Sadakat Kart KVKK Kararı Nedir?

Kişisel Verileri Koruma Kurulu, 11 Şubat 2026 tarihinde 2026/266 sayılı İlke Kararı’nı aldı. Karar, 28 Şubat 2026’da Resmî Gazete’de yayımlandı. Buna göre sadakat kart programlarında artık doğrulama mekanizması kurmak zorunlu. Perakende, kozmetik, teknoloji ve giyim sektöründeki tüm veri sorumluları bu karara uymak durumunda. Uyum için son tarih 28 Ağustos 2026.

Sorun Neydi? Neden Böyle Bir Karara İhtiyaç Duyuldu?

KVKK’ya yüzlerce şikâyet iletildi. Şikâyetlerin ortak noktası şuydu: Üçüncü bir kişi, sadakat kart sahibinin telefon numarasını kasada söylüyordu. Herhangi bir onay kodu girilmeden işlem tamamlanıyordu. Kart sahibi o an kasada bile olmak zorunda değildi.

Bu durumun sonuçları ciddi. Kart sahibinin üyelik hesabına yanlış alışveriş bilgileri işleniyordu. Üstelik kişinin bilgisi olmadan adına fatura düzenlenebiliyordu. Dolayısıyla bu uygulama hem veri ihlali hem de KVKK’nın genel ilkelerine aykırılık anlamına geliyordu.

Kurul, incelemesinde bu sorunun tek bir sektörle sınırlı olmadığını belirledi. Gıda, kozmetik, teknoloji, yapı market ve giyim sektörlerinin tamamında yaygın olduğu tespit edildi. Bu nedenle bireysel şirket kararı yerine sektörü bağlayan bir ilke kararı yoluna gidildi.

Karar Hangi Kanun Maddelerine Dayanıyor?

KVKK Madde 5 — Veri İşleme Şartları

Sadakat kart bilgisinin rıza olmadan üçüncü kişilerce kullanılması, Kanun’un 5. maddesindeki hiçbir veri işleme şartına dayanmıyor. Üyelik sözleşmesinin varlığı ya da meşru menfaat gerekçesi bu durumu hukuka uygun hale getirmiyor. Sonuç olarak bu işlem hukuka aykırı veri işleme sayılıyor.

KVKK Madde 4 — Doğru ve Güncel Veri İlkesi

Kart sahibinin bilgisi dışında gerçekleşen bir alışverişe ait bilgilerin üyelik hesabına işlenmesi, “doğru ve gerektiğinde güncel olma” ilkesini ihlal ediyor. Yani hesaba yanlış ürün, yanlış tarih ve yanlış mağaza bilgisi işlenmiş oluyor. Bu durum hem veri kalitesi hem de kişilik hakları açısından sorun yaratıyor.

KVKK Madde 12 — Veri Güvenliği Yükümlülüğü

Üyelik sözleşmesinde “kartı başkasına kullandırma” yasağı yazmış olması, veri sorumlusunu sorumluluktan kurtarmıyor. Kurul bu noktayı açıkça vurguladı. Sözleşmede sorumluluk yüklemek, teknik önlem almayı ikame etmiyor. Dolayısıyla veri sorumlusunun aktif tedbir alması zorunlu.

Sadakat Kart KVKK Uyumu İçin Hangi Doğrulama Yöntemleri Kabul Ediliyor?

Kurul, uyumlu sayılabilmek için üç temel doğrulama yöntemi belirledi.

1. SMS ile OTP (Tek Kullanımlık Şifre)

Kart sahibinin kayıtlı numarasına doğrulama kodu gönderilir. Kasa görevlisi bu kodu sisteme girer. Kod doğrulanmadan işlem tamamlanamaz. Bu yöntem teknik açıdan en yaygın ve kolay uygulanabilir seçenek.

2. Mobil Uygulama veya Web Üzerinden QR/Barkod

Kart sahibi, alışveriş sırasında uygulamadan dinamik bir QR kod oluşturur. Kasada bu kod okutulur. Böylece işlemin gerçekten kart sahibinin onayıyla yapıldığı doğrulanır.

3. Sadakat Kartı Şifresi

Kart sahibinin önceden belirlediği bir şifre, işlem cihazına girilir. Basit ama etkili bir kimlik teyit yöntemi.

Önemli Not: Kurul, erişilebilirlik ilkesine de dikkat çekti. Yaş, teknoloji okuryazarlığı ve ekonomik durum farklılıkları gözetilerek alternatif doğrulama seçeneklerinin sunulması gerekiyor.

Uyum Takvimi: Son Tarih Ne Zaman?

Veri sorumlularına 6 aylık uyum süresi tanındı. Bu süre, kararın Resmî Gazete’de yayımlandığı 28 Şubat 2026 tarihinden itibaren başladı. Dolayısıyla son tarih 28 Ağustos 2026.

Bu tarihe kadar doğrulama mekanizmasını kurmayanlar hakkında KVKK’nın 18. maddesi uygulanacak. 2026 yılında idari para cezaları yüzde 25,49 oranında artırıldı. Bu nedenle uyumsuzluğun mali yükü önceki yıllara kıyasla çok daha ağır.

Sadakat Kart KVKK Uyumu İçin Adım Adım Yapılacaklar

Aşağıdaki beş adım, işletmelerin uyum sürecini planlı yürütmesine yardımcı olur.

Adım 1 — Mevcut Süreçleri Haritalayın

Mağaza, e-ticaret ve mobil uygulama kanallarının her birinde mevcut doğrulama adımlarını belgeleyin. Hangi kanalda boşluk var, hangisi zaten kısmen uyumlu? Bunu tespit etmeden önlem almak mümkün değil.

Adım 2 — Doğrulama Yöntemini Seçin ve Entegre Edin

OTP, QR kod ve şifre yöntemlerinden hangisinin altyapınıza uyduğunu teknik ekip ve hukuk departmanıyla birlikte değerlendirin. Sonrasında entegrasyon planını ve test sürecini başlatın.

Adım 3 — Aydınlatma Metinlerini Güncelleyin

Üyelik sözleşmeleri ve aydınlatma metinleri, yeni doğrulama sürecini açıkça yansıtmalı. Bu güncellemeyi yaparken Kurul’un 18 Şubat 2026 tarihli 2026/347 sayılı İlke Kararı’nı da dikkate alın. Bu karar, aydınlatma metni ile açık rıza metninin ayrı ayrı düzenlenmesini zorunlu kılıyor.

Adım 4 — Kasa Personelini Eğitin

Yeni süreci en çok kasa personeli uygulayacak. Bu nedenle çalışan eğitimi kritik bir adım. Müşterilerden gelebilecek itirazları nasıl yöneteceklerini de önceden hazırlayın.

Adım 5 — VERBİS Kaydını Güncelleyin

Veri işleme faaliyetlerindeki değişiklikler, Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) yansıtılmalı. Bu adım yasal bir zorunluluk ve denetim riskini azaltmak açısından da önemli.

Sadakat kart KVKK uyumu artık bir tercih değil, yasal zorunluluk. Kurul’un 2026/266 sayılı kararı, yalnızca güvenlik açığını kapatmıyor. Aynı zamanda veri sorumluluğunun tamamıyla işletmelere ait olduğunu da netleştiriyor. 28 Ağustos 2026 son tarihi hem yeterli hem de kısa bir süre. Bu nedenle uyum sürecine hemen başlamak en doğru adım.

Sıkça Sorulan Sorular (SSS)

Sadakat kart KVKK kararı ne zaman yürürlüğe girdi?
Karar, 28 Şubat 2026 tarihli ve 33182 sayılı Resmî Gazete’de yayımlandı. Aynı tarih itibarıyla yürürlüğe girdi.

Sadakat kart programlarında doğrulama zorunlu mu?
Evet. KVKK’nın 2026/266 sayılı İlke Kararı uyarınca tüm veri sorumluları, sadakat kart işlemlerinde doğrulama mekanizması kurmakla yükümlüdür.

Hangi doğrulama yöntemleri geçerli?
SMS ile OTP kodu, mobil uygulama veya web sitesi üzerinden QR/barkod ve sadakat kartı şifresi olmak üzere üç yöntem Kurul tarafından kabul edilmektedir.

Uyum için son tarih ne zaman?
28 Ağustos 2026. Bu tarihe kadar gerekli önlemleri almayan veri sorumluları KVKK’nın 18. maddesi kapsamında yaptırımla karşılaşabilir.

Küçük işletmeler de bu karara uymak zorunda mı?
Evet. Karar, sektör veya işletme büyüklüğüne bakılmaksızın sadakat kart programı yürüten tüm veri sorumlularını kapsamaktadır.

Sadakat kart bilgisini üçüncü kişi kullanırsa ne olur?
Kart sahibinin bilgisi ve rızası olmadan gerçekleşen bu işlem, KVKK Madde 5 kapsamında hukuka aykırı veri işleme sayılıyor. Veri sorumlusu idari para cezasıyla karşılaşabilir.

Bu karar e-ticaret sitelerini de kapsıyor mu?
Evet. Karar yalnızca fiziksel mağazalarla sınırlı değil; online sadakat programları da aynı yükümlülüklere tabi.

KVKK ile ilgili daha fazla bilgi almak veya uyum sürecine yardımcı olacak profesyonel bir danışmanlık almak için Garanti KVK şirketi olarak size yardımcı olmaya hazırız. Bize iletişim bilgilerimizden ulaşabilirsiniz.

Bu içerik genel bilgilendirme amacıyla hazırlanmıştır. Kaynak: KVKK İlke Kararı 2026/266 (28.02.2026 tarihli ve 33182 sayılı Resmî Gazete) ve KVKK İlke Kararı 2026/347 (24.03.2026 tarihli ve 33203 sayılı Resmî Gazete). Şirketinize özgü uyum değerlendirmesi için veri koruma alanında uzman bir hukuk danışmanından destek almanız önerilir.