QR Menü KVKK Uyumu ve Veri Güvenliği Rehberi 2026

Restoran sahipleri QR menü kullanırken sıklıkla şu soruları sorar: - "Müşterimin kişisel verisi toplanıyor mu?" - "Platformum KVKK denetiminde sorun çıkarır mı?" - "Çerez politikası gerekli mi?" - "Türkiye'de yerleşik olmayan platform tercih etsem riskli olur mu?"

QR menü platformları farklı seviyelerde veri toplar: - **Anonim ziyaretçi analitiği:** Hangi ürün ne kadar görüntülendi, masada ne kadar zaman geçti (kişiyi tanımlamadan) - **Çerez verileri:** Dil tercihi, son ziyaret edilen kategoriler (genelde anonim) - **Sipariş verisi (varsa):** Sipariş alma modülü açıksa müşterinin sipariş detayı - **Müşteri profili (varsa):** Sadık müşteri programları açıksa email, telefon

Kişisel veri toplama seviyesine göre KVKK yükümlülükleri farklılaşır.

Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde restoran sahibi olarak (veri sorumlusu) ve QR menü platformu olarak (veri işleyen) ortak yükümlülükler vardır:

**Veri minimizasyonu:** Sadece operasyonel olarak gerekli veriler toplanmalı; "her ihtimale karşı" veri biriktirilmez.

**Açık rıza:** Müşteriden kişisel veri toplanıyorsa açık rıza alınmalı; çerez politikası ve KVKK aydınlatma metni menüde erişilebilir olmalı.

**Şeffaf bilgilendirme:** Toplanan veriler, kullanım amacı ve saklama süresi açıkça belirtilmeli.

**Güvenli saklama:** Veri sızıntısı veya yetkisiz erişime karşı şifreleme ve güvenlik önlemleri.

**Veri silme hakkı:** Müşteri talep ettiğinde verilerinin silinmesi sağlanmalı.

**Yurt dışına veri transferi:** Türkiye dışında veri saklayan platformlar için ek KVKK izni ve uygunluk gerekir.

Bazı uluslararası dijital menü platformları (FineDine, OpenMenu, vb.) veri merkezlerini AB veya ABD'de tutar. Bu durumda KVKK açısından yurt dışına veri transferi söz konusu olur ve ek izinler gerekir.

Yurt dışı platformla çalışmanın riskleri: - Denetim sırasında yurt dışı transferi gerekçesi sorulur - Müşteri veri silme talebinde yurt dışı platforma yönlendirme zorluğu - Veri sızıntısı durumunda ortak sorumluluk belirsizliği - Türk Lirası fatura yerine USD/EUR fatura — gider gösterimi zor - Müşteri desteği saatleri farklı zaman dilimine sahip

Türkiye'de yerleşik bir platform (MONU dahil) bu sorunların hepsini doğal olarak çözer: veri Türkiye'de saklanır, fatura TL'dir, müşteri desteği Türkçe ve yerel saatlerde.

MONU, Türkiye'de yerleşik bir SaaS platformudur ve KVKK uyumlu altyapıda çalışır:

- **Veri Türkiye'de saklanır:** Uygulama sunucuları ve veritabanı Türkiye yerleşik veri merkezlerinde - **TLS/HTTPS şifreleme:** Tüm trafik şifreli - **Veritabanı şifreleme:** Hassas alanlar veritabanı seviyesinde şifrelenir - **Erişim kontrolü:** Çok katmanlı yetki sistemi (OWNER, ADMIN, STAFF) - **Düzenli güvenlik denetimi:** Penetration test ve güvenlik değerlendirmesi periyodik olarak yapılır - **Veri silme talebi prosedürü:** Müşteri talep ettiğinde 30 gün içinde silme garantili - **Şeffaf gizlilik politikası:** [Gizlilik politikamız](https://www.monu.com.tr/gizlilik-politikasi) ve [KVKK aydınlatma metnimiz](https://www.monu.com.tr/kvkk) açıkça yayımlanmış durumda

Restoran sahipleri olarak KVKK uyumu için MONU'nun panel altyapısı + işletmenin kapı altlığında veya menüye link ile sunduğu çerez politikası birlikte tam çerçeveyi oluşturur.

KVKK uyumu için restoran sahibi olarak yapılacaklar:

1. **Çerez politikası ve KVKK aydınlatma metni hazırlayın:** MONU panelinde standart şablon mevcut; işletmenize özel düzenlenebilir. 2. **Menünüzün altında veya açılış ekranında link sağlayın:** Müşteri çerez politikasına ulaşabilmeli. 3. **Sadık müşteri programı açacaksanız ayrıca rıza alın:** E-posta veya telefon alıyorsanız açık rıza gerekli. 4. **Personel eğitimi:** Servis ekibi KVKK temellerini bilmeli, müşterinin veri silme talebine nasıl yanıt verileceği netleşmeli. 5. **Yıllık gözden geçirme:** KVKK mevzuatı güncellenebilir; yıllık olarak uyum durumunuzu gözden geçirin.