OTELLERİN KVK KANUNU’NA UYUM SÜRECİ

KVK Kanunu, kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişiler hakkında uygulanır. Yani aslında KVKK, tüm şirketleri kapsamaktadır. Ancak her şirketin KVKK’ya Uyum Süreci, faaliyet gösterdiği sektöre göre farklılık göstermektedir. Bu kapsamda Turizm sektörü içerisinde olan oteller de işledikleri kişisel verilerin çokluğu ve çeşitliliği bakımından KVKK kapsamına girmekle birlikte birçok yükümlülüğü yerine getirmekle mükellef hale gelmişlerdir. Bu sebeple bir otelin KVKK Uyum Süreci karmaşık ve dikkat edilmesi gereken noktalar ile doludur.

AYDINLATMA VE AÇIK RIZA YÜKÜMLÜLÜĞÜ

Aydınlatma ve Açık Rıza bildirimleriyle ilgili ispat yükümlülüğü veri sorumlusu olan otellere bırakılmıştır. Oteller de KVKK kapsamındaki diğer tüm veri sorumluları gibi, kişisel verilerini işledikleri ilgili kişilere, veri işleme faaliyetleri esnasında Aydınlatma Yükümlülüğünü yerine getirmek zorundadırlar. Bunun yanında gereken durumlar için ilgili kişilerin mutlak suretle Açık Rızaları alınmalıdır. Otellerde Açık Rıza gerektiren durumlara örnek olarak; Personel tarafında özlük dosyası oluşturulurken alınan sağlık raporları ve adli sicil kaydı bilgileri, misafirler tarafında ise besin alerjisi, sauna gibi yüksek sıcaklık barındıran yerlerde kalp krizi riski açısından alınan özel nitelikli veriler ile otel etkinliklerinde alınan video ve fotoğrafların internet ortamında, tanıtım broşürlerinde vs. yayınlanması faaliyetleri verilebilir.

hosting2 offer icon 2
hosting2 offer icon 3

VERBİS’E KAYIT YÜKÜMLÜLÜĞÜ

Kişisel Verileri Koruma Kurumu; Yıllık çalışan sayısı 50’den fazla olan veya aktif büyüklüğü 25 milyon TL’den çok olan veri sorumlularının Verbis sistemine kaydolma zorunluluğu getirmiş olup, bu yükümlülüğü yerine getirmeyenlerle ilgili 39.000 ila 1.966.000 TL arasında idari para cezası yaptırımı bulunmaktadır. Bu kriterleri sağlayan otellerin, 31.12.2021 tarihine kadar KVK Kurumu’na bağlı Verbis sistemine kayıt olarak işlenen kişisel verilerle ilgili bildirim yapmaları gerekmektedir. Oteller, Verbis bildirimleri ile Aydınlatma ve Açık rıza bildirimleri tarafındaki yükümlülüklerini Kanuna uygun bir şekilde yerine getirebilmek için bir Kişisel Veri Envanteri oluşturmak mecburiyetindedirler.

TEKNİK VE İDARİ TEDBİRLERİN ALINMASI YÜKÜMLÜLÜĞÜ

Kanunun 12 nci maddesinin birinci fıkrasında; “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü yer almaktadır. Bu kapsamda Oteller ve turizm şirketleri, bünyelerindeki kişisel verilerin korunması için idari ve teknik yönden gerekli ve yeterli tedbirleri almakla yükümlüdürler. Veri ihlaline ve sonrasında idari ve adli cezalara muhatap olmamak için bu tedbirlerin alınması zaruridir.

hosting2 offer icon 3
hosting2 offer icon 3

YAPILAN BAŞVURULARIN CEVAPLANMASI YÜKÜMLÜLÜĞÜ

Oteller, KVKK kapsamında ilgili kişilerden gelen başvuruları 30 gün içerisinde cevaplamakla yükümlüdürler. Oteller, kişisel verisini işledikleri ilgili kişilere, başvuru hakkı ile ilgili iletişim kanalları açmak ve başvuruların ne şekilde yapılacağını ilan etmek durumundadır. Kişiler başvurularını yazılı olarak yapabilecekleri gibi KVK Kurulunun belirlediği diğer yöntemlerle de yapabileceklerdir. KANUNA AYKIRILIK VE YAPTIRIMLAR Otellerdeki kişisel veri işlenmesi faaliyetlerinde kanuna aykırılık durumunda, 9.834 1.966.862 tl arasında idari para cezasının yanında, TCK´na göre 4,5 yıla kadar da hapis cezası söz konusu olabilmektedir. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ YÜKÜMLÜLÜĞÜ KVK Kanununda, “kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir” hükmü yer almaktadır. Buna bağlı olarak otellerde alınan kişisel verilerin saklama süreleri dolduğunda ya da işlenmesini gerektiren sebepler ortadan kalktığında oteller bu kişisel verilerle ilgili imha süreçlerini gerçekleştirmekle yükümlüdürler. Bunun için ilgili kişinin başvurusu şart değildir. Oteller, ilgili yönetmelik çerçevesinde kişisel veri saklama ve imha politikası hazırlamalı, ve bu politika kapsamında yılda 6 aylık periyotlarda olmak üzere en az iki defa imha süreci gerçekleştirmelidir. İmha süreçleri mutlak suretle tutanak ile kayıt altına alınmalı ve bu imha tutanakları 3 yıl süre ile saklanmalıdır. EĞİTİM YÜKÜMLÜLÜĞÜ Oteller KVK Kanunu gereğince, çalışanlarına yönelik eğitim ve farkındalık çalışmaları yapmakla mükelleftirler. KVKK Farkındalık Eğitimi ile; çalışanların hem kendi verilerinin hem de müşterilere ait kişisel verilerin korunması ile ilgili bilgi sahibi olması sağlanacaktır. DENETİM YÜKÜMLÜLÜĞÜ KVK Kanunu, ayrıca veri güvenliğine ilişkin olarak otellere denetim yükümlülüğü getirmiştir. Oteller, kendi bünyelerinde, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Dolayısıyla, veri sorumlusu olan otel, bu denetimleri kendisi gerçekleştirebileceği gibi, bir üçüncü kişi vasıtasıyla da gerçekleştirebilecektir. Eğitim ve Denetim ile ilgili yapılan iş ve işlemlerin, ispat yükümlülüğü kapsamında kayıt altına alınması gerekmektedir. KVK KURUL KARARLARININ TAKİBİ VE GDPR KVK KURUL KARARLARININ TAKİBİ VE UYGULANMASI YÜKÜMLÜLÜĞÜ Kişisel Verileri Koruma Kurulu, ihtiyaç duyması halinde farkı zamanlarda kanunun uygulanmasıyla ilgili ilke kurul kararları yayınlamaktadır. Ayrıca inceleme ve şikayet üzerine veya resen görev alanıyla ilgili olarak da kararlar vermekte ve uygulanmasını istemektedir. Oteller, Kurul’un yayınlamış olduğu bu kararları takip etmek ve uygulamakla yükümlüdür. OTELLERE BAKAN TARAFIYLA GDPR (General Data Protection Regulation) Avrupa Birliği tarafında, kişisel verilerin korunmasıyla ilgili, orijinal adı General Data Protection Regulation (GDPR) olan Genel Veri Koruma Yönetmeliği oluşturulmuştur. 2016 yılında yürürlüğe giren bu metin ile Avrupa Birliği ve Avrupa Birliği Ekonomik Alanı içerisinde yer alan her bireye ait veriler, üstün bir korumaya tabi tutulmuştur. GDPR’ın uygulama alanı yer bakımından değil, kişi bakımından belirlenmiştir. Dolayısıyla Avrupa Birliği içinde yaşayan bir bireyin verilerini işleyen ve Avrupa Birliği doşında yer alan bir şirket de söz konusu yönetmelik uyarınca sorumlu tutulabilecektir. İhlallerin, işletmeleri 20 milyon Euro veya global cironun %4’ü gibi ağır cezalarla karşı karşıya bırakması GDPR’a uyum sürecini oldukça önemli bir hale getirmektedir. Bundan dolayı Avrupa ülkelerinden gelen ziyaretçileri ile ilgili olarak oteller ve acenteler gibi turizm sektöründe faaliyet gösteren şirketlerin, KVKK’nın yanında GDPR’a da uyum göstermesi gerekecek; aksi halde yüksek miktarda cezalar ile karşı karşıya gelme durumu söz konusu olacaktır. ÖZETLE OTELLERDE VE TURİZM ŞİRKETLERİNDE KVK KANUNU’NA UYUM İÇİN; YAPILMASI GEREKENLER Kişisel veri işleme envanteri hazırlanmalı. Saklama ve imha politikası oluşturulmalı. Personelle ve veri paylaşım yapılan yerlerle gizlilik sözleşmeleri yapılmalı. İşletme bünyesindeki kişisel verilerin korunması için her türlü teknik ve idari güvenlik tedbirleri alınmalı Verbis kaydı ve bildirimleri yapılmalı. Açık Rıza ve Aydınlatma bildirimleri ispata esas teşkil edecek şekilde yapılmalı. Verilerin paylaşım alanları (acente, avukat, ymm vb) kontrolleri yapılmalı. Veri imha süreçleri takip edilmeli. Çalışanlara eğitim ve farkındalık çalışmaları yapılmalı. Farklı zamanlarda KVKK denetimleri yapılmalı. Müracaat eden kişilerin başvuruları mevzuata uygun sürede cevaplanmalı. Ayrıca AB ve diğer ülke vatandaşları açısından da veri koruma ilkelerine uyulmalıdır.