Kişisel Verilerin Korunması Kanunu (KVKK), 2016'dan beri yürürlükte. Restoran sektörü müşteri verisi toplayan, işleyen ve saklayan tüm işletmeleri kapsar:
- Sadakat programı üyelikleri (ad, telefon)
- Online rezervasyon kayıtları
- WiFi giriş kayıtları
- Güvenlik kamera görüntüleri
- Çağrı merkezi kayıtları
- E-posta abonelikleri
KVKK'ya uymamak cidi cezalar getirir: minimum 50.000 TL'den başlayıp 5 milyon TL'ye kadar.
KVKK'nın Temel İlkeleri
1. Aydınlatma Yükümlülüğü
Müşteriden veri toplarken ne için kullanacağınızı açıkça söylemelisiniz. Sadakat programına kaydolan müşteri:
- Hangi verilerin toplandığını bilmeli
- Neden toplandığını öğrenmeli
- Kimle paylaşılacağını bilmeli
- Ne kadar süre saklanacağını bilmeli
2. Açık Rıza
Müşteri, verisinin işlenmesine açık ve özgür irade ile rıza vermelidir. Pazarlama amaçlı SMS için ayrı rıza, sadakat programı için ayrı rıza gerekir.
3. Veri Minimizasyonu
Sadece gerekli olan veriyi toplayın. Rezervasyon için TC kimlik gerekmez (ad ve telefon yeterli). KVKK gereksiz veri toplanmasını yasaklar.
4. Saklama Süresi
Veri "sonsuza kadar" saklanamaz. Saklama süreleri:
- Müşteri rezervasyon kayıtları: 2 yıl
- Kamera görüntüleri: 90 gün (özel durumlar hariç)
- WiFi giriş logları: 2 yıl
- Sadakat programı kayıtları: Müşteri talep edene kadar
Pratik Uygulamalar
1. Aydınlatma Metni
Restoranınızın web sitesinde, sadakat programı kayıt formunda, WiFi giriş ekranında aydınlatma metni olmalı. Bu metin standart bir şablondur ama mutlaka avukatla gözden geçirin.
2. Açık Rıza Kutucukları
Kayıt formunda 3 ayrı kutucuk:
- □ Aydınlatma metnini okudum ve kabul ettim (ZORUNLU)
- □ Tanıtım amaçlı SMS/e-posta almak istiyorum (ÖZEL RIZA)
- □ Üçüncü taraflarla paylaşıma onay (ÖZEL RIZA, opsiyonel)
Pre-check (önceden işaretli) yasak — müşteri tek tek seçmeli.
3. Veri Silme Hakkı
Müşteri "verilerimi silin" derse, 15 gün içinde silmek zorundasınız. Bu işlem:
- POS sisteminden müşteri kartı silinir
- Pazarlama listesinden çıkarılır
- SMS göndermek için kullanılan numaradan silinir
- Tüm yedeklerden de silme zorunlu (90 gün içinde)
4. Veri İhlali Bildirimi
Eğer sisteminize hackerlar girer ve veri çalınırsa, KVKK Kurumu'na 72 saat içinde bildirmek zorundasınız. Müşterilerinize de açıkça duyurmalısınız.
Çoğu restoran bilemez ki bunu yapmamak da ayrıca ceza getirir.
Kamera Sistemi
Güvenlik kameraları KVKK kapsamındadır. Yapmanız gerekenler:
- Görünür uyarı: "Bu alan kamera ile izlenmektedir" tabelası
- Saklama süresi: 90 günden fazla saklayamazsınız (özel durum hariç)
- Erişim kısıtlı: Sadece yetkili personel görüntüleri izleyebilir
- Tuvalet, soyunma alanı: Kesinlikle kamera olmaz
WiFi Hizmeti
Misafir WiFi sağlıyorsanız 5651 sayılı kanun da ekleniyor. Yapmanız gerekenler:
- WiFi kullanıcısının TC kimlik veya telefon numarası ile kayıt
- İnternet trafiği log'lama (2 yıl saklama)
- Kayıtların TİB'e erişimi (talep halinde)
Çoğu restoran "WiFi şifresi: 12345678" diye duvara yazıp bu yükümlülüğü atlar — sonra cezai sorumluluk doğar.
Sık Yapılan Hatalar ve Cezalar
| Hata | Ceza Aralığı |
|---|---|
| Aydınlatma metni yok | 50.000 - 500.000 TL |
| İzinsiz SMS gönderme | 100.000 - 1.000.000 TL |
| Veri ihlali bildirilmemiş | 500.000 - 5.000.000 TL |
| VERBİS'e kayıt yok | 20.000 - 1.000.000 TL |
VERBİS Kaydı
Yıllık 10.000+ müşteri verisi işleyen işletmeler VERBİS (Veri Sorumluları Sicili) sistemine kayıt olmak zorunda. Restoran zincirleri kesinlikle kayıt yaptırmalı.
Sonuç
KVKK uyumluluğu artık "isteğe bağlı" değil. Müşteri haklarına saygı + ceza riskinden kaçınma için zorunlu yatırım.
Dion POS'un aydınlatma metni şablonu, açık rıza kayıtları, veri silme talepleri yönetimi — hepsi KVKK uyumlu. Bağımsız avukat onayı zorunlu olmakla birlikte teknolojik altyapı hazırdır. Bilgi alın.
