KVKK (Kişisel Verilerin Korunması Kanunu), web sitelerinin kullanıcı verisini nasıl toplaması gerektiğini açık kurallarla belirler. Ancak birçok işletme bu süreci yanlış yorumlar ve yalnızca aydınlatma metni ekleyerek uyum sağladığını düşünür. Oysa veri toplama süreci, hem hukuki hem teknik olarak doğru şekilde kurgulanmalıdır. Bu noktada Bildirt, veri toplama sürecini KVKK’ya uygun hale getirmek için gerekli altyapıyı sağlayan çözümler sunar.
1. Veri Toplamadan Önce Bilgilendirme
KVKK’ya göre kullanıcıdan veri toplamadan önce açık ve anlaşılır bir şekilde bilgilendirme yapılmalıdır. Hangi verilerin toplanacağı, hangi amaçla kullanılacağı ve kimlerle paylaşılacağı net şekilde belirtilmelidir.
Bu aşamada kullanıcıya yalnızca genel bir metin sunmak yeterli değildir. Bilgilendirme, kullanıcı tarafından kolayca anlaşılabilir olmalıdır.
2. Açık Rıza Alma (En Kritik Adım)
Bilgilendirme yapıldıktan sonra kullanıcıdan açık rıza alınmalıdır. Bu rıza:
• Özgür iradeyle verilmiş olmalı
• Belirli bir konuya ilişkin olmalı
• Bilgilendirmeye dayanmalı
Kullanıcı “kabul etmeden” veri toplamak, KVKK ihlali anlamına gelir.
Bu sürecin doğru şekilde yönetilmesi için profesyonel bir çerez yönetimi sistemi kullanmak gerekir.
3. Veri Toplama Sürecinin Kontrolü
Açık rıza alındıktan sonra veri toplama süreci başlatılabilir. Ancak bu süreç kontrol altında olmalıdır.
Kullanıcı hangi veriye izin verdiyse, yalnızca o veriler işlenmelidir. Diğer tüm veri akışı durdurulmalıdır.
Bu noktada teknik kontrol büyük önem taşır.
4. Kullanıcı Tercihlerinin Yönetimi
Kullanıcı, verdiği izni istediği zaman geri alabilmelidir. KVKK’ya göre kullanıcıların veri üzerinde kontrol hakkı vardır.
Bu nedenle sistem, kullanıcı tercihlerini güncelleyebilecek şekilde tasarlanmalıdır.
5. Kayıt ve Kanıt Mekanizması
KVKK kapsamında kullanıcı izinlerinin kayıt altına alınması gerekir. Hangi kullanıcının neye izin verdiği gerektiğinde kanıtlanabilir olmalıdır.
Bu kayıtlar, olası denetimlerde işletmenin kendini korumasını sağlar.
Bu sürecin neden kritik olduğunu anlamak için çerez yönetimi yaklaşımını detaylı incelemek gerekir.
6. Süreklilik ve Güncelleme
Veri toplama süreci tek seferlik değildir. Yeni araçlar, yeni çerezler ve yeni veri ihtiyaçları ortaya çıktıkça sistem güncellenmelidir.
Uyum, sürekli bir süreçtir.
