KVKK ve Müşteri Verileri: Güzellik Salonları İçin Veri Güvenliği Rehberi
Müşteri verilerini korumak yasal zorunluluk. KVKK uyumluluğu, aydınlatma metni, açık rıza, veri güvenliği önlemleri ve salon sahiplerinin bilmesi gerekenler.
Güzellik salonları, her gün onlarca müşterinin kişisel verisiyle temas eder: ad, telefon numarası, randevu geçmişi, hatta sağlık bilgileri. Bu verilerin korunması sadece etik bir sorumluluk değil, aynı zamanda yasal bir zorunluluktur.
Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye’deki tüm işletmeleri bağlar ve güzellik salonları da bu kapsamdan muaf değildir.
KVKK Nedir ve Salonları Nasıl Etkiler?
6698 sayılı Kişisel Verilerin Korunması Kanunu, 2016’da yürürlüğe girdi. Kanun, kişisel verilerin toplanması, saklanması, işlenmesi ve paylaşılmasına ilişkin kuralları belirler.
Bir güzellik salonu sahibi olarak siz “veri sorumlusu” konumundasınız. Bu şu anlama gelir:
- Müşterilerden topladığınız her veriyi yasal çerçevede işlemelisiniz
- Verileri hangi amaçla topladığınızı açıkça bildirmelisiniz
- Müşterinin açık rızasını almanız gereken durumlar vardır
- Verileri güvenli şekilde saklamalı ve yetkisiz erişimi önlemelisiniz
- KVKK ihlallerinde idari para cezaları uygulanabilir
Cezalar bireysel işletmeler için bile ciddi boyutlara ulaşabilir. KVKK’yı bilmemek, mazeretiniz olmaz.
Salonlarda Hangi Kişisel Veriler Toplanır?
Farkında olmasanız bile, salonunuzda oldukça geniş bir veri havuzu oluşur.
Temel Kişisel Veriler
- Ad, soyad
- Telefon numarası
- E-posta adresi
- Doğum tarihi
Özel Nitelikli Veriler
- Sağlık bilgileri (alerji, cilt hassasiyeti, hamilelik)
- Fiziksel özellikler (saç tipi, cilt tonu)
İşlem Verileri
- Randevu geçmişi ve tercihleri
- Satın alma ve ödeme bilgileri
- Sadakat programı ve puan kayıtları
- WhatsApp veya SMS iletişim kayıtları
Özel nitelikli veriler (sağlık bilgileri), KVKK kapsamında ek koruma gerektirir ve açık rıza olmadan işlenemez.
Aydınlatma Metni Nasıl Hazırlanır?
KVKK’nın en temel gerekliliklerinden biri, müşterilerinizi kişisel verilerinin nasıl işlendiği konusunda bilgilendirmektir. Buna aydınlatma yükümlülüğü denir.
Aydınlatma metninizde şunlar yer almalıdır:
- Veri sorumlusunun kimliği: Salon adı, adres, iletişim
- Hangi verilerin toplandığı: Ad, telefon, randevu bilgisi vb.
- Verilerin işlenme amacı: Randevu yönetimi, hatırlatma, kampanya
- Verilerin aktarılıp aktarılmadığı: Üçüncü taraf yazılımlar, SMS sağlayıcılar
- Veri saklama süresi: Ne kadar süreyle saklanacağı
- Müşterinin hakları: Silme, düzeltme, itiraz etme hakları
Bu metni salonunuzun girişinde veya bekleme alanında görünür şekilde asabilir, ayrıca online randevu formlarınıza ekleyebilirsiniz.
Açık Rıza: Ne Zaman ve Nasıl Alınır?
Açık rıza, müşterinin kişisel verilerinin işlenmesine belirli bir konuda, bilgilendirmeye dayalı ve özgür iradesiyle onay vermesidir.
Açık Rıza Gereken Durumlar
- Sağlık bilgilerinin kaydedilmesi (alerji, hamilelik)
- Pazarlama amaçlı SMS veya WhatsApp gönderimi
- Fotoğrafların sosyal medyada paylaşılması
- Verilerin üçüncü taraflarla paylaşılması
Açık Rıza Alınma Yöntemleri
- Kağıt form: Salonda imzalatılan onay belgesi
- Dijital onay: Online randevu sırasında onay kutucuğu
- SMS/WhatsApp: İlk iletişimde açık rıza metni gönderimi
Rıza formlarını saklayın. Bir ihtilaf durumunda, rızanın alındığını ispat yükü size aittir.
Veri Saklama Süreleri
Müşteri verilerini sonsuza kadar saklamak KVKK’ya aykırıdır. Verilerin işlenme amacı ortadan kalktığında, silinmesi veya anonim hale getirilmesi gerekir.
Önerilen saklama süreleri:
| Veri Türü | Saklama Süresi |
|---|---|
| Müşteri iletişim bilgileri | Son randevudan itibaren 2 yıl |
| Randevu geçmişi | 2 yıl |
| Sağlık bilgileri | Son işlemden itibaren 1 yıl |
| Fatura ve ödeme bilgileri | Yasal zorunluluk: 5 yıl |
| Kamera kayıtları | 30-90 gün |
Bu süreler genel önerilerdir. Mali ve vergisel yükümlülükler nedeniyle bazı veriler daha uzun süre tutulabilir.
Dijital ve Fiziksel Veri Güvenliği
Verilerinizi hem dijital hem de fiziksel ortamda korumanız gerekir.
Dijital Güvenlik
- Güçlü ve benzersiz şifreler kullanın, düzenli değiştirin
- İki faktörlü kimlik doğrulama (2FA) etkinleştirin
- Müşteri verilerine erişimi yalnızca yetkili personelle sınırlandırın
- Yazılımlarınızı ve cihazlarınızı güncel tutun
- Düzenli yedekleme yapın
- Güvenli ve KVKK uyumlu yazılım tercih edin
Fiziksel Güvenlik
- Basılı müşteri kayıtlarını kilitli dolaplarda saklayın
- Kullanılmayan belgeleri imha makinesiyle yok edin
- Bilgisayar ekranlarını yetkisiz kişilerin göremeyeceği şekilde konumlandırın
- Salondan ayrılırken bilgisayarları kilitleyin
Ticari Elektronik İleti İzni
SMS hatırlatma ve WhatsApp üzerinden kampanya göndermek, KVKK’nın yanı sıra 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun kapsamındadır.
Dikkat Etmeniz Gerekenler
- Randevu hatırlatması hizmetin parçasıdır ve genellikle ayrı izin gerektirmez
- Ancak kampanya, indirim ve tanıtım mesajları için açık izin almanız şarttır
- Her mesajda “almak istemiyorsanız IPTAL yazın” gibi bir çıkış mekanizması sunun
- İzin almadan toplu mesaj göndermek ciddi para cezalarıyla sonuçlanabilir
- İzin kayıtlarını tarih ve saat bilgisiyle saklayın
Ticari ileti izni; SMS, WhatsApp, e-posta gibi tüm elektronik kanallar için geçerlidir.
Veri İhlali Durumunda Ne Yapmalısınız?
Bir veri ihlali yaşanırsa (verilerin çalınması, yetkisiz erişim, kayıp), KVKK size belirli yükümlülükler getirir.
Veri ihlali müdahale adımları:
- İhlali tespit edin ve kapsamını belirleyin
- İhlali en kısa sürede Kişisel Verileri Koruma Kurulu’na bildirin (72 saat içinde önerilir)
- Etkilenen müşterileri bilgilendirin
- İhlalin nedenini tespit edin ve tekrarını önleyecek önlemler alın
- Tüm süreci belgelendirin
Veri ihlali bildirmemek, cezayı ağırlaştıran bir faktördür.
Çalışan Eğitimi
KVKK uyumluluğu, yalnızca salon sahibinin sorumluluğu değildir. Veriye temas eden tüm personelin bilinçli olması gerekir.
Personel eğitiminde ele alınması gerekenler:
- Kişisel veri nedir, neden önemlidir
- Hangi bilgiler müşteriden alınabilir, hangileri alınamaz
- Müşteri bilgilerinin üçüncü kişilerle paylaşılmaması kuralı
- Sosyal medyada müşteri fotoğrafı paylaşma kuralları
- Şüpheli durumlarda kime başvurulacağı
Yılda en az bir kez KVKK farkındalık eğitimi düzenlemek iyi bir uygulamadır.
Güvenli Yazılım Seçimi
Müşteri verilerinizi dijital ortamda yönetiyorsanız, kullandığınız yazılımın güvenlik standartları kritiktir. Güzellik salonları için randevu programı seçerken teknik özelliklerin yanı sıra veri güvenliğini de değerlendirmelisiniz.
Yazılım seçerken kontrol edin:
- Veriler şifreli (encrypted) olarak mı saklanıyor?
- Sunucular Türkiye veya AB sınırları içinde mi?
- Kullanıcı bazlı yetkilendirme mevcut mu?
- Veri silme ve dışa aktarma imkanı var mı?
- Erişim logları tutuluyor mu?
AtlasPlan, müşteri verilerini şifreli bağlantılarla işler ve kullanıcı bazlı erişim kontrolü sunarak KVKK uyumluluğunu destekler.
Sonuç: Güven Verin, Güven Kazanın
KVKK uyumluluğu, sadece yasal zorunluluk değil; müşterilerinize “verileriniz bizde güvende” mesajı vermenin en somut yoludur. Veri güvenliğine önem veren salonlar, müşteri güvenini kazanır ve uzun vadeli sadakat oluşturur.
Küçük adımlarla başlayabilirsiniz: aydınlatma metni hazırlayın, açık rıza formlarını düzenleyin, dijital kayıtlarınızı güvenli bir sisteme taşıyın. Her adım sizi KVKK uyumluluğuna bir adım daha yaklaştırır.
Salonunuzun veri yönetimini güvenli ve dijital bir altyapıya taşımak istiyorsanız, AtlasPlan’ı ücretsiz deneyin →
