Turizm sektörü ve KVKK

Last Updated on 22 Ocak 2024 by Turizm Günlüğü

Oteller, tur şirketleri, vize aracı kurumları gibi birçok kuruluş KVKK kapsamında sorumluluk altında bulunmaktadır. 6698 sayılı Kişisel Verileri Koruma Kanunu kapsamında özellikle turizm sektöründe faaliyet gösteren şirketlerin veri güvenliği konusunda yerine getirmesi gereken önlemleri Doksan Beş Hukuk kurucuları Av. Hazal Ocaklı ve Av. Hacer Gizem Karataş yazdı. Turizm sektörü ve KVKK

Oteller, tur şirketleri, vize aracı kurumları gibi birçok kuruluş da KVKK kapsamında sorumluluk altında

Turizm sektörü ve KVKK
Turizm sektörü ve KVKK

Türkiye’de 2016 yılında 6698 sayılı Kişisel Verileri Koruma Kanunu yürürlüğe girmiş, Kanun ile kişisel veriler koruma altına alınmış, bu verileri işleyen kişilere bazı sorumluluklar getirilmiş, sorumlulukların yerine getirilmemesi halinde ağır yaptırımlar öngörülmüştür. Bu kapsamda oteller, tur şirketleri, vize aracı kurumları gibi birçok kuruluş da KVKK kapsamında sorumluluk altında bulunmaktadır ve kanuna uyum sürecinde bazı önlemler almaları ve bazı işlemleri yerine getirmeleri gerekmektedir.

Verileri toplanan kişiler ayrıntılı şekilde bilgilendirilmeli

Veri Sorumluları Sicili’ne yani sıklıkla kullanılan kısaltmasıyla VERBİS’e kayıt yaptırılması, verileri toplanan kişilerin ayrıntılı bir biçimde aydınlatılması, istisnai haller haricinde rızalarının alınması ve yapılacak bu aydınlatma ile alınacak rızanın matbu bir biçimde değil; olayın, verinin ve işlenme amacının değerlendirilerek gerçekleştirilmesi gerekmektedir.

Bu hususlara gereken önemi verilmezseniz ceza ile karşılaşabilirsiniz

Bunun dışında verilerin işlenme amacı dışında kullanılmaması, gerektiğinde silinmesi ve ilgili kişinin talebi hakkında kendisinin bilgilendirilmesi gerekmektedir. İlk bakışta temel nitelikte görünen bu hususlara gereken önemin verilmemesi sebebiyle birçok ceza ile karşılaşıla bilinmektedir.

Ceza alan bir otel neyi yanlış yaptı?

Örneğin otelcilik sektöründe ismi duyulmuş bir şirket, Kişisel Verileri Koruma Kurumu’nun 16.05.2019 tarihli 2019/143 karar numaralı kararı ile, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebi ile 1.100.000 TL, Kurum’a gerçekleşen bir ihlalin en kısa sürede bildirilmemiş olması sebebi ile de 350.000 TL olmak üzere toplam 1.450.000 TL idari para cezasına maruz kalmıştır.

Birlikte iş yapan oteller ve acenteler arasındaki veri akışı

Özellikle otelcilik hizmetinin, hizmetin alındığı süre için gereken kişisel verilerin işlenmesi ancak daha sonra bunların tutulmasında meşru bir sebep yok ise imha edilmesinin gerekmesi, acentelerle birlikte iş yaparak karşılıklı veri akışına sebep olunması, otel tanıtımları dolayısıyla sosyal medya veya başkaca tanıtımlarda otelde misafir edilen kişilerin biyometrik verilerinin kullanılabilme ihtimalinin yanında günümüzde ödemelerin de önceden, internet üzerinden ve kredi kartı vasıtasıyla yapılması dolayısıyla ödeme bilgilerine dair yüklü miktarda veriye sahip olmaları sebebiyle bu konuda titizlikle çalışmaları gerekmektedir. Bu bağlamda alınması gereken tedbirler yalnızca elde edilecek verilerin uygun bir şekilde seçilip muhafaza edilmesini ve alınacak rızaya uygun bir şekilde paylaşılmasını değil, dıştan gelecek saldırılara karşı da verilerin korunmasını içeren tedbirler olmalıdır.

VERBİS sistemine kayıt zorunluluğunda olan işletmeler

Kanun kapsamında öncelik verilmesi gereken ve tamamlanması için kısa bir süre öngörülen diğer sorumluluk da VERBİS sistemine kayıt zorunluluğudur. Bu kayıt kapsamında; veri işleyen kişi veya kurumların bünyelerinde bulundurdukları kişisel verileri veri envanteri aracılığıyla sisteme kaydetmeleri gerekmektedir. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ile yurt dışında yerleşik veri sorumluları için bu süre, 30 Eylül 2020 tarihi itibarıyla dolmuştur. Fakat Kişisel Verileri Koruma Kurumu, mevcut salgın dolayısıyla yaşanmış olabilecek gecikmeleri bertaraf edebilmek adına sicile kayıt yükümlülüğünü yerine getirmeyenlere doğrudan yaptırım uygulamayacağını, öncelikle bu kişi ve kuruluşlara e-posta göndereceğini, e-postanın gönderilmesinden itibaren en geç 30 günlük süre içerisinde yükümlülüklerin tamamlanması gerektiğini belirtmiştir.

İkinci grupta ise yıllık çalışan sayısı 50’den az veya yıllık mali bilanço toplamı 25 milyon TL’den az olanlar yer almaktadır

Kayıt yükümlülüğü bulunan ikinci grupta ise yıllık çalışan sayısı 50’den az veya yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları ile kamu kurum ve kuruluşu niteliğindeki veri sorumlularıdır. Bu kişilerin VERBİS kayıtlarını tamamlamaları için son gün 31 Mart 2021 olarak belirlenmiştir. Tüm bu hususlara aykırı davranarak VERBİS’e kayıt yükümlülüğünün yerine getirilmemesi halinde Kurum’un 20.000 TL ile 1.000.000 TL arasında idari para cezası uygulaması söz konusu olacaktır.

Kişisel verilerin korunması tüm sorumluları kapsamakta aykırı davranışlar cezalandırılmaktadır

VERBİS’e kayıt zorunluluğu, şu an için kişisel veri işleme faaliyetinde bulunan her gerçek veya tüzel kişi için geçerli olmasa da kişisel verilerin korunması adına alınması gereken önlemler ve yapılması gereken işlemler, tüm sorumluları kapsamakta ve bu hususlara aykırı davranışlar da cezalandırılmaktadır.

Acenteler ile oteller arasında gerçekleştirilen veri aktarımları önem arz etmektedir

Kanuna göre kimi veriler kişinin açık rızası olmadan işlenememektedir. Özellikle şirketler arası örneğin acenteler ile oteller arasında gerçekleştirilen veri aktarımlarında da bu husus önem arz etmektedir. Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza olarak ifade edilmektedir. Rızanın geçerli olabilmesi için aydınlatma yükümlülüğünün de gereği gibi yerine getirilmesi gerekmektedir. Aydınlatma yükümlülüğü, ispatı kolaylaştırmak açısından sıklıkla yazılı biçimde yerine getiriliyor olsa da farklı kişisel veriler için aynı ve tekdüze hazırlanan aydınlatma metinlerinin her zaman yeterli olmadığını belirtmekte fayda bulunmaktadır. Aydınlatma yükümlülüğü yerine getirilmediğinde ise 5.000 TL ile 100.000 TL arasında idari para cezası uygulanabilmektedir.

REKLAM VE TANITIM AMAÇLI RIZA ALINMADAN GÖNDERİLEN SMS VE E-POSTALAR HUKUKA AYKIRIDIR

Ortaya çıkan büyük problemlerden bir tanesi de reklam amacıyla gönderilen kısa mesajlar ve e-postalardır. Yukarıda da belirtildiği gibi elde edilen veriler yalnızca işlenme amaçları doğrultusunda kullanılabileceğinden, eğer kişi bilgilendirme yapılmasına açıkça rıza göstermediyse gönderilen reklam ve tanıtım amaçlı mesajlar hukuka aykırı olacaktır.

Örneğin internet üzerinden bir otel rezervasyonu yapan ve rezervasyon bilgilerinin kendisine iletilmesi amacıyla telefon numarasını internet sitesi üzerinden paylaşan kişiye otelin kampanyalarıyla ilgili olarak mesaj göndermemesi veya aramaması gerekmektedir. Bu hususa ilişkin ayrıca dikkat çekmek gerekmektedir ki veri sorumlularının bünyelerinde tuttukları verilerin doğru ve güncel tutulması, bunu sağlamak için gerekli önlemleri almaları gerekmektedir. Kişisel Verileri Koruma Kurumu tarafından verilen 22.12.2020 tarihli bir kararda; fatura, ekstre, rezervasyon belgesi gibi kişisel veri içeren dokümanların iletilmesi amacıyla istenen telefon numarası veya e-posta gibi bilgilerin ilgili kişinin yanlış beyanı sebebiyle üçüncü kişilere gönderilebildiği, bu sebeple mağduriyetlerin doğduğu belirtilmektedir. Burada ise doğruluk ve güncellik açısından tedbir alması gereken taraf, veri sorumlusudur ve bu gibi bilgiler alınırken telefon numarasına veya e-posta adresine doğrulama kodu veya linki gönderilmesi gerektiği belirtilmektedir.

General Data Protection Regulation

Son olarak belirtmek gerekmektedir ki Avrupa Birliği, orijinal adı General Data Protection Regulation’ın ilk harflerinin kısaltmasıyla oluşturulan ve “GDPR” olarak bahsedilen Genel Veri Koruma Yönetmeliği oluşturulmuştur. 2016 yılında yürürlüğe giren bu metin ile Avrupa Birliği ve Avrupa Birliği Ekonomik Alanı içerisinde yer alan her bireye ait veriler, üstün bir korumaya tabi tutulmuştur. Dikkat edilmesi gerekir ki GDPR’ın uygulama alanı yer bakımından değil, kişi bakımından belirlenmiştir. Dolayısıyla Avrupa Birliği içerisinde yaşayan bir bireyin verilerini işleyen ve Avrupa Birliği dışarısında yer alan bir şirket de söz konusu yönetmelik uyarınca sorumlu tutulabilecektir. İhlallerin 20 milyon Euro veya global cironun %4’ü gibi ağır cezalarla karşı karşıya bırakılması dolayısıyla şirketlerin GDPR’a uyum süreci de oldukça büyük önem taşımaktadır. Dolayısıyla Avrupa ülkelerinden gelen ziyaretçileri ile ilgili olarak oteller, acenteler gibi turizm sektöründe faaliyet gösteren şirketlerin yalnızca Türkiye’nin kişisel verilerin korunması mevzuatına değil, bu yönetmeliğe de uyum göstermesi gerekecek; aksi halde yüksek miktarda cezalar ile karşılaşılacaktır.

Her olayda farklı önlemler gerektirebileceğinden kişiler ve kurumlar bazında değişiklik gösterebilmektedir

Kişisel verilerin korunması adına alınması gereken önlemler yazı kapsamında belirtilenlerden ibaret değildir. Bu hususa ilişkin hükümler, her olayda farklı önlemler gerektirebileceğinden kişiler ve kurumlar bazında değişiklik gösterebilmektedir. Mağduriyet yaşanmaması adına uzman yardımıyla KVKK ve GDPR uyum süreci bir an önce tamamlanmalı ve zorunluluk varsa VERBİS kaydı yapılmalı, uyum sürecinin ardından işlenecek veriler ise olabildiğince hukuki danışman yardımı ile titiz bir şekilde gerçekleştirilmelidir.

Av. Hazal Ocaklı & Av. Hacer Gizem Karataş

www.doksanbeshukuk.com