DGTLFACE – Dijital Teknoloji Ortağı

Anasayfa

Hakkımızda

Hizmetler

Blog

İletişim

SSS

Phone GIF

Telefon

Phone GIF

E-posta

İletişime geçin

Bırakın sizi arayalım

KVKK Uyumlu Rezervasyon Görüşmeleri: Otel Çağrı Merkezinde Veri Güvenliği Nasıl Sağlanır?

KVKK Uyumlu Rezervasyon Görüşmeleri: Otel Çağrı Merkezinde Veri Güvenliği Nasıl Sağlanır?

9 dk okuma24 Mart 2026DGTLFACE Editorial

Bu Rezervasyon Desteği rehberinde, otel rezervasyon hattında kişisel verinin nasıl güvenli işlendiğini operasyonel açıdan ele alıyoruz. Otel rezervasyon hattı; ad-soyad, iletişim, pasaport/kimlik bilgisi, ödeme ve özel istekler gibi farklı veri türlerini aynı görüşmede ele alabilir. Bu yüzden “KVKK uyumu” sadece hukuk metni değil; günlük operasyonun bir parçasıdır. Antalya ve Türkiye’de turizm otelleri, yabancı misafir yoğunluğu nedeniyle farklı kanallardan (telefon, e-posta, WhatsApp, web) çok sayıda veriyle çalışır; kontrolsüz süreçler güven kaybına ve risklere yol açabilir (yönlü). Bu rehberin amacı, hukuki yorum yapmak değil; operasyonel iyi uygulama sunmaktır: hangi veriyi nasıl alacağınız, hangi veriyi asla istememeniz gerektiği, kaydı nasıl maskeleyeceğiniz, erişimi nasıl sınırlandıracağınız ve denetimi nasıl kuracağınız.

KVKK Uyumlu Rezervasyon Süreci Analizi Talep Et

Öne Çıkan Cevap

KVKK uyumlu rezervasyon görüşmesi; misafirin kişisel verilerini yalnızca gerekli olduğu kadar, güvenli yöntemlerle ve belirli amaçla almak demektir. Çağrı merkezi ekipleri hangi bilgiyi neden aldığını bilmeli; kart, kimlik ve hassas verileri yüksek güvenlik önlemleriyle işlemeli ve gereksiz kanallarda paylaşmamalıdır. Görüşme kaydı, saklama süresi, erişim yetkileri ve loglama; otelin veri koruma politikasına göre yönetilmelidir. Bu rehber, teknik ve operasyonel iyi uygulamaları pratik çerçevede sunar.

Özet

KVKK uyumu için: minimum veri, net bilgilendirme, güvenli ödeme, maskeleme, rol bazlı erişim, kayıt/log ve saklama politikası. Şikâyet/rezervasyon çağrıları aynı güvenlik standardıyla yönetilir.

Maddeler

  • Hedef kitle: call center lideri, rezervasyon agent’ı, IT/güvenlik, yönetim
  • KPI: yetkisiz erişim riski yönlü, kayıt denetim bulguları yönlü, veri minimizasyon uyumu yönlü
  • Entity: KVKK, Data Privacy, Reservation Call Center, PMS, Call Recording, Access Control
  • Funnel: veri toplama → kayıt → erişim → saklama → denetim
  • Geo: Antalya / Türkiye (yabancı misafir akışı, çok kanal iletişim)
  • Çıktı: veri akış diyagramı, bilgilendirme script’i, yetki matrisi tablosu, maskeleme/log mockup
  • Ana prensip: “Minimize et → maskele → yetkilendir → logla → denetle”

Kısa Cevap

Gerekli veriyi alın, bilgilendirin, kart bilgisini güvenli kanala yönlendirin, erişimi sınırlandırın ve loglayın.

Hızlı Özet

  • 1) Gereken minimum veriyi topla
  • 2) Hassas veriyi güvenli kanal dışında alma
  • 3) Kayıt ve ekranlarda maskeleme uygula
  • 4) Erişimi rol bazlı sınırlandır ve logla
  • 5) Saklama ve denetim politikasını yazılı hale getir

1. KVKK ve Otel Rezervasyon Süreçleri (Nerede risk büyür?)

Veri akışı: görüşme→PMS/CRM→log→denetim + amaç
Veri akışı: görüşme→PMS/CRM→log→denetim + amaç

Rezervasyon hattında risk genellikle “veriyi almak”tan çok, veriyi yanlış kanalla paylaşmak, yetkisiz erişim veya gereksiz detay kaynaklı büyür. Otellerde çağrı merkezi; PMS/CRM ekranlarında misafir verilerine geniş erişimle çalıştığı için, güvenlik “insan + süreç + sistem” üçlüsüdür.

Bu yapı, genel çağrı merkezi hizmetleri içinde en hassas disiplin alanlarından biridir; çünkü rezervasyon görüşmesindeki küçük bir veri hatası operasyon, güven ve itibar zincirini birlikte etkiler.

En sık risk alanları (pratik)

  • Kart bilgisinin WhatsApp/e-posta gibi kanallardan istenmesi veya paylaşılması
  • Ekran görüntüsü/ekran paylaşımıyla hassas bilginin sızması
  • Yetkisiz personelin çağrı kaydı ve PMS notlarını görmesi
  • Uzun ve kontrolsüz notlarla gereksiz kişisel veri tutulması
  • Loglama/saklama politikası belirsizliği

Mini Check

  • Hangi veriyi “zorunlu” aldığınız net mi?
  • Kart/kimlik gibi hassas veriler için güvenli yöntem var mı?
  • Erişim yetkileri rol bazlı mı?

Ne yapmalıyım

  • Veri türlerini sınıflandır (temel / hassas / ödeme).
  • Hassas veriyi güvenli kanala yönlendir; mesajlaşma ile isteme alışkanlığını kaldır.
  • Rol bazlı erişim + loglama + denetimi birlikte kur.

2. Telefonda Hangi Veriler Nasıl Alınmalı? (Minimum veri, doğru amaç)

“Telefonda hangi kişisel verileri sorabilirim?” sorusunun operasyonel cevabı şudur: rezervasyon ve hizmeti yürütmek için gerekli minimum veri. Gereksiz sorular hem deneyimi kötüleştirir hem riski artırır. En iyi yaklaşım; “neden soruyorum?” çerçevesiyle şeffaflık sağlamaktır.

Hangi bilginin nota dönüştürüleceği ve hangisinin hiç yazılmaması gerektiği konusunda rezervasyon notları ve PMS/CRM deneyimi standardı, veri minimizasyonunu deneyim kalitesiyle birlikte kurmanıza yardımcı olur.

Erişilebilirlik, aile yapısı ya da balayı gibi hassas bağlamlarda ise özel segment rezervasyon çağrıları yaklaşımı, “minimum gerekli veri” ilkesini misafir hassasiyetiyle dengelemenin daha doğru yolunu gösterir.

Veri türleri ve pratik yaklaşım

  • Temel kimlik: ad-soyad (rezervasyon kaydı için)
  • İletişim: telefon/e-posta (onay ve iletişim için)
  • Konaklama parametreleri: tarih, kişi sayısı, çocuk yaşları (fiyat/uygunluk için)
  • Tercihler: oda konumu, yatak tipi (deneyim için)
  • Özel gereksinimler: diyet/erişilebilirlik gibi “gereksinim” formatında (detay/teşhis değil)

Ödeme bilgisi (kritik çizgi)

Kart bilgisi ve benzeri ödeme verileri; mümkünse güvenli ödeme altyapısı veya kurumun onaylı yöntemiyle alınmalıdır. Mesajlaşma üzerinden kart görseli/numarası istemek, operasyonel açıdan yüksek riskli bir davranıştır.

Mini Check

  • “Minimum veri” kuralı ekibe öğretildi mi?
  • Ödeme için güvenli yöntem net mi?
  • Özel gereksinimler gereksiz detay içermiyor mu?

Ne yapmalıyım

  • Soru setini minimuma indir ve “amaç” cümlesi ekle.
  • Ödeme/kimlik gibi verilerde güvenli kanal dışında işlem yapma.
  • Notlarda “gereksinim” formatını zorunlu tut.

3. Kayıt, Maskeleme ve Erişim Yetkileri (Call Recording & Access Control)

Çağrı kaydı (Call Recording) kalite ve eğitim için değerli olabilir; ama aynı zamanda hassas içerik barındırabilir. Bu nedenle kayıt yaklaşımı; maskeleme (masking/redaction) ve erişim yetkileriyle birlikte tasarlanmalıdır. Ayrıca ekran paylaşımı ve yazılı kanallarda veri sızıntısı riski, sadece IT’nin değil operasyonun sorumluluğudur.

Kayıtların görünürlüğü, erişim izleri ve denetim mantığı için KVKK & veri güvenliği çerçevesi; operasyonun hangi logu neden tuttuğunu ve bunu nasıl yöneteceğini üst seviye yönetişim diliyle netleştirir.

Teknik koruma tarafında ise sunucu ve güvenlik yaklaşımı; kayıt saklama, erişim kontrolü ve altyapı katmanında hangi korumaların zorunlu düşünülmesi gerektiğini tamamlar.

Maskeleme (operasyonel mantık)

  • Kart numarası, CVV gibi bölümlerin kayıtta görünmemesi / saklanmaması
  • Yetkisiz personelin hassas alanları görememesi
  • Görüşme içinde hassas bilgi geçiyorsa “kayıt durdurma / güvenli kanala geçiş” akışı

Yetki mantığı (rol bazlı)

  • Agent: sadece görev için gerekli ekranlar
  • Team lead/QA: dinleme ama sınırlı detay
  • IT/Security: log ve erişim denetimi
  • Yönetim: özet rapor (kişisel veri içermeyen)
Tablo: Yetki matrisi tablosu (role-based access control)
RolErişim kapsamıGörebildiği veriKısıt / not
AgentRezervasyon işlemeGörev için gerekli temel misafir ve rezervasyon verileriNeed-to-know; hassas alanlar sınırlandırılır
Team lead / QADinleme ve kalite kontrolÇağrı kaydı ve operasyonel detayların sınırlı görünümüTam hassas veri yerine maskeleme uygulanır
IT / SecuritySistem, log ve erişim denetimiLog kayıtları, erişim geçmişi, teknik olay verisiOperasyonel veri erişimi amaçla sınırlı olmalıdır
YönetimÖzet raporlamaKişisel veri içermeyen özet KPI ve risk raporlarıHam kayıt yerine anonim/özet çıktı
Maskeleme + erişim log ekranı mockup
Maskeleme + erişim log ekranı mockup

Mini Check

  • Kayıtlar maskeleme kuralına bağlı mı?
  • Erişim yetkileri rol bazlı mı?
  • Loglar düzenli gözden geçiriliyor mu?

Ne yapmalıyım

  • Kayıt akışını “hassas veri anı” için tasarla (durdur/kanal değiştir).
  • Erişim yetkilerini minimuma indir (need-to-know).
  • Log incelemesini rutinleştir (haftalık/aylık).

4. Çağrı Kayıtları, Loglama ve Saklama Süreleri (Retention)

“Çağrı kayıtları KVKK’ya göre ne kadar saklanmalı?” sorusuna tek bir sayı vermek doğru olmaz; saklama süresi, amaç, iş ihtiyacı ve yasal/kurumsal yükümlülüklere göre belirlenir. Operasyonel prensip: gerektiği kadar, gerektiği süre, gerektiği yetkiyle. Ne kadar uzun saklarsanız, risk yüzeyi de o kadar genişler (yönlü).

Retention planı nasıl kurulur? (pratik)

  • Amaç: kalite/eğitim/uyuşmazlık çözümü
  • Kapsam: hangi çağrılar (tümü mü, örneklem mi?)
  • Saklama: süre planı + otomatik silme
  • Erişim: kim, ne zaman, hangi gerekçeyle
  • Denetim: log incelemesi + örneklem kontrol

Mini Check

  • Saklama süresi politikası yazılı mı?
  • Otomatik silme var mı?
  • Erişim talepleri kayıt altına alınıyor mu?

Ne yapmalıyım

  • Saklama politikasını yazılı hale getir (IT + hukuk + operasyon).
  • Örneklem yaklaşımı düşün (her çağrı yerine hedefli örneklem).
  • Loglama ve erişim kayıtlarını denetim paketi yap.

5. Eğitim, Script ve Denetim Süreçleri (İnsan faktörü)

En iyi teknik önlemler, ekip yanlış alışkanlıklarla veri toplarsa boşa gider. Bu yüzden “KVKK uyumu” eğitim, script ve denetimle yaşar. Agent’ın zihninde şu net olmalı: hangi veri gerekli, hangi veri yasak/riski yüksek, hangi kanal güvenli, hangi durum eskale edilir.

Gergin veya şikâyet tonu yükselen görüşmelerde temsilcinin gereksiz detay paylaşmaması, ekrana yansıyan bilgiyi sınırlı tutması ve kayıt disiplinini koruması için zor / öfkeli misafir yönetimi pratiğiyle KVKK refleksinin birlikte öğretilmesi gerekir.

Form, script, açık rıza ve süreç tasarımını operasyonla uyumlu hale getirmek için KVKK uyum hizmeti tarafı; hukuk, yazılım ve çağrı merkezi akışını ortak çerçevede toplar.

Eğitim modülleri (pratik)

  • Minimum veri ve amaç çerçevesi
  • Ödeme/kimlik hassas veride kırmızı çizgiler
  • Sosyal mühendislik (social engineering) örnekleri
  • Yetkisiz erişim ve ekran paylaşımı riskleri
  • Kayıt/durdurma/kanal değiştir SOP’u
  • After-call notlama: gereksinim formatı

Denetim (audit) ritmi

  • Aylık: örneklem çağrı/ekran denetimi
  • Haftalık: log anomali kontrolü (yönlü)
  • Dönemsel: rol/erişim matrisinin yeniden gözden geçirilmesi

Mini Check

  • Eğitim tek seferlik mi, periyodik mi?
  • Script’ler güncel mi?
  • Denetim çıktısı aksiyona dönüşüyor mu?

Ne yapmalıyım

  • KVKK eğitimini onboarding’e koy ve yılda en az bir kez tazele (yönlü).
  • Script’leri “kırmızı çizgi” uyarılarıyla güncelle.
  • Denetim bulgularını süreç düzeltmesine çevir (SOP update).

6. KVKK’ya uygun rezervasyon görüşmesi için hangi adımları izlemelisiniz?

  1. Bilgilendir: Görüşmenin amacı ve gerekiyorsa kayıt bilgisi hakkında kısa ve net bilgilendirme yap.
  2. Minimum veri: Rezervasyon için gerekli minimum bilgiyi al; gereksiz detay sorma.
  3. Güvenli ödeme: Kart bilgisi gibi hassas verileri güvenli yöntemle al; mesajlaşma/e-posta ile isteme.
  4. Maskele & yetkilendir: Kayıt/ekranlarda maskeleme uygula; rol bazlı erişim ver.
  5. Logla: Erişim ve işlem kayıtlarını tut; anomaliyi takip et.
  6. Saklama politikasını uygula: Amaçla uyumlu sakla; otomatik silme planı yap.
  7. Denetle & eğit: Periyodik denetim ve eğitimle davranışı standardize et.

Bu akış, “hukuki metin”den önce günlük operasyonu güvenli hale getirir. Amaç; misafir verisini korurken, rezervasyon sürecini de sorunsuz yürütmektir.

KVKK uyumlu görüşme 7 adım checklist kartı
KVKK uyumlu görüşme 7 adım checklist kartı

7. Yapılmaması Gerekenler (Kırmızı Çizgiler) + Uyarı Kutuları

Bu bölüm, ekibin hızlıca tarayıp uygulaması için “kırmızı çizgi” olarak tasarlanmalıdır.

Yapılmaması gerekenler (net)

  • Kart numarası/CVV/kimlik görseli gibi hassas verileri WhatsApp/e-posta üzerinden istemek veya almak
  • Ekran görüntüsü paylaşmak, ekranı yetkisiz kişiye göstermek
  • PMS/CRM’de gereksiz kişisel detayları uzun notlarla biriktirmek
  • Yetkisiz erişim (ortak kullanıcı hesabı, paylaşılan şifre vb.)
  • Log/saklama politikasını belirsiz bırakmak
Bilgilendirme script’i + kontrol listesi (asset)
Bilgilendirme script’i + kontrol listesi (asset)

8. KVKK Bilgilendirme Script & Kontrol Listesini İndir — KVKK / Rezervasyon Hattı

PDFv1.0Checklist + Sprint

KVKK Bilgilendirme Script & Kontrol Listesini İndir — KVKK / Rezervasyon Hattı (v1.0)

Bu asset; otel rezervasyon çağrı merkezinde KVKK uyumlu görüşme için bilgilendirme cümlelerini, minimum veri prensibini ve kırmızı çizgileri tek dokümanda standartlaştırır. Amaç; sosyal mühendislik, yetkisiz erişim, yanlış kanal üzerinden hassas veri paylaşımı gibi riskleri operasyon düzeyinde azaltmaktır. Hukuki metinlerin nihai halinin hukuk danışmanı tarafından onaylanması gerektiğini hatırlatır.

Kim Kullanır?

Rezervasyon agent’ları, takım lideri/QA, IT/güvenlik ve yönetim.

Nasıl Kullanılır?

  1. Bilgilendirme script’ini açılış cümlelerine ekleyin; ekipte tek dil oluşturun.
  2. Kontrol listesiyle haftalık 10 çağrıda denetim yapın (örneklem).
  3. 14 günlük sprintle maskeleme/erişim/saklama aksiyonlarını kapatın.

Ölçüm & Önceliklendirme (Kısa sürüm)

  • ▢ ✅ A) Checklist / Sprint Plan (kilitli içerik)
  • ▢ ✅ [ ] Ölçüm & Önceliklendirme checklist’i
  • ▢ ✅ Problem → Kök Neden → Çözüm tablosu
  • ▢ ✅ 14 günlük sprint planı (Gün 1–14)
  • ▢ ✅ Öncesi/Sonrası KPI tablosu (şablon)
  • ▢ ✅ Deliverables listesi

PDF içinde: Problem→Kök Neden→Çözüm tablosu + 14 gün sprint planı + önce/sonra KPI tablosu

PDF’i İndir Ücretsiz • PDF / Excel

9. Sonuç: Güvenli rezervasyon görüşmesi, iyi niyetle değil sistemle kurulur

Bilgilendirme script’i + kontrol listesi (asset)
Bilgilendirme script’i + kontrol listesi (asset)

KVKK uyumlu rezervasyon görüşmesi; temsilcinin tek tek dikkatli davranmasından daha büyük bir yapıdır. Asıl farkı yaratan şey, hangi verinin alınacağı, nasıl notlanacağı, kimin erişeceği, ne kadar saklanacağı ve hangi durumda eskalasyon yapılacağı konusunda ortak bir operasyon standardı kurulmasıdır.

Minimum veri prensibi, güvenli ödeme akışı, rol bazlı erişim, düzenli log incelemesi ve güncel script’ler birlikte çalıştığında misafir güveni artar, ekip hata alanı daralır ve yönetim tarafında denetlenebilir bir sistem oluşur.

Bu yapıyı operasyonel olarak kurmak için rezervasyon desteği hizmeti sayfasından süreci inceleyebilir, destekleyici soru başlıkları için rezervasyon desteği hakkında sık sorulan sorular bölümüne geçebilirsiniz.

Bir Sonraki Adım

Çağrı merkezi veri akışı, yetki ve kayıt süreçlerini güvenli hale getirmek isteyen oteller için.

KVKK Uyumlu Rezervasyon Süreci Analizi Talep Et

Sık Sorulan Sorular

KVKK’ya uygun rezervasyon görüşmesi nasıl olmalı?
Görüşmenin amacına göre minimum veriyi alın, misafiri kısa ve net bilgilendirin, hassas verileri güvenli kanala yönlendirin. Erişimi rol bazlı sınırlandırıp loglayın ve saklama politikasını uygulayın.
Telefonda hangi kişisel verileri sorabilirim?
Rezervasyon kaydı ve hizmetin yürütülmesi için gerekli minimum bilgileri (ad-soyad, iletişim, tarih/kişi, temel tercihler) sorabilirsiniz. Hassas detayları gereksiz yere toplamaktan kaçınmak en iyi pratiktir; kurum politikanız ve hukuk danışmanınızla netleştirin.
Kart bilgisi telefonda alınır mı, nasıl maskeleme yapılır?
En güvenlisi, kart verisini güvenli ödeme yöntemleriyle almak ve kayıtta/ekranda maskelemektir. Operasyonel olarak kart detaylarını mesajlaşma/e-posta üzerinden istememek, maskeleme ve erişim kısıtlarıyla riski azaltır.
Çağrı kayıtları KVKK’ya göre ne kadar saklanmalı?
Tek bir süre söylemek doğru olmaz; saklama süresi amaç, iş ihtiyacı ve yasal/kurumsal yükümlülüklere göre belirlenmelidir. Operasyonel prensip “gerektiği kadar ve otomatik silme ile” yaklaşımıdır; nihai politika için hukuk/uyum ekibinizle çalışın.

İlgili İçerikler

İlgili Yazılar

KVKK Uyumlu Rezervasyon Görüşmeleri: Otel Çağrı Merkezinde Veri Güvenliği Nasıl Sağlanır? | DGTLFACE