Sadakat Kartı KVKK Zorunluluğu: 28 Ağustos 2026 Son Tarihi ve Şirketler İçin Yol Haritası

Yönetici Özeti. Kişisel Verileri Koruma Kurulu, 28 Şubat 2026 tarihli ve 2026/266 sayılı İlke Kararı ile sadakat kartı programlarında uzun süredir uygulanan doğrulamasız işlem yöntemini hukuka aykırı saydı. Karar, uyum için 28 Ağustos 2026 tarihini son tarih olarak belirledi. Ceza riski yükümlülük başına 427.263 – 17.092.242 TL bandında (KVKK m.18; Resmi Gazete, 27 Kasım 2025). Aşağıda kararın somut etkilerini ve kalan dört aylık sürede neler yapılması gerektiğini ele alıyoruz.

1. Kararın Özü

Bir markette müşteri kasada cep telefonu numarasını söylüyor. Kasiyer numarayı sisteme giriyor. Puan, indirim, kupon işliyor. Türkiye'de büyük perakende zincirlerinin sadakat programları yıllardır bu şekilde çalışıyor.

Kurul'un kararı bu sürecin bir adımına dikkat çekiyor: numarayı söyleyen kişinin gerçekten o numaranın sahibi olduğunu doğrulayan bir mekanizma yok. Bir başkasının cep telefonu numarasıyla işlem yapılması, kasada her gün, fark edilmeden mümkün. Sadakat hesabı sahibi başkasının yaptığı alışverişle birikmiş puanları görüyor; veri ona ait değilken ona ait gibi işleniyor.

Kurul'un yorumu net: bu pratik, KVKK m.4'te düzenlenen hukuka uygunluk ve dürüstlük ilkelerine aykırı. Mantığı şöyle — veri sorumlusu, doğrulama mekanizması kurmadığı sürece kendi sistemi üzerinden bu ihlali fiilen mümkün kılmış oluyor. Sistemin kurgusu ihlali davet ediyorsa, sistemi kuran sorumludur.

Pratik karşılığı: doğrulamasız çalışan her sadakat programı, 28 Ağustos 2026 itibarıyla devam eden bir ihlal niteliğinde.

2. Kabul Edilen Doğrulama Yöntemleri

İlke Karar belirli bir teknolojiyi şart koşmuyor; sonucu söylüyor: kasada işlem yapan kişinin, hesabın gerçek sahibi olduğunun makul bir teknik ölçüyle doğrulanması. Hangi yöntemle doğrulanacağı veri sorumlusunun seçimine bırakılmış. Pratikte üç yaklaşım kullanılıyor.

OTP — müşterinin cep telefonuna SMS ile gönderilen tek kullanımlık kod. Kasiyer kodu sisteme girdiğinde işlem onaylanıyor. Yaygın altyapısı ve düşük teknik maliyeti nedeniyle perakende zincirlerinin ilk tercihi. Dezavantajı SMS maliyeti ve hat değişikliği senaryolarındaki kırılganlık.

QR kod — müşteri uygulaması üzerinden üretilen, dakikalık yenilenen tek seferlik kod. Kasiyer tarafından okutulduğunda işlem hesaba bağlanıyor. SMS maliyeti yok, kullanıcı deneyimi akıcı. Ancak uygulama indirme zorunluluğu belirli demografilerde benimsenmesini düşürüyor; özellikle yaş ortalaması yüksek müşteri kitlelerinde.

Şifre veya PIN — üyelik anında belirlenen, kasada sözel ya da keypad ile alınan kod. Maliyeti en düşük yöntem; ancak paylaşılma ve unutulma oranı yüksek olduğundan tek başına en zayıf doğrulama. Pratikte hibrit yapılarda destekleyici unsur olarak kullanılıyor.

Üç yöntem de Kurul kriterleri açısından kabul edilebilir nitelikte. Tercih, programın operasyonel yapısına, müşteri demografisine ve teknik altyapı maliyetine göre yapılmalı. Doğru cevap yok; yanlış cevap doğrulama mekanizmasının hiç olmaması.

3. Sadece Teknik Mesele Değil

İlke Kararın çoğu yorumunda gözden kaçan bir nokta var: doğrulama mekanizmasını kurmak teknik bir iyileştirme; ancak hukuki uyum için yeterli değil. Mekanizmayı kurdunuz, ama aydınlatma metniniz hâlâ doğrulamasız sistemi anlatıyorsa, açık rıza metniniz hâlâ tek belgede iç içe geçmişse, üyelik sözleşmeniz hâlâ riski sadece müşteriye yüklüyorsa — uyum tamamlanmamış demektir.

18 Şubat 2026 tarihli ve 2026/347 sayılı İlke Karar, aydınlatma metni ile açık rıza metninin ayrı belgeler olmasını şart koştu. Sadakat kartı bağlamında bu, pratikte üç belgenin paralel revizyonunu gerektiriyor.

Aydınlatma metninde, işleme amaçlarının ayrı ayrı belirtilmiş olması — puan biriktirme, kişiselleştirilmiş kampanya, profil oluşturma, üçüncü taraf paylaşımı — ve doğrulama mekanizmasının açıkça yer alması gerekiyor. Genel ifadeler artık yetersiz; "sadakat programı kapsamında veri işliyoruz" cümlesi tek başına aydınlatma yükümlülüğünü karşılamıyor.

Açık rıza metni, aydınlatma metninden ayrı bir belge olmak zorunda. Pazarlama amaçlı veri işleme, profil oluşturma ve üçüncü taraflarla paylaşım gibi faaliyetler için açık rıza şart; opt-in mantığıyla — önceden işaretli kutucuk yasak — alınmalı; geri çekme hakkı her aşamada ulaşılabilir olmalı. Bu son nokta sıklıkla atlanan ama denetimde sorulan bir detay.

Üyelik sözleşmesi de gözden geçirilmeli. Doğrulamasız işlemlerin riskini sadece müşteriye yükleyen, hesap güvenliği yükümlülüklerini tek taraflı düzenleyen sözleşme maddeleri, Kurul'un dürüstlük ilkesine takılıyor. Veri sorumlusu kendi kuramadığı doğrulama yapısının riskini sözleşme yoluyla müşteriye devredemez.

4. VERBİS ve Sicil Yansımaları

Sadakat programlarında doğrulama mekanizmasının eklenmesi, kişisel veri işleme envanterinde değişiklik anlamına geliyor. VERBİS bildirimi güncellenmemiş bir uyum çalışması, yarısı yapılmış bir uyum çalışmasıdır. İşlenen veri kategorilerine doğrulama verileri eklenmeli; veri toplama yöntemleri güncellenmeli; saklama süreleri yeniden gözden geçirilmeli; üçüncü taraflarla paylaşım kalemleri yeniden değerlendirilmeli.

VERBİS güncellemesinin atlanması, ayrı bir yükümlülük ihlali olarak değerlendiriliyor. Yani doğrulama mekanizmasını kurmuş ama envanteri güncellememiş bir şirket, tek olayda iki ayrı yükümlülük başlığında risk taşıyor.

5. Ceza Riski: Aritmetik Bir Bakış

28 Ağustos 2026 itibarıyla doğrulamasız çalışmaya devam eden bir sadakat sistemi üç farklı yükümlülük bandında risk taşıyor (KVKK m.18; Resmi Gazete, 27 Kasım 2025). Md.12 — veri güvenliği yükümlülüğü ihlali — 256.357 ile 17.092.242 TL arasında. Md.15 — Kurul kararına uymama — 427.263 ile 17.092.242 TL arasında. Md.16 — VERBİS kayıt yükümlülüğü ihlali — 341.809 ile 17.092.242 TL arasında.

Üç yükümlülüğün üst sınırları toplandığında ortaya çıkan teorik kümülatif tavan 51,2 milyon TL'yi aşıyor. Bu hesap, Kurul'un tek olayda birden fazla yükümlülük ihlalini ayrı ayrı cezalandırma yetkisinden çıkarılmıştır; teorik bir senaryo değil, KVKK m.18 çerçevesinde uygulanabilir bir tablo.

TBMM gündemindeki cirosal ceza reformu — yıllık cironun %2 ile %4'ü — yasalaşırsa, fiks tavan ortadan kalkıyor; rakam doğrudan ciroya bağlanıyor. Bu durumda büyük perakende grupları için risk yükü yeniden hesaplanmak zorunda kalacak.

6. 28 Ağustos'a Dört Ay Kala

Dört ay, durum tespiti–teknik entegrasyon–belge revizyonu–test döngüsünü tamamlamak için sıkışık ama yeterli. Sıralama önemli: doğru sıra olmadığında her aşama bir öncekini bekliyor ve takvim hızla daralıyor.

İlk dört hafta durum tespitine ayrılmalı. Mevcut sadakat sisteminin teknik akışı haritalandırılmalı; aydınlatma metni, açık rıza metni ve üyelik sözleşmesi 2026/266 ve 2026/347 sayılı İlke Kararlar açısından analiz edilmeli; veri envanterinin güncel hali çıkarılmalı. Bu aşamadan sonra kararlar veriye dayalı hale geliyor.

İkinci aşama — dördüncü ile onuncu hafta arasında — uygulama. Doğrulama mekanizması seçimi (OTP, QR, şifre veya hibrit) ve teknik entegrasyon. Üç belgenin paralel revizyonu. VERBİS güncellemesi. Kasa personeline yönelik eğitim — yazılı politika kadar pratik senaryo gerektiren bir aşama, çünkü uygulamada ihlal genellikle politika boşluğundan değil, kasiyerin doğru adımı bilmemesinden doğuyor.

Son altı hafta test ve dokümantasyon. Pilot mağaza testi, mevcut müşteri kitlesine yeni rıza alımı için açık iletişim, iç denetim raporlaması. Kurul incelemesinde sunulacak belgenin son halini alması. Bu aşama sıkıştığında genellikle dokümantasyon eksik kalıyor — denetim anında en kritik unsurun. Süreç kendi başına işlemeli; son haftaya bırakılan iç denetim ihlal anında savunma için yeterli ağırlığı taşımıyor.

Sonuç

Sadakat kartı programları, müşteri sadakatinin ölçüldüğü değil, müşteri verisinin yönetildiği bir altyapı. KVKK Kurulu bu altyapıyı 28 Ağustos 2026 itibarıyla yeni bir uyum çizgisine çekiyor. Doğrulama mekanizması kurmamak teknik bir eksiklik değil; doğrudan idari para cezası tetikleyen bir ihlal niteliğinde.

Kararın gerçek anlamı tek bir teknik yatırım değil — bir sistemin yeniden tasarımı. Doğrulama yöntemi, üç belgenin revizyonu, VERBİS güncellemesi, personel eğitimi ve denetim dokümantasyonu birlikte düşünülmek zorunda. Tek bir parçayı eksik bırakmak, tüm uyum çalışmasının savunulabilirliğini zayıflatıyor.

Ağustos sonrasına bırakmak ise her gün biriken ceza riski anlamına geliyor. Süreyi geçiren şirketler için "henüz başlamamıştık" cümlesi, Kurul incelemesinde hafifletici bir argüman değil, ihlalin başlangıç tarihini gösteren bir ifade.

Bu yazı genel bilgilendirme amaçlıdır; somut olaylarda hukuki danışmanlık yerine geçmez.