Çevrimiçi randevulu hizmet sağlayıcılar için KVKK/GDPR: pratik kılavuz

Önemli ön not: Bu yazı genel, özenle araştırılmış bir bilgilendirmedir — hukuki danışmanlık DEĞİLDİR. Hukuki durum ve içtihat değişir ve her somut olay farklıdır. Şüphe halinde kendi somut işin için bir avukatın değerlendirmesini al.

Randevuları çevrimiçi kabul ettiğin an, kişisel verileri işlersin — ad, telefon numarası, e-posta, bazen sağlık bilgileri. Böylece veri koruma mevzuatının (DACH bölgesinde GDPR, Türkiye'de KVKK) kapsamına girersin. Bu bürokrasi ve ihtar korkusu gibi gelir ama birkaç temel kuralı bilirsen pratikte yönetilebilirdir.

Bu kılavuz hukukçu dili olmadan açıklar: hangi verileri toplayabilirsin, hangi hukuki dayanakla, rezervasyon aracınla ne zaman bir sözleşmeye ihtiyacın var ve saklama, silme ve erişim talepleriyle nasıl başa çıkarsın. Hedef: panik olmadan temiz, ihtara karşı sağlam bir rezervasyon işletmesi.

Hangi müşteri verilerini işlersin

Çevrimiçi bir randevu rezervasyonunda tipik olarak şu veriler oluşur:

Veri kategorisi	Örnekler	Hassasiyet
Künye verileri	ad, e-posta, telefon numarası	normal
Randevu verileri	rezerve edilen hizmet, tarih, saat	normal
Ödeme verileri	kapora, ödeme durumu	yüksek
Sağlık verileri	mevcut hastalıklar, alerjiler (sağlık meslekleri, kozmetik)	özellikle hassas (özel nitelikli)

En önemli ilke veri minimizasyonudur: Yalnızca randevu için gerçekten ihtiyacın olanı topla. Bir kuaförün doğum tarihine ihtiyacı yoktur, bir fizyoterapi muayenehanesinin ise gerekirse sağlık bilgilerine ihtiyacı vardır. Özellikle hassas verilerde daha yüksek gereklilikler geçerlidir — burada kural olarak açık bir rızaya veya özel bir hukuki dayanağa ihtiyacın var.

Rezervasyon formundaki her alan için iyi bir test: Kendine sor „Bu bilgiye randevuyu gerçekleştirmek ya da müşteriyle iletişim kurmak için gerçekten ihtiyacım var mı?" Cevap hayırsa, alanı kaldır ya da isteğe bağlı yap. Zorunlu doğum tarihi, zorunlu adres veya net amacı olmayan ayrıntılı serbest metin alanları rezervasyon formundaki en sık veri koruma günahlarıdır — ve aynı zamanda bir dönüşüm katili, çünkü her ek zorunlu alan rezervasyon iptali üretir. Veri koruması ve iyi dönüşüm burada aynı yönde çeker.

Hukuki dayanak

Her veri işleme bir hukuki dayanağa ihtiyaç duyar. Hizmet sağlayıcılar için üçü önemlidir:

• Sözleşmenin ifası. Bu senin ana dayanağındır. Bir randevuyu gerçekleştirmek için ad ve iletişim verilerini işlemen gerekir. Bunun için ayrı bir rızaya ihtiyacın yok — işleme rezervasyon sözleşmesinin ifası için gereklidir.
• Yasal yükümlülük. Fatura verilerini örneğin vergi hukuku gereği saklaman gerekir, müşteri isteğinden tamamen bağımsız.
• Rıza. Randevu işleyişinin ötesindeki her şey için gereklidir: bülten, pazarlama mailleri, reklam. Bu rıza gönüllü, bilgilendirilmiş ve geri alınabilir olmalı.

Pratik kural: Randevu için gereken sözleşmenin ifası üzerinden yürür — bunun için aydınlatma metninde bir bilgilendirme yeter. Reklam için olan her şey ayrı, aktif bir rızaya ihtiyaç duyar.

Veri işleme sözleşmesi: rezervasyon aracınla sözleşme

Çevrimiçi bir rezervasyon aracı kullanıyorsan, bu sağlayıcı müşteri verilerini senin adına saklar. Böylece o bir veri işleyendir — ve onunla bir veri işleme sözleşmesine ihtiyacın var.

Bu sözleşme diğer şeylerin yanında şunları düzenler:

• sağlayıcının verileri yalnızca senin talimatlarınla işlemesini,
• hangi teknik ve idari koruma tedbirlerinin geçerli olduğunu,
• alt yüklenicilerin kullanılıp kullanılmadığını ve hangilerinin,
• bir veri ihlalinde ne olacağını,
• verilerin sonunda silinmesini veya iade edilmesini.

Ciddi sağlayıcılar birkaç tıklamayla imzaladığın hazır bir veri işleme sözleşmesi sunar. Önemli: Bu sözleşme olmadan aracın kullanımı veri korumasına aykırıdır — bu, hizmet sağlayıcılarda en sık yapılan hatalardan biridir. Araç seçiminden önce bir veri işleme sözleşmesinin sunulup sunulmadığını ve düzgünce düzenlenip düzenlenmediğini kontrol et.

Bunu yalnızca rezervasyon aracın için düşünme: Senin adına kişisel veri işleyen her hizmet sağlayıcıyla böyle bir sözleşme gereklidir. Bu tipik olarak e-posta gönderim hizmetini (onaylar ve hatırlatmalar için), olası bir bülten sağlayıcısını ve gerekirse ödeme hizmet sağlayıcını da kapsar. Müşteri verilerinin geçtiği tüm araçların kısa bir listesini bir kez çıkar — ve her birinde bir sözleşmenin olup olmadığını işaretle. Bu küçük envanter, ciddi durumda sana çok dert kazandırmaktan kurtarır.

AB sunucuları: konum neden önemli

Veriler AB dışında işlendiğinde — örneğin ABD sunucularında — işler karmaşıklaşır. Bu tür üçüncü ülke transferleri için ek garantilere (örn. standart sözleşme maddeleri) ihtiyacın var ve hukuki durum çeşitli mahkeme kararlarından sonra belirsiz kalmıştır.

Bu karmaşıklıktan kaçınmanın en basit yolu: yalnızca AB sunucularında barındıran bir sağlayıcı. O zaman tüm işleme GDPR alanında gerçekleşir, üçüncü ülke garantilerine ihtiyacın olmaz ve riskini önemli ölçüde azaltırsın. EazyBooking müşteri verilerini AB sunucularında saklar — bu, araç seçiminde aktif olarak kontrol etmen gereken bir kriterdir.

Saklama ve silme

Veriler sonsuza dek saklanamaz. Saklama sınırlaması ilkesi geçerlidir: Amaç ortadan kalktığı an, veriler silinmelidir — yasal saklama yükümlülükleri geçerli olmadığı sürece.

Veri türü	Saklama yönlendirici değeri
Başka bir bağı olmayan randevu/künye verileri	bitişten sonra kısa sürede sil
Fatura ve muhasebe belgeleri	yasal süreler (birkaç yıl, vergi hukuku)
Rıza kanıtları (pazarlama)	geri alıma + uygun kanıt süresine kadar
Sağlık verileri (sağlık meslekleri)	meslek hukukundaki dokümantasyon yükümlülüğüne göre

Pratikte bu şu demek: Basit bir silme konsepti oluştur — hangi verileri ne zaman silersin? Birçok rezervasyon aracı, tanımlı bir süreden sonra aktif olmayan müşteri verilerini otomatik olarak anonimleştirebilir veya silebilir. Bu seni manuel işten kurtarır.

Burada önemli bir noktaya dikkat et: Saklama yükümlülüğü ve saklama hakkı aynı şey değildir. Fatura belgelerini, müşteri silinmesini talep etse bile saklaman gerekir — burada yasal yükümlülük önceliklidir. Salt randevu ve iletişim verilerini ise „her ihtimale karşı" sınırsız saklayamazsın. Düzgün bir silme konsepti bu iki dünyayı net ayırır ve seni iki hatadan da korur: vergiyle ilgili belgeleri çok erken silmek ve artık gerekmeyen verileri çok uzun biriktirmek.

Erişim hakkı (ve diğer ilgili kişi hakları)

Müşterilerin yerine getirmen gereken birden fazla hakkı vardır:

• Erişim: Hakkımda hangi verileri sakladın?
• Düzeltme: Yanlış verileri düzeltmek.
• Silme: „Unutulma hakkı" — bir saklama yükümlülüğü karşı çıkmadığı sürece.
• Veri taşınabilirliği: Verileri yaygın bir biçimde teslim etmek.

Pratikte bu şu demek: Bir müşteri „Hakkımda hangi verileriniz var?" diye sorduğunda, bunu bir ay içinde yanıtlaman gerekir. İyi bir rezervasyon sistemi yardımcı olur, çünkü tüm müşteri verileri tek bir yerde durur ve onları tek tuşla dışa aktarabilir veya silebilirsin — e-postalardan, kâğıtlardan ve takvimlerden derlemen yerine.

Aydınlatma metni de önemlidir: Daha veri toplanırken — yani doğrudan rezervasyon formunda — kim olduğun, verileri hangi amaçla işlediğin, hangi hukuki dayanakla, ne kadar süreyle sakladığın ve müşterinin hangi haklara sahip olduğu hakkında şeffaf şekilde bilgilendirmen gerekir. Pratikte bunu rezervasyon akışında iyi görünür linklenmiş bir aydınlatma metniyle yerine getirirsin. Bu bilgilendirme bir rıza değildir — bunun için onay kutusuna ihtiyacın yok — ama zorunludur ve eksikliği sık bir ihtar nedenidir.

Veri ihlalleri: acil durum planı

Yine de bir veri ihlali olursa — örneğin hacklenen bir hesap veya yanlışlıkla yanlış gönderilen bir müşteri listesi — ilgililer için bir risk söz konusuysa, yetkili denetim makamına 72 saat içinde bildirim yükümlülüğü geçerlidir. Yüksek risk durumunda ayrıca ilgili müşterileri bilgilendirmen gerekir. Bunun için ayrıntılı bir kriz planına ihtiyacın yok ama denetim makamının kim olduğunu ve ciddi durumda saatin hızlı işlediğini bilmen gerekir. Net güvenlik standartları ve sözleşmede bir bildirim zinciri olan bir sağlayıcı burada senden çok yük alır.

Pazarlama mailleri için rıza

Özellikle hassas bir nokta: Müşterilere bir kez randevu aldılar diye öylece bülten veya reklam maili gönderemezsin. Bunun için ayrı, aktif bir rızaya ihtiyacın var.

Somut olarak:

• Rıza gönüllü olmalı — rezervasyonun koşulu olamaz.
• Aktif verilmeli — önceden işaretlenmiş bir onay kutusu kabul edilemez.
• Rezervasyon koşullarından ayrı durmalı.
• Her zaman geri alınabilir olmalı (her mailde abonelikten çıkma linki).

Önemli bir istisna: Mevcut müşterilere dar koşullar altında benzer kendi hizmetlerin için reklam gönderebilirsin — ama burada da net bir itiraz uyarısıyla. Şüphe halinde temiz rıza güvenli yoldur.

Sık kafa karışıklığı yaratan pratik bir açıklama: Randevu hatırlatmaları ve onayları reklam değildir. Yaklaşan bir randevuyu hatırlatan bir mail veya SMS, sözleşmenin ifasına hizmet eder ve pazarlama rızasına ihtiyaç duymaz. Ancak bu mesajı tekliflerle, indirim aksiyonlarıyla veya „hemen bir sonraki randevunu al" reklamıyla zenginleştirdiğin an reklam olur — ve o zaman rıza kuralları geçerli olur. Sözleşme iletişimini ve pazarlamayı temiz ayrı tut, o zaman güvenli taraftasın.

Pratik kural: Randevu onayları ve hatırlatmaları sözleşme iletişimidir ve rızaya ihtiyaç duymaz. Reklam, teklifler ve bültenler her zaman ayrı, aktif bir rızaya ihtiyaç duyar.

Veri koruması kontrol listen

1. Aydınlatma metnini web sitesine ve rezervasyon akışına ekle.
2. Yalnızca gerekli verileri topla (veri minimizasyonu).
3. Rezervasyon sağlayıcısıyla veri işleme sözleşmesi imzala.
4. Sağlayıcının AB sunucularını kontrol et.
5. Silme konsepti tanımla ve mümkünse otomatikleştir.
6. Pazarlama rızasını ayrı ve aktif al.
7. Erişim ve silme taleplerini bir aydan kısa sürede yanıtlayabil.

Sıkça sorulan sorular (SSS)

Bir randevuyu saklamak için rızaya ihtiyacım var mı?

Hayır. Randevu ve iletişim verilerinin işlenmesi sözleşmenin ifası üzerinden yürür. Yalnızca şeffaf şekilde bilgilendirmen gerekir — ayrı bir rıza yalnızca pazarlama için gereklidir.

Veri işleme sözleşmesi nedir ve gerçekten ona ihtiyacım var mı?

Bir veri işleme sözleşmesi, rezervasyon aracının verileri senin adına nasıl işlediğini düzenler. Harici bir sağlayıcı senin için müşteri verisi sakladığı an ona ihtiyacın var — yoksa kullanım veri korumasına aykırıdır. Ciddi sağlayıcılar onu sunar.

Sunucuların nerede durduğu önemli mi?

Evet. AB dışındaki sunucularda veri transferi için ek garantilere ihtiyacın var ve hukuki durum belirsizdir. AB sunucuları olan bir sağlayıcı bu karmaşıklığı tamamen önler.

Müşteri verilerini ne kadar saklayabilirim?

Amaç var olduğu sürece. Başka bir bağı olmayan randevu verilerini bitişten sonra kısa sürede silmelisin, fatura belgeleri birkaç yıllık yasal saklama sürelerine tabidir. Bir silme konsepti genel bakışı korumaya yardımcı olur.

Mevcut müşterilere öylece reklam gönderebilir miyim?

Yalnızca kısıtlı olarak. Dar koşullar altında mevcut müşterilere benzer kendi hizmetlerin için reklam gönderilebilir — net bir itiraz uyarısıyla. Genel bülten için ayrı, aktif bir rızaya ihtiyacın var. Güvenli yol her zaman aktif opt-in'dir.

Bir erişim talebinde ne yaparım?

Hangi verileri sakladığını bir ay içinde bildirmen gerekir. Merkezi bir rezervasyon sistemi bunu muazzam kolaylaştırır, çünkü verileri farklı kaynaklardan derlemek yerine dışa aktarabilirsin.

Sonraki adımlar

• → İptal koşullarını hukuken sağlam hazırlama
• → No-show ücretleri: Hukuken neye izin var
• → Çevrimiçi randevu rezervasyonu için eksiksiz kılavuz

Veri koruma uyumu hizmet sağlayıcılar için yapılabilirdir: yalnızca gerekli verileri topla, sağlayıcıyla bir veri işleme sözleşmesi imzala, AB sunucularına dikkat et, bir silme konsepti yürüt ve pazarlamayı opt-in ile temiz ayır. İyi bir rezervasyon aracı bu noktaların çoğunu otomatik halleder — ve endişenin büyük kısmını senden alır.