Bir web sitesi, blog ya da uygulama üzerinden kişisel veri topluyorsanız, yalnızca ne veri topladığınızı değil, bu verilerle ne yapacağınızı da açıkça belirtmeniz gerekir. Kullanıcı, size bilgisini verdiğinde sadece “ne”yi değil, “neden”i de bilmek ister. İşte tam bu noktada, işlenen verilerin sınırını net bir şekilde paylaşmak büyük önem taşır.

Örneğin, bir blogda yorum yapmak isteyen bir kullanıcıdan ad, soyad, e-posta adresi ve IP bilgisi alınıyorsa, bu bilgilerin sadece yorumu yayınlamak ve spam’leri önlemek için mi toplandığı, yoksa farklı amaçlarla da mı saklandığı açıkça belirtilmelidir. Eğer siz bu bilgileri aynı zamanda analiz, reklam hedefleme veya farklı ticari amaçlar için kullanıyorsanız ama bu konuda hiçbir açıklama yapmıyorsanız, kullanıcıyı yanıltmış olursunuz. Bu da KVKK açısından ciddi bir eksikliktir.

Kullanıcı verisi, ucu açık şekilde toplanamaz. “Ne olur ne olmaz, ileride lazım olur” diye düşünerek veri biriktirmek veya ne amaçla kullanılacağı belirtilmeden veri toplamak, KVKK’nın “belirli, açık ve meşru amaç” ilkesine aykırıdır. Üstelik bu durum, kullanıcının güvenini sarsar. İnsanlar, kendileriyle ilgili neyin kayıt altına alındığını ve o verinin nereye kadar kullanılabileceğini bilmek ister. Belirsizlik, en çok da veri konusunda insanları tedirgin eder.

Bir başka yaygın hata ise yalnızca alınan verilerin adını belirtip, işleme detaylarını atlamaktır. Mesela bir gizlilik politikasında “Ad, soyad, e-posta adresi toplanır” demek yeterli değildir. Bu veriler niçin toplanıyor, ne kadar süreyle saklanıyor, üçüncü taraflarla paylaşılıyor mu? İşte bu gibi soruların cevabı da açıkça verilmelidir.

Veri işleme sınırlarını belirtmemek, aslında kullanıcıdan gizli bir alan bırakmak anlamına gelir. Bu da ister istemez güvensizlik yaratır. Kullanıcı bir form doldurduğunda, sadece hangi bilgiyi verdiğini değil, o bilginin nerede duracağını, kimlerin erişebileceğini ve ne kadar süreyle saklanacağını bilmek ister. Bu bilgiler paylaşılmadığında, kullanıcı kendini kontrolsüz bir ortamda gibi hisseder. Oysa açık ve net bir bilgilendirme yapmak, hem KVKK’ya uygun hareket etmenizi sağlar hem de kullanıcıya “senin verine saygı duyuyorum” demenin en doğrudan yoludur.