Konaklama Hizmetleri Bağlamında Kişisel Verilerin Korunması Kanunu 

Av. Deniz Mina Küpana

1. Giriş 

07.04.2016 tarihinde Resmî Gazete ’de yayımlanarak yürürlüğe giren Kişisel Verilerin Korunması Kanunu gerek gündelik hayatımıza gerekse de iş hayatındaki pek çok alışkanlığımıza köklü değişiklikler getirmiş bulunmaktadır. Kanun, geçici 1 inci [1]maddesinin üçüncü fıkrasında getirdiği düzenleme ile kişisel veri işleyen tüzel ve gerçek kişilere bu Kanun’a uyumlu hale gelmeleri için iki yıllık bir geçiş süreci tanımıştır. 07.04.2018 itibariyle geçiş sürecini de tamamlamış olduğumuz KVK Kanunu kişisel veri ile temas halindeki tüm sektörler için önem arz etmekte olup bunların başında ise konaklama hizmetleri gelmektedir.

 

Günümüzde ticari hayat içerisinde rol alan sektörlerin hemen hemen hepsinde kişisel veri ile temas içerisinde aksiyonlar alınmaktadır. Fakat özellikle işin mahiyeti gereği kişiler ile birebir ilişkinin söz konusu olduğu konaklama hizmetleri gibi alanlarda 6698 Sayılı Mevzuat ve uygulamaları daha da önem arz edecektir. Zira ortalama bir şirket bünyesinde kişinin ismi, adresi vb. kişisel verilerden söz ederken bir otel işletmesinde kişinin alerjik durumu, sağlık bilgileri, yeme alışkanlıkları vb. gibi pek çok kişisel veriden söz etmek mümkün olacaktır. 

 

2. Kişisel Verilerin İşlenmesi 

KVK Kanunu yapmış olduğu tanım ile kişisel veriyi; bir gerçek kişinin belirlenmesine yarayan her türlü bilgi olarak düzenlemiştir. [2]Buradan hareketle akla kolayca gelebilecek kişinin ismi, 

 

telefonu, e-mail adresi gibi bilgilerin dışında konaklama hizmetleri kapsamında çoğunlukla müşteri memnuniyeti sağlamak amaçlı tutulan kişinin yemek tercihleri, kişinin hangi tip yastık istediği veya spa kullanımı öncesinde tedbir maksatlı elde edilen sağlığa ilişkin bilgilerin de hepsi ilgili Kanun kapsamında sayılan kişisel verilerdendir. 

 

Kişisel Verilerin Korunması Kanunu, md.5/1’de kişisel verilerin işlenmesi için temel kuralın açık rıza olduğunu düzenlemekle birlikte 2.fıkrada hayatın olağan akışı çerçevesinde verinin işlenmesinin gerekeceği halleri düzenlemiştir. Bu hallerden bir veya birkaçının mevcut olduğu durumlarda açık rızanın alınması gerekliliği ortadan kalkmaktadır. Fakat Kanun 4.maddesinde düzenlemiş olduğu genel ilkeler ile kişisel veriyi her halükârda nasıl işlememiz gerektiğine ilişkin belli başlı prensipleri saymış olup artık veri ile nasıl hareket etmemiz gerektiğine dair bir standart yaratmıştır.

3. Kişisel Verilerin 6698 Sayılı KVK Kanunu’nun md.5/2 uyarınca işlenmesi 

1774 Sayılı Kimlik Bildirme Kanunu konaklama hizmeti sağlayan otellerde kalan misafirlerin kimlik bilgilerinin Emniyet Genel Müdürlüğüne ait bir sisteme girilmesini zorunlu kılmaktadır[3]. Kanun’un işlenmesini zorunlu kıldığı bu bilgiler kişinin kimliğini belirlenebilir kılan nitelikte olmasından ötürü 6698 Sayılı Mevzuat uyarınca bir kişisel veri sayılmakta olup misafirlerin kimlik bilgilerinin sisteme kaydı suretiyle de işleme faaliyetinin gerçekleştiği aşikardır. Yukarıda açıklanmış olduğu üzere kişisel verinin işlenmesinde temel kural açık rıza olmakla birlikte Mevzuat md.5/2/a’da kişisel verinin başka bir Kanun kapsamında işlenmesi halini ayrık tutmuş ve bu durumlarda açık rıza aramamıştır. Buradan hareketle konaklama hizmetleri bünyesinde çalışan ön büro personelinin istisnasız her gün işlemekte olduğu bu kişisel veri Kanun’un istisnası kapsamında değerlendirilmektedir. Fakat 6698 Sayılı Mevzuat açık rıza sistemini ortadan kaldırmış olsa da verisi işlenen kişiyi aydınlatma ve ilkeler dahilinde veri işleme beklentilerini hala sürdürmekte olacaktır. Bu noktada kast edilen; Kimlik Bildirme Kanunu konaklayan misafirlerin sadece kimlik verilerinin işlenmesini zorunlu kılıyor fakat ön büro çalışanı misafirin nüfus cüzdanı fotokopisini alıyor ise 6698 Sayılı Kanun’a aykırı bir veri işlemeden söz ediyor olacağız. Zira Kanun 4.maddesinde saymış olduğu ilkelerde kişisel verinin işlenme amacı ile sınırlı ve orantılı olarak elde edilmesini emretmekte iken mevcut durumda nüfus cüzdanı vasıtasıyla kimlik verisi haricinde din ve medeni hal bilgisi gibi ekstra kişisel veriler de işlenmiş bulunmaktadır.[4] Buradan hareketle KVK Kanunu bir başka kanunun veriyi işlemeyi öngördüğü hallerde bir adım geri planda durmakla beraber kişinin mahremiyetini koruyucu ilkeleri de gözetmeye devam edecektir. 

 

Kişisel verinin işlenmesinde açık rızanın aranmadığı hallerden biri de veri sorumlusunun meşru menfaatinin olduğu haller olarak sayılmaktadır. Misafirlerine konaklama hizmeti veren işletmelerde genellikle kapalı devre kamera sistemleri kullanılmaktadır. Bunların kullanılmasının başlıca sebebi verilen hizmet boyunca konaklayan kişilerin güvenliğini sağlamak ve gerekli tedbirleri alabilmektir. Bu durumda KVK Kanun’un belirtmiş olduğu meşru menfaat işbu durumda söz konusu olacaktır. Zira veri sorumlusu sıfatına haiz hizmet sağlayıcı işletmesinde asgari güvenlik düzeyini sağlayabilmek adına kişisel veri mahiyetindeki kamera kaydı görüntülerini açık rızaya gerek duymadan işleyebilecektir. Hal böyle olmakla beraber 6698 Sayılı Mevzuat bu durumda da kişiye verisini işlendiği yönünde bilgi verilmesini ve sayılan ilkeler uygun olarak verinin işlenmesini emretmektedir. Bununla kast edilen ilgili tesiste konaklayan misafire çeşitli noktalarda göreceği bilgilendirici ibareler yardımıyla kamera kaydının alındığı konusunda bilgi verilmeli ve bu verilerin gerek süre gerek amaç olarak sadece meşru maksatlarla kullanıldığı yönünde kendisine güvence sağlanmalıdır. 

4. Özel Nitelikli Kişisel Verilerin İşlenmesi 

Konaklama hizmetlerin ifası sırasında işletmelerde sıklıkla özel nitelikli kişisel veriler ile de temasa geçilmektedir. Özel nitelikli kişisel veri; kişinin mahremiyetine ilişkin, öğrenilmesi durumunda hassasiyet yaratabilecek bilgilerdir[5]. Bu bağlamda; sağlık bilgileri, mezhep bilgisi, cinsel bilgiler vb. konular bu verilere örnek olarak gösterilebilir. Konaklama hizmetlerinin sağlanması esnasında işletmeler müşterilere daha özel bir hizmet sunmak adına pek çok özel nitelikli veriyi hali hazırda işlemektedir. Örneğin; besin alerjisi olan bir misafire bu yönde kişiselleştirilmiş bir hizmet sunabilmek adına kişinin alerji bilgileri tesisin sisteminde tutulmakta ya da spa kapsamında hizmet verilecek bir misafire kalp rahatsızlığı veya spa’ya girmesine engel teşkil edecek sair bir sağlık problemi olup olmadığının sorulması halinde Kanun uyarınca bir özel nitelikli kişisel veri işleme söz konusu olacaktır. KVK Kanunu özel nitelikli diye adlandırmış olduğu bu bilgiler konusunda daha da büyük bir hassasiyet göstermekte ve bunlara ilişkin istisnai halleri sınırlı olarak belirlemektedir. Dolayısıyla konaklama hizmetlerinin ifası esnasında elde edilen bu veriler için tesislerin misafirlerinden çoğunlukla açık rıza alarak süreci ilerletmesi dikkat edilmesi gereken bir husus olacaktır. 

5. Kişisel Verilerin Yurtiçinde Aktarılması 

Konaklama hizmetleri bağlamında KVKK uyum süreci içerisinde dikkat edilmesi gereken bir önemli nokta ise verinin aktarıldığı hallerdir. Pek çok işletme iş akışı içerisinde müşterilerine her hizmeti bizzat kendisi sağlamamakta sıklıkla üçüncü partiler ile çalışmaktadır. Kanun’un 8.maddesi verinin yurt içerisinde üçüncü partilere aktarıldığı bu hallere ilişkin kuralları belirlemiştir. Fakat burada önem arz eden bir nokta ise Veri Koruma Mevzuatımızın kişisel veri ihlallerinde kural olarak veri sorumlusunu muhatap olarak seçmesi olacaktır. Şöyle ki; 6698 Sayılı Kanun’dan kaynaklı ihlaller direk veri sorumlusundan ötürü değil bir üçüncü partiden ötürü de meydana gelmiş olsa hukuki sorumlulukta veri sorumlusunun da müştereken sorumluluğu söz konusu olacaktır. [6]Bu durumda bir örnek üzerinden durumu izah etmek gerekirse; otellerde sıklıkla misafirlere araç servisi hizmeti sağlanmakta bu hizmet de dışarıdan bir işbirlikçi firma aracılığıyla ifa edilmektedir. Bu kapsamda misafirlerin isim, telefon numarası vb. kişisel verileri bu üçüncü parti şirketlere aktarılmaktadır. KVK Kanunu kişisel verilerin güvenliğini veri sorumlusuna emanet ettiğinden bu noktada otelin araç firması ile arasındaki ilişkiyi doğru kurması önem arz edecektir. Otel, üçüncü parti firmaya verilerini emanet ederken Kanun’un aradığı idari ve teknik tedbirleri kendisine hatırlatmalı ve aralarındaki sözleşmesel ilişki ile bunu sağlıklı bir şekilde kurmalıdır. Zira artık araç firmasının tamamen kendi iç işleyişinden ötürü aktarılan söz konusu kişisel verilere yönelik bir ihlal yaşanması durumunda da otelin sorumluluğu meydana gelecektir. Buradan hareketle aktarımlarda tarafların aralarındaki ilişkiyi ve yükümlülükleri açık ve doğru bir şekilde belirlemesi çok önemlidir. 

6. Veri Güvenliğine İlişkin Alınması Gereken Tedbirler 

Kişisel Verilerin Korunması Kanununun 12.maddesinde veri güvenliğine ilişkin alınması gereken önlemler sayılmıştır. Madde incelendiğinde veri sorumlusu şirketlere, idari ve teknik birtakım önlemleri alması yönünde sorumluluk yüklendiği görülmektedir. Bu noktada verinin korunması için bir taraftan teknik altyapı çalışmaları sürmeli diğer yandan ise idari birtakım aksiyonlar alınmalıdır. İdari tedbirlerde; yukarıda kısaca değinilen hukuki metinlerin kurgulanması sayılırken, kurum kültürüne KVKK Mevzuatının adapte edilmesine de bir o kadar dikkat çekilmektedir. Konaklama hizmeti gibi müşteriler ile her an sıcak temasta olunan sektörlerde işletmenin hiyerarşik yapısının en üstünden en altına kadarki herkesin veri koruma kültürüne ilişkin temel prensiplere haiz olması çok önemlidir. Zira işletme içerisinde her kademeye indirgenmemiş bir veri koruma kültürü Kanun’un aradığı tedbirler niteliğinde sayılmayacaktır. Bu noktada Türk ve Yabancı Veri Koruma Otoritelerinin de görüşü kurum içerisinde bu kültürü yayabilmenin en temel yapı taşının eğitim olduğudur. Özellikle çalışanların günlük iş akışlarında kişisel veri ile sıkça temas ettiği işlerde bu konu üzerine ağırlık verilmesi önem arz edecektir. 

 

7. Sonuç 

6698 Sayılı Kişisel Verilerin Koruması Kanunu mevcut alışkanlıkları ve şirketlerin yerleşik kurum kültürünü değiştirecek düzenlemeler içermektedir. Özellikle konaklama hizmetleri gibi müşteri odaklı ve hizmetin başarısının müşterinin iyi tanınması ile bağlantılı olduğu sektörlerde yerleşik uygulamaların değişmesi hayli zaman alacak gibi görünmektedir. Bu noktada şirketler Kanun’u iş süreçlerine dahil etmek ve bu revizeler ışığında hizmetin gerektirdiği uygulamalarına yasal sınırlara dikkat etmek suretiyle devam edeceklerdir. 

[1] 6698 Sayılı KVKK, Geçici 1.Md/3

[2] 6698 Sayılı KVKK, Md. 3/f.1/e

[3] 1774 Sayılı Kimlik Bildirme Kanunu Md.2 

[4] Kişisel Verinin Hukuki Koruması, Dr. Cansu Topal

[5] 6698 Sayılı KVK Kanunu, Md.6 

[6] 6698 Sayılı KVK Kanunu, Md.12/2