Müşteri verisi tutan yazılımlarda KVKK: işletme olarak sorumluluğunuz ne?
Bilgilendirme notu: Bu içerik genel bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. KVKK yükümlülükleri işletmenin faaliyetine ve işlediği veriye göre değişir; ceza tutarları, VERBİS kayıt eşikleri ve kurul kararları zaman içinde güncellenir. Bu yazıda rakam ve eşik vermiyoruz. Kendi durumunuz için KVKK Kurumu'nun resmi sitesindeki güncel mevzuata ve bir hukuk danışmanına başvurun.
Veri sorumlusu kim: siz mi, yazılım firması mı?
KVKK'nın en kritik ve en çok karıştırılan ayrımı budur. Müşterisinin verisini toplayan, ne amaçla işleneceğine karar veren işletme (kuaför, spor salonu, toptancı, restoran) veri sorumlusudur. Bu veriyi onun adına, onun talimatıyla saklayan ve işleyen yazılım firması ise veri işleyendir. Pratik anlamı şudur: müşterinizin verisinin hukuki sorumluluğu sizdedir; yazılım firması bu sorumluluğu sizden devralmaz. “Yazılımcı hallediyordur” varsayımı, KVKK açısından bir savunma değildir.
Hangi veriler kişisel veri sayılır?
Sandığınızdan geniştir. Ad-soyad ve telefon açıktır; ancak müşterinin işlem geçmişi (hangi hizmeti aldı, hangi boya kullanıldı), spor salonuna giriş-çıkış kayıtları, randevu geçmişi, satın alma alışkanlığı, fotoğrafı ve hatta notlar alanına yazdığınız serbest metinler de kişisel veridir. Sağlık bilgisi (alerji, rahatsızlık) veya biyometrik veri (parmak izi ile giriş) işliyorsanız bunlar özel nitelikli kişisel veridir ve daha ağır korumaya tabidir — parmak iziyle giriş kuran spor salonlarının bunu bilmesi gerekir.
Aydınlatma metni ve açık rıza: müşteriden ne zaman, nasıl alınır?
İkisi aynı şey değildir. Aydınlatma metni bir bilgilendirmedir: hangi verinizi, hangi amaçla, ne kadar süre işliyoruz, kimlerle paylaşıyoruz, haklarınız neler. Bu, veri işlemenin her halinde gereklidir. Açık rıza ise izindir ve yalnızca kanunda sayılan diğer işleme şartları yoksa gerekir. Örneğin bir randevu kaydı için müşterinin telefonunu tutmak sözleşmenin ifasıyla ilgilidir; ancak aynı numaraya kampanya mesajı göndermek ticari elektronik iletidir ve ayrı bir izin (İYS/açık rıza) gerektirir. Bu ayrımı sisteminizde de ayrı alanlar olarak tutmalısınız.
Randevu hatırlatma SMS'i için rıza gerekli mi?
Sık sorulan ve sık yanlış cevaplanan soru. Kısa cevap: hizmetin ifasına dair bilgilendirme (yarınki randevunuz saat 14:00) ile pazarlama iletisi (bu hafta %20 indirim) hukuken farklı şeylerdir; ikincisi ticari elektronik ileti kurallarına tabidir ve ayrı izin ister. Sisteminiz bu iki mesaj türünü ayırt edebilmeli ve pazarlama iznini müşteri bazında tutmalıdır. İzin vermeyene kampanya göndermek, hem hukuki risk hem de müşteri kaybıdır.
Yazılımınızda aranacak KVKK özellikleri.
Sistem seçerken şunları arayın: (1) rol bazlı erişim — her personel her müşteri verisini görmemeli; bu, şirket yönetim panelimizde standart bir özelliktir; (2) log/işlem kaydı — kim, ne zaman, hangi veriye erişti; ihlal durumunda tek kanıtınız budur; (3) veri silme ve anonimleştirme — müşteri talep ettiğinde verisini gerçekten silebilmelisiniz; (4) yedekleme ve yedeğin güvenliği; (5) veri dışa aktarma — hem müşterinin bilgi talebi hem de sizin sistemden ayrılma özgürlüğünüz için. Bu beşi olmayan bir sistem, KVKK yükümlülüğünüzü yerine getirmenizi zorlaştırır.
Veri nerede tutuluyor?
Verilerin yurt içinde mi yurt dışında mı barındırıldığı, KVKK'nın yurt dışına aktarım kurallarını ilgilendirir ve kuralları vardır. Yazılım firmanıza net olarak sorun: sunucular nerede, yedekler nerede, alt yükleniciler kimler? Cevabı bilmiyorsanız, veri sorumlusu olarak cevabı vermeniz gereken bir soruyu boşta bırakmışsınız demektir.
Yazılım firmasıyla veri işleyen ilişkisi.
Yazılım firması sizin adınıza veri işliyorsa, aranızdaki ilişkinin yazılı olması gerekir: firma veriyi yalnızca sizin talimatınızla işleyecek, gizlilik sağlayacak, güvenlik tedbirlerini alacak ve ilişki bittiğinde veriyi iade edecek veya silecektir. Bu maddeler sözleşmenizde yoksa, ekletmek sizin yararınızadır.
VERBİS kaydı gerekli mi?
VERBİS (Veri Sorumluları Sicili) kaydı, belirli kriterleri sağlayan veri sorumluları için zorunludur; kriterler ve istisnalar Kurul kararlarıyla belirlenir ve güncellenir. Kapsamda olup olmadığınızı KVKK Kurumu'nun güncel duyurularından veya danışmanınızdan teyit edin — bu yazıda eşik vermiyoruz.
Sistem seçerken sorulacak 5 KVKK sorusu.
(1) Rol bazlı yetkilendirme ve erişim logu var mı? (2) Bir müşterinin verisini talebi üzerine silebiliyor muyum? (3) Veriler nerede barındırılıyor, yedekler nerede? (4) Pazarlama izni ile hizmet bilgilendirmesi ayrı ayrı tutuluyor mu? (5) Sistemden ayrılırsam verimi tam olarak dışa aktarabiliyor muyum? Bu beş sorunun cevabını yazılı alın.
Kendi uygulamamızı da aynı ölçütlere tabi tutuyoruz; sitemizdeki veri işleme yaklaşımını gizlilik ve KVKK aydınlatma metnimizde açıkladık. Müşteri ve üye verisi işleyen sistemlerimizde — kuaför randevu ve spor salonu üyelik çözümlerimiz dahil — rol bazlı erişim, işlem kaydı ve veri dışa aktarma standarttır. Sisteminizi konuşmak için bize yazın.