Hukuki uyarı: Bu yazı, restoran işletmecileri için 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında genel bilgilendirme amacıyla hazırlanmıştır ve hukuki danışmanlık niteliği taşımaz. Spesifik durumlar için mutlaka bir KVKK uzmanı veya hukuk danışmanıyla çalışmanız önerilir. Mevzuat ve Kurul kararları güncellenebilir; en doğru bilgi için kaynak olarak kvkk.gov.tr ve resmigazete.gov.tr referans alınır.

TL;DR — Restoran sahibinin 5 KVKK önceliği

KVKK kapsamında “kişisel veri” nedir?

6698 Sayılı Kanun1, kişisel veriyi “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlar. Bir restoran bağlamında bu tanım çoğu işletmecinin sandığından geniş bir alanı kapsar:

  • Müşteri verileri: ad, soyad, telefon numarası, e-posta, doğum tarihi, sipariş geçmişi, ödeme bilgisi (kart son 4 hane dahil), IP adresi, sadakat puanı, masa/sipariş yorumları.
  • Personel verileri: özlük dosyası, T.C. kimlik, sigorta sicil, sağlık raporu, banka IBAN, vardiya bilgileri.
  • Tedarikçi yetkilileri: iletişim ad-soyad ve telefon/e-posta bilgileri.
  • Kapalı devre kamera kayıtları (CCTV): çalışan ve müşteri görüntüleri içerdiği için kişisel veri kapsamındadır.

“Anonim/istatistiksel” kabul ettiğiniz bazı veriler de — örneğin “saat 18:00’da 25-34 yaş aralığında erkek bir müşteri X menü seçti” — başka bilgilerle birleştirilince kimlik tanımlanabilir hâle gelirse kişisel veri olarak değerlendirilebilir.

Veri sorumlusu kimdir? Restoran sahibi.

KVKK iki rol tanımlar: veri sorumlusu (verinin işlenme amacını ve araçlarını belirleyen) ve veri işleyen (veri sorumlusu adına işleme yapan). Tipik bir restoranda:

  • Veri sorumlusu = işletme sahibi (size aittir). Müşteri ve personel verilerinin niye toplandığı, nereye saklandığı, kime aktarıldığını siz belirlersiniz.
  • Veri işleyen = POS/CRM/sadakat sağlayıcısı. Sizin adınıza veriyi sunucularında tutar, işler, raporlar.

Bu ayrım kritiktir: yasal sorumluluk veri sorumlusunda — yani sizdedir. POS sağlayıcınız “biz uyumluyuz” dese bile veri ihlali durumunda Kurul ve etkilenen kişilerle muhatap siz olursunuz. Bu nedenle sağlayıcı ile yazılı veri işleme sözleşmesi (KVKK m.12 doğrultusunda) yapılır2.

Hangi veriyi neden işliyorsunuz? Hukuki sebepler

KVKK m.5, kişisel verilerin işlenmesi için açık rıza veya sayılan diğer hukuki sebeplerden birinin bulunmasını şart koşar. Restoran bağlamında somut karşılıklar:

Hukuki sebepRestoran karşılığı (örnek)
Açık rızaSadakat programı için telefon numarası, doğum günü kampanyası kaydı, SMS/e-posta ile pazarlama
Sözleşmenin ifasıOnline sipariş için adres ve ödeme bilgisi
Kanuni yükümlülüke-Fatura için T.C. kimlik veya vergi numarası, vergi belgeleri saklama
Bir hakkın tesisi/korunmasıMüşteri itirazı/iadesi sürecinde tutulan kayıtlar
Meşru menfaatİşyeri güvenliği için CCTV kaydı (sınırlı süreli, açıkça duyurulmuş)

Önemli bir nokta: Pazarlama amaçlı SMS ya da e-posta gönderimi neredeyse her zaman açık rıza gerektirir. “Müşterimizdi, telefonu vardı, kampanya yolladık” yaklaşımı KVKK ihlalidir.

VERBİS kayıt yükümlülüğü

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), KVKK Kurumu tarafından yönetilen veri sorumlusu kayıt platformudur. Kayıt yükümlülüğü işletme büyüklüğüne göre değişir.

Mevcut eşikler (KVKK Kurulu 6 Temmuz 2023 tarih, 2023/1154 sayılı karar)3:

  • Yıllık çalışan sayısı 50’den fazla VEYA yıllık mali bilanço toplamı 100 milyon TL’den yüksek olan veri sorumluları VERBİS kayıt yükümlüsüdür.

İstisna (2018/87 sayılı Kurul kararı):

  • Yıllık çalışan sayısı 50’den az VE mali bilanço 25 milyon TL’den az VE ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan veri sorumluları kayıt yükümlülüğünden istisnadır.

Eşikleri kvkk.gov.tr üzerinden güncel tutmanız önerilir; Kurul kararlarıyla zaman zaman güncellenir.

Açık rıza metni nasıl hazırlanmalı?

KVKK Kurumu’nun aydınlatma yükümlülüğü çerçevesinde, açık rıza metni genellikle şu beş unsurun anlaşılır ve ayırt edilebilir şekilde sunulmasını gerektirir:

  1. Hangi veri kategorileri işleniyor (ad, telefon, doğum tarihi vb.)
  2. Hangi amaçlarla işleniyor (sadakat puanı birikimi, kampanya bildirimi, vb.)
  3. Kimlere aktarılıyor (POS sağlayıcı, SMS gönderim sağlayıcı, bulut hizmet sağlayıcı)
  4. Hangi süreyle saklanıyor (sözleşme süresi + makul ek süre, ya da kanuni saklama süresi)
  5. İlgili kişinin hakları (m.11 — bilgi alma, düzeltme, silme, itiraz, vb.) ve nasıl kullanılacağı

Saklama süresi: ne kadar süre?

KVKK m.4, kişisel verilerin “ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar” tutulmasını şart koşar. Restoran bağlamında çoğu zaman aşağıdaki paralel süreler gözetilir:

Veri kategorisiTipik saklama süresiDayanak
Vergi/muhasebe belgeleri5 yılVergi Usul Kanunu m.253
e-Fatura, e-Arşiv kayıtları10 yılVUK 509 sayılı tebliğ
Özlük dosyası (personel)İş Kanunu m.75 — istihdam ilişkisi süresince + 10 yıl ihtilaf süresi (genel; özelleşebilir)İş Kanunu
CCTV kayıtlarıGenellikle 30 gün civarı (meşru menfaat sınırı)Sektör genel uygulaması
Sadakat programı verisiAçık rızanın kapsamına bağlı; tipik 1-3 yıl ek süre + üyelikAçık rıza

Süre sonunda iki seçenek vardır: silme ya da anonimleştirme. Silme, verinin hiçbir kişiye atfedilemeyecek şekilde tamamen kaldırılması; anonimleştirme ise kimlik tanımlama bağının kalıcı olarak koparılmasıdır. Anonimleştirilmiş veri istatistiksel analiz için tutulabilir.

Teknik tedbirler

KVKK m.12, veri sorumlusunun “veri güvenliğine ilişkin yükümlülüklerini” yerine getirmek için teknik ve idari tedbirler alma zorunluluğunu düzenler2. Restoran için pratik karşılığı:

  • Şifreleme: veri tabanında saklanan müşteri telefon/e-posta kayıtları şifrelenmiş (at-rest encryption); aktarımda HTTPS/TLS.
  • Erişim kontrolü: rol bazlı yetkilendirme — kasiyer kendi vardiyasının raporunu görür, garson tüm müşteri listesine erişemez, şube müdürü kendi şubesinin verisini, sahibi tümünü.
  • Log kayıtları: kim hangi veriye, ne zaman, hangi cihazdan erişti — denetlenebilir kayıt.
  • Periyodik denetim: en azından yılda bir kez yetki listesinin gözden geçirilmesi; eski personelin sistem erişiminin iptali.
  • Yedekleme ve felaket kurtarma: veri kaybı durumunda geri yükleme prosedürü.

POS sağlayıcınızdan yazılı olarak isteyebileceğiniz tipik dokümanlar: KVKK uyumluluk taahhütnamesi, ISO 27001 sertifikası (varsa), veri işleme sözleşmesi, alt-veri-işleyen listesi, veri lokasyonu beyanı.

Veri ihlali olursa ne yapılır?

Veri ihlali — kişisel verilerin yetkisiz kişiler tarafından elde edilmesi, değiştirilmesi veya kullanılamaz hâle gelmesi durumudur. KVKK Kurulu’nun 24 Ocak 2019 tarih ve 2019/10 sayılı kararına göre, m.12/5’teki “en kısa sürede” ifadesi 72 saat olarak yorumlanmıştır4.

Tipik müdahale sırası:

  1. İhlali öğrenme: sistem uyarısı, güvenlik incelemesi veya üçüncü taraf bildirimi.
  2. Etkiyi sınırlama: etkilenen sistemleri izole et, parolaları sıfırla, log kayıtlarını dondur (delil olarak).
  3. Kapsam ve etki tespiti: hangi kişisel veri, hangi kişi grubu, hangi süre boyunca etkilendi.
  4. KVKK Kurulu’na bildirim — 72 saat içinde (kvkk.gov.tr veri ihlali bildirim formu üzerinden).
  5. Etkilenen kişilere bildirim (uygun bir iletişim kanalıyla).
  6. Olay sonrası iyileştirme: kök neden analizi, teknik tedbir güçlendirme, eğitim.

KVKK m.18, bildirim yükümlülüklerinin ihlali için idari para cezası yaptırımı öngörür; cezaların güncel tutarları her yıl Kurul kararıyla duyurulur, kesin tutar için kvkk.gov.tr’nin güncel sürümünü baz alın.

Yurt dışı veri aktarımı

Bulut tabanlı POS veya SMS sağlayıcılarınızın sunucuları Türkiye dışındaysa (ör. AB, ABD), KVKK m.9 kapsamında yurt dışı veri aktarımı ile karşı karşıyasınız. Üç temel yol vardır:

  1. Türkiye’ye veri yerelleştirme: sağlayıcı Türkiye’de fiziksel veri merkezi sunuyorsa bu en pratik yol.
  2. KVKK Kurulu izni veya yeterli koruma bulunan ülke listesi üzerinden aktarım (mevcut güvenli ülke listesi sınırlıdır).
  3. Yazılı taahhütname + Kurul izni — sağlayıcı ile ek hukuki düzenleme.

Bulut sağlayıcı seçerken sorulması gereken sorular:

  • Veri merkezi nerede? Türkiye’de mi, AB’de mi, başka ülkede mi?
  • Yedeklemeler de aynı yerde mi, başka coğrafyaya kopya gönderiliyor mu?
  • KVKK m.9 uygunluğu için sağlayıcının önerdiği belge nedir?

Sık görülen 5 KVKK hatası restoranlarda

  1. Açık rıza olmadan SMS pazarlama: “Müşterimizdi, telefonu vardı” yaklaşımı KVKK ihlalidir; pazarlama amaçlı iletişim genellikle açık rıza gerektirir.
  2. CCTV kaydının yıllarca silinmemesi: kameranın “her şey kayıt altında” güvencesi varken kaydın amacının çoktan tükendiği bir noktaya geçilmiş olur. Tipik uygulama maks. 30 gün civarıdır.
  3. Personelin tüm müşteri verisine erişebilmesi: rol bazlı yetkilendirme yoksa; bir garson/kasiyer 50.000 müşterinin telefon listesini dışarı aktarabilir. Erişim ihlal noktasıdır.
  4. POS sözleşmesinde KVKK m.12 doğrultusunda veri işleme maddesinin olmaması: “veriyi sağlayıcı saklıyor ama yazılı sözleşme yok” — denetimde bir numaralı eksik.
  5. Eski personelin sistem erişiminin iptal edilmemesi: ayrılmış bir kasiyer hâlâ POS hesabıyla giriş yapabiliyorsa veri ihlali riski çok yüksektir. Çıkış prosedürünün ilk adımı sistem erişiminin kapatılmasıdır.

Sıkça sorulanlar

VERBİS kaydı yaptırmak zorunda mıyım? VERBİS kayıt yükümlülüğü, yıllık çalışan sayısı ve mali bilanço gibi eşiklere göre değişir (mevcut eşikler: çalışan >50 veya bilanço >100M TL3). Mevcut eşikleri kvkk.gov.tr üzerinden kontrol edin; sınırın altındaki işletmeler dahi KVKK’nın diğer yükümlülüklerine (açık rıza, teknik tedbirler, ihlal bildirimi vb.) uymak zorundadır.

Müşteri telefon numarasını sadakat programı için saklayabilir miyim? Evet, ancak açık rıza temeli ile, amaca uygun şekilde, gerekli süre boyunca ve uygun teknik tedbirler altında. Açık rıza metni, hangi verinin hangi amaçla işleneceğini açıkça belirtmelidir. Sadece “üye olduğu için” saklama yeterli değildir; rıza geri alınabilmelidir.

POS sistemim KVKK’ya uygun mu? Bulut tabanlı modern POS sistemleri tipik olarak Türkiye veya AB içinde veri saklama, KVKK’ya uygun veri işleme sözleşmesi ve teknik tedbirler (şifreleme, erişim kontrolü) sunar. Yine de işletmeniz veri sorumlusu olarak nihai sorumlu olduğundan, sistem sağlayıcınızla m.12 doğrultusunda yazılı veri işleme sözleşmesi yapılmalı; veri lokasyonu, alt-veri-işleyen listesi ve ihlal bildirim prosedürleri şeffafça paylaşılmalıdır.

Hukuki uyarı (tekrar): Yukarıdaki içerik genel bilgilendirme amaçlıdır. Mevzuat, Kurul kararları ve idari yorumlar zaman zaman güncellenir; işletmenize özgü yükümlülükler farklı olabilir. KVKK kapsamındaki spesifik durumlar için bir KVKK uzmanı veya avukat ile çalışın. Bu yazı içerisindeki örnek metinler, tablolar ve süreler bağlayıcı şablon değildir; başlangıç noktası olarak kullanılmalı, hukuki onay alınmalıdır.

Kaynaklar

Bu yazıdaki tüm hukuki referanslar birincil kaynaklardan alınmıştır:

İdari para cezası tutarları, sektörel rehber yokluğunda yapılan yorumlar ve sözleşme şablonu içerikleri mutlaka KVKK uzmanı/avukat ile teyit edilmelidir.

Mytabble'ın KVKK uyumlu altyapısı hakkında detay alın →

Veri saklama, açık rıza ve sözleşmesel altyapı dahil.

Footnotes

  1. T.C. Resmi Gazete, “6698 Sayılı Kişisel Verilerin Korunması Kanunu”, 7 Nisan 2016, sayı 29677. https://www.resmigazete.gov.tr/eskiler/2016/04/20160407-8.pdf

  2. 6698 Sayılı Kişisel Verilerin Korunması Kanunu konsolide metni, https://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf — Kanun No. 6698, Kabul Tarihi 24.03.2016. Madde 5 (işleme şartları), Madde 12 (veri güvenliği yükümlülükleri), Madde 18 (kabahatler ve idari yaptırımlar) bu yazıda atıfta bulunulan ana hükümlerdir. 2

  3. KVKK Kurulu Kamuoyu Duyurusu, “VERBİS Kayıt Yükümlülüğüne İlişkin Eşikler”, 2023/1154 sayılı karar (6 Temmuz 2023) ve 2018/87 sayılı istisna kararı, https://www.kvkk.gov.tr/Icerik/8388/KAMUOYU-DUYURUSU 2

  4. KVKK Kurulu 24 Ocak 2019 tarih, 2019/10 sayılı kararı — “Kişisel Veri İhlali Bildirim Usul ve Esasları”, https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi — Madde 12/5’teki “en kısa sürede” ifadesi 72 saat olarak yorumlanmıştır; süre, ihlalin öğrenildiği tarihten itibaren başlar.