Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Yani aslında Kişisel Verileri Koruma Kanunu, tüm şirketleri kapsamaktadır. Ancak her şirketin KVKK Uyum Süreci, faaliyet gösterdiği sektöre göre farklılık göstermektedir.
Örnek vermek gerekirse, metal sanayi sektöründe faaliyet gösteren, 50 personele sahip bir fabrika ile turizm sektöründe faaliyet gösteren 50 personele sahip bir otelin kişisel veri işleme kapasitesi aynı değildir. Dolayısı ile Uyum Süreci de fabrikaya göre otelde daha uzundur.
Bunun temel sebebi ise fabrikanın çalışan personel dışında genel olarak şirketler ile çalışması, tüzel kişiler ile muhatap olmasıdır. Oteller ise hem gerçek kişiler ile hem tüzel kişiler ile muhatap olarak veri alış verişinde bulunmaktadır.
Bu sebeple bir otelin KVKK Uyum Süreci çetrefilli ve dikkat edilmesi gereken noktalar ile doludur. Bu yazı ile amacımız KVKK Uyum Sürecine başlamayan veya süreç içerisinde olan otellerin dikkatini önemli gördüğümüz bazı noktalara çekmektir.
KVKK Uyum Sürecinde önemli noktalardan ilki şirketin kişisel veri haritasının çıkarılmasıdır. Böylece şirketin veri alış verişinde bulunduğu noktalar tespit edilip gerekli önlemler alınarak KVKK ‘ya uygun hale getirebilirsiniz.
Bir otelin KVKK Uyum Süreci anlamında dikkat edilmesi gereken noktaları öncelikle otelin işleyişi ile başlamalıyız.
1-Acenta
Oteller büyüklüğüne göre değişmekle birlikte kış döneminde 50-100 personele yaz döneminde ise 200-250 personele sahiptir. Kışın otel yönetimi ve personeli yurt içi ve yurt dışındaki turizm seyahat acenteleri ile işbirliği yaparak yaz dönemi için turist arayışına girer.
Ortalama büyüklükte bir otelin yıllık 20.000 ile 40.000 arasında turist ağırladığını düşünürsek (değişmekle birlikte 80.000-100.000’de olabilir) bu kadar çok kişiye ait kişisel verinin bir yaz döneminde otelin sistemi içerisinden geçtiğini söylebiliriz.
Bu noktada;
A-Otel ile turizm seyahat acentesi arasındaki sözleşmeyi KVKK anlamında inceleyerek gerekli işlemleri gerçekleştirmek, mevzuata aykırı unsurları gidermek gerekmektedir.
B-İş hacmi ve faaliyet alanı ile ilgili olarak otelin ilişki içinde olduğu kişisel verinin çok olması sebebiyle, hiçbir kişisel veri noktasını göz ardı etmeyen, hataya yer bırakmayacak, kurul kararları ışığında güncel bir Kişisel Veri Koruma Sistemi kurulması gereklidir.
2-Diğer Hizmetler
Oteller müşterilerine daha kaliteli hizmet verebilmek için, kendi otel sınırları içinde Kuyumcu, Fotoğrafçı vb. farklı sektörlerden ofislere de yer vermektedir. Hukuken Otel kiraya veren, kuyumcu ise kiralayan sıfatındadır. Aralarında her ne kadar kira sözleşmesi de olsa KVKK anlamında kuyumcunun yapacağı herhangi bir kanuna aykırılığın sorumlusu Otelin tüzel kişiliğidir. Çünkü otel KVKK anlamında denetim ve gözetim yükümlülüğünü devredemez.
Ancak tabi ki doğacak maddi zarar sebebi ile otel doğacak olan zararı kuyumcuya rücu edebilecektir.
Bu noktada;
Dolayısı ile otel ile fotoğrafçı arasındaki sözleşmenin yine KVKK anlamında mevzuata uygun şekilde düzenlenmesi, gerekli metinlerin eklenmesi gereklidir.
3-Sosyal Medya
Oteller tanıtım ve reklam amaçlı olarak müşterilerine ait fotoğraf, video vb. şekilde görsel ve işitsel kayıt almaktadır.
Bu işlem genel olarak turistlerin gün içinde otel hizmetlerinden faydalanması sırasında veya akşam yapılacak olan etkinlik ve aktiviteler sırasında (Konser, Tiyatro vb.) yapılmaktadır.
Bu görüntüler;
-Otelin sosyal medya hesaplarında, (İnstagram, Facebook, Twitter vb.)
-Otele ait Takvim, ajanda vb. kırtasiye ürünleri üzerinde,
-Otele ait reklam ve promosyon ürünleri üzerinde,
Kullanılmaktadır.
Bu noktada;
-Görsel ve İşitsel kaydı alınan kişinin açık rızası KVKK mevzuatına uygun şekilde ancak otelinde iş akışını kesintiye uğratmayacak şekilde alınması gereklidir.
4-Ön Büro
Oteller, müşteri kaydını yapabilmek için genel olarak ön büroyu ikiye ayırarak işlem yapmaktadır. İki kısımda toplam 10 personelin çalıştığını varsayalım.
İlk kısım müşteri ile birebir muhatap olan kısımdır. Bu kısımda;
-Müşteri ‘’register card’’(Konaklama belgesi) doldurur,
-Otel personeli tarafından müşterinin pasaport veya kimlik fotokopisi alınır.
İkinci kısımda ise;
-Eğer otel içerisinde hizmet dâhilinde ise müşteri için Wi-fi hizmetinin açılışı,
-Müşterinin kimlik bilgilerinin KBS ‘ye girişi sağlanır.(Bu kısımda müşterisinin bazı kimlik bilgilerini kanunen zorunlu tutulan, polis ile entegre şekilde çalışan Kimlik Bilgi Sistemi isimli bilgisayar programına girmektedir.)
Bu noktada;
-Otel, ön büroda çalışan 10 personelin Kişisel Veri anlamındaki sorumluluklarını sözleşme ile belirleyerek tüzel kişiliğini idari para cezası yaptırımından korumalıdır. Yani otel ile ön büro personeli arasında KVKK ve mevzuata uygun şekilde ‘’cezai şart’’ içeren sözleşme imzalanmalıdır.
-Sözleşmenin neden önemli olduğunu bir örnek ile açıklamak gerekirse; Ön büroda işlem yapan otel personeli mesai saatleri dışında ve şahsi cep telefonu ile register card üzerinden öğrendiği müşteriye ait iletişim bilgileri ile müşteriye ulaşması, rahatsız etmesi vb. durumlar halinde ilk sorumlu Otelin tüzel kişiliği sonra ilgili personel olacaktır.
5-Email
“Bilgi ve İletişim Güvenliği Tedbirleri” başlığını taşıyan Cumhurbaşkanlığı Genelgesi ve KVK Kurulu tarafından yayınlanan ilgili karar sonucunda Office 365 vb. sistemleri kullanan şirketlerin yurt içinde bir e-mail hizmeti sunan sunucu ile çalışması neredeyse zorunlu hale geldi diyebiliriz.
Bu kapsama giren şirketler, anlık olarak e-mail trafiğini Kişisel Verilerin Korunması Kanunu, Kişisel Verilerin Korunması Kurulu ve yasal mevzuata uygun hale getirmek için yerli sunucu tercih etmek yerine, bulunan alternatif yollar kullanılmalı ve şirket içinde hayata geçirilmelidir.18.05.2020
AV.ÖZGÜR DOĞAN