QR Menü ve KVKK Uyumu: Restoranlar İçin Rehber

Kağıt menü tek yönlü bir nesnedir: müşteri bakar, kapatır, hiçbir iz kalmaz. Dijital menü ise bir web uygulamasıdır ve web uygulamaları doğası gereği veri üretir — hangi cihazdan, ne zaman, hangi sayfaya bakıldığı, anket yanıtları, geri bildirim formları, sadakat kayıtları. Bu verilerin bir kısmı 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamına girebilir. Dolayısıyla QR menüye geçmek, aynı zamanda bir veri sorumlusu rolü üstlenmek anlamına gelir.

KVKK açısından kişisel veri, 'kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi' demektir. Ad, telefon, e-posta açık örneklerdir; ancak bazı durumlarda IP adresi, çerez kimliği veya cihaz bilgisi gibi veriler de kişisel veri sayılabilir. Yani 'biz isim toplamıyoruz' demek, otomatik olarak 'KVKK bizi ilgilendirmiyor' anlamına gelmez.

İyi haber şu: bir restoranın tipik QR menü kullanımı, genellikle düşük riskli ve yönetilebilir bir veri işleme faaliyetidir. Doğru kurgulandığında KVKK uyumu birkaç temel adımla sağlanır. Önemli olan, hangi veriyi neden işlediğinizi bilmek ve bunu şeffaf biçimde müşteriye anlatmaktır.

Tipik bir dijital menüde işlenebilecek veriler birkaç kategoriye ayrılır. Birincisi, otomatik teknik veriler: menü sayfası açıldığında oluşan ziyaret kaydı, tarayıcı/cihaz tipi, dil tercihi ve analitik amaçlı çerez veya benzeri teknolojiler. Bunların çoğu doğrudan kimlik belirtmez ama toplu halde profilleme yapılabiliyorsa dikkatli olunmalıdır.

İkincisi, müşterinin gönüllü olarak verdiği veriler: anket yanıtları, geri bildirim formundaki ad/e-posta, sadakat programı kaydı, rezervasyon bilgisi veya kampanya için bırakılan iletişim bilgisi. Bunlar açıkça kişisel veridir ve daha dikkatli bir hukuki zemin (genellikle açık rıza veya sözleşmenin ifası) gerektirir.

Üçüncüsü, üçüncü taraf hizmetlerin topladığı veriler: menünüze Google Analytics, sosyal medya pikseli veya bir harita gömülü eklediyseniz, bu hizmetler kendi çerezlerini yerleştirir ve veri toplar. Bu durumda yalnızca kendi işlemenizden değil, kullandığınız araçların işlemesinden de sorumlu olursunuz. Hangi aracın ne topladığını bilmek, uyumun temelidir.

KVKK'nın en temel yükümlülüklerinden biri aydınlatma yükümlülüğüdür. Yani müşteriye, kim olarak (veri sorumlusu kimliği), hangi verisini, hangi amaçla, hangi hukuki sebebe dayanarak işlediğinizi, kimlerle paylaştığınızı ve hangi haklara sahip olduğunu açık biçimde bildirmeniz gerekir. Bu bilgilendirme, veri toplanmadan önce yapılmalıdır.

Pratikte bunu, dijital menünüzün altında erişilebilir bir 'Gizlilik / Aydınlatma Metni' bağlantısıyla sağlarsınız. Metin sade bir dille yazılmalı, hukuk jargonuna boğulmamalıdır. Müşteri, 'bu menü beni nasıl takip ediyor ve verim ne oluyor?' sorusunun yanıtını birkaç saniyede bulabilmelidir. Anket veya form gibi aktif veri toplayan yerlerde ise bu metne bir bağlantı doğrudan formun yanında bulunmalıdır.

Aydınlatma metni statik bir belge değildir; kullandığınız araçlar veya veri işleme amaçlarınız değiştiğinde güncellenmelidir. Örneğin menüye bir sadakat programı eklediyseniz, aydınlatma metni de bunu yansıtmalıdır. İyi bir QR menü platformu, bu metni menüye eklemenizi ve güncel tutmanızı kolaylaştırır.

KVKK, kişisel veriyi işlemek için her zaman açık rıza istemez; kanunda sayılan başka hukuki sebepler de vardır (sözleşmenin ifası, hukuki yükümlülük, meşru menfaat gibi). Örneğin müşterinin rezervasyon yapabilmesi için telefonunu almanız, çoğu durumda 'sözleşmenin ifası' kapsamında değerlendirilebilir ve ayrı bir açık rıza gerektirmeyebilir. Önemli olan, dayandığınız sebebin gerçekten uygulanabilir olmasıdır.

Buna karşılık pazarlama amaçlı veri kullanımı (örneğin müşterinin e-postasına kampanya göndermek) genellikle açık rıza gerektirir. Açık rıza; özgür iradeyle, belirli bir konuya ilişkin ve bilgilendirmeye dayalı olarak verilmiş olmalıdır. Yani önceden işaretli bir kutucuk, varsayılan olarak açık bir onay ya da 'menüyü kullanırsanız rızanızı vermiş sayılırsınız' gibi zorlayıcı ifadeler geçerli açık rıza sayılmaz.

Bu ayrım önemlidir çünkü açık rızayı her şey için istemek de doğru değildir; gereksiz yere rıza istemek hem müşteriyi yorar hem de aslında başka bir sebebe dayanması gereken işlemeyi rızaya bağımlı kılarak müşteri rızayı geri çekince işlemenizi savunulamaz hale getirir. Her veri işleme için doğru hukuki sebebi belirlemek, sağlam bir uyumun anahtarıdır.

Çoğu dijital menü, ziyaret sayısı ve popüler ürün gibi içgörüler için analitik kullanır. Eğer bu analitik yalnızca toplu ve anonim istatistik üretiyorsa risk düşüktür. Ancak bireysel kullanıcıyı izleyen, profilleyen veya üçüncü taraflarla paylaşan çerezler söz konusuysa, müşteriyi bilgilendirmek ve gerektiğinde tercihini sormak iyi bir uygulamadır.

Pratik bir yaklaşım, kesinlikle gerekli (zorunlu) çerezlerle isteğe bağlı (analitik/pazarlama) çerezleri ayırmaktır. Zorunlu çerezler menünün çalışması için gereklidir ve genellikle rıza gerektirmez. İsteğe bağlı çerezler için ise müşteriye bilgi verip tercih imkânı tanımak, hem KVKK hem de uluslararası gizlilik beklentileriyle uyumludur.

Üçüncü taraf araçları (harici analitik, sosyal medya pikselleri, gömülü videolar) menünüze ne kadar çok eklerseniz, o kadar çok veri akışı ve o kadar çok sorumluluk doğar. 'Gerçekten ihtiyacım var mı?' sorusunu her araç için sormak, hem performansı hem de uyumu iyileştirir. Sade bir menü, çoğu zaman daha uyumlu bir menüdür.

KVKK, veri sorumlusuna sadece şeffaflık değil, aynı zamanda veriyi koruma yükümlülüğü de yükler. Topladığınız müşteri verisi (anket yanıtları, iletişim bilgileri, sadakat kayıtları) yetkisiz erişime karşı korunmalıdır. Bu, platformunuzun güçlü şifreleme kullanması, erişimin yalnızca yetkili kişilerle sınırlı olması ve güçlü parolalarla korunması anlamına gelir.

Bir diğer ilke veri minimizasyonudur: ihtiyacınız olmayan veriyi toplamayın, topladığınız veriyi de amacı bittikten sonra gereksiz yere saklamayın. Üç yıl önceki bir kampanyanın e-posta listesini hâlâ tutuyorsanız, bu hem gereksiz bir risk hem de KVKK'nın 'gerektiği süre kadar saklama' ilkesine aykırıdır. Düzenli olarak 'hangi veriyi neden hâlâ tutuyorum?' diye sormak iyi bir alışkanlıktır.

Verinin nerede barındırıldığı da önemlidir. Yurt dışına veri aktarımı KVKK'da özel kurallara tabidir. Bu nedenle kullandığınız QR menü platformunun veriyi nasıl ve nerede sakladığını bilmek değerlidir. MenüYap gibi yerel altyapı ve şeffaf veri politikalarıyla çalışan platformlar, restoran sahibinin uyum yükünü belirgin biçimde azaltır.

Başlamak için şu adımları izleyin: (1) Hangi veriyi topladığınızı listeleyin (otomatik + gönüllü). (2) Her veri için neden topladığınızı ve hangi hukuki sebebe dayandığınızı belirleyin. (3) Sade bir aydınlatma metni hazırlayıp menünüzde görünür kılın. (4) Pazarlama gibi rıza gerektiren işlemler için doğru, opt-in (açık onaya dayalı) bir mekanizma kurun.

Devamı: (5) Kullandığınız üçüncü taraf araçlarını gözden geçirin ve gereksizleri kaldırın. (6) Topladığınız veriye erişimi sınırlayın ve güçlü parola kullanın. (7) Gereksiz veriyi düzenli olarak silin (veri minimizasyonu ve saklama süresi). (8) Müşterinin haklarını (bilgi talebi, silme talebi vb.) nasıl karşılayacağınızı belirleyin ve bir iletişim noktası tanımlayın.

Bu liste kulağa kapsamlı gelse de, çoğu restoran için tek seferlik bir kurulum ve ardından küçük bakım işidir. Doğru platformu seçtiğinizde teknik yükün büyük kısmı platform tarafından karşılanır; size düşen, şeffaflık ve dürüstlük ilkesini benimsemektir. KVKK uyumu, müşteriye 'verine saygı duyuyoruz' demenin somut yoludur — ve bu, modern müşteride güçlü bir güven yaratır.