KVKK Uyumlu Müşteri ve Randevu Yönetimi Rehberi
Nextrez Ekibi · Güncelleme: 16 Haziran 2026
Bir randevu ya da rezervasyon işletmesi yönetiyorsanız, her müşteriyle birlikte bir miktar kişisel veri de topluyorsunuz: ad, telefon, randevu geçmişi, bazen sağlık ya da tercih bilgileri. Bu verilerin 6698 sayılı KVKK çerçevesinde nasıl toplandığı, işlendiği ve saklandığı artık sadece bir uyum meselesi değil; müşteri güveninin de temeli. Bu rehber, randevu odaklı işletmelerin müşteri verisini KVKK ilkelerine uygun yönetmesi için temel kavramları, pratik adımları ve dikkat edilmesi gereken noktaları sade bir dille bir araya getiriyor; ayrıca Nextrez'in bu ilkeleri ürün düzeyinde nasıl desteklediğini somut örneklerle gösteriyor.
KVKK'nın Temel İlkeleri ve Veri Sorumlusu Kavramı
KVKK, kişisel verinin işlenmesini birkaç temel ilkeye bağlar: hukuka ve dürüstlük kurallarına uygunluk, doğru ve güncel olma, belirli ve meşru amaçlarla işleme, işlendikleri amaçla bağlantılı ve ölçülü olma, ve gerektiği süre kadar saklama. Bir randevu işletmesi için bu, pratikte şu anlama gelir: müşterinin telefon numarasını yalnızca randevu süreci için kullanmak, gereğinden fazla bilgi istememek ve veriyi süresiz tutmamak.
Burada anahtar rol veri sorumlusudur. Veri sorumlusu, kişisel verinin işlenme amaçlarını ve yöntemini belirleyen kişidir; yani aslında işletmenin kendisidir. Müşteri verisini hangi amaçla topladığınıza, ne kadar süre tutacağınıza ve kimlerle paylaşacağınıza karar veren taraf olarak sorumluluk size aittir. Nextrez gibi bir yazılım sağlayıcısı bu süreçte genellikle veri işleyen konumundadır; yani sizin talimatınız ve belirlediğiniz amaç doğrultusunda altyapıyı sağlar, veriyi kendi amaçları için kullanmaz.
Bu ayrımı netleştirmek önemlidir, çünkü aydınlatma, açık rıza ve müşteri başvurularına yanıt verme gibi yükümlülüklerin asıl muhatabı veri sorumlusu olan işletmedir. Doğru kurgulanmış bir yazılım bu yükümlülükleri yerine getirmenizi kolaylaştırır, ancak hukuki sorumluluğu üstlenmez.
Açık Rıza ve Aydınlatma Yükümlülüğü
KVKK, kişisel veri işlemenin belirli hukuki sebeplere dayanmasını ister. Bir sözleşmenin kurulması veya ifası için gerekli olan veriler (örneğin bir randevuyu oluşturmak için telefon numarası) çoğu durumda sözleşmesel gereklilik kapsamında değerlendirilebilir; pazarlama amaçlı bildirimler gibi ek işlemler ise tipik olarak açık rıza gerektirir. Hangi işlemin hangi hukuki sebebe dayandığını doğru sınıflandırmak, uyumun kalbidir.
Açık rızanın geçerli olması için üç şart aranır: belirli bir konuya ilişkin olmalı, bilgilendirmeye dayanmalı ve özgür iradeyle açıklanmalıdır. Yani müşteriye ne için, hangi süreyle ve kiminle ilgili rıza verdiği açıkça anlatılmalı; rıza vermemek bir hizmeti almanın önüne keyfi biçimde geçmemelidir. Bununla birlikte aydınlatma yükümlülüğü rızadan ayrıdır ve rıza alınsın alınmasın yerine getirilmelidir.
Nextrez bu noktada işletmeye somut bir kolaylık sağlar: bir müşteri eklendiğinde, kayıt doğrudan oluşturulmaz. Müşteriye WhatsApp üzerinden açık rıza onayı gider ve müşteri onaylamadan sistemde bir kayıt meydana gelmez. Bu, rızanın kanıtlanabilir ve müşterinin iradesine dayalı biçimde alınmasını destekleyen, varsayılan olarak ölçülü bir akıştır. Aydınlatma metninin içeriğinden ve hukuki yeterliliğinden ise yine veri sorumlusu olarak işletme sorumludur.
Veri Minimizasyonu: Yalnızca Gerekeni Topla
Ölçülülük ilkesi, çoğu işletmenin en kolay atladığı maddedir. Bir randevu oluşturmak için çoğu zaman ad ve telefon yeterliyken, formlara doğum tarihi, adres veya kimlik numarası gibi alanlar eklemek hem gereksiz risk biriktirir hem de KVKK'nın 'amaçla bağlantılı ve sınırlı olma' ilkesine aykırı düşer. Topladığınız her ek alan, korumanız ve gerektiğinde silmeniz gereken bir yükümlülüktür.
İyi bir yaklaşım, her veri alanı için 'bu olmadan hizmeti veremez miyim?' sorusunu sormaktır. Saç kesimi randevusu için sağlık geçmişine ihtiyaç yoktur; bir klinik randevusunda ise belirli sağlık verileri özel nitelikli kişisel veri kapsamında ek korumalar gerektirir. Veri minimizasyonu hem hukuki riski hem de olası bir ihlalin etkisini doğrudan küçültür.
Nextrez'de veri minimizasyonu varsayılan tasarım tercihidir: randevu akışı, hizmeti yürütmek için gereken asgari bilgiyle çalışacak şekilde kurgulanmıştır. Bu, sizi gereksiz alanları kendiniz eklemekten alıkoymaz; ancak başlangıç noktası 'az veri' olduğunda uyumlu kalmak çok daha kolaydır.
Randevu Verisinin Güvenli Saklanması ve Şifreleme
KVKK, veri sorumlusunun kişisel veriyi hukuka aykırı erişime karşı korumak için uygun teknik ve idari tedbirleri almasını zorunlu kılar. Bu, şifreleme, erişim yetkilendirmesi, güvenli altyapı ve izleme gibi katmanların bir arada düşünülmesi anlamına gelir. Tek bir önlem değil, savunmanın derinliği esastır.
Nextrez tarafında bu katmanlar şöyle uygulanır: takvim entegrasyonlarında kullanılan erişim token'ları AES-GCM ile şifreli olarak saklanır, altyapı Avrupa Birliği bölgesindeki Hetzner üzerinde barındırılır ve önünde Cloudflare DDoS koruması bulunur. Sistem davranışı Sentry ile izlenir; telefon girişi şifre yerine OTP ile yapıldığından, sızdırılabilecek bir parola da tutulmaz. Bu önlemler, randevu verisinin yetkisiz erişime ve veri kaybına karşı korunmasını destekler.
İşletme tarafında ise saklama süresi politikası kritik önemdedir. KVKK, veriyi 'işlendikleri amaç için gerekli olan süre kadar' tutmayı ister; bu süre dolduğunda silme, yok etme veya anonimleştirme gerekir. Yazılım güvenli saklamayı sağlar, ancak ne kadar süre saklanacağına dair politikayı belirlemek ve uygulamak veri sorumlusunun görevidir.
Müşteri Hakları ve Başvuru Sürecinin Yönetimi
KVKK'nın 11. maddesi, kişilere geniş haklar tanır: verilerinin işlenip işlenmediğini öğrenme, bilgi talep etme, düzeltme, silme veya yok edilmesini isteme, ve işlenmesine itiraz etme bu hakların başında gelir. Bir işletme olarak bu başvuruları kabul edecek bir kanalınız ve makul sürede yanıt verecek bir süreciniz olmalıdır.
Pratikte bu, müşterinin size kolayca ulaşabileceği bir iletişim noktası ve gelen taleplerin kaydının tutulduğu, izlenebilir bir akış demektir. Silme talebi geldiğinde ilgili veriyi gerçekten silebilmeniz, düzeltme talebinde güncelleyebilmeniz teknik olarak mümkün olmalıdır. Nextrez'in müşteri ve randevu kayıtlarını tek bir yerden yönetilebilir kılması, bu tür taleplere yanıt vermeyi operasyonel olarak kolaylaştırır.
Nextrez tarafında veri koruma ve KVKK başvuruları için ayrı bir iletişim adresi bulunur: kvkk@nextrez.com.tr. Genel destek ise destek@nextrez.com.tr üzerinden sağlanır. Bununla birlikte, kendi müşterilerinizden gelen KVKK başvurularının asıl muhatabı, veri sorumlusu olarak sizsiniz; kendi başvuru sürecinizi tanımlamanız beklenir.
Takvim ve Üçüncü Taraf Entegrasyonlarında Veri Aktarımı
Randevu yazılımları çoğu zaman takvim, mesajlaşma ve bildirim servisleriyle entegre çalışır. Her entegrasyon, potansiyel bir veri aktarımı noktasıdır ve KVKK açısından 'veriyi kiminle, hangi amaçla paylaşıyorum?' sorusunu gündeme getirir. Şeffaflık ve sınırlılık burada da geçerlidir.
Nextrez, onaylı randevu ve vardiyaları Google Takvim ve iCloud (Apple) ile çift yönlü senkronize edebilir; randevu talep, onay, değişiklik ve hatırlatma adımları WhatsApp ve SMS üzerinden yürütülür. Önemli olan, bu entegrasyonların müşterinin hizmeti alması için işlevsel olmaları ve veriyi reklam ya da satış amacıyla üçüncü taraflara açmamalarıdır. Nextrez, müşteri verisini üçüncü taraflarla paylaşmaz; Google entegrasyonu Google'ın Limited Use politikasına uygun şekilde, yalnızca takvim işlevini sağlamak için kullanılır.
Entegrasyon kullandığınızda, aydınlatma metninizde hangi servislerin sürece dahil olduğunu belirtmek iyi bir uygulamadır. Müşteri, randevu hatırlatmasının WhatsApp ile geleceğini ve onaylı randevunun takvimine düşeceğini bildiğinde, hem deneyim hem de şeffaflık güçlenir.
Pratik KVKK Kontrol Listesi
Uyumu somutlaştırmak için, randevu işletmenizde aşağıdaki adımları gözden geçirebilirsiniz. Birinci adım: yalnızca gerekli veriyi toplayın ve her form alanını ölçülülük testinden geçirin. İkinci adım: hizmeti yürüten işlemlerle (sözleşmesel) pazarlama amaçlı işlemleri (açık rıza) ayırın ve rızayı kanıtlanabilir biçimde alın. Üçüncü adım: aydınlatma metninizi güncel, anlaşılır ve erişilebilir tutun.
Dördüncü adım: bir saklama süresi politikası belirleyin ve süre dolan veriyi silin, yok edin veya anonimleştirin. Beşinci adım: müşteri haklarına yanıt verecek bir başvuru kanalı ve süreç kurun. Altıncı adım: erişim yetkilerini sınırlayın, şifreleme ve güvenli altyapı kullanın, entegrasyonlarda hangi verinin nereye aktığını belgeleyin. Nextrez'in açık rıza akışı, veri minimizasyonu varsayılanı, AES-GCM şifrelemesi ve AB altyapısı, bu listenin teknik tarafını büyük ölçüde karşılamanıza yardımcı olur.
Önemli bir uyarı: Bu rehber genel bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. KVKK yükümlülükleri sektöre, işlenen verinin niteliğine ve işletmenizin yapısına göre değişebilir; özellikle özel nitelikli kişisel veri (sağlık gibi) işliyorsanız ek yükümlülükler doğar. Uyum sürecinizi nihai olarak yapılandırmadan önce kurumunuzun hukuk danışmanına danışmanız önerilir.
Sık sorulan sorular
- Randevu sistemi kullanmak işletmemi otomatik olarak KVKK uyumlu yapar mı?
- Hayır. Yazılım, açık rıza, şifreleme ve veri minimizasyonu gibi uyumu kolaylaştıran araçlar sunar; ancak veri sorumlusu sizsiniz. Aydınlatma metni, saklama süresi politikası ve müşteri başvurularına yanıt verme yükümlülüğü işletmeye aittir. Nextrez bu süreçleri teknik olarak destekler, hukuki sorumluluğu üstlenmez.
- Müşteriden açık rıza nasıl alınmalı ve kanıtlanmalı?
- Açık rıza belirli, bilgilendirmeye dayalı ve özgür iradeyle verilmiş olmalıdır. Nextrez'de bir müşteri eklendiğinde WhatsApp üzerinden açık rıza onayı gider ve müşteri onaylamadan kayıt oluşmaz, bu da rızanın izlenebilir biçimde alınmasını sağlar. Aydınlatma metninin içeriğini ve hukuki yeterliliğini ise veri sorumlusu olarak işletmenin belirlemesi gerekir.
- Müşteri verisini ne kadar süre saklayabilirim?
- KVKK, veriyi yalnızca işlendiği amaç için gerekli olan süre kadar tutmayı ister; süre dolduğunda silme, yok etme veya anonimleştirme gerekir. Bu süreyi sektörünüze ve yasal yükümlülüklerinize göre kendiniz belirlemelisiniz. Yazılım güvenli saklamayı sağlar, ancak saklama süresi politikasını uygulamak işletmenin görevidir.
- Nextrez müşteri verimi üçüncü taraflarla paylaşıyor mu?
- Hayır. Nextrez müşteri verisini reklam veya satış amacıyla üçüncü taraflara paylaşmaz. Google Takvim entegrasyonu Google'ın Limited Use politikasına uygun şekilde yalnızca takvim işlevini sağlamak için kullanılır, erişim token'ları AES-GCM ile şifreli saklanır ve altyapı AB bölgesinde barındırılır.
- Bu rehber hukuki tavsiye yerine geçer mi?
- Hayır. Bu içerik genel bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. KVKK yükümlülükleri sektöre ve işlenen verinin niteliğine göre değişir, özellikle sağlık gibi özel nitelikli veride ek kurallar geçerlidir. Uyum sürecinizi yapılandırmadan önce kurumunuzun hukuk danışmanına danışmanız önerilir.
- Nextrez'in randevu ve yönetim özelliklerini kullanmak ücretli mi?
- Randevu, rezervasyon ve yönetim özellikleri ücretsizdir; kendi müşterilerinizle sınırsız kullanırsınız ve kredi kartı gerekmez. İleride yeni müşterilere ulaşmak veya işletmeyi öne çıkarmak için opsiyonel pazaryeri özellikleri eklenebilir, ancak ana özellikler ücretsiz kalır.
Ücretsiz başlayın
Randevu, rezervasyon ve yönetimin tüm ana özellikleri ücretsiz. Kredi kartı gerekmez.