Veri Güvenliği
Etkinlik yönetiminde veri güvenliği ve KVKK uyumu: Bilmeniz gereken her şey
Etkinlik yönetimi süreçlerinde binlerce kişinin kişisel verileri işleniyor: isimler, telefon numaraları, e-posta adresleri, hatta diyet tercihleri ve özel istekler. KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında bu verilerin nasıl toplandığı, işlendiği ve saklandığı kritik bir öneme sahip.
Neden önemli?
KVKK ihlalleri durumunda şirketler 1.966.862 TL'ye kadar idari para cezası ile karşılaşabilir. Ayrıca itibar kaybı ve müşteri güveni zedelenmesi gibi dolaylı zararlar da söz konusu.
1. Veri toplama aşamasında dikkat edilecekler
Etkinlik kayıt formları oluştururken KVKK'nın "amaçla sınırlı veri toplama" ilkesine uygun hareket etmeniz gerekiyor:
- Sadece gerekli verileri toplayın: Davetlinin cinsiyeti, doğum tarihi veya TC kimlik numarası gibi bilgiler çoğu etkinlik için gerekli değildir.
- Açık rıza alın: Formlarınızda "Kişisel verilerimin işlenmesini onaylıyorum" şeklinde bir onay kutusu mutlaka bulunmalı.
- Aydınlatma metni sunun: Verilerin hangi amaçla, ne kadar süre saklanacağı ve kimlerle paylaşılacağı net bir şekilde açıklanmalı.
2. Veri saklama ve güvenlik önlemleri
Toplanan verilerin güvenli bir şekilde saklanması için teknik ve idari önlemler almanız gerekiyor:
- Şifreleme: Veritabanındaki hassas veriler (telefon, e-posta) şifreli olarak saklanmalı.
- Erişim kontrolü: Her kullanıcının sadece işi için gerekli verilere erişimi olmalı. NexaConnect'te rol bazlı erişim kontrolü bu ihtiyacı karşılar.
- Log tutma: Kim, ne zaman, hangi veriye erişti? Bu sorulara yanıt verebilmek için detaylı log kayıtları tutulmalı.
- Yedekleme: Düzenli yedekleme ile veri kaybı riski minimize edilmeli, ancak yedekler de aynı güvenlik standartlarına tabi olmalı.
3. Veri işleme ve üçüncü taraflarla paylaşım
Etkinlik sürecinde veriler farklı amaçlarla işlenebilir ve üçüncü taraflarla paylaşılabilir:
- SMS/E-posta gönderimi: Hatırlatma mesajları için Netgsm, İleti Merkezi gibi sağlayıcılar kullanılıyorsa, bu sağlayıcıların da KVKK uyumlu olması gerekiyor.
- Catering firmaları: Diyet bilgileri catering firmasıyla paylaşılacaksa, bu paylaşım için de açık rıza alınmalı.
- Otel/konaklama: Konaklama bilgileri otel ile paylaşılacaksa, veri işleme sözleşmesi yapılmalı.
4. Etkinlik sonrası: Veri saklama süresi ve imha
KVKK'nın en kritik maddelerinden biri, verilerin "amacın gerektirdiği süre" kadar saklanması gerekliliğidir:
- Etkinlik bittikten sonra katılımcı verilerini ne kadar süre saklayacağınızı belirleyin.
- Yasal yükümlülükler (fatura, sözleşme vb.) için gerekli veriler 10 yıla kadar saklanabilir.
- Pazarlama amaçlı iletişim için ayrıca izin alınmalı; aksi halde veriler silinmeli.
- NexaConnect'te otomatik veri imha politikaları tanımlayarak bu süreci otomatize edebilirsiniz.
5. NexaConnect ile KVKK uyumlu etkinlik yönetimi
NexaConnect, KVKK uyumu konusunda aşağıdaki özellikleri sunar:
- Rol bazlı erişim kontrolü: SUPER_ADMIN, COMPANY_ADMIN ve STAFF rolleri ile veri erişimini kısıtlayın.
- Detaylı denetim logları: Kim, ne zaman, hangi işlemi yaptı? Tüm aktiviteler kayıt altında.
- Şifreli veri iletimi: Tüm API iletişimleri HTTPS üzerinden şifreli olarak gerçekleşir.
- Veri dışa aktarma: KVKK'nın "veri taşınabilirliği" hakkı kapsamında veriler Excel/CSV formatında dışa aktarılabilir.
- Veri silme: Katılımcı verileri talep üzerine veya otomatik olarak silinebilir.
Özet: KVKK Uyumu Kontrol Listesi
- ✓ Sadece gerekli verileri toplayın
- ✓ Açık rıza ve aydınlatma metni sunun
- ✓ Verileri şifreli olarak saklayın
- ✓ Erişim kontrolü ve log tutma uygulayın
- ✓ Üçüncü taraflarla veri paylaşımı için sözleşme yapın
- ✓ Etkinlik sonrası veri imha politikası belirleyin