İçeriğe geç
Biletora Logo
Blog

Etkinliklerde KVKK ve Misafir Veri Güvenliği: Organizasyon Firması Rehberi

Etkinlikte KVKK uyumu, davetlinin ad ve telefon gibi kişisel verilerinin 6698 sayılı Kanun kapsamında hukuka uygun işlenmesini kapsar. Açık rıza, saklama süresi, çağrı merkezi kayıtları ve organizasyon firmasının sorumluluğunu ele alıyoruz.

Etkinlikte KVKK uyumu, davetlinin ad, soyad ve telefon numarası gibi kişisel verilerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında hukuka uygun toplanmasını, işlenmesini, saklanmasını ve korunmasını ifade eder. Bir düğün, nişan veya kurumsal etkinlikte yüzlerce davetlinin iletişim bilgisi işlenir; bu verilerin her biri KVKK anlamında kişisel veridir ve organizasyon firmasına somut yükümlülükler getirir. Bu yazı, davetli verisinin doğru işlenmesini, açık rızanın rolünü, saklama ve imha süreçlerini ve çağrı merkezi kayıtlarının hukuki çerçevesini organizasyon firmaları için özetler. Not: Bu içerik hukuki tavsiye değil, bilgilendirme amaçlıdır; kurumsal süreçleriniz için bir hukuk danışmanına başvurmanız önerilir.

Davetli Verisi Neden KVKK Kapsamındadır?

Davetlinin adı, telefon numarası ve katılım tercihi, bir gerçek kişiyi belirli veya belirlenebilir kılan verilerdir; bu nedenle 6698 sayılı Kanun anlamında kişisel veridir. Etkinlik davetiyesinin hazırlanması, dağıtımı ve katılım yanıtının toplanması, KVKK terminolojisinde bir veri işleme faaliyetidir. Firma, listeye bir isim eklediği andan itibaren bu veriyi işlemeye başlamış olur.

Önemli bir ayrım şudur: veriyi kimin, hangi amaçla topladığı sorumluluğu belirler. Etkinlik sahibi veya organizasyon firması, işleme amacını ve yöntemini belirleyen taraf olarak çoğunlukla veri sorumlusu konumundadır. Firmanın adına dağıtım, arama veya saklama yapan teknoloji ve operasyon tedarikçisi ise sözleşme çerçevesinde veri işleyen olarak hareket eder. Bu rol dağılımının yazılı bir sözleşmeyle netleştirilmesi, KVKK uyumunun temel adımıdır.

Kişisel Verinin Hukuka Uygun İşlenmesi

KVKK, kişisel verinin işlenmesini belirli hukuki sebeplere bağlar. Davetli verisinin işlenmesi, çoğu senaryoda ya davetlinin açık rızasına ya da kanunda sayılan diğer işleme şartlarına dayanır. Uygulamada iki temel yaklaşım öne çıkar:

  • Açık rıza: Davetliye verisinin hangi amaçla işleneceği açıkça bildirilir ve özgür iradesiyle onayı alınır. Rıza, belirli bir konuya ilişkin ve bilgilendirmeye dayalı olmalıdır.
  • Diğer işleme şartları: Sözleşmenin kurulması, meşru menfaat veya davetlinin talebi gibi durumlarda, kanunun aradığı koşullar sağlanırsa rıza aranmayabilir. Bu değerlendirme her etkinlik için ayrı yapılmalıdır.

Hangi sebebe dayanılırsa dayanılsın, KVKK'nın temel ilkeleri geçerlidir: veri hukuka ve dürüstlük kurallarına uygun, belirli ve meşru amaçlarla, ölçülü ve amaçla bağlantılı işlenmelidir. Yani bir etkinlik için davetlinin kan grubunu veya gereksiz özel nitelikli verisini toplamak ölçülülük ilkesine aykırıdır; katılım yönetimi için ad ve iletişim bilgisi yeterlidir.

Aydınlatma Yükümlülüğü ve Açık Rıza

KVKK, veri sorumlusuna davetliyi aydınlatma yükümlülüğü getirir. Davetliye; verisinin kim tarafından, hangi amaçla işlendiği, kimlere aktarılabileceği ve hakları önceden bildirilmelidir. Aydınlatma metni, davetiye akışının başında veya katılım formunda sunulabilir.

Aydınlatma ile açık rıza birbirinden ayrı kavramlardır. Aydınlatma bir bilgilendirmedir; açık rıza ise davetlinin onayıdır. Örneğin davetlinin telefon numarasının pazarlama amacıyla başka bir amaç için kullanılması söz konusuysa, bunun için ayrı ve açık bir rıza gerekir. Katılım yönetimi amacıyla toplanan bir verinin, ilgisiz bir kampanya için kullanılması amaç dışı işleme sayılır.

Saklama Süresi ve Verinin İmhası

KVKK, kişisel verinin amaç için gerekli süre kadar saklanmasını öngörür. Etkinlik davetli listesi, etkinliğin gerçekleşmesi ve ilgili operasyonların tamamlanmasından sonra amacını yitirir. İşleme amacı ortadan kalktığında veri; silinmeli, yok edilmeli veya anonim hâle getirilmelidir.

Organizasyon firmasının pratikte dikkat etmesi gereken noktalar:

  • Saklama politikası: Davetli verisinin ne kadar süre tutulacağı önceden tanımlanmalı.
  • İmha süreci: Süre dolduğunda verinin sistemden ve yedeklerden temizlenmesi.
  • Erişim kısıtı: Veriye yalnızca yetkili ekip üyelerinin erişebilmesi.

Çağrı Merkezi Kayıtları ve KVKK

Davetlilerin telefonla aranması ve görüşmelerin kayda alınması, ses verisi işlendiği için ayrı bir KVKK boyutu taşır. Ses kaydı da kişisel veridir. Bu nedenle görüşme kaydı alınıyorsa, davetlinin bu konuda bilgilendirilmesi ve ilgili işleme şartının sağlanması gerekir. Kayıtların amacı, saklama süresi ve erişim yetkisi tanımlı olmalıdır.

Profesyonel bir çağrı merkezi hizmeti kullanıldığında, bu hizmeti sunan taraf firma adına veri işleyen konumundadır. Aramaların firma adına yapılması, kayıtların güvenli tutulması ve yalnızca tanımlı amaçla kullanılması KVKK uyumunun parçasıdır.

Organizasyon Firmasının Sorumluluğu

Organizasyon firması, davetli verisini topladığı ve işleme amacını belirlediği için sorumluluğun merkezindedir. Firma; veri güvenliğini sağlamak, yetkisiz erişimi önlemek ve bir veri ihlali hâlinde gerekli bildirimleri yapmakla yükümlüdür. Kağıt listeler, korumasız Excel dosyaları ve kişisel telefonlarda dağınık tutulan davetli verileri, hem sızıntı riski taşır hem de KVKK'nın veri güvenliği ilkesine aykırıdır.

Bu risk, verinin merkezi, erişim kontrollü ve KVKK uyumlu bir sistemde işlenmesiyle azaltılır. Biletora, davetli verisini bu çerçevede işleyen bir platform olarak tasarlanmıştır: veriler firma panelinde toplanır, dağıtım firma adına yapılır, çağrı merkezi görüşmeleri kayıt altında yürütülür ve tüm süreç 6698 sayılı Kanun kapsamında işlenir. Firma, dağınık araçlar yerine tek bir sistemden erişim ve saklamayı yönetebilir.

KVKK Uyumlu Etkinlik İçin Kontrol Listesi

Organizasyon firmasının etkinlik öncesi gözden geçirebileceği başlıklar:

  • Hukuki sebep: Davetli verisi hangi işleme şartına dayanıyor?
  • Aydınlatma: Davetli, verisinin nasıl işlendiği konusunda bilgilendirildi mi?
  • Ölçülülük: Yalnızca gerekli veri (ad, iletişim, katılım) mı toplanıyor?
  • Güvenlik: Veri erişim kontrollü bir sistemde mi tutuluyor?
  • Saklama: Etkinlik sonrası imha süreci tanımlı mı?
  • Tedarikçi: Veri işleyen tedarikçiyle yazılı sözleşme var mı?

Bu başlıklar, davetli güvenini korumanın ve yasal riski azaltmanın somut adımlarıdır. Etkinlikte KVKK uyumu, yalnızca bir yasal zorunluluk değil; müşteri ve davetli nezdinde kurumsal güvenin de temelidir.

Sıkça Sorulan Sorular

Davetlinin ad ve telefon bilgisi KVKK kapsamında kişisel veri midir?+

Evet. Bir gerçek kişiyi belirli veya belirlenebilir kılan ad, soyad ve telefon numarası 6698 sayılı Kanun anlamında kişisel veridir. Etkinlik için bu bilgilerin toplanması, dağıtılması ve saklanması bir veri işleme faaliyetidir ve KVKK yükümlülüklerine tabidir.

Davetli verisini işlemek için her zaman açık rıza gerekir mi?+

Her zaman değil. İşleme; açık rızaya dayanabileceği gibi, sözleşmenin kurulması veya meşru menfaat gibi kanunda sayılan diğer şartlara da dayanabilir. Hangi hukuki sebebin geçerli olduğu her etkinlik için ayrı değerlendirilmeli; amaç dışı kullanım için ayrı ve açık rıza gerekir.

Çağrı merkezi görüşme kayıtları KVKK açısından nasıl ele alınmalı?+

Ses kaydı da kişisel veridir. Görüşme kaydı alınıyorsa davetlinin bilgilendirilmesi, kaydın amacının, saklama süresinin ve erişim yetkisinin tanımlı olması gerekir. Firma adına çalışan çağrı merkezi, sözleşme çerçevesinde veri işleyen olarak hareket eder ve kayıtları güvenli tutmakla yükümlüdür.

Etkinlik sonrası davetli listesi ne kadar süre saklanmalı?+

KVKK, verinin yalnızca işleme amacı için gerekli süre kadar saklanmasını öngörür. Etkinlik tamamlanıp operasyon bittiğinde amaç ortadan kalkar; bu durumda veri silinmeli, yok edilmeli veya anonim hâle getirilmelidir. Firmanın önceden tanımlı bir saklama ve imha politikası olması önerilir.