⏱️ Okuma süresi: 14 dk · 📁 Kategori: KVKK & Dijital Uyum

Sadakat Kartı KVKK Cezaları (Gerçek Örnekler ve Kurul Kararları)

Sadakat kartı sistemleri perakende sektöründe müşteri bağlılığı sağlamak için yaygın olarak kullanılmaktadır.
Ancak bu sistemler aynı zamanda kişisel veri işleme altyapısı oldukları için
KVKK kapsamında yüksek riskli faaliyetler arasında yer almaktadır.

KVKK Kurulu son yıllarda sadakat kartı programları, müşteri veri tabanları,
kampanya sistemleri ve telefon numarasıyla işlem yapılması gibi uygulamalar
nedeniyle çok sayıda idari para cezası uygulamıştır.

Bu rehberde sadakat kartı sistemleri nedeniyle verilen gerçek KVKK cezaları ve kurul kararları
uygulamalı olarak açıklanmaktadır.

1️⃣ Sadakat Kartı Sistemleri Neden Ceza Alır?

Sadakat kartı programlarında işlenen veriler genellikle şunlardır:

• Ad ve soyad
• Telefon numarası
• E-posta adresi
• Alışveriş geçmişi
• Lokasyon ve mağaza verileri
• Kampanya tepkileri

Bu verilerin tamamı KVKK kapsamında kişisel veri sayılmaktadır.

2️⃣ Açık Rıza Olmadan Pazarlama Gönderimi Cezaları

Sadakat kartı sahiplerine açık rıza alınmadan pazarlama mesajı gönderilmesi
en sık ceza verilen alanlardan biridir.

• SMS kampanyaları
• E-posta kampanyaları
• İndirim bildirimleri
• Kişiselleştirilmiş reklamlar

KVKK’ya göre alışveriş yapmak veya üyelik oluşturmak,
pazarlama mesajı gönderilmesine izin verildiği anlamına gelmez.

3️⃣ Telefon Numarasıyla İşlem Yapılması Nedeniyle Cezalar

KVKK Kurulu özellikle son dönemde telefon numarasıyla sadakat kartı
kullanımını yüksek riskli alan olarak değerlendirmektedir.

• Kasada telefon numarası söyleyerek indirim almak
• Başkasının numarasıyla alışveriş yapılması
• Sadakat puanlarının üçüncü kişilerce kullanılması
• Faturanın yanlış kişi adına kesilmesi

Doğrulama mekanizması bulunmayan sadakat kartı sistemleri
veri güvenliği ihlali olarak değerlendirilebilir.

4️⃣ Aydınlatma Metni Eksikliği Nedeniyle Cezalar

Sadakat kartı üyelik formlarında aydınlatma metninin bulunmaması
veya eksik olması idari para cezalarına neden olabilmektedir.

• Aydınlatma metni bulunmaması
• Aydınlatma metninin üyelik ekranında yer almaması
• Aktarımların belirtilmemesi
• İşleme amaçlarının yazılmaması

KVKK’ya göre veri toplama anında aydınlatma yapılması zorunludur.

5️⃣ Veri Güvenliği İhlalleri Nedeniyle Cezalar

Sadakat kartı veri tabanları veri ihlallerinin en sık yaşandığı alanlardan biridir.

• Müşteri veri tabanının sızdırılması
• Yetkisiz erişimler
• Zayıf şifreleme
• Log kayıtlarının tutulmaması

Bu tür durumlar KVKK m.12 kapsamında veri güvenliği ihlali sayılmaktadır.

6️⃣ Üçüncü Kişilere Veri Aktarımı Nedeniyle Cezalar

Sadakat kartı sistemleri çoğu zaman üçüncü taraf yazılımlar ile çalışmaktadır.

• CRM sistemleri
• E-posta servisleri
• SMS sağlayıcıları
• Pazarlama ajansları

Bu durum hukuka aykırı veri aktarımı sayılabilmektedir.

7️⃣ En Yüksek Ceza Riskleri

Sadakat kartı sistemlerinde aşağıdaki ihlaller en yüksek ceza riskini taşımaktadır.

• Açık rıza olmadan pazarlama
• Telefon numarasıyla işlem yapılması
• Veri sızıntısı
• Yurt dışına veri aktarımı
• Aydınlatma eksiklikleri

8️⃣ KVKK Kurulu’nun 2026 Yaklaşımı

2026 itibarıyla KVKK Kurulu sadakat kartı sistemlerini
yüksek riskli veri işleme faaliyetleri arasında değerlendirmektedir.

Özellikle telefon numarasıyla işlem yapılması,
kampanya sistemleri ve pazarlama faaliyetleri
denetimlerde öncelikli olarak incelenmektedir.

9️⃣ KVKK Uyum Kontrol Listesi

🧠 Uzman Sonuç

Sadakat kartı sistemleri KVKK cezalarının en sık uygulandığı alanlardan biridir.

Özellikle telefon numarasıyla işlem yapılmasına dayanan eski sistemler,
2026 KVKK yaklaşımı açısından ciddi risk taşımaktadır.

Doğru yapılandırılmış sadakat programları idari para cezalarını önler
ve marka itibarını korur.