Kişisel Verilerin Korunması Kanunu Kapsamında; Otel, Motel, Pansiyon vb. Turizm Konaklama Tesislerinin Hes Kodu talep ederken uyması gereken yükümlülükleri Hukuk ve Danışmanlık Bürosu Şahin & Partners avukatlarından Hande Elverdi, bu haftaki yazısında irdeledi.
Bilindiği üzere, 30/09/2020 tarihli İçişleri Bakanlığı Genelgesiyle (“Genelge”); herhangi bir ayrım olmaksızın (özel-kamu, turizm işletme belgeli/belgesiz, ruhsat veren idare gibi) tüm konaklama tesislerinde (otel, motel, pansiyon, misafirhane, kamp vb.) müşterilerden konaklama tesisine kabul sırasında Hayat Eve Sığar (“HES”) uygulaması kodu istenmesi zorunluluğu getirilmişti.
Ayrıca aynı Genelgeye göre 1774 sayılı Kimlik Bildirme Kanununun 2’nci ve ek 1’inci maddesi hükmüne istinaden konaklama tesislerince genel kolluk kuvvetlerine müşterilerin kimlik bilgilerinin yanı sıra HES kodlarının da bildirilmesi, pozitif/temaslı vakaların kolluk kuvvetlerince tespit edilerek bu kişilerin konaklamalarının engellenmesi amacıyla zorunlu hale getirilmişti.
İşbu yazımızda da, yukarıda bahsetmiş olduğumuz Genelge kapsamında oteller tarafından müşterilerden HES kodu talep edilirken 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında uyulması gereken yükümlülüklere değineceğiz. Bu bağlamda, öncelikli olarak kişisel veri ve özel nitelikli kişisel veri kavramının neleri ifade ettiğine kısaca değinmekte fayda görmekteyiz.
KİŞİSEL VERİ NEDİR?
“Kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü veriyi ifade eder.”
ÖZEL NİTELİKLİ KİŞİSEL VERİ NEDİR?
“Özel nitelikli kişisel veri ise; ırk, etnik köken, felsefi inanç, din, mezhep, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbiriyle ilgili veriler ile biyometrik ve genetik verileri ifade eder.”
Kanun; verilerin sınıflandırılması konusunda kişisel veri ve özel nitelikli kişisel veri olarak ikili bir ayrıma gitmiş, kişisel verilerin ve özel nitelikli kişisel verilerin işlenebilmesi için ayrı ayrı uyulması gereken yükümlülükleri düzenlemiş, özel nitelikli kişisel verilerin işlenebilmesi hususunda ise kişisel verilerin işlenebilmesine nazaran daha ağır yükümlülükler getirmiştir. Kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü veriyi ifade ederken, özel nitelikli kişisel veri ise; ırk, etnik köken, felsefi inanç, din, mezhep, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbiriyle ilgili veriler ile biyometrik ve genetik verileri ifade etmektedir.
HES KODLARI ÖZEL NİTELİKLİ KİŞİSEL VERİ KATEGORİSİNDE YER ALMAKTADIR
Bu noktada; oteller tarafından müşterilerden talep edilen HES kodları, ilgili kişinin pozitif/temaslı olup olmadığına ilişkin sağlık verisi içermesi nedeniyle özel nitelikli kişisel veri kategorisi içerisinde yer almaktadır. O halde, oteller tarafından talep edilen HES kodlarının sağlık bilgisi içerir özel nitelikli kişisel veri kategorisinde olduğu düşünüldüğünde; otellerin müşterilerden HES kodu talep ederken Kanun kapsamında uyması gereken yükümlülükleri tespit edebilmek için özel nitelikli kişisel verilerin işlenme şartlarına değinmekte fayda görmekteyiz.
Özel nitelikli kişisel veriler, Kanun’ un 6/2 maddesi gereği; Kanun’da belirtilen istisnalar dışında, kural olarak yalnızca ilgili kişinin açık rızasıyla işlenebilmektedir.
KAMU KURUMLARI İSTİSNA DIŞINDA TUTULMUŞTUR
Kanun’un 6/3 maddesinde yer alan hüküm gereği, HES kodunun dahil olduğu sağlık ve cinsel hayata ilişkin kişisel veriler; ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Belirtmiş olduğumuz hükümde sınırlı sayıda belirtilen hallerin varlığı halinde, yetkili kamu kurum ve kuruluşlarının özel nitelikli veri kategorisinde yer alan HES koduna ilişkin veri işlemesi istisna kapsamında olup ilgili kişiden açık rıza alınması zorunluluğu bulunmamaktadır.
OTELLER KAMU KURUMU OLMADIĞINDAN KANUNA TABİDİRLER
Özel nitelikle gerçek/ tüzel kişiler tarafından işletilen oteller ve diğer turizm konaklama tesislerinin ise, kamu kurumu niteliğinde olmadığı için Kanun’ un 6/3 maddesinde yer alan istisna kapsamında olmadığı kanaatindeyiz. O halde, oteller tarafından müşteriden HES kodu talep edilmesinin Kanun kapsamında veri işleme faaliyetine konu olup olmayacağını ve dolayısıyla da bu otellerin Kanun’ un özel nitelikli kişisel verilerin işlenmesine ilişkin yükümlülüklerine uyması gerekip gerekmediğini irdelemekte fayda görmekteyiz.
Kanun’ un 2. Maddesinde Kanun hükümlerinin, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla veri işleyen gerçek ve tüzel kişiler hakkında uygulanacağı düzenlenmiştir.
ANLIK HES KODU TARAMASI YAPAN AVM VE RESTORANLAR KAPSAM DIŞIDIR
KOLLUK KUVVETLERİNE HES KODUNU VERME YÜKÜMLÜLÜĞÜNDEKİ OTELLER KAPSAM İÇİDİR
Özel nitelikte gerçek/ tüzel kişiler tarafından işletilen oteller ve diğer turizm konaklama tesislerinin, Genelge kapsamında müşterilerden HES kodlarını alıp yine genelge kapsamında HES kodlarını otomasyon sistemleri vasıtasıyla bir veri kayıt sisteminin parçası olarak kolluk kuvvetlerine bildirmesi ve yukarıda değinmiş olduğumuz üzere otellerin Kanun’un belirttiği istisnalar arasında yer almaması nedeniyle; otellerin müşterilerden HES kodlarını alırken Kanun’un özel nitelikli verilerin işlenmesi için belirlediği tüm yükümlülükleri yerine getirmesi gerekmektedir. Kanaatimizce; AVM girişlerinde ve son dönemde cafe ve restoranlarda HES kodları anlık bir işlemle herhangi bir veri kayıt sisteminin parçası olmadan alındığı için istisna kapsamındadır. Oteller ise AVM, cafe ve restoranlardan farklı bir şekilde bir veri kayıt sisteminin parçası olarak HES kodlarını kendi otomasyon sistemlerine kaydedip kolluk kuvvetlerine iletmesi nedeniyle istisna kapsamında değildir.
Nihayetinde; oteller istisna kapsamında olmadığı için Kanun’un belirlediği yükümlülükleri yerine getirmek zorunda olduğundan son olarak bu yükümlülüklere değinmekte fayda görmekteyiz. Ayrıca aşağıda belirtmiş olduğumuz yükümlülükleri yerine getirmeyen veri sorumluları hakkında Kurul tarafından 2. 000.000,00 TL ‘ye kadar idari para cezası uygulanması söz konusu olacaktır.
Öncelikli olarak, HES kodları sağlık verisi niteliğinde olduğu için Kanun’un 6/2 maddesi gereği yalnızca ilgili kişiden açık rıza alınarak işlenmesi gerekmektedir. Hukuka uygun bir açık rızadan söz edebilmek için ise temel olarak; açık rızanın belirli konuya ilişkin olması, rızanın bilgilendirmeye ve özgür iradeye dayalı olması gerekmektedir. Ayrıca açık rızanın yazılı alınması yasal olarak zorunlu olmasa da ispat açısından yazılı alınmasının elzem olduğunu belirtmek isteriz.
Ayrıca Kişisel Verileri Koruma Kurulunun (“Kurul”) 31/08/2018 tarihli “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı kararı gereği özel nitelikli kişisel veri işlenirken;
1) Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika prosedürün belirlenmesi,
2) Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
a. Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
b. Gizlilik sözleşmelerinin yapılması,
c. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
d. Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
e. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması
3) Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/ veya erişildiği ortamlar elektronik ortam ise,
a. Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
b. Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
c. Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
d. Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/ yaptırılması, test sonuçlarının kayıt altına alınması,
e. Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazımların güvenlik testlerinin düzenli olarak yapılması/ yaptırılması, test sonuçlarının kayıt altına alınması,
f. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
4) Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise,
a. Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığının emin olunması,
b. Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz çıkışların engellenmesi,
5) Özel nitelikli kişisel veriler aktarılacaksa,
a. Verilerin e- posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle ve Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
b. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
c. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya FTP yöntemiyle veri aktarımının gerçekleştirilmesi,
d. Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve “gizlilik dereceli belgeler” formatında gönderilmesi gerekmektedir.
*İş bu yazı yalnızca hukuki bilgilendirme niteliğinde olup, veri işleme süreçlerinin her bir şahıs/kurum bakımından özel olarak değerlendirilmesi gerektiğini belirtmek isteriz.
Ayrıca detaylı bilgi için hukuk büromuza info@sahinpartners.com uzantılı mail adresimizden ulaşabilir, www.sahinpartners.com adresli web sitemizi ziyaret edebilirsiniz.