Tüm yazılara dön
kvkk yasal uyum müşteri verisi rehber

KOBİ'ler İçin KVKK Uyumlu Müşteri Yönetimi Rehberi

Randevu ve müşteri verisi tutan işletmeler için KVKK gereksinimleri: açık rıza, aydınlatma metni, veri silme hakkı, VERBİS kaydı ve pratik kontrol listesi.

Anlycade

Kuaför, güzellik merkezi, klinik ya da danışmanlık firması — müşteri ismi, telefonu ve randevu tarihi tutan her işletme, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun kapsamında bir “veri sorumlusu”. Kanun 2016’da yürürlüğe girdi ama uygulama cezaları son 3 yılda ciddi boyutlara ulaştı — KVKK Kurulu 2025 yılında 50 milyon TL üstü cezalar kesti. İyi haber: KOBİ için uyum süreci karmaşık değil, ama yapılmamış olması felaket. Bu yazıda pratik kontrol listesi ve Anlycade’in sana bunda nasıl yardım ettiğini anlatıyoruz.

KVKK Neyi Düzenliyor? Bir Cümlelik Özet

Kişisel veri işlemek için açık rızan olması + şeffaf olman + saklama süresini sınırlaman + güvenli tutman + talep üzerine silmen/vermen gerekiyor. Bu cümle içinde 5 yükümlülük var, her biri somut adımlara denk geliyor.

1. Açık Rıza — Müşteri “Evet” Demelidir

Kanun açık rızayı şöyle tanımlıyor:

  • Belirli bir konuya ilişkin (hangi veri, ne için)
  • Bilgilendirilerek (müşteri ne olacağını biliyor)
  • Özgür iradeyle (başka seçeneği var)

Somut Uygulama

Randevu formunda tek checkbox yetmez. Doğrusu:

[ ] Kişisel bilgilerimin (ad, telefon, e-posta)
    randevu yönetimi amacıyla işlenmesine onay veriyorum.
    (Aydınlatma metni için tıklayın)

[ ] WhatsApp ve SMS ile randevu hatırlatması almak istiyorum.

[ ] Kampanya ve promosyon bildirimi almak istiyorum. (Opsiyonel)

Üç ayrı onay → üç ayrı amaç. “Kampanya bildirimi” işaretlenmemişse, bir daha o müşteriye kampanya mesajı atamazsın.

Anlycade’de: Online rezervasyon formunda bu 3 checkbox standart. Müşteri işaretlediği tarih + saat veritabanında saklanıyor; KVKK denetiminde kanıt olarak ibraz edersin.

2. Aydınlatma Metni — Zorunlu, Herkese Ulaşılabilir

Her veri sorumlusu aşağıdakileri müşteri veriyi vermeden önce duyurmalı:

  • Kim olduğu (işletme adı, adres)
  • Hangi verileri işlediği (ad, telefon, e-posta, sağlık bilgisi vb.)
  • Hangi amaçla işlediği (randevu, hatırlatma, kampanya)
  • Kimlerle paylaştığı (yazılım sağlayıcıları, ödeme kuruluşları)
  • Ne kadar süre sakladığı
  • Müşterinin hakları (silme, aktarma, itiraz)
  • İletişim kanalı

Bu metni salonun duvarına asmak, randevu formuna link koymak ve ıslak/dijital kopyasını saklamak gerekiyor.

Anlycade’de: Her tenant’ın kendi aydınlatma metni şablonu panelde var (düzenlenebilir), online rezervasyon sayfasına otomatik bağlanıyor.

3. Saklama Süresi — Sonsuza Kadar Değil

KVKK “amacına ulaşıldığında veri silinir” diyor. Pratik karşılığı:

  • Aktif müşteri randevu verisi: Son randevudan 2 yıl sonra anonimleştir
  • Pasif müşteri (1 yıldır randevu yok): 6 ay sonra sil
  • Fatura bilgisi: 10 yıl saklama yükümlülüğü (Vergi Usul Kanunu)
  • Pazarlama onayı olmayanlar: Hemen kampanya listesinden çıkar

Her kategoriyi ayrı yönetmek zor; Anlycade’te otomatik arşivleme ve anonimleştirme kuralı var. Sen “6 ay” dersin, sistem o süreyi geçmiş müşterilerin adını Müşteri-12345 formatına çevirir, telefonu hashler. Veri kaybı yok, ama kişi artık tanımlanamıyor.

4. Güvenlik — Teknik ve İdari Tedbirler

KVKK “uygun güvenlik önlemleri” diyor. KOBİ için minimum:

  • Şifreleme: Veritabanındaki kişisel veriler AES-256 (Anlycade standardı)
  • TLS: Müşteri ile sunucu arasında https zorunlu
  • Erişim kontrolü: Sadece yetkili çalışan görebilir (RBAC)
  • Log tutma: Kim ne zaman hangi veriye baktı kaydı
  • Yedekleme: Günlük otomatik backup, 30 gün saklama
  • Parola politikası: Çalışanlar için minimum 12 karakter, 90 günde bir değişim
  • Çalışan eğitimi: Yılda en az bir kez KVKK bilinci

Anlycade’de: İlk 7 maddesi (şifreleme, TLS, RBAC, audit log, backup, parola kuralları) zaten standart. Çalışan eğitimi senin sorumluluğun — blog serimizde model içerik hazırlıyoruz.

5. Müşteri Hakları — Talep Gelince Karşılık

Müşteri 6 hakla gelebilir:

  1. Bilgi talebi — “Hangi verilerimi tutuyorsun?”
  2. Aktarma — “Verimi başka yere taşıyorum, export ver”
  3. Düzeltme — “Telefonumu yanlış kaydetmişsin”
  4. Silme — “Müşterin değilim, sil”
  5. İtiraz — “Pazarlama amaçlı kullanımına itiraz ediyorum”
  6. Otomatik karar vermeye karşı itiraz — Algoritmayla verilen kararlara karşı

Müşteri yazılı başvurursa 30 gün içinde yanıt zorunlu. Yanıt vermezsen veya “yapamam” dersen → şikayet → KVKK Kurulu.

Anlycade’de: Müşteri detay sayfasında “Veriyi Dışa Aktar” + “Anonimleştir” + “Sil” butonları var. Üçü de tek tıklık işlem, denetim izi otomatik tutuluyor.

6. VERBİS Kaydı — Sen Kimsin?

VERBİS (Veri Sorumluları Sicili), KVKK Kurulu’nun tuttuğu veri sorumlusu listesi. Yükümlülük eşikleri:

  • Yıllık cirosu 100 milyon TL üstü olan işletmeler → zorunlu kayıt
  • Yıllık çalışan sayısı 50’yi aşan → zorunlu kayıt
  • Sağlık verisi işleyen işletmeler (klinikler, diş hekimleri) → ciroya bakılmaz, zorunlu kayıt

Sıradan bir kuaför salonu bu eşiklerin altındaysa zorunlu değil — ama “biz KVKK uyumluyuz” demek için kayıt olmak güven veriyor.

Kayıt https://verbis.kvkk.gov.tr üzerinden, ücretsiz. Hesap açma → işletme bilgileri → veri envanteri girme → 1-2 saatlik iş.

7. İhlal Bildirimi — 72 Saat Kuralı

Yazılım hacklendi, çalışan veriyi sızdırdı, laptop çalındı — “veri ihlali” oluştu. KVKK Kurulu’na 72 saat içinde bildirim zorunlu. Ağır ihmal varsa idari para cezası 2 milyon TL’ye kadar çıkıyor.

Anlycade’de: Güvenlik olay izleme Sentry + Grafana üzerinden. Anormal giriş aktivitesi veya toplu veri export, admin paneline uyarı düşer.

Pratik Kontrol Listesi — 15 Madde

İşletmen için şu maddeleri kontrol et:

  1. ☐ Aydınlatma metni yazılı (salon duvarında + web sitesinde)
  2. ☐ Rezervasyon formunda açık rıza checkbox’ları (3 ayrı amaç)
  3. ☐ Kampanya mesajları sadece onay verenlere
  4. ☐ Müşteri telefonu ve e-postası şifreli saklanıyor
  5. ☐ Çalışanlar sadece kendi hastalarını/müşterilerini görüyor (RBAC)
  6. ☐ Şifre politikası aktif (min 12 karakter)
  7. ☐ Günlük veri yedeği alınıyor
  8. ☐ “Verimi sil” butonuna tıklanınca gerçekten siliniyor
  9. ☐ “Veri dışa aktarma” özelliği çalışıyor
  10. ☐ 2 yıldır randevu almamış müşteri anonimleştirme kuralı tanımlı
  11. ☐ Audit log — kim ne zaman hangi veriye baktı
  12. ☐ Çalışanlar yılda en az bir KVKK eğitimi almış
  13. ☐ SSL/TLS sertifikası geçerli (anlycade.com dahil)
  14. ☐ Üçüncü taraf yazılım sağlayıcılarıyla KVKK sözleşmesi imzalı
  15. ☐ VERBİS kaydı yapıldı (eşik geçildiyse)

12+ madde işaretli → iyi durumdasın. 8’in altı → acil aksiyon planı hazırla.

Sık Sorulan Sorular

Q: KVKK için ne kadar ceza alabilirim?
A: 6.000 ile 15.000.000 TL arasında, ihlalin ağırlığına göre.

Q: Bir arkadaşımın verisini sosyal medyada paylaşırsam KVKK’yı ihlal eder miyim?
A: Kişisel veri sorumlusu sıfatıyla hareket etmezsen KVKK uygulanmaz — ama işletme hesabından paylaşım yapıyorsan işletme sorumludur.

Q: Müşteri WhatsApp’tan yazdı, telefonumu kaydedebilir miyim?
A: Sadece iletişim amaçlı — kampanya mesajı atmak için ayrıca onay gerekli.

Q: Yazılım değiştirdim, eski yazılımdaki veri ne olacak?
A: Eski sağlayıcıya silmesi için talep yaz, silinme belgesi iste, 30 gün içinde cevap gelmezse KVKK’ya bildir.

Sonuç

KVKK uyumu 15 maddelik bir kontrol listesi — her biri somut, her biri uygulanabilir. Salonun bu listeyi doldururken Anlycade’in yapabileceği şeyler zaten standart (şifreleme, RBAC, audit log, veri silme/export, yedek). Sana kalan: aydınlatma metnini hazırlamak, çalışan eğitimi vermek ve rezervasyon formunda doğru onay akışını göstermek.

Detaylı KVKK aydınlatma metnimizi inceleyebilir, kendi işletmen için şablon olarak kullanabilirsin. Anlycade’te KVKK bağlamında eklenmesini istediğin özellik varsa contact@anlycade.com yaz, aylık release planına alalım.

Anlycade'i deneyin.

14 gün ücretsiz. Kredi kartı gerekmez.

Anlycade Reserve'ü Dene Daha fazla yazı