Türkiye'de KVKK Uyumlu İletişim Formu Nasıl Tasarlanır?

İletişim formu, hemen her web sitesinin sahip olduğu basit bir bileşen gibi görünür. Ancak Türkiye'de Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde değerlendirildiğinde, bu basit form bir "veri sorumlusu" sıfatı doğurabilir. Yanlış yapılandırılmış bir form, kurumunuzu hukuki risk altına sokar.

Bu yazıda, KVKK uyumlu bir iletişim formu tasarlarken dikkat etmeniz gereken temel noktaları derliyoruz.

Veri minimizasyonu prensibi

KVKK'nın temel ilkelerinden biri "amaçla bağlantılı, sınırlı ve ölçülü olmak"tır. Yani sadece ihtiyacınız olan veriyi toplayın. Sadece dönüş yapmak için iletişim formunda mı kullanıyorsunuz? O zaman ad ve e-posta yeterlidir; doğum tarihi, TC kimlik numarası gibi alanlar gereksizdir.

Pratik bir kural: Her form alanına bakın ve sorun: "Bu veriyi neden topluyoruz?" Cevap belirsizse, alanı kaldırın.

Aydınlatma metni ve açık rıza

Form gönderiminden önce kullanıcıya iki şey gösterilmelidir: aydınlatma metni ve açık rıza onayı.

Aydınlatma metni şunları içermeli: kim olduğunuz (veri sorumlusu), hangi veriyi topladığınız, ne amaçla işlediğiniz, kimlerle paylaştığınız (varsa), ne kadar süre sakladığınız, kullanıcının hakları (silme, düzeltme, itiraz vb).

Açık rıza ise basit bir checkbox'tan ibaret değil. Kullanıcı, ne kadar bilgilendirildiğini ve neye onay verdiğini açıkça anlamalı. "Tüm koşulları kabul ediyorum" gibi muğlak ifadeler riskli; "Aydınlatma metnini okudum, kişisel verilerimin yukarıda belirtilen amaçla işlenmesine açık rızam vardır" gibi spesifik ifadeler tercih edilmeli.

Verinin nereye gittiği önemli

Form gönderildiğinde veri nereye gidiyor? Bir e-posta servisine mi (Mailgun, SendGrid)? Bir CRM'e mi (HubSpot, Salesforce)? Üçüncü taraf bir hizmete veri aktarıldığında, KVKK kapsamında "yurt dışına veri aktarımı" olabilir. Bu durumda ek koşullar (ilgili kişinin açık rızası veya yeterli koruma sağlayan ülkeye aktarım) aranır.

Pratik öneri: mümkün olduğunca veriyi kendi sunucunuzda işleyin ve saklayın. Webhook ile Telegram'a bildirim göndermek (basit, kişisel kullanım) makul bir tercih olabilir; ancak bunun bile aydınlatma metninde belirtilmesi gerekir.

Saklama süresi

KVKK, "süreyle sınırlı saklama" prensibini öngörür. İletişim formundan gelen bir mesajı 5 yıl tutmak için bir gerekçeniz var mı? Genellikle 6-12 ay yeterli; sonrasında veriyi anonim hale getirin veya silin.

Otomatik silme mekanizması (cron job veya benzeri) kurarak bu süreci insan müdahalesi olmadan yönetebilirsiniz.

Teknik güvenlik önlemleri

Verinin güvenli iletilmesi (HTTPS şart), saklanması (veritabanında şifrelenmesi), ve erişiminin kısıtlanması (sadece yetkili kişilerin görmesi) KVKK'nın "uygun güvenlik önlemleri" şartını karşılar.

Form için ek olarak: bot saldırılarına karşı IP bazlı rate limiting, honeypot veya hCaptcha gibi koruma katmanları eklenmeli.

Veri ihlali bildirimi

Eğer bir veri ihlali (örneğin form gönderimleri sızdırıldı) yaşanırsa, KVKK 72 saat içinde Kurum'a bildirim yapmanızı zorunlu tutar. İhlal kapsamı geniş olabilir: sızıntı, kayıp, izinsiz erişim. Bu yüzden başından itibaren doğru güvenlik mimarisi kurmak, sonradan kriz yönetiminden çok daha ucuz.

Sonuç olarak, KVKK uyumlu bir form bir hukuk işi değildir; teknik bir tasarım kararıdır. Doğru yapıldığında, hem yasal koruma sağlar hem de kullanıcılarınızın güvenini kazanırsınız.