Sadakat Kartlarında Yeni Dönem: KVKK'nın 2026/266 Sayılı İlke Kararı ile "Doğrulama Yoksa İşlem Yok" Standardı

Kararın odak noktası şudur:

"Sadakat kart sahibine ait cep telefonu numarası veya kart numarasının, üçüncü kişiler tarafından kasa aşamasında beyan edilmesi suretiyle, ilgili kişinin herhangi bir doğrulamasına başvurulmaksızın işlem yapılabilmesi, kişisel veri güvenliği ve genel ilkelere aykırılık riski doğurmaktadır."

Bu tespit, sadakat programlarının artık yalnızca pazarlama aracı olarak değil, yüksek riskli kişisel veri işleme sistemleri olarak değerlendirilmesi gerektiğini ortaya koymaktadır.

1. Genel İlkeler Bağlamında Kurul'un Daha Önceki Yaklaşımı

1.1. Ek Menfaat Rıza Dayatması Değildir

Kurul'un 05.07.2019 tarihli ve 2019/198 sayılı Kararında, sadakat karta özel indirim uygulamasının, temel ürün/hizmete erişimi ortadan kaldırmadığı sürece açık rızanın koşul olarak dayatılması anlamına gelmeyeceği değerlendirilmiştir.

Benzer yaklaşım, 25.05.2023 tarihli ve 2023/890 sayılı Kararında da teyit edilmiştir. Kurul, özel yolcu programına katılımın temel uçuş hizmetine erişim için zorunlu olmadığını, programın ek menfaat sağladığını belirterek açık rızanın özgür irade unsurunun zedelenmediğine hükmetmiştir.

Bu kararlar çerçevesinde açık rızanın;

• Temel hizmete erişim korunuyorsa,
• Ek menfaat rızaya bağlanıyorsa,
• İlgili kişi alternatif kanallarla temel hizmetten yararlanabiliyorsa,

her durumda Kurul tarafından "dayatma" olarak değerlendirilmeyebileceği görülmektedir.

1.2. Çerezler, Opt-In Mekanizması ve Pazarlama Hukuku

10.03.2022 tarihli ve 2022/229 sayılı Karar, e-ticaret sektöründe çerez kullanımına ilişkin sınırları net biçimde ortaya koymuştur.

Kurul;

• Kesinlikle gerekli çerezler dışında kalan
• Reklam/pazarlama,
• Hedefleme,
• Performans-analitik

çerezlerinin açık rızaya tabi olduğunu, meşru menfaat gerekçesine dayanılarak bu çerezlerin çalıştırılamayacağını değerlendirmiştir.

Ayrıca Kurul, varsayılan olarak çerezlerin çalışmadığı ve kullanıcının aktif iradesi ile onay verdiği opt-in modelini açık biçimde zorunlu görmüştür.

Bu yaklaşım, sadakat programları kapsamında yürütülen segmentasyon, profilleme ve yeniden pazarlama faaliyetleri bakımından da doğrudan önem arz etmektedir.

1.3. Operasyonel Hatalar ve Yeni İşleme Faaliyeti Değerlendirmesi

Kurul, operasyonel süreçlerdeki hataları da ayrı bir veri işleme faaliyeti olarak değerlendirmektedir.

05.01.2023 tarihli ve 2023/4 sayılı Kararda, çapraz barkodlama sonucu farklı kişiye teslim edilen ürün, üçüncü kişiye kişisel veri açıklanması olarak kabul edilmiştir.

Benzer şekilde 18.05.2023 tarihli ve 2023/845 sayılı Kararda, kurye tarafından alıcı telefon numarasının kötüye kullanılması hâlinde veri sorumlusunun, organizasyonel ve teknik tedbir yükümlülüğünün devam ettiği vurgulanmıştır.

Bu kararlar ışığında, "sehven hata" veya "münferit personel eylemi" savunmalarının, 12. madde kapsamındaki sorumluluğu ortadan kaldırmadığı görülmektedir.

1.4. Veri İşleyen ve Müşterek Sorumluluk

Kurul'un 07.10.2021 tarihli ve 2021/1021 sayılı Kararında, ihlalin veri işleyen bünyesinde gerçekleştiği iddia edilse dahi, veri sorumlusunun KVKK'nın 12. maddesinin 2.fıkrası kapsamında müşterek sorumluluğunun devam ettiği açıkça belirtilmiştir.

Sızma testleri, teknik denetim, veri imha süreçlerinin takibi ve sözleşmesel güvenlik hükümleri gibi veri sorumlusunun yükümlülükleri Kurul tarafından incelenerek değerlendirilmiştir.

Bu yaklaşım, e-ticaret ekosisteminde entegratör, lojistik firması, çağrı merkezi ve yazılım sağlayıcıları ile kurulan ilişkiler bakımından kritik önem taşımaktadır.

2. 2026/266 sayılı İlke Kararı

2.1. Risk Bazlı Doğrulama

Kurul, İlke Kararında sadakat kart kullanımının;

• Üyelik oluşturma,
• Puan kazanımı,
• Puan harcama,
• İndirim/promosyon kullanımı

gibi farklı işlem türleri bakımından risk derecesine göre farklı doğrulama mekanizmalarına tabi tutulabileceğini açıkça ifade etmiştir.

Bu yaklaşım, Kurul'un 08.08.2024 tarihli ve 2024/1385 sayılı e-ticaret veri ihlali kararındaki risk temelli güvenlik anlayışı ile paraleldir. Anılan kararda da:

• Bot trafiğinin önlenememesi,
• Aynı IP'den yüzlerce girişe rağmen erken tespit yapılmaması,
• 2FA'nın ihlalden sonra devreye alınması

veri sorumlusunun 12. madde kapsamındaki yükümlülüğünü ihlal ettiği şeklinde değerlendirilmiştir.

Dolayısıyla Kurul'un değerlendirme kriteri aşağıdaki gibidir:

Kimlik doğrulama ve kötüye kullanım önleme, artık isteğe bağlı değil; 12. madde kapsamında zorunlu bir tasarım unsurudur.

2.2. Veri İşleme Şartı ve Hukuka Uygunluk Sorunu

Kurul, sadakat kart sahibinin bilgisi ve rızası olmaksızın üçüncü kişi tarafından işlem yapılmasının, Kanun'un 5. maddesinde sayılan işleme şartlarından hiçbirine dayanmadığını belirtmiştir.

Burada kritik husus şudur:

• İlgili kişi alışverişi yapmamıştır.
• İşlem bilgisi ilgili kişinin hesabına işlenmektedir.
• Fatura çoğu zaman ilgili kişi adına düzenlenmektedir.

Bu durum, Kanun'un 4. maddesinde yer alan "doğru ve gerektiğinde güncel olma" ilkesini de zedelemektedir.

Benzer bir yaklaşım, 2023/4 sayılı çapraz barkodlama kararında da görülmüştür: "Sehven yapılan bir operasyonel hata dahi, hukuken yeni bir veri işleme/aktarım faaliyeti doğurabilir."

2.3. Aylık Uyum Süresi ve Sektörel Etki

Kurul, İlke Kararı ile veri sorumlularına 6 aylık uyum süresi tanımıştır.

Bu süre sonunda:

• Doğrulama mekanizması kurmayan,
• Risk bazlı işlem ayrımı yapmayan,
• Üçüncü kişi kullanımını engellemeyen

veri sorumluları hakkında Kanun'un 18. maddesi kapsamında işlem tesis edileceği açıkça belirtilmiştir.

3. GDPR ve e-Privacy Perspektifi ile İlke Karar Arasında Bağlantı

Türkiye'deki KVKK yaklaşımı ile AB'nin veri koruma çerçevesi arasında benzer bir yaklaşım bulunmaktadır:

3.1. GDPR'ın Rıza Standardı

AB Genel Veri Koruma Tüzüğü (GDPR), rızanın:

• Özgürce verilmiş,
• Bilgilendirmeye dayanmış,
• Belirli amaçlar için açıkça ifade edilmiş

bir irade beyanı olmasını şart koşar. KVKK da benzer bir rıza standardı benimser. Bu nedenle sadakat programı kapsamında pazarlama/ek avantaj rızalarının ayrı ayrı, bilgilendirici ve gönüllü şekilde alınması gerekir.

3.2. e-Privacy Direktifi (2002/58/EC) ve Pazarlama İletileri

AB e-Privacy Direktifi, özellikle elektronik iletişim yoluyla yapılan doğrudan pazarlama faaliyetlerinde önceden açık rıza (opt-in) ilkesini zorunlu kılar. Bu direktif, çerezler ve cihazda depolama gibi uygulamalarda da kullanıcının cihaz mahremiyetinin korunmasını öngörür.

Bu yaklaşım, sadakat programlarında:

• SMS / e-posta kampanyalarında açık rıza alınması,
• Pazarlama rızasının üyelikten ayrı tutulması,
• 2 faktörlü doğrulama ve kullanıcı onayı gibi mekanizmaların tasarım aşamasında yerleştirilmesi

gibi ilkelere işaret eder.

3.3. EDPB Rehberi ile "Privacy by Design" Yaklaşımı

EDPB'nin hazırladığı GDPR ile Dijital Piyasalar Yasası (DMA) Arasındaki Etkileşim Rehberi, veri koruma yükümlülüklerinin tüm dijital tasarım süreçlerinde başlangıçtan itibaren gözetilmesini (privacy by design) vurgular. Bu da sadakat programları gibi çoklu veri işleme süreçlerinde, risk temelli doğrulama ve veri güvenliği tedbirlerinin baştan tasarımda yer almasını öngörür.

4. Sonuç

28 Şubat 2026 tarihli ve 33182 sayılı Resmî Gazete'de yayımlanan Kişisel Verileri Koruma Kurulu'nun 2026/266 sayılı İlke Kararı uyarınca sadakat kart uygulaması olan veri sorumlularının aşağıdaki hususlarda 6 ay içerisinde önlem alması gerekmekte olup aksi takdirde Kurul tarafından yaptırım uygulanabilecektir:

Derhal Durdurulması Gereken Uygulamalar:

Kasada/online'da yalnızca sadakat kart numarası veya cep telefonu numarası söylenerek (ilgili kişinin onayı alınmadan) puan kazanımı / puan harcama / indirim-promosyon tanımlama / fatura adına işleme yapılmasına izin veren akışlar durdurulmalı.

Doğrulama:

Sadakat kartın kullanımı, ilgili kişinin bilgisi ve rızası dahilinde olduğunu teyit eden bir doğrulama adımı olmadan tamamlanmamalı. Özellikle puan harcama ve indirim tetikleyen işlemler için "Doğrulama yoksa işlem yok." yaklaşımı benimsenmeli.

Kurul Tarafından Önerilen Doğrulama Yöntemleri:

1. SMS OTP (tek kullanımlık doğrulama kodu)
• Kasada sadakat kart/telefon no girildiğinde sistem, kayıtlı cep telefonuna OTP gönderir.
• OTP girilmeden işlem (puan/indirim vb.) tamamlanmaz.
• Puan harcama gibi yüksek riskli işlemlerde OTP "zorunlu", puan kazanımında "risk bazlı" kurgulanabilir.
2. Mobil uygulama içi onay (push / in-app approval)
• Kasada "sadakat hesabı kullanılmak isteniyor" tetiklenir; uygulamaya anlık onay bildirimi gider.
• İlgili kişi "Onayla/Reddet" verir; onay yoksa işlem yok.
3. Barkod / QR doğrulama
• Sadakat hesabı, yalnızca uygulamadaki dinamik QR/barkod okutularak kullanılabilir.
• Ancak burada Kurum'un internet sitesinde yayımlanan Quishing Bilgilendirme Yazısı'na uygun bir sistem kurulmalıdır.
4. Alternatif doğrulama yöntemleri

Kurul'un "farklı ilgili kişi gruplarına alternatif" yaklaşımıyla uyumlu olacak şekilde:

• Uygulaması olmayan/akıllı telefon kullanmayan kişiler için SMS OTP,
• SMS alamayanlar için (örn. yurt dışı hattı vb.) IVR aramasıyla kod veya müşteri panelinde doğrulama,
• Engelli kullanıcılar için erişilebilir doğrulama akışları tasarlanmalı.

Risk bazlı doğrulama matrisi:

Kurul'un 2026/266 sayılı İlke Kararı'nda, sadakat kart işlemlerinin işlem türü ve risk derecesine göre farklı doğrulama mekanizmalarına tabi tutulabileceği ifade edilmiştir. Kararda belirli bir teknik çözüm zorunlu tutulmamakla birlikte, ilgili kişinin bilgisi ve iradesinin teyidini sağlayacak mekanizmaların tesis edilmesi gerektiği vurgulanmıştır.

Bu çerçevede veri sorumluları, faaliyetlerinin niteliği, işlem hacmi, dolandırıcılık riski ve teknik altyapıyı dikkate alarak aşağıdaki gibi bir modelleme yapabilir:

1. Yüksek Riskli İşlemler

Bu tür işlemlerde, ilgili kişinin açık ve doğrulanmış iradesinin alınması gerekir.

Örneğin;

• SMS ile tek kullanımlık doğrulama kodu (OTP),
• Mobil uygulama üzerinden anlık işlem onayı,
• Dinamik (tek kullanımlık) QR/barkod doğrulama

gibi yöntemler kullanılabilir.

2. Orta Riskli İşlemler

Bu tür işlemlerde asgari doğrulama mekanizması yeterli görülebilir.

Örneğin;

• Uygulama içi barkod/QR okutma,
• Belirli risk göstergeleri oluştuğunda OTP'ye yükseltilen doğrulama modeli

tercih edilebilir.

3. Bilgi Amaçlı İşlemler

Bu işlemler için hesap güvenliğini temin edecek erişim kontrolleri (örneğin iki faktörlü kimlik doğrulama) öngörülebilir; ancak bunlar işlem doğuran aksiyonlardan teknik olarak ayrıştırılmalıdır.

Önemle belirtmek gerekir ki, Kurul'un yaklaşımı belirli bir teknolojiyi zorunlu kılmak değil; ilgili kişinin bilgisi dışında üçüncü kişi kullanımını önleyecek, amaca uygun ve ölçülü bir doğrulama mimarisinin tasarlanmasını sağlamaktır.

Dolayısıyla burada sayılan yöntemler bağlayıcı bir teknik liste değil; örnek niteliğinde tasarım alternatifleridir. Veri sorumlularının, kendi operasyonel yapıları çerçevesinde risk analizi yaparak uygun mekanizmayı belirlemesi gerekir.

Kayıt, ispat ve denetim izi (KVKK 12. madde ile uyum)

Her sadakat işlemi için şu kayıtlar tutulabilir:

• Doğrulama yöntemi (OTP / QR / uygulama onayı),
• Doğrulama sonucu (başarılı/başarısız),
• Zaman damgası, işlem türü (puan kazanım/harcama/indirim),
• Kullanılan kanal (kasa, web, mobil),
• Şüpheli işlem işaretleri (çoklu deneme, sıra dışı tutar, vb.).

Bu kayıtlar, hem iç denetim hem de olası ihlal incelemelerinde "hukuka uygunluğun gösterimi" açısından kritiktir.

Rıza yönetimi ayrıştırması (üyelik ≠ pazarlama)

Üyelik, pazarlama ve ek hizmet rızaları ayrı ayrı yönetilmeli ve geri çekme kolaylığı sağlanmalı.