Otellerde Kişisel Verilerin Korunması Kanunu

Otelcilik ve konaklama sektörü, misafirlerine sunduğu hizmetin kalitesi kadar, kişisel verilerin korunmasına yönelik sorumluluklarıyla da öne çıkmaktadır. Oteller; kimlik bilgileri, iletişim bilgileri, ödeme verileri, sağlık verileri gibi pek çok kişisel veriyi toplamakta ve işlemektedir. Bu verilerin çeşitliliği ve kapsamı nedeniyle, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) oteller için bağlayıcı nitelikte yasal yükümlülükler doğurmaktadır.

Otele giriş işlemlerinden çıkış sürecine kadar uzanan her aşamada toplanan veriler, yasal, etik ve teknik birçok sorumluluğu beraberinde getirmektedir. Bu nedenle otellerde KVKK uyumluluğu yalnızca yasal bir zorunluluk değil, aynı zamanda kurumsal itibar ve müşteri güveni açısından da vazgeçilmez bir unsurdur.

Otel ve konaklama sektöründe kişisel verilerin korunmasına ilişkin dikkat edilmesi gereken başlıca konuları ele aldığımız bu içeriğimizde, hem yasal çerçeveyi hem de pratik uygulamaları detaylı şekilde inceleyebilirsiniz. Hepinize iyi günler ve keyifli okumalar dileriz. 

Oteller İçin KVKK Neden Önemlidir?

Oteller için KVKK uyumu, yasal zorunlulukların yanı sıra müşteri memnuniyeti ve marka güvenliği açısından kritik bir süreçtir. Uyulmaması durumunda ciddi para cezaları ve itibar kaybı yaşanabilir.

Misafirlerin kişisel verilerinin hangi amaçlarla ve kimlerle paylaşıldığı, otel girişinde sunulan aydınlatma metni ile açıkça belirtilmelidir. Ayrıca, olası veri ihlallerine karşı hızlı müdahale için önceden planlama yapmak zorunludur.

Bu nedenle, KVKK uyumu otellerin hem yasal hem de müşteri güvenini koruma açısından vazgeçilmez bir gerekliliktir. 

Otellerde Toplanan Kişisel Veriler Nelerdir?

Oteller, konukların kişisel verilerini yasal düzenlemelere uygun şekilde toplamak, güvenli ortamda saklamak ve belirlenen süre sonunda imha etmekle yükümlüdür. Bu yükümlülüklere uyulmaması; ağır para cezaları, yasal yaptırımlar ve itibar kaybına yol açabilir.

Bir otelde genellikle aşağıdaki kişisel veriler işlenir:

• Kimlik Bilgileri: Ad, soyadı, T.C. kimlik veya pasaport numarası, doğum tarihi ve uyruk bilgileri, hem yasal hem de güvenlik amacıyla toplanır.
• İletişim Bilgileri: Telefon, e-posta, adres gibi veriler; iletişimin sağlanması ve kampanyaların duyurulması için işlenir.
• Finansal Bilgiler: Ödeme işlemleri için kart bilgileri, IBAN ve fatura detayları KVKK’ya uygun şekilde işlenir. 
• Konaklama Bilgileri: Giriş-çıkış tarihleri, oda tercihleri (sigara içilmeyen oda, balayı vb.) ve ek hizmet talepleri kişiselleştirme amacıyla kaydedilir.
• Sağlık Verileri: Alerji veya engellilik durumu gibi hassas sağlık bilgileri, misafirin açık rızasıyla ve sadece zorunlu hallerde işlenir.

Otellerin işlemiş olduğu bu veriler 6698 sayılı KVKK kapsamında değerlendirilip, şeffaflık, açık rıza ve veri güvenliği prensiplerine uygun bir şekilde gerçekleşmelidir. Aynı zamanda otel KVKK aydınlatma metni aracılığıyla konuklarını bilgilendirmeli ve toplanma amacını net bir şekilde açıklamalıdır. 

Otel veya Konaklama Sektöründe KVKK İhlali Olursa Ne Olur?

Otellerde kişisel verilerin korunması yasalara uygun bir şekilde yerine getirilmediği takdirde yapılan ihlale göre değişiklik gösteren ciddi yasal sonuçlar doğurmaktadır. Tabi verilen cezaların yanı sıra en önemlisi otelin itibarının zedelenmesi ve müşteride sağladığı güveni kaybetmesidir. Bu kapsamda yapılan ihlal ve doğurduğu sonuçlar bazı durumlarda otelin faaliyet durdurmasına bile sebep olabilir. 

Kişisel verilerin hukuka aykırı olarak kaydedilmesi, değiştirilmesi, silinmesi veya yok edilmemesi hâlinde Türk Ceza Kanunu’nun (TCK) 135. maddesi uyarınca 1 yıldan 3 yıla kadar hapis cezası uygulanabilir. KVKK’nın 18. maddesi uyarınca, veri sorumlularının yükümlülüklerini ihlal etmeleri halinde, Kişisel Verileri Koruma Kurulu tarafından 68.083 TL’den başlayıp 13.620.402 TL’ye kadar idari para cezası uygulanabilir. Ceza miktarı, ihlalin niteliği ve ağırlığına göre artış gösterebilir.

Otellerde Kişisel Veri İhlaline Karşı Hangi Önlemler Alınmalı?

Otellerin KVKK kapsamında misafirlerine ait kişisel verileri güvenli bir şekilde muhafaza etmesi ve her türlü ihlale karşı koruması yasal olarak zorunludur. Peki oteller için KVKK bu denli önemliyken oluşabilecek ihlallere karşı hangi önlemler alınmalıdır?

• Veri güvenliği sağlanmalı: Otellerin kullandığı ve müşterilerin verilerini içeren veri tabanlarının oluşabilecek herhangi bir siber saldırıya karşı önlem almaları gerekir. Bunun için antivirüs programlarını güncel tutmalı ve güvenlik duvarını bu tür ihlallere karşı hazır hale getirilmelidir.
• Aydınlatma metni hazırlanmalı ve paylaşılmalı: Oluşabilecek veri ihlaline karşı otel aydınlatma metni hazırlanarak, müşterilere toplanan verilerin neden toplanıp nasıl işlendiği ve ne kadar süre saklandığı şeffaf bir şekilde belirtilmelidir. Ayrıca  KVKK aydınlatma metni rezervasyon sırasında ve otelin internet sitesinde müşteriye paylaşılmalıdır. 
• Personellere eğitim verilmeli: Çalışanlar tarafından oluşabilecek veri ihlallerinin önüne geçmek ve otellerde kişisel verilerin daha korunaklı olması için personellerin bilinçlendirilmesi gerekmektedir.
• Fiziksel saklanan belgeler korunmalı: Fiziki olarak kayıt alıyorsanız bu belgeleri muhakkak kilitli dolaplarda muhafaza edilmeli. Ayrıca düzenli aralıklarla kontrol edilip, süresi geçenleri de imha edilmeli. 
• İhlallere karşı kriz planı oluşturulmalı: Her ne kadar önlem alınsa da oluşabilecek bir veri ihlaline karşı plan yapılmalı. Çünkü böyle bir durumda derhal kişisel verileri koruma kurumuna gerekli bildirimi yapmalı ve durumun büyümemesi için teknik ve idari önlemleri devreye koyulmalı. Ek olarak bu durumdan etkilenen misafirler için de gerekli bilgilendirmenin yapılması şarttır. 

Otellerde Kişisel Verilerin Korunması İhlal Edildiğinde Neler Yapılmalı?

Otellerde kişisel verilerin korunması her ne kadar yasal düzenlemelere uygun şekilde yürütülse ve çeşitli önlemler alınsa da, zaman zaman ihlaller meydana gelebilmektedir. Teknik açıklar, insan hataları veya siber saldırılar gibi nedenlerle veri güvenliği riske girebilir. Peki otellerde kişisel veri ihlali olduğunda neler yapılmalı? 

• İhlal fark edildiği an hareket geçilmesi: Veri ihlaline karşı en kritik adım ihlal fark edildiği an harekete geçilmesidir. Bu tür durumlarda sistemlerde yaşanan izinsiz erişimler analiz edilerek siber güvenlik izleme siteleri devreye girerek ihlalin kaynağı tespit edilebilir. 
• Bildirim yapılması: İlk krizi atlattıktan sonra veri sorumlusu olan otel işletmesi, ihlali öğrendiği andan itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurumu’na bildirimde bulunmakla yükümlüdür.
• Misafirlerin bilgilendirilmesi: Veri ihlalinden olumsuz etkilenen misafirlere bilgilendirilme yapılmalıdır. 
• Güvenlik açıklarının kapatılması: Yaşanan veri ihlalin tekrar yaşanmaması için oluşan güvenlik açıklarının kapatılması ve altyapının gözden geçirilip güçlendirilmesi gerekir.
• Belgelendirme ve raporlama yapılmalı: Oluşan ihlal, alınan önlemler ve yapılan bildirimlerden yazışmalara kadar belgelendirilmeli ve raporlandırılmalıdır. Bu raporlar denetimlerde sunulmak üzere arşivde muhafaza edilmelidir. 

KVKK Uyum Süreci Oteller İçin Nasıl Planlanmalıdır?

Otellerin kişisel verileri nasıl topladığı, sakladığı ve paylaştığı süreçler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında değerlendirilmektedir. Bu nedenle otel işletmeleri, Kurum denetimine tabi olduklarını bilerek KVKK uyum sürecini profesyonelce planlamalı ve doğru şekilde uygulamalıdır. “Peki oteller için KVKK uyum süreci nasıl planlanmalıdır?” kısmına geldiğimizde  KVKK uyumunun ilk adımı kişisel veri envanterinin hazırlanmasıdır. Bu envanterde, otelin hangi kişisel verileri topladığı, bu verileri hangi amaçlarla işlediği, ne kadar süreyle sakladığı ve kimlerle, hangi hukuki sebebe dayanarak paylaştığı açık şekilde belirtilmelidir. Sağlıklı oluşturulmuş bir envanter, uyum sürecinin temel taşını oluşturur.

Bunun ardından aydınlatma metinleri ve açık rıza formları hazırlanmalıdır. Bu belgelerde, misafirlerin rezervasyon ve konaklama süreçlerinde hangi verilerinin işleneceği ve bu verilerin ne amaçla kullanılacağı açık ve sade bir dille belirtilmelidir. Gerekli durumlarda açık rıza alınmalıdır. Aksi takdirde, otel işletmesi KVKK’nın 10. ve 11. maddelerinde düzenlenen yükümlülüklerini yerine getirmemiş sayılır ve bu durum ciddi idari yaptırımlarla sonuçlanabilir. 

Sonrasında ön bürodan temizlik personeline kadar tüm çalışanların kişisel veri güvenliği konusunda bilgilendirilmesi gerekir. Böylece verilerin yanlışlıkla veya bilmeden ihlal edilmesi de önlenmiş olur. Ayrıca, otelin dijital sistemleri –örneğin otel yönetim yazılımları, güvenlik kameraları, internet ağları– teknik önlemlerle korunmalı ve veri sızıntılarına karşı gerekli yazılım ve donanım desteği sağlanmalıdır.

Son olarak da KVKK uyum süreci periyodik olarak gözden geçirilmeli ve gerekli güncellemeler yapılmalıdır. Bu şekilde KVKK uyum süreci titizlikle ve düzenli bir şekilde planlanmış olur.

KVKK Kapsamında Müşteri Bilgilendirme Süreci

Otellerde müşteri bilgilendirme süreci, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında en önemli yükümlülüklerden biridir. Çünkü kişisel verilerin hangi amaçla, hangi yöntemle ve hangi hukuki dayanağa göre işlendiğinin müşterilere açıkça bildirilmesi, uyum sürecinin ilk adımını oluşturur.

Özellikle kimlik, iletişim, ödeme ve benzeri kişisel veriler işlenmeden önce misafirlerin bilgilendirilmesi gerekir. Bu bilgilendirme sürecinde; verilerin kim tarafından işlendiği, hangi amaçlarla kullanılacağı, kimlerle paylaşılabileceği ve ilgili kişilerin sahip olduğu haklar açık bir dille anlatılmalıdır.

Bu bilgilendirmenin içerisinde müşteri verisinin kim tarafından hangi amaçla işlendiğini, kiminle paylaşılabileceği ve hangi haklara sahip olduğunu öğrenir. Otel KVKK uyumunun temeli olan bu süreç tüm şeffaflığı ile otel KVKK aydınlatma metni aracılığı ile yapılmaktadır. Müşteri bilgilendirme süreci ne kadar eksiksiz ve yasalara uygun yapılırsa müşterinin otelden aldığı güven ve bağlılığı o kadar güçlü olur. 

Otel KVKK Aydınlatma Metni Hazırlarken Dikkat Edilmesi Gerekenler

Otel aydınlatma metni hazırlanırken dikkat edilmesi gereken bazı önemli detaylar yer alır. Bu detaylar yasal süreçlere uyulması ve şeffaf bir şekilde misafirlere aktarılması adına oldukça önemlidir. Bu kapsam bağlamında dikkat edilmesi gerekenler şunlardır;

• Açık ve anlaşılır olmalı: Otel aydınlatma metni hazırlanırken herkese hitap eden, kolay, anlaşılır, sade ve açık bir dil tercih edilmelidir. Çünkü verilerinin neden alınıp, nasıl kullanacağını müşteri tarafından direkt olarak kavrayabilmesi gerekmektedir. 
• İşlenen veriler açıkça listelenmelidir: Verilerin korunması şeffaflığa dayanan bu süreçte işlenen tüm veriler net bir şekilde belirtilmeli ve listelenmelidir. 
• Amaç belirtilmelidir: İşlenecek verileri net bir şekilde belirttiyseniz bunların hangi amaçla kullanıldığını da detaylandırmalısınız. Aksi halde müşteride herhangi bir soru işareti kalmasını istemeyiz. 
• Hukuki dayanaklarla desteklenmeli: Ne kadar açık ve anlaşılır bir dil kullanılması gerekse de yapılan faaliyetlerin KVKK’nın hangi maddesine dayandığı belirtilmeli ve yasal zemin oluşturulmalıdır. 
• Verilerin kimlerle paylaşıldığı belirtilmeli: İşlenen veriler üçüncü taraflarla paylaşılıyorsa bu bilgiler de otel KVKK aydınlatma metni içerisinde açıkça belirtilmelidir. 
• Politikalar eklenmeli: Otel aydınlatma metni hazırlanırken kişisel verilerin ne kadar süreyle saklanacağı ve saklama süresi dolduktan sonra nasıl imha edileceği gibi detaylar politikaya eklenmelidir.
• Müşterinin hakları belirtilmeli: Müşterinin toplanan veriler üzerinde bilgi talep etme, düzeltme, silinmesini talep etme veya itiraz etme gibi çeşitli hakları mevcuttur. Bu haklar da açık bir şekilde belirtilmeli ve müşterinin kendini güvende hissetmesi sağlanmalıdır. 
• İletişim bilgileri eklenmeli: Metnin sonunda müşteri veri sorumlusu ile iletişime geçmek istediği takdirde ulaşabileceği iletişim bilgilerinin yer alması gerekmektedir. 

Otellerde Kişisel Verilerin Korunması Kanunu’na (KVKK) uygun şekilde hazırlanan ve uygulanan süreçler sayesinde hem veri güvenliği sağlanır hem de olası ihlallere karşı ceza riski en aza indirilir. Bu kapsamda hazırlanan KVKK aydınlatma metni, sürecin şeffaf bir şekilde yönetilmesine olanak tanır. Aynı zamanda müşterilerin güvenini kazanarak otelin sektörde güçlü ve sürdürülebilir bir konum elde etmesini sağlar. Böylelikle otel KVKK aydınlatma metni ile süreci daha şeffaf bir şekilde yönetebilir ve müşterilerin güvenini kazanarak sektörde emin adımlarla ilerleyebilirsiniz.

Siz de otellerdeki kişisel verileri koruma kanunu hakkında danışmanlık almak istiyorsanız, hemen Sistem Global’in KVKK Danışmanlığı hizmetinden yararlanabilirsiniz.