Giris
Son dönemde teknolojinin hizli gelisimi sonucunda kisisel verilerin korunmasi hukuku ön plana çikmistir. Günümüzde bireyler kisisel verilerini sadece resmi kurumlarla degil, yapilacak islem alisveris yapmak gibi günlük bir islem olsa dahi özel hukuk kisileriyle de paylasmak durumunda kalmaktalardir. Bunun sonucunda ise söz konusu kisisel verilerin islenmesi hususunun yasal olarak düzenlenmesi gerekliligi dogmustur. 2010 yilinda Türkiye Cumhuriyeti Anayasasi'nin 20. Maddesine yapilan ekleme ile kisisel verilerin korunmasi bir temel hak haline gelmistir. 24.03.2016 tarihli 6698 Sayili Kisisel Verilerin Korunmasi Kanunu ile ise kisisel verilerin korunmasina iliskin esas ve usuller düzenlenmistir. Isbu makalede, spesifik olarak otelcilik sektörü ele alinacak ve konaklama hizmeti veren gerçek/tüzel kisiler açisindan kisisel verilerin korunmasina iliskin bilgilendirme yapilacaktir.
Kisisel Veriler ve Bu Verilerin Islenmesi
Kisisel veri; kimligi belirli veya belirlenebilir gerçek kisiye iliskin her türlü bilgiyi ifade etmektedir.1 Örnegin; konaklama hizmeti alan müsterilerin, otele check-in sirasinda verdigi isim, soy isim, telefon numarasi, e-posta, adres vb. bilgilerin tamami Kanun kapsaminda kisisel veri olarak degerlendirilmekte ve korunmaktadir. Buna ek olarak müsterilerin yemek seçimleri, otelin sundugu havuz, spa gibi hizmetlerden yararlanabilmek için kaydedilen saglik bilgileri vb. bilgiler de kisisel veri kapsamindadir. Kanun m.3/1(e)'ye göre kisisel verilerin islenmesi; kisisel verilerin tamamen veya kismen otomatik olan ya da herhangi bir veri kayit sisteminin parçasi olmak kaydiyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanmasi, muhafaza edilmesi, degistirilmesi, yeniden düzenlenmesi, açiklanmasi, aktarilmasi, devralinmasi, elde edilebilir hâle getirilmesi, siniflandirilmasi ya da kullanilmasinin engellenmesi gibi veriler üzerinde gerçeklestirilen her türlü islemi ifade eder. Örnegin otele internet üzerinden rezervasyon yapildiginda müsteriler tarafindan girilen kisisel bilgilerin saklandigi sistem veya otel çalisanin analog bir sekilde resepsiyon defterine müsterilerin bilgilerini kaydetmesi halinde bu defter; veri kayit sistemi olarak degerlendirilmektedir. Bunun bir sonucu olarak 6698 Sayili Kisisel Verileri Koruma Kanunu uygulama alani bulmaktadir.
Kisisel verilerin islenmesi bazi ilkelere tabidir. Otel isleten gerçek/tüzel kisiler açisindan en fazla dikkat edilmesi gereken ilkeleri, dürüstlük kurallarina uygunluk ve ölçülü olma olarak belirleyebiliriz. Dürüstlük kurallarina uygunluk kapsaminda kisisel verilerin adil kullanimi ön plana çikar. Örnegin konaklama hizmeti saglayicisi olarak müsterinin iletisim bilgileri aliniyorsa ve müsterinin belki de tek sefere mahsus konaklamasi sonucunda sürekli olarak müsteriye mesajlar atilip, e-posta gönderiliyorsa bu artik adil kullanim kapsaminda degerlendirilmeyebilecektir. Ölçülülük ilkesinden anlasilmasi gereken ise amaca ulasmak için asgari seviyede kisisel verinin islenmesidir. Konaklama hizmeti sunmak için müsterinin kimlik bilgilerinin islenmesi gerekliyken örnegin kimlikte yer alan din bilgisi gibi bilgilerin de kaydedilmesi bu ilkeye aykirilik teskil edecektir.
Kisisel verilerin islenmesi belirli sartlara baglanmistir. Kural olarak kisisel verilerin islenmesi ilgilinin açik rizasina baglidir. Ancak Kanun'un m.4/2(a)'ya göre, kanunlarda açikça öngörülmesi halinde ilgilinin açik rizasi olmadan da kisisel verilerin islenmesi hukuka uygundur. Örnegin 1774 Sayili Kimlik Bildirme Kanunu m.5'e göre konaklama hizmeti veren her türlü isletme yerli veya yabanci bütün müsterilerinin kimlik bilgilerini, gelis – ayrilis kayitlarini kaydetmek zorundadir. Bu kapsamda otelcilerin müsterilerin kimlik bilgilerini islemesi kanundan kaynaklandigi için müsterinin açik rizasina ihtiyaç olmayacaktir. Ancak her ne kadar kimlik bilgilerini kaydetmek Kimlik Bildirme Kanunu'ndan kaynaklanan bir yükümlülük olsa da, kimlik bilgilerinin depolanmasi, muhafaza edilmesi, aktarilmasi gibi islemlerde Kisisel Verilerin Korunmasi Kanunu'nda belirtilen esas ve usullere uygun davranma yükümlülügü ve müsterileri aydinlatma yükümlülügü devam etmektedir. Ayrica bu kapsama girmeyen örnegin medeni hal ve özel nitelikli kisisel veri olan saglik bilgileri vb. her türlü kisisel veri için hala müsterinin açik rizasi sarttir. Açik rizanin müsterinin özgür iradesi ile alinmasi da zorunluluktur. Üyelik hizmeti sunan otellerde eger üyeligin alinmasi için bazi kisisel verilerin verilmesi zorunlu kiliniyorsa ve kisi bu verileri vermeden üye olamiyorsa, olasi bir hukuki uyusmazlikta Kisisel Verileri Koruma Kurulu tarafindan özgür iradenin tartisilmasinin önlenmesi açisindan Üyelik ve Riza Metni ile Aydinlatma Metni arasinda tutarsizliklar bulunmamasi ve kisinin net olarak bilgilendirilmesini tavsiye ediyoruz.2
Veri sorumlusu olarak otel isleten gerçek/tüzel kisilerin Kanun m.10 uyarinca veri sahibini aydinlatma yükümlülügü vardir. Aydinlatma yükümlülügü, sözlü, ses kaydi, çagri merkezi gibi fiziksel veya elektronik ortam kullanilmak suretiyle gerçeklestirilebilmektedir.3 Uygulamada bu yükümlülük çogunlukla hizmet saglayicisinin internet sitelerinde bir aydinlatma metni yayinlanarak yerine getirilmektedir. Aydinlatma metninin; veri sorumlusunun ve varsa temsilcisinin kimligi, kisisel verilerin hangi amaçla islenecegi, islenen kisisel verilerin kimlere ve hangi amaçla aktarilabilecegi, kisisel veri toplamanin yöntemi ve hukuki sebebi, ve ilgili kisinin haklarina iliskin bilgilendirme hususlarini kapsar nitelikte olmasi gerekmektedir. Ayrica açik, anlasilir ve sade bir dil kullanilmasi gerekmektedir.4 Bu kapsamda aydinlatma yükümlülügü yerine getirilirken, 6698 Sayili Kisisel Verilerin Korunmasi Kanunu, Aydinlatma Yükümlülügünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Tebligi ile Kisisel Verilerin Korunmasi Kurumu'nun internet sayfasinda yayinlanan Kurul kararlari ile Kurum tarafindan hazirlanmis olan Aydinlatma Yükümlülügünün Yerine Getirilmesi Rehberine göre hareket edilmesini tavsiye ediyoruz.
Uygulamada siklikla sikinti yasanan ancak bir o kadar da önemli olan diger bir husus ise ilgili kisilerin (veri sahibi olan müsterilerin) kisisel verilerine iliskin taleplerde bulunabilecegi bir irtibat ofisinin varligidir. Kanun m.11'de ilgili kisinin haklari sayilmistir. Bunlar, kisisel veri islenip islenmedigini ögrenme, kisisel verileri islenmisse buna iliskin bilgi talep etme, kisisel verilerin islenme amacini ve bunlarin amacina uygun kullanilip kullanilmadigini ögrenme, yurt içinde veya yurt disinda kisisel verilerin aktarildigi üçüncü kisileri bilme, kisisel verilerin eksik veya yanlis islenmis olmasi hâlinde bunlarin düzeltilmesini isteme, kisisel verilerin silinmesini veya yok edilmesini isteme, kisisel verilerin aktarildigi üçüncü kisilere bildirilmesini isteme, islenen verilerin münhasiran otomatik sistemler vasitasiyla analiz edilmesi suretiyle kisinin kendisi aleyhine bir sonucun ortaya çikmasina itiraz etme, kisisel verilerin kanuna aykiri olarak islenmesi sebebiyle zarara ugramasi hâlinde zararin giderilmesini talep etme haklaridir. Bu kapsamda müsterilerin taleplerini iletebilecegi bir irtibat ofisinin ve iletisim hattinin olusturulmasi otel isleten gerçek/tüzel kisilerin veri sorumlusu olarak yükümlülüklerini yerine getirebilmesi açisindan önemlidir.
Son olarak deginmekte fayda gördügümüz husus ise veri sorumlusu tarafindan alinmasi gereken teknik ve idari tedbirlerdir. Kisisel Verilerin Korunmasi Kanunu m.12/1'e göre Veri sorumlusu; (i) Kisisel verilerin hukuka aykiri olarak islenmesini önlemek, (ii) Kisisel verilere hukuka aykiri olarak erisilmesini önlemek, (iii) Kisisel verilerin muhafazasini saglamak, amaciyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadir. Burada önemle belirtmek isteriz ki bu yükümlülük bir özen yükümlülügüdür. Veri sorumlusu tarafindan gerekli önlemler alinmis ancak örnegin kisisel verilere hukuka aykiri olarak erisilmisse bu durumda veri sorumlusu aleyhine bir degerlendirme yapilmayacaktir. Ancak aksi halde Marriott International Inc. hakkinda Kisisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/143 sayili Karari'nda5 oldugu gibi yüksek meblaglarda ceza ödenmesine karar verilmesi kaçinilmazdir. Söz konusu olayda Marriott International Inc. tarafindan kisisel verilerin muhafaza edildigi sisteme Truva ati (RAT) ile saldirida bulunulmus, ve Marriott International Inc. tarafindan zamaninda denetim yapilmadigi, bazi kisisel verilerin sifrelenmeden muhafaza edildigi ve sisteme yetkisiz erisim oldugunun tespit edilememis olmasi gibi durumlar tespit edilmis ve veri sorumlusu tarafindan gerekli teknik tedbirlerin alinmadigina karar verilmistir. Bu kapsamda konaklama hizmeti sunan gerçek/tüzel kisilere veri sorumlusu olmaktan kaynaklanan yükümlülüklerine özen göstermesi ve bu konuda gerekli aksiyonlarin alinmasini, konuya iliskin olarak teknik destek alinmasini, kurum içerisinde kisisel verileri koruyan bir kültür olusturulmasini ve personellerin bu konuda egitilmesini tavsiye ediyoruz.
SONUÇ
Çagin gereklilikleri ve teknolojik gelismelerin getirileriyle birlikte, bireyler kisisel bilgilerini günlük hayatin birçok alaninda paylasmak durumunda kalmislardir. Otelcilik sektörü de, kisisel verilerin en yogun islendigi sektörlerden biridir. Konaklama hizmeti sunan gerçek ve tüzel kisilerin, Veri Sorumlusu olarak süreçteki rollerinin ve yükümlülüklerinin farkinda olmasi, kisisel verilerin korunmasi hukuku mevzuatina uyum saglamasi ve yükümlülüklerini yerine getirmeye yönelik gerekli her türlü teknik ve idari tedbirleri almasi gerekmektedir.
Footnotes
1. 6698 Sayili Kisisel Verilerin Korunmasi Kanunu m.3/1(d)
2. Kisisel Verileri Koruma Kurulunun 25/03/2019 tarihli ve 2019/82 sayili Karar Özeti, https://www.kvkk.gov.tr/Icerik/5463/-Bir-market-zincirinin-sadakat-kart-uygulamasina-iliskin-ihbar-ve-sikayetler-hakkinda-Kisisel-Verileri-Koruma-Kurulunun-25-03-2019-tarihli-ve-2019-82-sayili-Karari
3. Bkz. ÇEKIN, Kisisel Verilerin Korunmasi Hukuku, sf.176
4. Konuyla ilgili ayrintili bilgi için bkz. https://www.kvkk.gov.tr/Icerik/6765/AYDINLATMA-YUKUMLULUGUNUN-YERINE-GETIRILMESI-HAKKINDA-KAMUOYU-DUYURUSU
5.https://www.kvkk.gov.tr/Icerik/5486/Marriott-International-Inc-Hakkinda-Kisisel-Verileri-Koruma-Kurulunun-16-05-2019-Tarih-ve-2019-143-Sayili-Karar-Ozeti
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
