Kurul’a muhtelif sektörlerden iletilen ihbar ve şikayetler kapsamında sadakat kartı sahibi ilgili kişinin cep telefonu numarasının veya sadakat kart numarasının, ilgili kişinin bilgisi ve rızası olmaksızın üçüncü kişiler tarafından alışveriş sırasında kasa görevlisine bildirilmesi suretiyle işlem yapılabildiği ve bu işlemler sırasında herhangi bir doğrulama mekanizması işletilmediği, ayrıca alışverişe ilişkin fatura ve müşteri işlem bilgilerinin kart sahibi adına düzenlenerek ilgili kişinin kayıtlarına işlendiği tespit edilmiştir.

Kurul tarafından yapılan değerlendirmede özetle;

• İlgili kişinin cep telefonu numarasının veya sadakat kart numarasının bilgisi ve rızası dışında üçüncü kişiler tarafından kullanılması suretiyle alışveriş yapılmasının, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 5. maddesinde yer alan herhangi bir veri işleme şartına dayandırılamayacağı ve hukuka aykırı veri işleme faaliyeti teşkil edeceği,
• İlgili kişi tarafından gerçekleştirilmemiş bir alışverişe ilişkin işlem bilgilerinin ilgili kişi kayıtlarına işlenmesinin ve fatura düzenlenmesinin, Kanun’un 4. maddesinde yer alan “doğru ve gerektiğinde güncel olma” ilkesine aykırılık oluşturacağı,
• Sadakat kartın üçüncü kişilerce kullanılmaması yönünde üyelik sözleşmesinde ilgili kişiye yükümlülük getirilmiş olmasının, veri sorumlusunun Kanun’un 12. maddesi kapsamındaki veri güvenliğini sağlama yükümlülüğünü ortadan kaldırmayacağı,

hususları vurgulanmıştır.

Bu kapsamda Kurul;

• Sadakat kartı bilgilerinin yalnızca cep telefonu numarasının bildirilmesi suretiyle kullanılmasına imkan tanıyan uygulamalara son verilmesine,
• Sadakat kartı kullanımına ilişkin süreçlerin Kanun’a uygun hale getirilmesi amacıyla veri sorumluları tarafından gerekli teknik ve idari tedbirlerin alınmasına,
• Üyelik oluşturma, puan kazanma, puan kullanma, indirim veya promosyondan faydalanma gibi işlemlerde SMS ile tek kullanımlık doğrulama kodu gönderilmesi, mobil uygulama üzerinden QR/barkod okutulması, fiziki kart ibrazı, şifre girilmesi veya “opt-in” tercih mekanizması oluşturulması gibi doğrulama yöntemlerinin uygulanmasına,
• İşlem türüne ve risk seviyesine göre farklı doğrulama mekanizmalarının kurgulanabileceğine,
• Veri sorumlularına İlke Kararının yayım tarihinden itibaren 6 aylık uyum süresi tanınmasına,
• Belirtilen yükümlülüklere aykırı hareket eden veri sorumluları hakkında Kanun’un 18. maddesi kapsamında idari yaptırım uygulanmasına,

oybirliği ile karar vermiştir.

28 Ağustos 2026 tarihine kadar uyumluluğun sağlanması amacıyla veri sorumluları tarafından dikkate alınabilecek başlıca aksiyonlar aşağıda yer almaktadır:

• Sadakat kartı kullanım senaryolarının (üyelik oluşturma, puan kazanma, puan harcama,indirim/promosyon) haritalandırılması ve yalnızca cep telefonu numarası beyanı ile işlem yapılmasına imkan tanıyan süreçlerin tespit edilmesi,
• SMS ile tek kullanımlık doğrulama kodu altyapısının kurulması veya güçlendirilmesi, mobil uygulama üzerinden QR/barkod doğrulama sistemlerinin entegrasyonu, fiziki kart ibrazı veya şifreli işlem altyapısının oluşturulması, işlem bazlı “opt-in”tercih ekranlarının geliştirilmesi gibi risk oranına göre doğrulama mekanizmalarının geliştirilmesi,
• Aydınlatma metinlerinin doğrulama mekanizmalarını ve veri işleme süreçlerini kapsayacak şekilde revize edilmesi,
• Kasa personeline yönelik prosedürlerin yazılı hale getirilmesi,
• Yetkisiz kullanımın önlenmesine yönelik sistemsel kontrollerin oluşturulması,
• Loglama ve izleme mekanizmalarının kurulması,
• Mağaza/kasa personeline yönelik veri güvenliği ve doğrulama süreçleri hakkında eğitim verilmesi,
• İç denetim mekanizmalarının oluşturulması.

Söz konusu İlke Kararı, sadakat kartı programlarının tasarımı ve işletilmesinde veri güvenliği ile doğrulama mekanizmalarının güçlendirilmesini zorunlu kılmakta olup; özellikle perakende, gıda, kozmetik, teknoloji ve benzeri sektörlerde faaliyet gösteren veri sorumluları bakımından önemli uyum yükümlülükleri doğurmaktadır.

İlgili İlke Kararı’nın tam metnine buradan ulaşabilirsiniz.