Türkiye'de bir chatbot çalıştırmak istiyorsanız, KVKK (Kişisel Verilerin Korunması Kanunu) ile uyumluluk pazarlık edilemez bir gerekliliktir. KVKK Kurulu son yıllarda chatbot operatörlerine ciddi cezalar kesti; özellikle açık rıza alınmaması, yurt dışına veri aktarımı ve veri saklama sürelerinin tanımsızlığı gibi konularda. Bu rehberde chatbot mimarinizi KVKK uyumlu kılmak için izlemeniz gereken teknik ve hukuki adımları detaylıca inceliyoruz.
KVKK'nın altıncı maddesinde tanımlanan beş ilke chatbot mimarisinin temelini oluşturur. Birincisi: hukuka ve dürüstlük kurallarına uygun işleme. Müşteri size yazdığında verisinin nasıl kullanılacağını şeffaf bilmelidir. İkincisi: amaca uygunluk. Sipariş takibi için topladığınız telefon numarasını pazarlama için kullanamazsınız. Üçüncüsü: amaçla bağlantılılık ve sınırlılık. Müşterinin sadece soruyu cevaplamaya yetecek kadar bilgi tutun. Dördüncüsü: doğru ve güncel olma. Yanlış veri tutmak da ihlal sayılır. Beşincisi: belirli süre saklama. Müşteri verisi sonsuza dek saklanmaz; bir saklama süresi tanımlanmalıdır.
Chatbot ilk kez bir müşteriyle iletişime geçtiğinde rıza metni gösterilmesi şarttır. WhatsApp'ta bu, ilk şablon mesajının sonunda "Mesajınız Telyx tarafından işlenmektedir, gizlilik politikamız: telyx.ai/privacy" gibi kısa bir cümle olmalıdır. Web chat widget'larda widget açılırken kabul kutusu gösterilebilir. Açık rıza özgür iradeye dayalı, açıklanmış ve belirli bir konu hakkında olmalıdır. Genel "kabul ediyorum" bandolu yetersizdir; "destek talebimi cevaplamak için verilerimin işlenmesini kabul ediyorum" gibi spesifik olmalıdır. Rıza her zaman geri çekilebilir ve geri çekme arayüzü kolay erişilebilir olmalıdır.
KVKK'nın açıkça belirtmediği ama Kurul kararlarından çıkan kural: amacı kalmadığı an veri silinmelidir. Müşteri sohbet kaydı için pratik bir süre 12-24 ay arasıdır; bu sürenin sonunda otomatik anonimleştirme veya silme süreci işlemelidir. İletişim bilgisi (telefon, e-posta) için müşterinin işletmenizle ilişkisi sürdüğü sürece saklanabilir; ilişki bittikten sonra (kayıt iptali, hesap silme talebi) en geç 6 ay içinde imha edilmesi önerilir. Telyx'te varsayılan veri saklama süreleri yapılandırılabilir.
KVKK'nın en yanılgıya neden olan maddesi yurt dışı transferdir. Eğer chatbot platformunuz veriyi AB veya ABD sunucularında işliyorsa (ki birçok büyük chatbot platformu yapıyor), açık rıza dışında ek bir hukuki temel gereklidir. Bu temel ya KVKK'nın yeterli korumayı tanıdığı bir ülke listesinde olmak (henüz bu liste yayımlanmadı) ya da müşteriyle imzalı bir taahhüt olabilir. Pratik çözüm: AB veri saklama yapılandırması veya tercihen Türkiye'de barındırılan bir altyapı seçmek. Telyx, AB sunucularında saklama seçeneği sunar ve Türkiye veri saklama opsiyonu Pro plan ile mevcuttur.
Sağlık, cinsel hayat, dini inanç gibi özel nitelikli kişisel veriler KVKK'da daha sıkı korunur. Bir klinik chatbot'unun hastanın hastalığını paylaşması veya bir dini topluluğun chatbot'unun üye bilgilerini saklaması yasak değildir, ama "açık rıza" + "bunun dışında bir hukuki sebep" çift koşulu gerekir. AI tarafı için pratik kural: özel nitelikli veri tespit edildiğinde otomatik olarak insan operatör onayı moduna geçmek. Telyx semantic detection ile bunu yapabilir.
Müşterilerinizin KVKK'da tanımlanan altı hakkı vardır: bilgi alma, erişim, düzeltme, silme, işlemenin durdurulması ve veri taşınabilirliği. Chatbot mimarinizde bu hakları operasyonel olarak nasıl karşılayacağınızı önceden tanımlamanız gerekir. Müşteri "verilerimi silin" dediğinde silme süreci otomatikleşmiş olmalıdır; manuel olarak yapılırsa hata riski yüksektir.
Şu noktaları kontrol edin: 1) İlk mesajda rıza metni gösteriliyor mu? 2) Gizlilik politikası linki çalışıyor mu? 3) Veri saklama süresi tanımlı mı ve otomatik silme çalışıyor mu? 4) Yurt dışı transfer riski var mı, varsa hukuki temel ne? 5) Özel nitelikli veri tespiti aktif mi? 6) Müşteri silme talebine kaç saatte yanıt veriyorsunuz? Telyx tüm bu noktaları platform seviyesinde standartlaştırarak gelir.