Reklam üreticileri için KVKK: Mektup gelmeden önce bilmeniz gerekenler.

KVKK büyük şirket sorunu gibi geliyor. Değil. Kişisel Verilerin Korunması Kanunu, kişisel veri işleyen her işletme için geçerli — ve siz de işliyorsunuz. Müşteri isimleri, adresleri, e-postalar, telefon numaraları, cephe fotoğrafları (bazen görünür insanlarla), fatura verileri. Hepsi kişisel veri.

KVKK'nın gerektirdikleri

1. Veri işleme faaliyetleri kaydı

Hangi verileri işlediğinizi, neden, ne kadar süre ve kimin erişimi olduğunu belgelemelisiniz. Basit bir tablo yeterli: "Müşteri verileri — Sipariş yerine getirme — 10 yıl (saklama yükümlülüğü) — Sahip + Ofis".

2. Veri işleme sözleşmesi (VİS)

Verilerinizi işleyen her bulut sağlayıcısıyla VİS'e ihtiyacınız var. Muhasebe yazılımınız, e-posta aracınız, web sitesi barındırma ve sektör yazılımınız. PlotonIQ bir VİS sağlar — diğer sağlayıcılarınıza sorun.

3. Sunucu konumu

İşte kritik nokta burası. shopVOX (ABD sunucuları), Trello (ABD sunucuları) veya Google Drive (küresel olarak dağıtılmış) kullanıyorsanız, müşteri verileriniz ABD'de duruyor. Schrems II kararından bu yana, ABD'ye veri transferi hukuki olarak sorunlu.

En güvenli çözüm: Avrupa sunucuları. PlotonIQ, Almanya'nın Falkenstein kentindeki Hetzner'da çalışır. ISO 27001 sertifikalı. Üçüncü ülkelere veri transferi yok.

4. Şifreleme

Veriler aktarımda (TLS) ve depolama sırasında (AES-256) şifrelenmelidir. Şifreler hashlenmeli (bcrypt, MD5 değil). PlotonIQ: TLS 1.3, AES-256, bcrypt, yenileme token rotasyonlu JWT.

5. Saklama süreleri

Verileri sonsuza kadar saklayamazsınız. Vergi kanunu: faturalar için 10 yıl, ticari yazışmalar için 6 yıl. Sonrasında: silin. Saha fotoğrafları: müşteri daha uzun saklamaya rıza göstermediği sürece proje tamamlandıktan sonra silin.

6. Veri sahibi hakları

Müşterinizin erişim, düzeltme, silme ve veri taşınabilirliği hakkı vardır. 30 gün içinde yanıtlamalısınız.

Reklam atölyelerinde yaygın hatalar

İş için WhatsApp: WhatsApp meta verileri Meta ile paylaşır. Müşteri telefon numaraları ABD sunucularına aktarılır. Business API ve VİS olmadan KVKK uyumlu değil. Alternatif: dijital onay ve zaman damgası olan PlotonIQ müşteri portalı.

Kişisel telefonlarda fotoğraflar: Kurulumcunuz saha fotoğraflarını özel telefonunda çekiyorsa, müşteri verileri yönetilmeyen bir cihazda duruyor. Çözüm: fotoğrafları doğrudan PlotonIQ uygulamasında çekin — şifreli yükleme, cihazda asla saklanmaz.

İzleme belgesi yok: Google Analytics, Facebook Pixel — her izleme aracı için rıza ve belgeleme gerekir. PlotonIQ: Google Analytics yok, izleme piksel yok, zorunlu olmayan çerez yok.

10 maddelik kontrol listesi

1. Veri işleme faaliyetleri kaydı oluşturun. 2. Tüm bulut sağlayıcılarıyla VİS imzalayın. 3. Web sitesinde gizlilik politikası. 4. AB sunucuları. 5. Saklama sürelerini belirleyin. 6. Şifrelemeyi kontrol edin. 7. Erişim kontrolleri (kim neyi görür). 8. Fotoğraflar sadece yönetilen uygulamalarda. 9. WhatsApp'ı profesyonel araçlarla değiştirin. 10. GPS izleme/coğrafi sınırlama için etki değerlendirmesi.

Sonuç

KVKK roket bilimi değil. Doğru yazılımla, çoğu şey otomatik: şifreleme, sunucu konumu, saklama süreleri, erişim kontrolleri. En büyük kaldıraç: ABD araçlarından ve WhatsApp'tan uzaklaşıp, KVKK'nın bir özellik değil — standart olduğu Avrupa sektör çözümüne geçmek.