KVKK, kişisel verilerin nasıl toplanacağını, işleneceğini, saklanacağını ve paylaşılacağını düzenleyen kanundur. Kişisel veri sadece TC kimlik numarası değildir; ad, soyad, telefon, e-posta, IP adresi, konum, fotoğraf ve sipariş geçmişi de bu kapsama girer. Bir web sitesi veya mobil uygulama kullanıcıdan veri alıyorsa KVKK devreye girer. Temel mantık şudur: kullanıcıdan hangi veriyi neden aldığını açıkça söyle, hukuki dayanağını bil ve gereksiz veri toplama.
KVKK metnini başka siteden kopyalamak güvenli bir çözüm değildir. Her işletmenin veri akışı farklıdır. Kimin verisi alınıyor, hangi amaçla işleniyor, yurt dışına aktarım yapılıyor mu, saklama süresi ne kadar, kullanıcı nasıl başvuracak; bunlar netleşmeden doğru metin çıkmaz. Ayrıca metin koymak tek başına uyum anlamına gelmez. Sistem içinde yetki yönetimi, veri güvenliği ve silme süreçleri de pratikte çalışmalıdır.
Bir kurye uygulaması düşün. Müşteriden ad, telefon, adres ve konum alıyorsun. Kuryeden kimlik, ehliyet ve araç bilgisi alıyorsun. Bunların hepsi sıradan form alanı gibi görünse de KVKK açısından ciddi veridir. Kullanıcıya aydınlatma metni sunman, veriyi hangi amaçla işlediğini belirtmen ve gereksiz kişilere açmaman gerekir. Özellikle konum ve kimlik verilerinde "aldım çünkü lazım" demek tek başına yeterli bir yaklaşım değildir.
