📌 28 Şubat 2026 tarihli ve 2026/266 sayılı İlke Kararı ile Kurul, sadakat kartı sistemlerinde cep telefonu numarası veya kart bilgisinin üçüncü kişilerce kullanılması meselesine açıklık getirdi.
Bkz; https://www.resmigazete.gov.tr/eskiler/2026/02/20260228-5.pdf
Bu ilke kararı, elbette ki uygulamadaki yeknesanlığı sağlamak açısından bağlayıcı bir rol oynuyor, 6 aylık bir uyum sürecinin sonunda idari para cezaları 10 ve 12. Maddelerden kesilebilecektir.
Altını çizmekte fayda var, bir bir sadakat sistemi şeklinde adlandırılacak bir üyelik olsun ya da olmasın, sistemlerinize bir gerçek kişi verisini kaydettiğinizde (“veri işleme faaliyeti”) zaten KVKK madde 4. kapsamında o bilginin doğruluğunu teyit etme yükümlülüğü altındasınız. Dolayısıyla bu bir kart bilgisi, telefon numarası ya da e-posta adresi olsun; mümkün olan en az veri işleyeceğiniz metodla (“veri minimizasyonu ilkesi”) o kişinin kimliğini doğrulamanız gerekir. Aynı şekilde, kişi tarafından beyan edilen üyeliğin, gerçekten ilgili kişiye ait olup olmadığını tespit etmek, yine KVKK madde 4. kapsamında (“işlenen kişisel verinin doğru olduğunu teyit etme”) anlamında temel bir yükümlülük.
Bununla birlikte, kararda da vurgulandığı üzere, her ne kadar sadakat kartının 3. kişilerin yararına kullandırılmasının genel hukuki sonuçları, üyelik sözleşmeleri ile gerçek hak sahibine yüklense de, KVKK madde 12 açısından veri güvenliğine ilişkin yükümlülükler elbette ortadan kalkmıyor.
Son olarak daha önce de paylaştığım üzere, uygulamada en yaygın olarak kullanılacak yöntem olarak SMS’leri fonksiyonlarına göre ayırmak gerekir:
1️⃣ Kimlik Doğrulama (2FA) SMS’leri: Kayıt/üyelik anında gönderilen ve (artık) sadakat kart sahibinin teyiti işlemlerinde gönderilecek doğrulama kodları, kişinin kimliğini tespit amacı taşıdığından veri işleme bakımından meşru menfaat ya da sözleşmenin kurulması/ifası gibi istisnalara dayandırılabilir. Bu noktada açık rıza aranmaz.
2️⃣ Aydınlatma Yükümlülüğü İçin Gönderilen SMS’ler: KVKK’nın 10. maddesi gereği aydınlatma yükümlülüğü, veri işleme faaliyetinden önce veya en geç eş zamanlı olarak yerine getirilmelidir. Aydınlatma metnine yönlendiren bir SMS, sistem/log kayıtları ile birlikte ispat aracı olabilir.
3️⃣ Ticari Elektronik İleti Onayı İçin Gönderilen SMS’ler: İletişim izni almak için gönderilen bu tür SMS’ler, hem içeriği hem de zamanlaması bakımından diğer metinlerden tamamen ayrı olmalı. Açık rızaya dayandığından, şeffaf, özgür irade ile verilebilecek, hizmet şartına bağlanmamış bir yapıda sunulmalıdır.