MY Dijital Pazarlama Ajansı

MY QR Rehberi

QR Menü KVKK: 7 Adımda Güvenli Veri Yönetimi ile İşinizi

Restoranınızda MY QR menü kullanırken müşteri verilerini KVKK'ya uygun yönetmek, hem yasal yükümlülüğünüz hem de misafirlerinize duyduğunuz saygının bir göstergesi. Bu rehberle qr menü kvkk süreçlerini adım adım anlayacak, işletmenizin

QR menüde veri akışını gösteren genel kapak görseli.
QR menüde veri akışını gösteren genel kapak görseli.

qr menü kvkk: QR menünün hangi kişisel verileri topladığını belirleyin

Restoranınız için MY QR gibi dijital menü sistemleri kullanırken, misafirlerinizden hangi bilgileri topladığınızı net olarak bilmeniz şart. İlk adımınız, QR menünün hangi kişisel verileri topladığını belirleyin olmalı. Bu, sadece yasal bir zorunluluk değil, aynı zamanda iş süreçlerinizi şeffaf hale getiren kritik bir adımdır. Telefon numarası, e-posta adresi, cihaz bilgileri veya konum verileri gibi her türlü bilginin listesini çıkarın.

Bu verileri tespit ederken, bir kişisel veri envanteri oluşturmanız işinizi oldukça kolaylaştıracaktır. Envanter, hangi veriyi ne amaçla topladığınızı, kimlerle paylaştığınızı ve ne kadar süreyle sakladığınızı gösteren kapsamlı bir listedir. Bu liste, sadece teknik verileri değil, aynı zamanda misafirlerinizin sipariş alışkanlıkları gibi dolaylı yoldan edindiğiniz bilgileri de içermelidir. Her bir veri türünü detaylıca inceleyerek, gerçekten gerekli olup olmadığını sorgulayın.

Unutmayın, KVKK'ya göre sadece işinizin gerektirdiği minimum veriyi toplamanız gerekiyor. Fazladan veri toplamak, hem üzerinizdeki yükü artırır hem de olası bir ihlal durumunda riskinizi büyütür. Bu yüzden, topladığınız her veri parçasının işletmenizin hangi operasyonel ihtiyacını karşıladığını net bir şekilde tanımlayın. Bu süreç, sonraki adımlarda size rehberlik edecek temel bir çerçeve oluşturur.

Örneğin, bir QR menü üzerinden sipariş alırken, müşterinin masa numarasını veya ismini almanız hizmetin sağlıklı yürütülmesi için gerekliyken, doğum tarihi gibi bir bilginin zorunlu olup olmadığını düşünmelisiniz. Bu başlangıç adımı, tüm KVKK uyum sürecinizin temelini oluşturur ve doğru bir başlangıç yapmanızı sağlar. Net bir envanter, ilerleyen adımlarda karşınıza çıkacak her sorunun cevabını içinde barındıracaktır.

Her veri için toplama amacını ve hukuki dayanağı yazın

Kişisel verileri belirledikten sonra, sıra bu verileri neden topladığınıza ve hangi yasal zemine dayandırdığınıza geliyor. Her veri için toplama amacını ve hukuki dayanağı yazın, bu sizin için bir yol haritası niteliğindedir. Örneğin, sipariş almak için telefon numarası topluyorsanız, bunun amacı 'hizmetin ifası' olabilir ve hukuki dayanağı 'sözleşmenin kurulması veya ifası' olacaktır. Bu eşleşmeleri net bir şekilde ortaya koymalısınız.

Bu aşamada, bir veri işleme amaç tablosu oluşturmak, tüm bu bilgileri düzenli bir formatta görmenizi sağlar. Bu tablo, topladığınız her bir kişisel veri kategorisi için işleme amacını, hukuki dayanağını, veri kategorisini, saklama süresini ve kimlere aktarılabileceğini içermelidir. Bu tablo, hem kendi iç süreçlerinizde şeffaflık sağlar hem de olası denetimlerde size somut bir kanıt sunar.

Unutmayın, her veri toplama amacının KVKK'da belirtilen açıkça ve meşru bir hukuki dayanağı olmalı. Açık rıza, kanunlarda açıkça öngörülmesi, sözleşmenin kurulması veya ifası, hukuki yükümlülük, bir hakkın tesisi, kullanılması veya korunması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati gibi dayanakları doğru eşleştirmeniz gerekiyor.

Bu tabloyu hazırlarken, misafirlerinizden aldığınız her bilginin gerçek bir ihtiyaca karşılık geldiğinden emin olun. Örneğin, bir pazarlama faaliyeti için e-posta adresi topluyorsanız, bunun hukuki dayanağı genellikle 'açık rıza' olacaktır. Ancak sipariş bildirimi için e-posta alıyorsanız, bu 'hizmetin ifası' kapsamına girebilir. Bu ayrımı doğru yapmak, yasal yükümlülüklerinizi eksiksiz yerine getirmenizi sağlar ve işletmenizi olası risklerden korur.

Bu detaylı çalışma, sadece yasalara uyum sağlamakla kalmaz, aynı zamanda misafirlerinize karşı şeffaf ve güvenilir bir işletme olduğunuzu gösterir. Veri işleme amaç tablonuz, tüm bu sürecin belkemiğidir ve sonraki adımlarınız için sağlam bir zemin hazırlar.

toplanan kişisel veri türlerini gösteren kapsam şeması.
toplanan kişisel veri türlerini gösteren kapsam şeması.

Aydınlatma metnini menü akışında görünür kılın

Veri toplama amaçlarınızı ve hukuki dayanaklarınızı belirledikten sonra, bu bilgileri misafirlerinizle paylaşma zamanı. Aydınlatma metnini menü akışında görünür kılın, böylece misafirleriniz kişisel verilerinin nasıl işlendiği hakkında tam bilgiye sahip olabilir. MY QR gibi bir sistemde bu, menüye erişildiğinde veya sipariş vermeden önce kolayca ulaşılabilir bir bağlantı veya pop-up şeklinde olabilir. Şeffaflık, güven inşa etmenin anahtarıdır.

Hazırladığınız aydınlatma metni taslağı, kimlik bilgilerinizden başlayarak, hangi verileri hangi amaçla topladığınızı, kimlerle paylaştığınızı, verilerinizi nasıl koruduğunuzu ve misafirlerinizin KVKK kapsamındaki haklarını açıkça belirtmelidir. Bu metin, hukuki bir dil yerine, herkesin anlayabileceği sade ve anlaşılır bir dille yazılmalı, karmaşık terimlerden kaçınılmalıdır.

Aydınlatma metninin, misafirlerinizin zorlanmadan fark edebileceği bir noktada yer alması çok önemli. Menüye ilk giriş ekranında, sipariş tamamlama aşamasında veya sayfanın alt kısmında belirgin bir linkle bu metne ulaşım sağlamalısınız. Amacımız, misafirlerinize veri işleme süreçleri hakkında net ve eksiksiz bilgi sunmaktır, böylece bilinçli kararlar verebilirler.

Bu adım, sadece yasal bir yükümlülük değil, aynı zamanda misafirlerinizle aranızdaki güven ilişkisini pekiştirir. Onlara verilerinin güvenli ellerde olduğunu ve nasıl kullanıldığını açıkça gösterdiğinizde, işletmenize olan bağlılıkları artacaktır. Aydınlatma metninizin erişilebilir ve anlaşılır olması, KVKK uyumunuzun önemli bir göstergesidir.

aydınlatma ve rıza adımlarını gösteren akış diyagramı.
aydınlatma ve rıza adımlarını gösteren akış diyagramı.

Gerekli yerlerde açık rıza akışını ayrı olarak kurgulayın

Bazı durumlarda, sadece aydınlatma metni yeterli olmayabilir. Özellikle, pazarlama faaliyetleri veya özel teklifler gibi KVKK'da belirtilen istisnalar dışında kalan veri işleme durumlarında misafirlerinizden açık rıza almanız gerekir. Gerekli yerlerde açık rıza akışını ayrı olarak kurgulayın. Bu, onların bilinçli ve özgür iradeleriyle verdikleri bir onaydır.

Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. Yani, misafirinizin neye rıza gösterdiğini net bir şekilde anlaması ve bunu kendi isteğiyle onaylaması gerekir. Örneğin, MY QR menü üzerinden özel kampanyalar veya yeni menü duyuruları için e-posta almak isteyip istemediklerini sorarken, bu onayı ayrı bir kutucukla ve anlaşılır bir ifadeyle almalısınız.

Bir açık rıza kayıt formu taslağı hazırlamanız bu süreçte size yardımcı olacaktır. Bu formda, rızanın hangi veri işleme faaliyetine ilişkin olduğu, hangi verilerin işleneceği ve rızanın her zaman geri çekilebileceği bilgisi açıkça yer almalıdır. Misafirlerinizin rızalarını işaretledikleri bu alanı, menü akışınızda uygun bir yere, örneğin sipariş tamamlama ekranının sonuna ekleyebilirsiniz.

Bu rıza metninin, aydınlatma metninden ayrı ve bağımsız olması gerektiğini unutmayın. Misafirleriniz, aydınlatma metnini okuduktan sonra, ek veri işleme faaliyetlerine rıza gösterip göstermeme konusunda özgür bir seçim yapabilmelidir. Bu sayede, hem yasalara uygun hareket etmiş olursunuz hem de misafirlerinizin veri gizliliğine olan hassasiyetinizi göstermiş olursunuz. Açık rıza akışını doğru kurgulamak, özellikle pazarlama gibi alanlarda size esneklik sağlar ancak aynı zamanda büyük bir sorumluluk yükler.

Kurgu senaryo — Kurgu vaka: şehir merkezinde tek şube işleten Meydan Kafe: Meydan Kafe, masalarına QR menü koyup misafirlerden ad ve telefon bilgisi isteyen bir sipariş akışı açtı. Yönetici, toplanan her veriyi neden istediğini ve ne kadar saklayacağını yazılı olarak tanımlamaya karar verdi.

Veri saklama süresi ve silme kuralını tanımlayın

Kişisel verileri toplarken ve işlerken, bu verileri ne kadar süreyle saklayacağınızı ve ne zaman sileceğinizi de net bir şekilde belirlemelisiniz. Veri saklama süresi ve silme kuralını tanımlayın. Bu, hem yasal bir zorunluluktur hem de gereksiz veri birikimini önleyerek riskinizi azaltır. Her veri türü için farklı saklama süreleri olabilir, bu yüzden detaylı bir planlama yapmanız önemlidir.

Hazırlayacağınız saklama ve silme takvimi, hangi verinin ne kadar süreyle saklanacağını ve bu sürenin sonunda nasıl imha edileceğini (silme, yok etme veya anonim hale getirme) adım adım göstermelidir. Örneğin, mali kayıtlarla ilgili veriler yasal süreler boyunca saklanırken, sadece sipariş almak için kullanılan geçici veriler daha kısa sürede silinebilir. Bu takvim, işletmenizin veri yaşam döngüsünü yönetmenize yardımcı olur.

Veri saklama sürelerini belirlerken, ilgili yasal mevzuatları (KVKK, Vergi Usul Kanunu, Türk Ticaret Kanunu vb.) dikkate almanız gerekir. Yasal bir zorunluluk yoksa, veri işleme amacının ortadan kalktığı anda kişisel verileri silmeniz veya anonim hale getirmeniz gerekir. Bu prensip, veri minimizasyonu ve veri güvenliği açısından büyük önem taşır.

Takviminizi oluştururken, her bir veri kategorisi için somut bir başlangıç ve bitiş tarihi tanımlayın. Örneğin, sipariş geçmişi verilerini belirli bir süre saklayıp, bu sürenin sonunda otomatik olarak sistemden silmek üzere bir kural belirleyebilirsiniz. Bu düzenli silme işlemleri, hem veri güvenliğinizi artırır hem de KVKK'ya uyumunuzu pekiştirir. Unutmayın, sakladığınız her veri, potansiyel bir risktir; bu yüzden gereksiz yere veri tutmaktan kaçının.

qr menü kvkk için kanıt ve durdurma noktaları
Veri saklama süresi ve silme kuralını tanımlayın kararı veri işleyen sözleşme listesi kanıtı erişim ve başvuru kaydı kabul koşulu ihlal bildirim kontrol listesi uyarısı
kişisel veri envanteri veri işleyen sözleşme listesi her veri yalnızca tanımlı amaç için toplanmalı amaç dışı veri toplama nedeniyle uyumsuzluk
veri işleme amaç tablosu erişim ve başvuru kaydı aydınlatma metni sipariş öncesinde erişilebilir olmalı aydınlatma metninin eksik veya gizli kalması
aydınlatma metni taslağı ihlal bildirim kontrol listesi gereksiz kişisel veri alanı menü akışına eklenmemeli saklama süresinin belirsiz bırakılması
açık rıza kayıt formu kişisel veri envanteri her veri yalnızca tanımlı amaç için toplanmalı üçüncü taraf sağlayıcıyla sorumluluğun tanımsız kalması
saklama ve silme takvimi veri işleme amaç tablosu aydınlatma metni sipariş öncesinde erişilebilir olmalı amaç dışı veri toplama nedeniyle uyumsuzluk
veri saklama ve silme takvimini gösteren tablo görseli.
veri saklama ve silme takvimini gösteren tablo görseli.

Üçüncü taraf hizmet sağlayıcılarla veri sorumluluğunu netleştirin

Restoranınızın MY QR menü sistemi gibi teknolojik altyapılarında, genellikle üçüncü taraf hizmet sağlayıcılarla çalışırsınız. Bu durumda, veri sorumluluğunun kimde olduğunu ve hangi tarafın hangi yükümlülükleri olduğunu netleştirmeniz kritik önem taşır. Üçüncü taraf hizmet sağlayıcılarla veri sorumluluğunu netleştirin. Siz 'veri sorumlusu' olarak, verilerin işlenme amaçlarını ve yöntemlerini belirleyen tarafsınız. MY QR gibi sistemler ise genellikle 'veri işleyen' konumundadır.

Veri işleyen, veri sorumlusunun talimatları doğrultusunda verileri işleyen gerçek veya tüzel kişidir. Bu nedenle, MY QR sağlayıcısı ile aranızda imzalamanız gereken bir veri işleyen sözleşme listesi olmalı. Bu sözleşme, hangi verilerin işleneceğini, işleme amaçlarını, veri güvenliği tedbirlerini, verilerin ne kadar süreyle saklanacağını ve veri ihlali durumunda izlenecek prosedürleri açıkça belirtmelidir.

Bu sözleşmeler, veri sorumlusu olarak sizin, verilerin güvenliğinden ve KVKK'ya uygunluğundan nihai olarak sorumlu olduğunuzu unutmadan hazırlanmalıdır. Hizmet sağlayıcınızın da KVKK uyumlu olması, sizin üzerinizdeki yükü hafifletir ancak sorumluluğunuzu ortadan kaldırmaz. Bu yüzden, sözleşmelerde veri güvenliği standartları, denetim hakları ve olası ihlallerde sorumluluk paylaşımı gibi konulara özellikle dikkat etmelisiniz.

Veri işleyen sözleşme listesi, sadece yazılı bir belge olmaktan öte, karşılıklı güven ve sorumluluk anlayışının bir göstergesidir. Bu sözleşmeler sayesinde, hem siz hem de hizmet sağlayıcınız, kişisel verilerin korunması konusundaki taahhütlerinizi somutlaştırmış olursunuz. Bu sayede, misafirlerinizin verileri, dış kaynaklı hizmetler aracılığıyla işlense bile güvende kalır ve yasal riskler minimize edilir.

qr menü kvkk için yedi somut teslim:

  1. QR menünün hangi kişisel verileri topladığını belirleyin: kişisel veri envanteri çıktısını sorumlusuyla tamamlayın.
  2. Her veri için toplama amacını ve hukuki dayanağı yazın: veri işleme amaç tablosu çıktısını sorumlusuyla tamamlayın.
  3. Aydınlatma metnini menü akışında görünür kılın: aydınlatma metni taslağı çıktısını sorumlusuyla tamamlayın.
  4. Gerekli yerlerde açık rıza akışını ayrı olarak kurgulayın: açık rıza kayıt formu çıktısını sorumlusuyla tamamlayın.
  5. Veri saklama süresi ve silme kuralını tanımlayın: saklama ve silme takvimi çıktısını sorumlusuyla tamamlayın.
  6. Üçüncü taraf hizmet sağlayıcılarla veri sorumluluğunu netleştirin: veri işleyen sözleşme listesi çıktısını sorumlusuyla tamamlayın.
  7. İhlal ve şikayet durumunda başvuru akışını hazır tutun: erişim ve başvuru kaydı çıktısını sorumlusuyla tamamlayın.

İhlal ve şikayet durumunda başvuru akışını hazır tutun

Her ne kadar tüm önlemleri alsanız da, veri ihlali veya misafirlerinizden şikayet gelmesi gibi durumlarla karşılaşma ihtimaliniz her zaman vardır. Bu gibi anlarda hızlı ve doğru tepki verebilmek için İhlal ve şikayet durumunda başvuru akışını hazır tutun. Bu, hem yasal yükümlülüğünüz hem de işletmenizin itibarı için kritik öneme sahiptir.

Öncelikle, misafirlerinizin KVKK kapsamındaki haklarını kullanmak için size başvurabileceği bir mekanizma oluşturmalısınız. Bu, kişisel verilere erişim, düzeltme, silme veya işlenmesine itiraz etme taleplerini içerebilir. Oluşturacağınız erişim ve başvuru kaydı, bu talepleri düzenli bir şekilde almanızı, yanıtlamanızı ve takip etmenizi sağlar. Her başvuruyu dikkatlice incelemeli ve yasal süreler içinde yanıtlamalısınız.

Olası bir veri ihlali durumunda ise, bir ihlal bildirim kontrol listesi hazırlamanız gerekir. Bu liste, ihlali tespit ettiğinizde atmanız gereken adımları, ilgili makamlara (KVKK Kurumu) ve etkilenen kişilere yapılması gereken bildirimleri, bildirim sürelerini ve içeriğini detaylandırır. Hızlı ve şeffaf bir iletişim, hem yasal cezalardan kaçınmanıza hem de misafirlerinizin güvenini kaybetmemenize yardımcı olur.

Bu başvuru ve ihlal yönetim akışları, sadece kağıt üzerinde kalmamalı, düzenli olarak test edilmeli ve çalışanlarınıza bu konuda eğitimler verilmelidir. Herkesin bu süreci anlaması ve doğru uygulaması, olası risklerin minimize edilmesinde kilit rol oynar. Unutmayın, kriz anında doğru adımları atmak, işletmenizin geleceği için belirleyici olabilir. Hazırlıklı olmak, her zaman en iyi stratejidir.

amaç dışı veri toplama risklerini gösteren uyarı görseli.
amaç dışı veri toplama risklerini gösteren uyarı görseli.

qr menü kvkk hakkında uygulama soruları ve kısa yanıtlar

aydınlatma metni zorunlu mu başlamadan önce hangi kanıt aranmalı?

Aydınlatma metni, kişisel veri işleme faaliyetlerinizin temelini oluşturduğu için zorunludur. İşletmenizin QR menü üzerinden hangi kişisel verileri topladığını belirleyin ve her bir veri için neden toplandığını gösteren kapsamlı bir kişisel veri envanteri hazırlayarak bu zorunluluğa uyum sağlayabilirsiniz. Bu envanter, aydınlatma metninizin içeriğini doğrulamak için ilk ve en önemli kanıttır.

açık rıza ne zaman gerekir için sınır ve sorumlu nasıl belirlenir?

Açık rıza, verilerinizi KVKK'da belirtilen yasal işleme şartları dışında, örneğin pazarlama amacıyla işlemek istediğinizde gerekir. Aydınlatma metnini menü akışında görünür kılın, ancak açık rıza için ayrı bir onay mekanizması sunmalısınız. Sınır, yasal dayanağı olmayan her işlem için açık rızadır. Sorumlu ise veri sorumlusu olarak sizin işletmenizdir.

veri ne kadar saklanır sırasında hangi kayıt karar vermeyi kolaylaştırır?

Veriler, işleme amaçları ortadan kalkana veya yasal saklama süreleri dolana kadar saklanır. Veri saklama süresi ve silme kuralını tanımlayın adımı bu konuda size yol gösterir. Bu süreyi belirlerken oluşturduğunuz saklama ve silme takvimi, hangi verinin ne kadar süre tutulacağına dair karar vermeyi kolaylaştıran en önemli kayıttır.

QR menü veri işleyen kimdir bozulduğunda önce hangi işaret incelenir?

QR menü sisteminizi sağlayan üçüncü taraf firma genellikle 'veri işleyen' konumundadır, yani sizin talimatlarınızla verileri işler. Siz ise 'veri sorumlususunuz'. Bir veri ihlali veya şikayet durumunda, İhlal ve şikayet durumunda başvuru akışını hazır tutun adımı devreye girer. Bu durumda incelenmesi gereken ilk işaret, erişim ve başvuru kaydınızdaki eksiklikler veya ihlalin kaynağına dair ilk bulgulardır.

misafir verisini silme talebi hangi durumda yeniden değerlendirilmelidir?

Misafir verisini silme talebi, veri işleme amaç tablosu incelenerek yeniden değerlendirilmelidir. Eğer verinin işlenmesini gerektiren hukuki bir yükümlülük, sözleşmenin ifası gibi yasal bir dayanak hala mevcutsa, silme talebi hemen yerine getirilemeyebilir. QR menü KVKK süreçlerinizde, bu gibi durumlar için net prosedürler tanımlamış olmalısınız. Ancak yasal dayanak kalmadıysa, talep derhal karşılanmalıdır.

ENEnglish