Türkiye'de 2016'da yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kullanıcıların kişisel verileri üzerinde hangi haklara sahip olduğunu düzenler. QR sticker gibi anonim iletişim ürünlerinde bu haklar özellikle önemli — çünkü sisteme telefon, adres, kimlik gibi hassas veriler giriyor.
KVKK ihlali cezaları 500 bin — 60 milyon TL arasında değişir. 2024'te Türk QR platformlarına verilen 4 ceza var. Doğru platform seçimi hem yasal hem finansal risk azaltır.
KVKK'nın Temel Prensipleri
Bir veri işleme faaliyetinin KVKK ile uyumlu olması için 4 temel prensibin uygulanması gerekir:
- Hukuka ve dürüstlük kuralına uygunluk — meşru bir amaç olmadan veri toplanamaz
- Doğru ve gerektiğinde güncel olma — yanlış veri KVKK ihlalidir
- Belirli, açık ve meşru amaçlar için işlenme — 'sonra kullanırım' meşru amaç değil
- Amaçla bağlantılı, sınırlı ve ölçülü olma — telefon numarası için soyisim istemek orantısızdır
Bir QR sticker platformu bu 4 prensibi ihlal ederse — mesela QR taranınca 'reklamları görmek için Facebook ile giriş yapın' derse — KVKK ihlali.
KVKK Md.11 — Kullanıcı Hakları
KVKK'nın en kritik maddesi 11 — kullanıcı haklarını düzenler. Her Türk vatandaşı bir platforma başvurup şu haklarını kullanabilir:
| Hak | Ne demek? | Örnek |
|---|---|---|
| Bilgi alma | Verilerimin işlendiğini öğrenme | 'Bende hangi verilerim var?' |
| Amaç öğrenme | Neden işlendiğinin açıklaması | 'Numaramı neden istiyorsun?' |
| Aktarım bilgisi | Kimlere aktarıldığını öğrenme | 'Verilerimi bir 3. tarafa verdin mi?' |
| Düzeltme | Yanlış verilerin düzeltilmesi | 'Telefonumu değiştir' |
| Silme | Verilerin silinmesini isteme | 'Hesabımı ve tüm verilerimi sil' |
| Zarar tazmini | Hukuka aykırı işlemeden dolayı | Mahkeme kararı ile |
İyi bir platform bu hakları uygulama içinde self-service olarak sunar — dilekçe yazmadan tek tıkla verimizi indirebilir veya sildirebilirsin. Bu, Tagora'nın da temel tasarım tercihidir.
QR Sticker Platformlarında Riskler
Risk 1: Aşırı veri toplama
Bazı platformlar kayıt sırasında gereksiz veri ister: kimlik numarası, doğum tarihi, ev adresi, iş bilgileri. Anonim mesajlaşma için bunların hiçbiri gerekli değil — sadece email + telefon yeter. Fazlası KVKK'nın 'ölçülülük' prensibini ihlal eder.
Risk 2: Yurt dışı transferi
KVKK m.9'a göre kişisel verilerin yurt dışına aktarılması için açık rıza veya güvenli ülke listesi gerekir. Türk kullanıcının verisi ABD sunucusunda saklanıyorsa bu durum aydınlatma metninde açıkça belirtilmeli ve kullanıcıdan onay alınmalıdır. Aksi halde KVKK ihlali.
Risk 3: Yetersiz şifreleme
Chat mesajları uçtan uca şifreli olmalı — sunucu bile içeriği okuyamamalı. Sadece 'HTTPS' yeterli değil, mesajların database'de plain-text saklanıyorsa yasal ihlal veri sızıntısında büyük yaptırım getirir.
Risk 4: Saklama süresi belirsizliği
'Verinizi 'yeterince uzun süre' saklarız' gibi belirsiz ifadeler KVKK ihlali. Her veri kategorisi için net saklama süresi tanımlanmalı ve otomatik silinmeli.
Doğru Platformu Nasıl Seçmeli?
QR sticker seçerken şu kontrol listesini uygulayın:
- ✅ Aydınlatma metni açık ve anlaşılır bir dilde mi?
- ✅ Veri sorumlusunun ticari unvanı, adresi, MERSİS numarası belirtilmiş mi?
- ✅ Hangi verilerin hangi amaçla toplandığı listelenmiş mi?
- ✅ Veri saklama süreleri açıkça yazılmış mı?
- ✅ Yurt dışı transferi var mı, varsa açık rıza mekanizması işletiliyor mu?
- ✅ KVKK Md.11 haklarını self-service kullanabiliyor musun (indir/sil butonu)?
- ✅ Mesajlar için uçtan uca şifreleme sağlanıyor mu?
- ✅ Otomatik silme mekanizması var mı (mesajlar N gün sonra silinir)?
"KVKK gerçek anlamda uyumlu olmayan bir platform, kullanıcının hukuki riski değil şirketinizin de riski. Bir sızıntıda ceza şirkete kesilir, ama zarar kullanıcıya olur."
— KVKK Danışma Kurulu — 2024 raporu
Tagora Nasıl Yaklaşıyor?
Tagora'da her tasarım kararı KVKK ilkesi ile başlar:
- Sadece gerekli veri — email + isteğe bağlı telefon, o kadar
- Chat mesajları uçtan uca şifreli iletilir, 90 gün sonra otomatik silinir
- Uygulama içinde tek tıkla veri indirme + hesap silme (KVKK Md.11)
- Aydınlatma metni tam ve şeffaf — her veri kategorisi için amaç, süre, hukuki sebep
- Yasal saklama zorunluluğu (fatura 5 yıl) hariç, hesap silindiğinde tüm veri anonimleşir
- Şüpheli tarayanı tek dokunuşla engelleyebilirsin — spam/tehdit sistem tarafından otomatik filtrelenir
Tagora aydınlatma metni: tagora.com.tr/kvkk · Gizlilik politikası: tagora.com.tr/privacy — her ikisi de yalın Türkçe ile yazıldı, hukuk fakültesi diploması gerektirmez.
Kullanıcı Olarak Sen Ne Yapmalısın?
- Bir uygulamaya kayıt olurken aydınlatma metnini en azından hızlı gözden geçir — 3 dakika yeter
- 'Kabul ediyorum' düğmesine tıklamadan önce hangi verilerin işlendiğine bak
- Uygulama içinde 'verilerimi indir / sil' seçeneği var mı kontrol et
- Şüpheliysen bir platformdan başvurudan çekil — Türkiye'de KVKK Kurulu'na ihbar edebilirsin (kvkk.gov.tr)
- Verilerinin nerede saklandığı, kime aktarıldığı senin hakkın — sormaktan çekinme
Sonuç
KVKK, kullanıcı olarak sana verilerin üzerinde kontrol sağlar — ama sadece hak talep edersen anlam kazanır. Doğru platform + bilinçli kullanıcı formülü kişisel veri güvenliğinin temeli. QR sticker gibi hızlı büyüyen bir alanda bu bilinç kritik.
KVKK bilincin kişisel bir güç. Her platform senin çıkarını korumak zorunda — ama sen de haklarını bilmek zorundasın.