KVKK Sadakat Kartı İlke Kararı (2026/266): İşletmeler İçin Pratik Uyum Rehberi
Kişisel Verileri Koruma Kurumu (KVKK), sadakat kartı programlarında sık görülen bir güvenlik açığına ilişkin 11/02/2026 tarihli ve 2026/266 sayılı İlke Kararı yayımladı. Kararın odağı net: sadakat kart sahibinin telefon numarası veya sadakat kart numarası üçüncü bir kişi tarafından kasada söylenerek hiçbir doğrulama yapılmadan işlem yapılabilmesi.
Bu yazıda:
Karar tam olarak hangi senaryoyu hedefliyor?
İşletmelerin riskleri neler?
“KVKK uyumlu sadakat” için minimum teknik/idari tedbirler neler?
QR kodla çalışan sadakat modelleri bu riskten neden daha az etkileniyor?
Not: Bu içerik bilgilendirme amaçlıdır, hukuki danışmanlık değildir.
Karar hangi problemi hedefliyor?
KVKK’ya intikal eden ihbar ve şikâyetlerde şu tablo öne çıkıyor:
Sadakat kart sahibinin telefon numarası/kart numarası üçüncü bir kişi tarafından kasadaki görevliye iletiliyor ve sistem onay kodu (OTP) / doğrulama adımı olmadan sadakat hesabı üzerinden işlem yaptırabiliyor.
KVKK’nın değerlendirmesine göre bu uygulama:
Hukuka aykırı veri işleme ve kişisel veri ihlali riskini artırıyor,
Üstelik işlem sonunda düzenlenen fatura vb. belgelerin sıklıkla sadakat kart sahibinin adına düzenlenmesi ve alışveriş detaylarının (ürün/hizmet, tarih vb.) onun üyelik kaydına işlenmesi gibi sonuçlar doğurabiliyor.
KVKK ayrıca şunu açıkça söylüyor: “Üyelik sözleşmesine ‘kartını üçüncü kişiye kullandırma’ maddesi koymak”, veri sorumlusunun KVKK m.12 kapsamındaki veri güvenliği yükümlülüğünü ortadan kaldırmaz.
KVKK’nın çizdiği sınır: Ne “uygun”, ne “uygunsuz”?
KVKK metninde önemli bir ayrım var:
Uygun görülen yaklaşım
Üyeliğin/işlemin, örneğin:
SMS ile tek kullanımlık doğrulama kodu,
mobil uygulama / internet sitesi üzerinden barkod-QR okutma vb. yöntemlerle doğrulanması
hukuka uygun değerlendirilir.
Uygunsuz görülen yaklaşım
Sadece:
“Telefon numaran ne?”
“Kart numaran ne?”
gibi bir beyanla, doğrulamasız şekilde sadakat hesabından işlem yapılabilmesi; KVKK’ya göre hukuka aykırı veri işlemeye ve ihlal riskine yol açabilir.
Bu nedenle Kurul, “telefon/kart numarası beyanıyla doğrulamasız işlem yapılmasına imkân sağlayan uygulamaya son verilmesine” karar verdi.
İşletmeler açısından pratik riskler (neden önemli?)
Bu konu sadece “puan/indirim” gibi görünse de, KVKK metninin işaret ettiği riskler doğrudan işletmeyi etkiler:
Yanlış kişiye ait işlem kaydı
Satın alınan ürün/hizmet, tarih gibi bilgiler yanlış kişinin hesabına yazılabilir.Doğruluk ve güncellik ilkesinin ihlali riski
KVKK, hatalı işlem bilgisinin kaydedilmesini “doğru ve gerektiğinde güncel olma” ilkesiyle ilişkilendiriyor.Şikâyet ve ihlal ihtimali
İlgili kişi “Ben yapmadım” dediğinde, işletmenin “kim yaptı”yı ispatlaması zorlaşır (özellikle doğrulama/log yoksa).
Uyum için KVKK’nın beklediği minimumlar (teknik + idari)
KVKK, veri sorumlularının sadakat kart süreçlerini KVKK’ya uygun hale getirmek için gerekli teknik ve idari tedbirleri alması gerektiğini söylüyor.
Pratikte bu, “işlem gerçekten ilgili kişinin bilgisi ve rızasıyla mı yapıldı?” sorusuna cevap verebilen bir doğrulama tasarımı demek.
1) Doğrulama mekanizması kurun
KVKK, doğrulama için farklı alternatifler olabileceğini; kullanıcı gruplarına göre seçenek sunulabileceğini; işlem türü ve riskine göre farklı doğrulama seçilebileceğini belirtiyor.
Örnek doğrulamalar:
SMS OTP (tek kullanımlık kod)
Mobil uygulama içi onay
Barkod/QR okutma (müşterinin fiziksel aksiyonu)
Riskli işlemlerde ek doğrulama (örn. puan harcama)
2) Kasa prosedürü (idari tedbir)
Teknik kadar kritik: kasada “müşteri bizzat doğrulamadıysa işlem yapma” kuralı ve personel eğitimi.
3) Kayıt/Log tutma
Hangi kasada, hangi zamanda, hangi doğrulama yöntemiyle işlem yapıldı? Uyuşmazlıkta en çok aranan şey bu.
6 aylık uyum süresi ve yaptırım uyarısı
KVKK, İlke Kararının Resmî Gazete’de yayımlanma tarihinden itibaren veri sorumlularına 6 ay uyum süresi verildiğini; önlemleri almayıp uygulamaya devam edenler hakkında KVKK m.18 çerçevesinde işlem tesis edileceğini belirtiyor.
QR kod ile sadakat modeli neden daha “güvenli” bir zemin?
Bu İlke Kararı’nın merkezindeki zayıflık “sadece bir numara söyleyerek doğrulamasız işlem yaptırma” idi. QR kod yaklaşımında ise:
Müşteri tarafında fiziksel bir aksiyon var (QR gösterme/okutma).
“Numarayı bilen üçüncü kişi” senaryosu çok daha zor hale geliyor.
Doğrulama akışı doğru tasarlanırsa, “işlemin ilgili kişinin bilgisi/rızasıyla yapıldığı” daha iyi temellendirilebiliyor.
Mahalle Kart’ta işlemlerin QR kod ile yapılması bu açıdan avantajlı bir mimari tercihtir (kararın hedeflediği doğrulamasız-numara senaryosunu doğrudan teşvik etmez). Yine de: loglama, yetkilendirme, kötüye kullanım senaryoları ve süreç tasarımı önemini korur.
Sık Sorulan Sorular
Telefon numarasıyla puan işletmek artık “yasak” mı?
KVKK’nın hedefi “telefon/kart numarasıyla doğrulamasız kullanım imkânı.” Doğrulama mekanizmasıyla (OTP, uygulama içi onay, QR/barkod okutma vb.) kurgulanan süreçler metinde hukuka uygun değerlendirilebiliyor.
SMS şart mı, başka yöntem olabilir mi?
KVKK, SMS OTP’yi örnek veriyor ama “barkod/QR okutma vb.” doğrulama yöntemlerini de açıkça anıyor ve kullanıcı gruplarına göre alternatif doğrulama sunulabileceğini belirtiyor.
QR kod tek başına yeterli mi?
QR kod, “sadece numara beyanı” riskini ciddi azaltır; fakat tek başına “tam uyum” demek değildir. Loglama, süreç tasarımı, yetkilendirme ve işlem türüne göre doğrulama seviyesi yine önemli.
Uyum için süre var mı?
KVKK metni, İlke Kararının Resmî Gazete’de yayımlanma tarihinden itibaren 6 ay uyum süresi verildiğini söylüyor.
Sonuç: “Numara ile doğrulamasız işlem” devri kapanıyor
KVKK’nın 2026/266 sayılı İlke Kararı, sadakat programlarını “kapatın” demiyor. Net mesaj şu:
İlgili kişinin bilgisi/rızası olmadan, sadece telefon/kart numarasıyla işlem yaptırmaya izin veren akışları kaldırın; yerine doğrulama ve güvenlik tedbirleri koyun.
Mahalle Kart gibi QR kodla çalışan sadakat akışları, kararın hedeflediği kötüye kullanım modeline karşı daha sağlam bir zemin sunar. İşletmeler için doğru adım: doğrulama + prosedür + loglama üçlüsünü netleştirmek.
