KVKK Verification Requirement for Loyalty Card Usage

Information Note - KVKK Principle Decision: Loyalty Cards

Subject: Verification Requirement for the Use of Telephone Numbers in Loyalty Cards

Compliance Deadline: 28 August 2026

1. Matters Changed by the Decision

The Personal Data Protection Board (the "Board") has found the widespread practice in the retail sector of benefiting from loyalty card advantages such as discounts and point accrual by simply stating a mobile phone number to be unlawful. Henceforth, merely declaring a phone number at the checkout will no longer be sufficient. A verification step proving that the transaction genuinely belongs to the owner of that number has become mandatory.

2. Key Grounds of the Board

The Board has emphasized three main points in its principle decision:

Data Accuracy (KVKK Art. 4): Third parties making purchases using another person\'s number causes inaccurate data (purchase history, location, etc.) to be recorded in the profile of the actual cardholder. This constitutes a breach of the data controller\'s obligation to ensure that "data is accurate and up-to-date."

Absence of Legal Basis (KVKK Art. 5): The processing of a data subject\'s data without their knowledge and consent does not rely on any of the processing conditions stipulated under the KVKK.

Non-Transferability of Liability (KVKK Art. 12): The inclusion of the clause "The responsibility for card usage rests with the member" in membership agreements does not relieve the data controller of its obligation to implement technical and administrative measures.

3. Accepted Verification Methods

The Board has accepted the following methods as lawful for verifying the loyalty card holder:

SMS OTP: Entry of a one-time code sent to the customer\'s phone at the checkout.

QR Code: Scanning of a code generated through the mobile application at the checkout.

Physical Card: Presentation of the physical loyalty card at the checkout.

Password (PIN): Entry of a customer-specific password on the POS terminal.

4. Risks and Sanctions

The Board has granted businesses a 6-month period to comply with the principle decision. The compliance period will expire on 28.08.2026. The risks facing companies that fail to take measures by the end of the compliance period are as follows:

Administrative Fines: Taking into account the 2026 revaluation rates, the current fine ranges are as follows:

For failure to fulfill data security obligations, an administrative fine ranging from TRY 256,357 to TRY 17,092,242;

For failure to comply with Board decisions, an administrative fine ranging from TRY 427,263 to TRY 17,092,242 may be imposed.

In determining the amount of the fine, factors such as the nature and scope of the violation, the scale of the business, and whether it constitutes a repeat offence shall be taken into consideration.

Individual Applications: The operational burden and reputational damage that may arise from complaints filed by customers who have had invoices issued in their name without their knowledge.

Tax and Consumer Law Issues: Invoices issued in another person\'s name may create complications in warranty and return processes.

5. Conclusion

The published principle decision has put an end to a widespread sectoral practice that has persisted for years. Given that the additional verification step introduced by the decision is of a nature that will increase the time customers spend at the checkout during payment, businesses have a 6-month period to prepare and strike a balance between maintaining loyalty card utilization rates and implementing the security measures prescribed by the KVKK. As the implementation of the specified measures will compel businesses to engage in additional personal data processing in most scenarios, businesses will also be required to update their disclosure notices. Although the system introduced by the decision will initially create an operational burden, in the long term it will bring CRM customer data of businesses to a cleaner standard.

Bilgi Notu – KVKK İlke Kararı: Sadakat Kart

Konu: Sadakat Kartlarda Telefon Numarası Kullanımında Doğrulama Zorunluluğu

Uyum İçin Son Tarih: 28 Ağustos 2026

1. Kararı ile Değişen Hususlar

Kişisel Verileri Koruma Kurulu (“Kurul”), perakende sektöründe çok yaygın bir uygulama olan cep telefonu numarası belirterek indirim, puan kazanımı gibi sadakat kart avantajlarından faydalanma pratiğini hukuka aykırı bulmuştur. Artık kasada sadece telefon numarasının beyan edilmesi yeterli olmayacaktır. İşlemin gerçekten o numaranın sahibine ait olduğunu kanıtlayan bir doğrulama adımı zorunlu hale gelmiştir.

2. Kurul’un Temel Gerekçeleri

Kurul ilke kararda üç ana noktaya vurgu yapmıştır:

Veri Doğruluğu (KVKK m.4): Üçüncü kişilerin başkasının numarasıyla alışveriş yapması, asıl kart sahibinin profiline yanlış veri (satın alma geçmişi, lokasyon vb.) işlenmesine neden olur. Bu da veri sorumlusunun "verilerin doğru ve güncel olması" yükümlülüğünü ihlal etmektedir.

Hukuki Sebep Yokluğu (KVKK m.5): İlgili kişinin haberi ve rızası olmadan verilerinin işlenmesi, KVKK’da yer alan hiçbir işlenme şartına dayanmamaktadır.

Sorumluluğun Devredilememesi (KVKK m.12): Şirketlerin üyelik sözleşmelerine "Kartın kullanım sorumluluğu üyeye aittir" maddesinin yer alması, veri sorumlusunun teknik ve idari tedbir alma yükümlülüğünü ortadan kaldırmamaktadır.

3. Kabul Edilen Doğrulama Yöntemleri

Kurul, aşağıdaki yöntemleri, sadakat kartın sahibinin doğrulanması aşamasında hukuka uygun olarak kabul etmiştir:

SMS OTP: Müşterinin telefonuna iletilen tek kullanımlık kodun kasaya girilmesi.

QR Kod: Mobil uygulama üzerinden üretilen kodun kasada okutulması.

Fiziki Kart: Fiziksel sadakat kartının kasada ibraz edilmesi.

Şifre (PIN): Müşteriye özel olarak tanımlanan şifrenin pos cihazına girilmesi.

4. Riskler ve Yaptırımlar

Kurul işletmelere, ilke karara uyum için 6 aylık süre tanımıştır. Tanınan süre, 28.08.2026 tarihinde sona erecektir. Uyum süreci sonunda önlem almayan şirketleri bekleyen riskler şunlardır:

İdari Para Cezaları: 2026 yılı yeniden değerleme oranları dikkate alındığında güncel ceza aralıkları şöyledir:

Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde 256.357 TL ile 17.092.242 TL arasında;

Kurul kararlarının yerine getirilmemesi halinde 427.263 TL ile 17.092.242 TL arasında idari para cezası uygulanabilecektir.

Ceza miktarının belirlenmesinde ihlalin niteliği, kapsamı, işletmenin ölçeği ve tekrar eden ihlal niteliği taşıyıp taşımadığı gibi faktörler dikkate alınacaktır.

Bireysel Başvurular: Haberi olmadan adına fatura düzenlenen müşterilerin yapacağı şikayetler sonucunda oluşacak operasyonel yük ve itibar kaybı oluşabilecektir.

Vergi ve Tüketici Hukuku Sorunları: Başkası adına düzenlenen faturalar, garanti ve iade süreçlerinde karmaşa yaratabilecektir.

5. Sonuç

Yayımlanan ilke karar ile yıllardır süregelen yaygın bir sektör uygulamasının önüne geçilmiştir. İlgili karar ile eklenen ilave doğrulama aşaması, müşterinin ödeme esnasında kasada geçirdiği süreyi arttıracak nitelikte olduğundan sadakat kart kullanım oranını etkilemyen, aynı zamanda KVKK’nın belirtmiş olduğu standartlarda güvenlik önlemlerinin işletilmesi arasındaki dengenin kurulabilmesi için ticari işletmelerin hazırlanabileceği 6 aylık süre bulunmaktadır. Belirtilen önlemlerin alınması, işletmeleri çoğu senaryoda ilave kişisel veri işleme yoluna iteceğinden işletmeler aynı zamanda aydınlatma metinlerini de güncellemek durumundadır. İlgili karar ile getirilen sistem başlangıçta her ne kadar operasyonel yük getirecek olsa da uzun vadede işletmelerin CRM müşteri verilerini bir seviye daha temiz hale getirecektir.

KVKK Verification Requirement for Loyalty Card Usage Sadakat Kart Kullanımında KVKK Doğrulama Zorunluluğu