defter / e-Fatura Tartışmalar Bordro KDV Denetim Kurumlar Vergisi Mevzuat Şirketler Genel Enflasyon Muhasebesi Amortisman Tesvikler Muhasebe Kayitlari SMMM Sınavları Kira ve Gayrimenkul Is Hukuku Şirket İşlemleri Sirketler ve Ticaret Dış Ticaret Mali Musavirlik Meslegi Gayrimenkul ve Kira Gelir Vergisi Beyannameler Dis Ticaret ve Gumruk Damga Vergisi ve Harclar Ticaret Hukuku Denetim ve Uyum E-Ticaret ve Dijital Banka ve Finans Miras ve Veraset Ceza ve Uzlasma Serbest Tartışma Serbest Sohbet
Son Güncelleme: 04 Haziran 2026

Sadakat Kartı Üyeliklerinde KVKK ve Kişisel Veri Güvenliği

Kısa Özet

KVKK'nın sadakat kartı üyeliklerinde kişisel verilerin hukuka aykırı işlenmesini yasaklayan yeni ilke kararı hakkında mali müşavirler için önemli bilgiler.

Filiz Gunes
Filiz Gunes
7 dk okuma 56 goruntuleme
Sadakat Kartı Üyeliklerinde KVKK ve Kişisel Veri Güvenliği

Giriş: Sadakat Kartlarında Yeni Dönem ve KVKK İlke Kararı

Kişisel Verileri Koruma Kurulu (KVKK), kişisel veri güvenliği alanında önemli bir adım atarak, 11 Şubat 2026 tarihli ve 2026/266 sayılı İlke Kararı'nı 28 Şubat 2026 tarihli Resmî Gazete'de yayımlamıştır. Bu karar, özellikle perakende sektöründe yaygın olarak kullanılan sadakat kartı üyeliklerinde kişisel verilerin hukuka aykırı işlenmesi ve üçüncü şahıslar tarafından yetkisiz kullanımının önüne geçmeyi hedeflemektedir. Mali müşavirler için büyük önem taşıyan bu düzenleme, müvekkillerinin veri işleme süreçlerini gözden geçirmelerini ve gerekli uyumu sağlamalarını zorunlu kılmaktadır.

İlke Kararı, sadakat kartı üyeliği bulunan bir kişinin cep telefonu numarasının veya sadakat kartı numarasının, ilgili kişinin bilgisi ve rızası olmaksızın üçüncü kişiler tarafından alışveriş esnasında kullanılmasına son verilmesini öngörmektedir. Kurul, bu tür uygulamaların 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) 5. maddesindeki veri işleme şartlarından hiçbirine dayanmadığını ve 4. maddedeki doğruluk ilkesine aykırılık teşkil ettiğini belirtmiştir. Ayrıca, veri sorumlularına, kişisel verilerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alma yükümlülüğü getirilmiştir.

Dikkat Edilmesi Gereken Temel Hususlar

KVKK'nın bu yeni İlke Kararı, sadakat kartı programları yürüten tüm veri sorumluları için ciddi yükümlülükler getirmektedir. Mali müşavirlerin müvekkillerini bilgilendirirken ve uyum süreçlerinde rehberlik ederken aşağıdaki hususlara özellikle dikkat etmeleri gerekmektedir:

  • Kararın Bağlayıcılığı ve Yürürlük Tarihi: Karar, Resmî Gazete'de yayımlandığı tarihten itibaren yürürlüğe girmiş olup, veri sorumlularına doğrulama mekanizmalarını oluşturmaları için 6 aylık bir uyum süresi tanınmıştır. Bu süre sonunda yükümlülüklere aykırı hareket eden veri sorumluları hakkında Kanun'un 18. maddesi uyarınca idari yaptırım uygulanacaktır.
  • "Kişisel Veri" ve "Hukuka Aykırı İşleme" Kavramlarının Genişliği: Sadakat kartı programları kapsamında toplanan ad, soyad, cep telefonu numarası, alışveriş geçmişi gibi tüm bilgiler kişisel veri niteliğindedir. Bu verilerin ilgili kişinin rızası dışında veya Kanun'da belirtilen diğer işleme şartlarına uygun olmaksızın kullanılması "hukuka aykırı işleme" olarak kabul edilecektir.
  • Üçüncü Şahısların Kapsamı: Karar, sadece doğrudan veri sorumlusu çalışanlarının değil, iş ortakları, pazarlama firmaları, IT hizmet sağlayıcıları gibi veriye erişimi olan tüm üçüncü şahısların yetkisiz kullanımlarını da kapsamaktadır. Veri sorumlusu, verinin paylaşıldığı her aşamada güvenliği sağlamakla yükümlüdür.
  • Veri Sorumlusunun Sorumluluğu: Sadakat sözleşmelerinde sorumluluğun kullanıcıya yüklenmiş olması, veri sorumlusunun KVKK'nın 12. maddesi kapsamındaki veri güvenliğini sağlama yükümlülüğünü ortadan kaldırmamaktadır. Veri sorumluları, ilgili kişinin bilgisi ve rızası dahilinde gerçekleştiğini doğrulayacak uygun teknik ve idari tedbirleri almak zorundadır.
  • Mevcut Sistemlerin Gözden Geçirilmesi: Tüm sadakat kartı programlarının ve veri işleme süreçlerinin bu İlke Kararı ışığında detaylı bir şekilde gözden geçirilmesi ve gerekli revizyonların yapılması şarttır.

Yapılması Gerekenler: Uyum Sürecinde Adımlar

Müvekkillerinizin KVKK İlke Kararı'na uyum sağlaması için aşağıdaki adımları atmaları kritik öneme sahiptir:

  1. Mevcut Durum Analizi ve Risk Değerlendirmesi:

    Müvekkillerinizin sadakat kartı programları kapsamında hangi kişisel verileri topladığını, bu verileri nasıl işlediğini, sakladığını ve kimlerle paylaştığını detaylı bir şekilde analiz edin. Mevcut veri akış şemalarını çıkarın ve olası hukuka aykırı işleme risklerini belirleyin. Özellikle üçüncü şahısların veri kullanımına ilişkin mevcut uygulamaları tespit edin.

  2. Aydınlatma Yükümlülüğü ve Açık Rıza Mekanizmalarının Güçlendirilmesi:

    Sadakat kartı üyelerinin kişisel verilerinin işlenmesi hakkında açık, anlaşılır ve şeffaf bir şekilde bilgilendirilmesini sağlayın. Veri işleme amaçları, aktarılan kişiler, saklama süreleri ve ilgili kişinin hakları konusunda aydınlatma metinlerini güncelleyin. Özellikle üçüncü şahıslarla veri paylaşımı için KVKK'ya uygun, ayrı ve spesifik açık rıza mekanizmaları oluşturulmasını temin edin. Açık rızanın geri alınması hakkının kolayca kullanılabilir olmasını sağlayın.

  3. Etkin Teknik ve İdari Tedbirlerin Uygulanması:

    Veri güvenliğini sağlamak amacıyla gerekli teknik ve idari tedbirlerin alınmasını sağlayın. Teknik tedbirler arasında veri şifreleme, güvenlik duvarları, sızma testleri, erişim loglarının tutulması ve düzenli yedekleme gibi uygulamalar yer almalıdır. İdari tedbirler ise yetkilendirme matrisleri, çalışanlara yönelik düzenli KVKK eğitimleri, gizlilik taahhütnameleri ve veri ihlal müdahale planlarını içermelidir. Kurul, SMS doğrulama kodları, QR/barkod okutma veya şifreli işlem yöntemleri gibi güvenlik önlemlerinin alınmasını zorunlu kılmıştır.

  4. Üçüncü Şahıslarla Yapılan Sözleşmelerin Gözden Geçirilmesi:

    Müvekkillerinizin sadakat kartı programları kapsamında işbirliği yaptığı tüm üçüncü şahıslarla (iş ortakları, pazarlama ajansları, IT hizmet sağlayıcıları vb.) yapılan sözleşmeleri KVKK uyumluluğu açısından detaylıca inceleyin. Bu sözleşmelere, kişisel verilerin korunmasına ilişkin hükümler, veri işleyenlerin yükümlülükleri, veri güvenliği standartları ve denetim hakları gibi maddelerin eklenmesini sağlayın. Üçüncü şahısların da bu İlke Kararı'na uygun hareket etmesini temin edecek maddeler eklenmelidir.

  5. Periyodik Denetim, Güncelleme ve Uyum Sürekliliğinin Sağlanması:

    Veri işleme süreçlerinin ve alınan güvenlik önlemlerinin düzenli olarak denetlenmesini sağlayın. Değişen mevzuata, teknolojik gelişmelere ve iş süreçlerindeki değişikliklere göre KVKK uyum politikalarını ve prosedürlerini güncelleyin. Uyumun sadece bir kerelik bir süreç olmadığını, sürekli bir çaba gerektirdiğini müvekkillerinize hatırlatın ve periyodik eğitimlerle farkındalığı canlı tutun.

Sonuç

KVKK'nın sadakat kartı üyeliklerinde kişisel verilerin hukuka aykırı işlenmesi hakkında aldığı bu İlke Kararı, kişisel veri güvenliği alanında önemli bir dönüm noktasıdır. Bu karar, veri sorumlularına ciddi yükümlülükler getirmekte ve uyumsuzluk durumunda önemli idari para cezaları ile karşılaşma riskini beraberinde getirmektedir. Mali müşavirler olarak, müvekkillerinize bu süreçte doğru rehberliği sağlamak, onların hukuki ve itibari risklerini minimize etmek adına hayati bir rol üstlenmektesiniz. Proaktif bir yaklaşımla, mevcut sistemlerin gözden geçirilmesi, gerekli teknik ve idari tedbirlerin alınması ve sürekli uyumun sağlanması, hem müvekkillerinizin yasal yükümlülüklerini yerine getirmesine hem de müşteri güvenini pekiştirmesine yardımcı olacaktır.

Yorumlar (0)

Yorum yapmak icin giris yapin.
Bu makaleye henuz yorum yapilmamis. Ilk yorumu siz yapin!
Akış Mevzuat
Sinav Giriş