Diğer ülkelerde:AMArmeniaGEGeorgiaRSSerbiaAEUAECYCyprus
Güncellendi: Okuma: ~4 dk

KVKK & GDPR uyumlu merch personalization

Çalışan adı, kimlik, doğum günü merche basılırken: veri gizliliği sorumlulukları ve riskler.

Teklif İste

Neden önemli?

Kurumsal merch personalization (tişörte çalışan adı, çantaya kimlik numarası, hediye kartına doğum günü vb.) KVKK (Kişisel Verileri Koruma Kanunu) ve GDPR (AB Genel Veri Koruma Tüzüğü) kapsamında düzenlenmiş bir işlemdir. Şirket bulut sistemi veya insan kaynakları dosyasından alınan verileri tedarikçiye (baskı ustası) vermek, "veri paylaşımı" sayılır ve yazılı rıza gerektirir. Aksi takdirde, çalışan KVKK İletişim Merkezine şikayet edebilir ve şirkete 10.000-500.000 TRY para cezası verilir.

KVKK çerçevesinde merch personalization

  1. Rıza ve bildirim: Personalize merch dağıtılmadan önce, çalışanlara yazılı bildirim yapılmalı: "Adınız merche basılacak, tedarikçiye şu verileri paylaşacağız, bu amaçla (kurumsal hediye) kullanılacak." E-posta, formlar veya grup toplantı tutanağı kanıt sayılır. Yazılı rıza alma tavsiye edilir (çalışan imzası veya digital onam).
  2. Veri paylaşım sözleşmesi (Data Processing Agreement): Baskı ustası (tedarikçi) "veri işlemci" (processor) rolü taşır. Şirket (veri sorumlusu) ile tedarikçi arasında yazılı sözleşme yapılmalı: "Veriler sadece bu merch projesinde kullanılacak, 3. tarafa paylaşılmayacak, proje bitişinde silinecek."
  3. Veri türü sınırlandırma: Personalization için yalnızca gerekli veriler tedarikçiye gönderil. Örn: "Adı ve soyadı, ürüne basılacak" (doğru); "Adı, soyadı, TC kimliği, maaş, doğum günü, evli/bekar durumu" (gerekli değil).
  4. Veri güvenliği (şifreleme): Çalışan verilerini Excel dosyasında tedarikçiye göndermek riskli. E-mail şifrele (winrar/7zip password) veya secure file transfer kullan (Google Drive link + password).
  5. Veri saklama süresi: Merch projesinde tedarikçi verileri 30 gün (merch üretim dönemesi) saklamalı. Projenin bitişinde tüm veriler silinmelidir. Sözleşmede yazılmalıdır.

Örnekler: Yasal ve yasadışı personalization

  • LEGAL: Yılbaşı merch, tişörte "Ayşe Yılmaz - Pazarlama Ekibi - 2025" basılmak → Çalışan bildirimi yapıldı, rıza alındı, tedarikçi ile DPA imzalandı.
  • YASADIŞI: Tişörte "Ayşe Yılmaz" + "TC Kimliği: 12345678910" + "Maaş: 75.000 TRY" basılmak → Tedarikçiye fazla veri verildi, çalışan rızası sorulmadı, riskli.
  • LEGAL: İcra başkan\'ı hediye: cüzdan, adı gravürlü → Bildirim yapıldı, yazılı onam alındı (yönetici tarafından).
  • YASADIŞI: Çalışan verilerini (isim + email) tedarikçiye vermeden sorgulamadan göndermek → DPA yok, rıza yok = KVKK riski.

AB müşterileri ve GDPR

Eğer şirketin AB subsidiariesinde veya müşterilerinde çalışanları varsa, GDPR uyumluluğu gerekli. GDPR KVKK\'dan daha kesin: Çalışan verisi (adı, soyadı, email) gravürlenmiş merch, GDPR\'nin Article 6 (rıza veya yasal işletme amaçları) ve Article 9 (özel veriler) altında düzenlenmelidir. İsveç, Almanya, Fransa müşterilerine merch gönderilirse, işletme kanunlarını (AB data flow) kontrol et. AB müşterilerine "Data Processing Agreement" ve "Privacy Notice" gönder.

Sık yapılan hatalar

  • Rıza almamak: "Çalışanlar daha önce verilerini HR\'ye vermişler, yeterli" yanlışı. Merch personalization için YENİ, belirli rıza gerekir.
  • Tedarikçiye tüm HR dosyasını göndermek: "Burada 500 çalışanın verisi var, gerekeni al" = yanlış. Sadece merch alan çalışanların verilerini, minimal bilgi ile paylaş.
  • DPA (veri işleme sözleşmesi) olmadan tedarikçi ile çalışmak: Tedarikçi verilerinizi 3. tarafa satarsa (teorik ama yapılıyor), şirket sorumlu sayılır. Sözleşme yapılmalıdır.
  • Veri saklama süresini unutmak: Tedarikçi merch bitişinden 1 yıl sonra verileri hâlâ dosyada tutuyor = KVKK ihlali. "Proje bitişinde silin" sözleşmede yazılmalı ve test edilmelidir.
  • Şifreleme veya güvenli transfer olmadan göndermek: Excel dosyasını email\'le göndermek = veriler yolda koparılabilir. Şifrele veya secure link kullan.

Türkiye\'de merch personalization uygulaması

Türkiye\'deki şirketlerin %40\'ı personalize merch (çalışan adı, doğum günü hediyesi) yapıyor ama KVKK uyumluluğu zayıf. HR ve İcra Kurulu hediye listesini muhasebeden almak, baskı ustasına tüm 500 kişiyi Excel\'de göndermek, rıza almadan — yaygın durum. KVKK İletişim Merkezi 2023-2024 yılında "merch personalization" şikayetlerine artış gördü. Doğru yönetim: (1) Merch kampanyas başında HR, hukuk ve merch ekibi toplantısı. (2) Hedef çalışanlar belirle (örn: "Yılbaşı hediyesi alan 150 kişi"). (3) Bu 150 kişiye e-mail, mesaj veya toplantıda bildirim: "Adınız merche basılacak, izniniz alınıyor." (4) Yazılı onay al (Google Form, email reply, imzalı form). (5) Baskı ustasına DPA sunun ve sadece rıza alan çalışanların verilerini gönderin. (6) Proje bitişinde (merch kargo edilir edilmez) tedarikçiye "veri silme onayı" talep et. E-Fatura ve muhasebe izolasyonu: merch maliyeti personalization ek ücret olduğu için belirgin muhasebe satırında tutulmalıdır.

Ayrıca bakın

Projeniz için destek

Merch personalization ve veri gizliliği konusunda danışılmanız gerekiyorsa, KVKK/GDPR uyumlu strateji geliştirmelerine yardım edelim.

Benzer rehberler

Diğer ülkelerde kurumsal merch