OTELCİLİK SEKTÖRÜNDE KİŞİSEL VERİLERİN KORUNMASI.

Giriş

Son dönemde teknolojinin hızlı gelişimi sonucunda kişisel verilerin korunması hukuku ön plana çıkmıştır. Günümüzde bireyler kişisel verilerini sadece resmi kurumlarla değil, yapılacak işlem alışveriş yapmak gibi günlük bir işlem olsa dahi özel hukuk kişileriyle de paylaşmak durumunda kalmaktalardır. Bunun sonucunda ise söz konusu kişisel verilerin işlenmesi hususunun yasal olarak düzenlenmesi gerekliliği doğmuştur. 2010 yılında Türkiye Cumhuriyeti Anayasası’nın 20. Maddesine yapılan ekleme ile kişisel verilerin korunması bir temel hak haline gelmiştir. 24.03.2016 tarihli 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile ise kişisel verilerin korunmasına ilişkin esas ve usuller düzenlenmiştir. İşbu makalede, spesifik olarak otelcilik sektörü ele alınacak ve konaklama hizmeti veren gerçek/tüzel kişiler açısından kişisel verilerin korunmasına ilişkin bilgilendirme yapılacaktır. 

Kişisel Veriler ve Bu Verilerin İşlenmesi

Kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Örneğin; konaklama hizmeti alan müşterilerin, otele check-in sırasında verdiği isim, soy isim, telefon numarası, e-posta, adres vb. bilgilerin tamamı Kanun kapsamında kişisel veri olarak değerlendirilmekte ve korunmaktadır. Buna ek olarak müşterilerin yemek seçimleri, otelin sunduğu havuz, spa gibi hizmetlerden yararlanabilmek için kaydedilen sağlık bilgileri vb. bilgiler de kişisel veri kapsamındadır. Kanun m.3/1(e)’ye göre kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. Örneğin otele internet üzerinden rezervasyon yapıldığında müşteriler tarafından girilen kişisel bilgilerin saklandığı sistem veya otel çalışanın analog bir şekilde resepsiyon defterine müşterilerin bilgilerini kaydetmesi halinde bu defter; veri kayıt sistemi olarak değerlendirilmektedir. Bunun bir sonucu olarak 6698 Sayılı Kişisel Verileri Koruma Kanunu uygulama alanı bulmaktadır. 

Kişisel verilerin işlenmesi bazı ilkelere tabidir. Otel işleten gerçek/tüzel kişiler açısından en fazla dikkat edilmesi gereken ilkeleri, dürüstlük kurallarına uygunluk ve ölçülü olma olarak belirleyebiliriz. Dürüstlük kurallarına uygunluk kapsamında kişisel verilerin adil kullanımı ön plana çıkar. Örneğin konaklama hizmeti sağlayıcısı olarak müşterinin iletişim bilgileri alınıyorsa ve müşterinin belki de tek sefere mahsus konaklaması sonucunda sürekli olarak müşteriye mesajlar atılıp, e-posta gönderiliyorsa bu artık adil kullanım kapsamında değerlendirilmeyebilecektir. Ölçülülük ilkesinden anlaşılması gereken ise amaca ulaşmak için asgari seviyede kişisel verinin işlenmesidir. Konaklama hizmeti sunmak için müşterinin kimlik bilgilerinin işlenmesi gerekliyken örneğin kimlikte yer alan din bilgisi gibi bilgilerin de kaydedilmesi bu ilkeye aykırılık teşkil edecektir. 

Kişisel verilerin işlenmesi belirli şartlara bağlanmıştır. Kural olarak kişisel verilerin işlenmesi ilgilinin açık rızasına bağlıdır. Ancak Kanun’un m.4/2(a)’ya göre, kanunlarda açıkça öngörülmesi halinde ilgilinin açık rızası olmadan da kişisel verilerin işlenmesi hukuka uygundur. Örneğin 1774 Sayılı Kimlik Bildirme Kanunu m.5’e göre konaklama hizmeti veren her türlü işletme yerli veya yabancı bütün müşterilerinin kimlik bilgilerini, geliş – ayrılış kayıtlarını kaydetmek zorundadır. Bu kapsamda otelcilerin müşterilerin kimlik bilgilerini işlemesi kanundan kaynaklandığı için müşterinin açık rızasına ihtiyaç olmayacaktır. Ancak her ne kadar kimlik bilgilerini kaydetmek Kimlik Bildirme Kanunu’ndan kaynaklanan bir yükümlülük olsa da, kimlik bilgilerinin depolanması, muhafaza edilmesi, aktarılması gibi işlemlerde Kişisel Verilerin Korunması Kanunu’nda belirtilen esas ve usullere uygun davranma yükümlülüğü ve müşterileri aydınlatma yükümlülüğü devam etmektedir. Ayrıca bu kapsama girmeyen örneğin medeni hal ve özel nitelikli kişisel veri olan sağlık bilgileri vb. her türlü kişisel veri için hala müşterinin açık rızası şarttır. Açık rızanın müşterinin özgür iradesi ile alınması da zorunluluktur. Üyelik hizmeti sunan otellerde eğer üyeliğin alınması için bazı kişisel verilerin verilmesi zorunlu kılınıyorsa ve kişi bu verileri vermeden üye olamıyorsa, olası bir hukuki uyuşmazlıkta Kişisel Verileri Koruma Kurulu tarafından özgür iradenin tartışılmasının önlenmesi açısından Üyelik ve Rıza Metni ile Aydınlatma Metni arasında tutarsızlıklar bulunmaması ve kişinin net olarak bilgilendirilmesini tavsiye ediyoruz. 

Veri sorumlusu olarak otel işleten gerçek/tüzel kişilerin Kanun m.10 uyarınca veri sahibini aydınlatma yükümlülüğü vardır. Aydınlatma yükümlülüğü, sözlü, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle gerçekleştirilebilmektedir. Uygulamada bu yükümlülük çoğunlukla hizmet sağlayıcısının internet sitelerinde bir aydınlatma metni yayınlanarak yerine getirilmektedir. Aydınlatma metninin; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, ve ilgili kişinin haklarına ilişkin bilgilendirme hususlarını kapsar nitelikte olması gerekmektedir. Ayrıca açık, anlaşılır ve sade bir dil kullanılması gerekmektedir. Bu kapsamda aydınlatma yükümlülüğü yerine getirilirken, 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Tebliği ile Kişisel Verilerin Korunması Kurumu’nun internet sayfasında yayınlanan Kurul kararları ile Kurum tarafından hazırlanmış olan Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberine göre hareket edilmesini tavsiye ediyoruz. 

Uygulamada sıklıkla sıkıntı yaşanan ancak bir o kadar da önemli olan diğer bir husus ise ilgili kişilerin (veri sahibi olan müşterilerin) kişisel verilerine ilişkin taleplerde bulunabileceği bir irtibat ofisinin varlığıdır. Kanun m.11’de ilgili kişinin hakları sayılmıştır. Bunlar, kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarıdır. Bu kapsamda müşterilerin taleplerini iletebileceği bir irtibat ofisinin ve iletişim hattının oluşturulması otel işleten gerçek/tüzel kişilerin veri sorumlusu olarak yükümlülüklerini yerine getirebilmesi açısından önemlidir.

Son olarak değinmekte fayda gördüğümüz husus ise veri sorumlusu tarafından alınması gereken teknik ve idari tedbirlerdir. Kişisel Verilerin Korunması Kanunu m.12/1’e göre Veri sorumlusu; (i) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, (ii) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, (iii) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Burada önemle belirtmek isteriz ki bu yükümlülük bir özen yükümlülüğüdür. Veri sorumlusu tarafından gerekli önlemler alınmış ancak örneğin kişisel verilere hukuka aykırı olarak erişilmişse bu durumda veri sorumlusu aleyhine bir değerlendirme yapılmayacaktır. Ancak aksi halde Marriott International Inc. hakkında Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/143 sayılı Kararı’nda olduğu gibi yüksek meblağlarda ceza ödenmesine karar verilmesi kaçınılmazdır. Söz konusu olayda Marriott International Inc. tarafından kişisel verilerin muhafaza edildiği sisteme Truva atı (RAT) ile saldırıda bulunulmuş, ve Marriott International Inc. tarafından zamanında denetim yapılmadığı, bazı kişisel verilerin şifrelenmeden muhafaza edildiği ve sisteme yetkisiz erişim olduğunun tespit edilememiş olması gibi durumlar tespit edilmiş ve veri sorumlusu tarafından gerekli teknik tedbirlerin alınmadığına karar verilmiştir. Bu kapsamda konaklama hizmeti sunan gerçek/tüzel kişilere veri sorumlusu olmaktan kaynaklanan yükümlülüklerine özen göstermesi ve bu konuda gerekli aksiyonların alınmasını, konuya ilişkin olarak teknik destek alınmasını, kurum içerisinde kişisel verileri koruyan bir kültür oluşturulmasını ve personellerin bu konuda eğitilmesini tavsiye ediyoruz. 

 SONUÇ

Çağın gereklilikleri ve teknolojik gelişmelerin getirileriyle birlikte, bireyler kişisel bilgilerini günlük hayatın birçok alanında paylaşmak durumunda kalmışlardır. Otelcilik sektörü de, kişisel verilerin en yoğun işlendiği sektörlerden biridir. Konaklama hizmeti sunan gerçek ve tüzel kişilerin, Veri Sorumlusu olarak süreçteki rollerinin ve yükümlülüklerinin farkında olması, kişisel verilerin korunması hukuku mevzuatına uyum sağlaması ve yükümlülüklerini yerine getirmeye yönelik gerekli her türlü teknik ve idari tedbirleri alması gerekmektedir.