⏱️ Okuma süresi: 12 dk · 📁 Kategori: KVKK & Dijital Uyum

KVKK 2026 İlke Kararı: Telefon Numarasıyla Sadakat Kartı Kullanımı Artık Riskli

28 Şubat 2026 tarihli Resmî Gazete’de yayımlanan KVKK Kurulu’nun
2026/266 sayılı İlke Kararı, Türkiye’de yaygın olarak kullanılan
sadakat kartı sistemleri açısından önemli bir dönüm noktası oluşturmuştur.

Karara göre alışveriş sırasında sadakat kartı sahibine ait telefon numarasının
veya kart numarasının üçüncü kişiler tarafından kullanılması,
yeterli doğrulama mekanizması bulunmuyorsa KVKK ihlali
olarak değerlendirilebilecektir.

1️⃣ Kararın Konusu Nedir?

Sadakat kartı programları perakende sektöründe müşteri bağlılığı,
kampanya yönetimi ve satış artırma amacıyla yaygın olarak kullanılmaktadır.

Ancak birçok mağazada alışveriş sırasında kasa görevlisine yalnızca
telefon numarası söylenmesi yeterli görülmektedir.
Bu model KVKK açısından riskli kabul edilmiştir.

2️⃣ Kurula Yapılan Şikayetlerde Görülen Senaryolar

• Başkasına ait telefon numarası ile alışveriş yapılması
• Sadakat kartı puanlarının üçüncü kişilerce kullanılması
• İlgili kişinin bilgisi olmadan indirim alınması
• Sadakat kartı sahibinin adına fatura kesilmesi
• Müşteri işlem kayıtlarının yanlış kişiye yazılması

Bu durumlar kişisel verilerin yanlış işlenmesine ve veri güvenliği
ihlallerine neden olmaktadır.

3️⃣ KVKK Açısından Hukuki Değerlendirme

Kurul kararında özellikle KVKK’nın üç temel maddesine vurgu yapılmıştır.

KVKK m.4 – Genel İlkeler

Kişisel veriler doğru ve güncel olmalıdır.
Sadakat kartı işlemlerinin yanlış kişiye işlenmesi bu ilkeye aykırıdır.

KVKK m.5 – Veri İşleme Şartları

İlgili kişinin bilgisi ve iradesi olmadan yapılan alışveriş işlemleri
veri işleme şartlarına dayanamaz.

KVKK m.12 – Veri Güvenliği

Veri sorumluları kişisel verilerin hukuka aykırı işlenmesini önlemek için
gerekli teknik ve idari tedbirleri almak zorundadır.

4️⃣ Telefon Numarası ile İşlem Yapmanın Riskleri

Telefon numarası tek başına güvenli kimlik doğrulama yöntemi değildir.
Bu nedenle üçüncü kişiler tarafından kullanılabilmektedir.

• Telefon numaraları kolay öğrenilebilir
• Numaralar paylaşılabilir
• Kimlik doğrulaması yapılmaz
• Rıza doğrulanamaz
• Yanlış müşteri kayıtları oluşur

5️⃣ KVKK’ya Uygun Doğrulama Yöntemleri

Kurul kararına göre veri sorumlularının güçlü doğrulama mekanizmaları
kurması gerekmektedir.

• SMS doğrulama kodu
• Mobil uygulama doğrulaması
• QR kod okutma
• Barkod doğrulaması
• Sadakat kartı şifresi

6️⃣ Risk Bazlı Doğrulama Yaklaşımı

Kurul doğrulama mekanizmalarının işlem riskine göre
uygulanabileceğini belirtmiştir.

• Puan kazanımı → düşük risk
• İndirim kullanımı → orta risk
• Puan harcama → yüksek risk
• Fatura düzenleme → yüksek risk

7️⃣ Şirketler İçin Uyum Gereklilikleri

Veri sorumlularının sadakat kartı sistemlerini gözden geçirmesi
gerekmektedir.

• Kasa süreçleri analiz edilmelidir
• Doğrulama mekanizmaları kurulmalıdır
• Sadakat kartı yazılımları güncellenmelidir
• KVKK metinleri revize edilmelidir
• Personel eğitimleri yapılmalıdır

8️⃣ KVKK Kurulu’nun Sadakat Kartı Yaklaşımı (2026)

Kurul sadakat kartı programlarını kişisel veri işleme sistemi
olarak değerlendirmektedir.

Bu nedenle sadakat kartı sistemleri yalnızca pazarlama aracı değil,
aynı zamanda veri güvenliği altyapısı olarak ele alınmalıdır.

9️⃣ KVKK Uyum Kontrol Listesi

🧠 Uzman Sonuç

Sadakat kartı sistemleri KVKK açısından yüksek riskli veri işleme
faaliyetleri arasında yer almaktadır.

Telefon numarası ile işlem yapılmasına dayanan eski sistemler,
2026 KVKK yaklaşımı açısından uyumsuz hale gelmiştir.

Doğru yapılandırılmış sadakat programları hem ceza riskini azaltır
hem de müşteri güvenini artırır.