Veri yönetimi ve gizlilik politikası, startup’ların hem kullanıcı güveni hem de yasal uyumluluk açısından temel taşıdır. Erken aşamada hazırlanmış profesyonel bir politika, yatırımcı gözünde kurumsal güven oluşturur ve KVKK / GDPR yükümlülüklerinin yerine getirildiğini gösterir. Bu şablon, teknoloji girişimleri için uygulanabilir ve sadeleştirilmiş bir başlangıç çerçevesi sunar.
1️⃣ Amaç ve Kapsam
Bu Gizlilik Politikası, [Startup Adı] tarafından sunulan ürün ve hizmetlerde kullanıcıların kişisel verilerinin işlenmesi, saklanması ve korunmasına ilişkin esasları düzenler. Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve Avrupa Genel Veri Koruma Tüzüğü (“GDPR”) ile uyumludur.
- Kapsam: Web sitesi, mobil uygulama, API servisleri ve müşteri iletişim kanalları
- Veri Sorumlusu: [Startup Adı ve iletişim bilgileri]
- Politikanın geçerliliği: Yayınlandığı tarihten itibaren yürürlüğe girer
2️⃣ Toplanan Veriler ve İşleme Amaçları
Startup’lar genellikle kullanıcı deneyimini iyileştirmek, hizmet sunmak ve analiz yapmak için sınırlı veri toplar. “Amaçla sınırlı” ve “ölçülü” veri işleme, KVKK’nın temel ilkelerindendir.
- Kimlik verileri: Ad, soyad, e-posta adresi, kullanıcı adı
- İletişim verileri: Telefon numarası, sosyal medya bağlantıları
- Teknik veriler: IP adresi, cihaz bilgisi, tarayıcı türü, çerez verileri
- İşleme amaçları: Üyelik yönetimi, destek talepleri, analiz ve güvenlik
3️⃣ Veri Saklama, Güvenlik ve Silme Politikası
Kişisel veriler, yalnızca gerekli süre boyunca saklanmalı ve süresi dolduğunda güvenli biçimde silinmelidir. Bu süreçler için teknik ve idari tedbirler alınır.
- Veriler yalnızca bulut altyapısında (ISO 27001 sertifikalı) saklanır
- Şifreleme (AES-256), erişim kısıtlaması ve loglama mekanizmaları aktif
- Yedekler 30 gün içinde silinir; test verileri anonimleştirilir
- Silme / anonimleştirme talepleri [[email protected]] adresine yönlendirilir
4️⃣ Üçüncü Taraf Servisler ve Veri Aktarımı
Startup’lar genellikle üçüncü taraf servisleri (ör. Google Analytics, Meta SDK, ödeme altyapısı) kullanır. Bu araçlarla veri paylaşımı sadece hizmet sunumuyla sınırlıdır.
- Üçüncü taraflar yalnızca gerekli teknik verilere erişebilir
- Yurt dışına veri aktarımı öncesi açık rıza alınır
- Veri aktarım sözleşmeleri (Data Processing Agreement) imzalanır
- Servislerin güncel gizlilik politikaları linklenir
5️⃣ Kullanıcı Hakları
Kullanıcılar, KVKK Madde 11 kapsamında kişisel verilerine ilişkin haklarını her zaman kullanabilirler.
- Veri işlenip işlenmediğini öğrenme
- Düzeltme, silme veya anonimleştirme talebi
- İşlemeye itiraz etme ve açık rızayı geri çekme
- Veri aktarımı hakkında bilgi alma
Sonuç: Her startup, teknik altyapısını kurarken paralel şekilde kendi gizlilik politikasını da oluşturmalıdır. Yatırımcılar artık sadece ürün prototipine değil, verinin nasıl yönetildiğine de bakıyor. B10’un Startup Privacy Kit modeli, KVKK uyumlu gizlilik politikalarını MVP aşamasından itibaren standart hale getirir.
