KVKK Uyumlu Chatbot: Nelere Dikkat Etmeli?

Bir chatbot, web sitenizdeki ziyaretçilerle konuştuğu anda kişisel veri işlemeye başlar. İsim, e-posta, telefon, sipariş numarası ya da basit bir destek talebi... Hepsi 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamına girer. Bu yüzden kvkk chatbot kurarken teknik kadar hukuki tarafı da düşünmek gerekir.

İyi haber şu: KVKK uyumu, doğru kurulduğunda karmaşık bir mühendislik işi değil, birkaç net ilkeyi takip etmekten ibarettir. Bu yazıda bir kvkk uyumlu yapay zeka asistanı kurarken atlamamanız gereken başlıkları sade bir şekilde ele alıyoruz.

1. Aydınlatma yükümlülüğünü yerine getirin

KVKK'nın temel taşı şeffaflıktır. Ziyaretçi, chatbot ile konuşmaya başlamadan önce verilerinin hangi amaçla, kim tarafından ve ne kadar süreyle işleneceğini bilmelidir. Bunu sağlamak için:

• Sohbet penceresinin açılışında kısa ve anlaşılır bir aydınlatma metni gösterin.
• Ayrıntılı aydınlatma metnine ve Gizlilik Politikası'na bağlantı verin.
• Veri sorumlusunun (şirketinizin) kim olduğunu açıkça belirtin.
• Metni hukuk diliyle değil, kullanıcının anlayacağı bir dille yazın.

Aydınlatma metni, açık rızadan farklıdır ve çoğu durumda zorunludur. Yapay zeka asistanınızı kurmadan önce bu metni hazır etmek, sonradan baş ağrısı yaşamamanızı sağlar.

2. Açık rıza gerektiren durumları ayırın

Her veri işleme açık rıza gerektirmez. Örneğin bir destek talebini yanıtlamak "sözleşmenin ifası" ya da "meşru menfaat" hukuki sebebine dayanabilir. Ancak şu durumlarda kullanıcıdan ayrıca açık rıza almanız gerekir:

• Pazarlama amaçlı iletişim (e-posta, SMS, bildirim) yapacaksanız.
• Verileri başka bir hizmet sağlayıcıyla paylaşacaksanız.
• Özel nitelikli veriler (sağlık, din, biyometrik vb.) söz konusuysa.

Önemli bir ilke: rıza önceden işaretlenmiş kutucukla alınamaz. Kullanıcı bilinçli ve özgür iradesiyle onay vermelidir. Chatbot akışınızı bu rızaları net biçimde alacak şekilde tasarlayın.

3. Veri minimizasyonu: yalnızca gerekeni toplayın

KVKK, "amaçla bağlantılı, sınırlı ve ölçülü" veri işlemeyi emreder. Yani chatbot'unuz, işin gerektirmediği hiçbir bilgiyi istememeli. Pratikte bu şu anlama gelir:

• Bir randevu için telefon yeterliyse, TC kimlik numarası istemeyin.
• Serbest metin alanlarında kullanıcının fazla veri paylaşmasını teşvik etmeyin.
• Topladığınız her veri alanının somut bir amacı olsun.

Az veri toplamak hem hukuki riskinizi azaltır hem de olası bir veri ihlalinde etki alanını küçültür. Yapay zeka asistanlarında bu denge özellikle önemlidir; çünkü sohbet doğal olarak insanları konuşmaya teşvik eder.

4. Saklama süresi ve veri güvenliği

Kişisel veriler süresiz saklanamaz. İşleme amacı ortadan kalktığında verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesi gerekir. Bunun için:

• Sohbet kayıtları için makul bir saklama süresi belirleyin ve buna uyun.
• Verileri şifreli olarak saklayın; aktarımda HTTPS kullanın.
• Panele erişimi yetki bazlı sınırlayın, güçlü kimlik doğrulama uygulayın.
• Yurt dışına veri aktarımı yapan bir altyapı kullanıyorsanız, KVKK'nın yurt dışı aktarım kurallarına uygunluğunu teyit edin.

Veri güvenliği yalnızca teknik bir tercih değil, kanuni bir yükümlülüktür. Kullandığınız chatbot platformunun verileri nerede ve nasıl sakladığını mutlaka sorun.

5. Kullanıcı haklarını işletilebilir kılın

KVKK, kişilere verileri üzerinde haklar tanır: bilgi talep etme, düzeltme, silme ve işlemeye itiraz gibi. Bir chatbot kurarken bu hakların pratikte kullanılabilir olduğundan emin olun:

• Kullanıcı verisinin silinmesini talep ederse, bunu yerine getirebilecek bir yöntem bulunsun.
• Başvuruların ulaşacağı bir iletişim kanalı (KEP, e-posta) belirleyin ve duyurun.
• Talepleri kanunda öngörülen sürelerde yanıtlayın.

Doğru platform seçimi işin yarısı

KVKK uyumunun büyük kısmı, kullandığınız altyapının sunduğu kontrollerle doğrudan ilgilidir. Aydınlatma metni gösterimi, sohbet kayıtlarının yönetimi, saklama süreleri ve erişim güvenliği gibi konuları platform seviyesinde çözebiliyorsanız, işiniz çok kolaylaşır. sesyaz paneli üzerinden asistanınızı dakikalar içinde kurabilir, sohbet verilerinizi tek yerden yönetebilirsiniz. Farklı kullanım hacimleri için fiyat seçeneklerine göz atarak işletmenize uygun planı belirleyebilirsiniz.

Özetle KVKK uyumu, bir kutucuk işaretlemekten çok, baştan sona şeffaf ve ölçülü bir veri yaklaşımı benimsemektir. Aydınlatın, gerektiğinde rıza alın, az veri toplayın, güvenli saklayın ve kullanıcı haklarına saygı gösterin. Bu beş ilkeye sadık kaldığınızda, hem kanuna uygun hem de kullanıcıların güvendiği bir asistan ortaya çıkar.