Publications Come back

OTELLERDE KİŞİSEL VERİLERİN KORUNMASI MEVZUATINA UYUM

06.02.2018

7 Nisan 2016 tarihli Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanun”) ve bu Kanuna dayalı olarak Kişisel Verilerin Korunması Kurulu (“Kurul”) tarafından çıkarılan ikinci düzenlemeler ile, gerçek kişilere ait kişisel verileri işleyen tüm kamu kurumları ve özel hukuk kişilerine söz konusu verilerin işlenmesi, saklanması ve imhası konusunda önemli yükümlülükler getirilmiş ve bu yükümlülüklere aykırılık idari ve cezai yaptırımlara tabi tutulmuştur.

Oteller de turist sezonuna göre sirkülasyona uğrayan çok sayıda personele ve sayısı on binleri aşan konaklama müşterilere ait önemli miktarda genel ve özel nitelikli kişisel veriyi işlemeleri sebebiyle, KVK Kanuna uyum sağlaması gereken işletmelerin başında gelmektedir. Her bir otelin ayrı bir yönetiminin olması, otel içerisinde SPA, kuaför, terzi gibi bağımsız firmaların hizmet vermesi ve otelin işletmesinin başka bir otel grubuna bırakılması gibi etkenler, oteller açısından KVK ile uyum sürecini özelleştirebilmektedir.

Otellerin, veri sorumlusu olarak KVK Kanun ve ilgili ikincil mevzuata uyum süreci aşağıdaki gibi tanımlanabilir. Otelin işletmesinin başka bir firmaya kar paylaşımı karşılığında bırakıldığı durumlarda, hem otel sahibi hem de işletmeci firma, veri sorumlusu olarak aşağıda bahsedilen yükümlülüklere tabi olabilir.

1. Veri Sahibinin Açık Rızasının Alınması

KVK Kanunu’nun 5 inci ve 6 ıncı maddelerinde, genel ve özel nitelikli kişisel verilerin işlenebilmesi için kural olarak veri sahibinin açık rızasının alınması gerektiği, ancak bazı istisnai hallerde veri sahibinin rızası olmaksızın da verilerin işlenebileceği düzenlenmiştir. Bu nedenle, uyum çalışmaları kapsamında, oteller, veri sorumlusu olarak işledikleri veriler ile veri işleme amaçlarını tespit ve tasnif ederek, gerçekleştirilen analiz sonuçlarına göre istisnai haller kapsamına giren ve girmeyen durumları, hangi veri sahiplerinden rıza alınması gerektiğini, rızanın içeriğini ve nasıl temin edileceğini belirlemeli ve rıza alınmasının gerekli olduğu durumlarda veri sahiplerinden rıza alınmasına yönelik çalışmalara başlamalıdır.

2. Aydınlatma Yükümlülüğünün Yerine Getirilmesi

KVK Kanunu’nun 10 uncu maddesi uyarınca, veri sorumluları, bizzat veya yetkilendirdikleri kişiler aracılığıyla, veri sahiplerine, kişisel verilerin toplanma yöntemini ve işlenme amaçlarını, verilerin aktarıldığı üçüncü kişileri ve veri sahibinin KVK Kanunu m.11’de sayılan haklarını içeren bir aydınlatma bildiriminde bulunması gerekmektedir. Rıza gerekliliğinin aksine, aydınlatma yükümlülüğünün KVK Kanunu m.28/f.2’de belirtilen oldukça sınırlı sayıda istisnası bulunmakta olup, Kanun’un 5 veya 6 ncı maddeleri uyarınca rıza alınması zorunlu olmayan durumlarda dahi, aydınlatma yükümlülüğünün devam edebileceğine dikkat edilmelidir.

Oteller de veri sorumlusu olarak verilerini işlemiş oldukları kişilere aydınlatma bildiriminde bulunmakla yükümlüdür. Aydınlatma bildirimin asgari içeriği, KVK Kanunu’nun 10 uncu maddesinde tarif edilmekle birlikte, bildirimin nihai içeriği, hangi kanallar aracılığıyla yapılacağı ve bildirimde bulunulacak veri sahipleri, her bir otel özelinde farklılaşabilmektedir. Bu nedenle, aydınlatma yükümlülüğünün yerine getirilmesine ilişkin süreç; otelin iç işleyişi, veri işleme amaç ve yöntemleri ile veri sorumlusu ve veri sahipleri arasındaki ilişkinin türü ve niteliği gibi kriterler göz önünde bulundurularak belirlenmeli ve yürütülmelidir.

3. Veri Sorumluları Sicili’ne Kayıt Olunması ve Kişisel Veri Envanterinin Hazırlanması

KVK Kanunu m.16 ve 30.12.2017 tarih ve 30286 sayılı Resmi Gazetede yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik (“Sicil Yönetmeliği”) uyarınca, Kurul tarafından istisna tutulanlar dışında tüm veri sorumlularına, kamuya açık şekilde elektronik olarak tutulacak olan Veri Sorumluları Siciline (“Sicil”) kaydolma yükümlülüğü getirilmiştir. Bu kaydın gerçekleştirileceği VERBİS sistemi tamamlanmadığı ve Kurul tarafından istisna tutulan veri sorumluları belirlenmediği için, Sicile kayıt yükümlülüğü henüz başlamamıştır. Kurul, yükümlülüğün başlangıcını bu konuda bir karar alarak kamuoyuna duyuracaktır. İşlemiş oldukları verilerin kapsamı ve çeşitliliği dikkate alındığında, otellerin Sicile kayıt yükümlülüğünden istisna tutulması ihtimali çok düşüktür.

Sicil Yönetmeliği uyarınca, Sicile kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları bir kişisel veri envanteri hazırlamakla yükümlüdürler. Sicile kaydolmakla zorunlu olacağı öngörülen oteller de söz konusu şekilde bir kişisel veri envanteri hazırlamakla yükümlü olacaktır.

4. Kişisel Verilerin Güvenliğinin Sağlanması ve İmhası

Otel işletmelerinin KVK Kanunu kapsamında veri sorumlusu olarak tabi olduğu yükümlülükler, veri sahiplerinin rızalarını temin etmek ve bu kişilere aydınlatma bildiriminde bulunmakla sona ermemektedir. Oteller, ayrıca (i) KVK Kanunu m.7 uyarınca, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verileri resen veya ilgili kişinin talebi üzerine imha etme, (ii) KVK Kanunu’nun 12 nci maddesi uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı erişilmesini önleme ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma ve (iii) Kanun’un 13 üncü maddesi uyarınca veri sahiplerinin başvurularını cevaplandırmak üzere gerekli sistemi kurma yükümlülükleri altındadır.

Oteller, veri güvenliğine ilişkin yükümlülüklerini yerine getirilebilmeleri amacıyla, özellikle önce kişisel verileri güvenli ortamlarda saklamalı, verilerin gereksiz yere çoğaltılmasını engellemeli, verilere işletme içerisinde erişimi görev bazlı sınırlamalı ve verileri aktardıkları veya bu verilere erişim sağlamış oldukları tüm tedarikçi, iş ortağı ve alt yüklenicilerine kişisel verilerin korunması konusunda yükümlülükler içeren bir gizlilik sözleşmesi imzalatmalıdır.

Sicile kaydolmakla yükümlü olan oteller, ayrıca 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik m.6’da öngörülen içeriğe sahip bir kişisel verilerin saklanması ve imhası politikası hazırlayarak kişisel verilerin imhası süre ve süreçlerini belirlemesi gerekmektedir. Oteller, kişisel verilerin saklanması ve imhası politikasının uygulanmasına yönelik diğer kurum içi prosedürleri oluşturmalı, iş süreçlerinin bahsi geçen politikaya ve prosüderlere uygunluğunu belirli periyotlar ile denetlemeli ve verilerin kurum içinde ve dışında güvenliği için ihtiyaç duyulan tüm teknik, idari ve hukuki tedbirleri almalıdır.

 

LBF PARTNERS OLARAK SUNDUĞUMUZ HUKUKİ HİZMETLER

LBF Partners olarak, kişisel verilerin korunması mevzuatına uyum çerçevesinde müvekkillerimize sunduğumuz hizmetler aşağıdaki gibidir:

  • Müvekkilin veri envanterinin çıkarılması, verilerinin işlenmesi için rızası gereken kişilerin tespiti ve rızanın alınması ve veri sahiplerine aydınlatma bildiriminde bulunulması için gerekli metinlerin hazırlanması;
  • Kişisel Verilerin Korunması Kanunu’na uyumun sağlanması amacıyla müşteriler, çalışanlar, tedarikçiler ve kişisel verileri elde edilen veya verilerin aktarıldığı veya verilere erişimi olan diğer üçüncü kişilerle yapılan sözleşmelerin gözden geçirilmesi ve tadili;
  • Kişisel verilerin toplanmasına, işlenmesine, saklanmasına ve bunlara erişimin sağlanmasına ilişkin kuralları içeren kurum içi politikaların, yönetmeliklerin, iş akışlarının ve bilgilendirme dokümanlarının hazırlanması,
  • Müvekkilin Veri Sorumluları Siciline kaydının gerekli olması halinde, bu kayıt için gerekli bilgi ve belgelerin hazırlanarak kayıt başvurusunda bulunulması;
  • Kişisel verilerin korunması konusunda gerekli olması halinde kurum içi eğitimlerin verilmesi.

Bu konuda hukuki desteğe ihtiyaç duymanız halinde, info@lbfpartners.com adresinden bizimle iletişime geçebilirsiniz.

 

 

 

View in PDF Format