Kasada yeni dönem: SMS doğrulama zorunlu oluyor

28 Şubat 2026 tarihli Resmî Gazete’de yayımlanan Kurul kararıyla, sadakat kartların yalnızca cep telefonu numarası veya kart numarası söylenerek kullanılmasına son veriliyor. Veri sorumlularına 6 ay uyum süresi tanındı.

28.02.2026 - 00:16 Yayınlanma

Kasada yeni dönem: SMS doğrulama zorunlu oluyor

Kişisel Verileri Koruma Kurulu, alışverişlerde yaygın şekilde kullanılan sadakat kart uygulamalarına ilişkin kritik bir ilke kararı aldı. Resmî Gazete’de yayımlanan karara göre, kasada sadece cep telefonu numarası ya da sadakat kart numarası bildirilerek işlem yapılmasına imkân tanıyan uygulama hukuka aykırı bulundu.Kararla birlikte doğrulama mekanizması olmadan yapılan sadakat kart işlemlerine son verilmesi istendi.

SADECE TELEFON NUMARASIYLA İŞLEM HUKUKA AYKIRI

Kurul değerlendirmesinde, ilgili kişinin bilgisi ve rızası olmaksızın üçüncü bir kişinin cep telefonu numarası veya kart numarasını kullanarak alışveriş yapmasının kişisel veri ihlaline yol açabileceği belirtildi.

Bu durumun:

Yanlış müşteri işlem kaydı oluşmasına
İlgili kişi adına fatura düzenlenmesine
Alışveriş bilgilerinin hatalı şekilde sisteme işlenmesine

neden olabileceği vurgulandı.Kararda, bu uygulamanın 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 4, 5 ve 12’nci maddelerine aykırılık teşkil ettiği ifade edildi.

SMS KODU VE QR DOĞRULAMA DÖNEMİ

Kurul, veri sorumlularının doğrulama mekanizması oluşturmasını zorunlu kıldı. Buna göre sadakat kart kullanımında şu yöntemlerden biri uygulanabilecek:

Cep telefonuna gönderilen tek kullanımlık SMS doğrulama kodu
Mobil uygulama üzerinden QR kod veya barkod okutulması
Fiziki kartın kasada ibraz edilmesi
Sadakat kart şifresinin girilmesi
İşlem türüne göre “opt-in” tercih sunulması

Amaç, alışverişin gerçekten kart sahibinin bilgisi ve rızasıyla yapıldığını teyit etmek.

6 AYLIK UYUM SÜRESİ VERİLDİ

Veri sorumlularına, ilke kararının yayımlanmasından itibaren 6 ay süre tanındı. Bu süre içinde gerekli teknik ve idari tedbirlerin alınması gerekiyor.

Restoran ve otellere 750 bin TL’ye kadar destek

İçeriği Görüntüle

Belirlenen önlemleri almayan ve uygulamaya devam eden işletmeler hakkında 6698 sayılı Kanun’un 18’inci maddesi kapsamında idari işlem uygulanabileceği belirtildi.

KİŞİSEL VERİ GÜVENLİĞİ VURGUSU

Kurul, sadakat kart üyelik sözleşmelerinde kartın üçüncü kişilerce kullanılmaması yönünde hükümler bulunsa da bunun veri sorumlularının güvenlik yükümlülüğünü ortadan kaldırmadığını açıkladı.Alışveriş sırasında kullanılan her telefon numarası veya kart numarasının ilgili kişinin gerçek iradesiyle kullanıldığının doğrulanması gerektiği ifade edildi.

Yeni düzenleme, özellikle perakende sektörünü yakından ilgilendiriyor. SMS doğrulama ve çift aşamalı kimlik kontrolü uygulamalarının kısa sürede yaygınlaşması bekleniyor. 2026 itibarıyla sadakat kart kullanımında daha sıkı bir veri güvenliği dönemi başlıyor.