Last Updated on 23 Ocak 2024 by Turizm Günlüğü
Geçtiğimiz günlerde Kişisel Verileri Koruma Kurulu’nun idari ve teknik tedbirlerin alınmamış olması dolayısıyla veri ihlali tespit ederek 500 Bin TL ceza verdiği Otel’in savunmasında neler yer alıyordu? Kurul neye dayanarak bu cezaya hükmetti? Kurul’un düzeltilmesini talep ettiği hangi düzenlemeleri yapmazsa otele yeni bir ceza kesilebilir? Kişisel veriler bir dönem çoğu otelin yasal düzenlemelerine metin olarak yani teoride girdiyse de bu düzenlemeler otellerde pratikte ne kadar uygulanıyor? Bu yazımızla tüm bu sorulara ve birçok soruya daha kısaca yanıt vermek istedik.
Otel Neden 500 Bin TL Ceza Aldı?
Bir otel misafirine sosyal medya üzerinden ulaşan üçüncü bir kişi otel konaklamasına ilişkin bilgiler içeren belge göndermiştir. Bunun üzerine misafir üçüncü kişiye bu belgeyi nereden temin ettiğini sorduğunda “otelde çalışan bir tanıdığından aldığını beyan etmesi üzerine” misafir şikayetçi olmuş ve Kurul durumu incelemeye başlamıştır.
Otel Savunmasında Nelere Değindi?
Şikâyette konusu geçen belgenin, kat hizmetleri görevlisi kişilerin gün içerisinde temizliğini yapacakları odaların takibinin yapılabilmesi amaçlı tek sayfalık matbu bir belge olduğunu ve bu belgede müşterilerin yalnızca isim-soy isimleri ile oda numaralarının yer aldığını belirtmiştir. Bu belgenin çoğu otelde kullanılan standart bir belge olduğunu ve isim-soy isim bilgilerinin yer almasının lüks hizmet sunan otellerin standartları gereği konaklayan misafirlerin kişisel ve özel hissettirilmesi amaçlı misafirlere soy isim ile seslenildiği, ayrıca acil durum yaşanması durumunda kat hizmetleri görevlisi kişilerin misafirlerin kontrollerini sağlamalarının gerektiği için kat hizmetleri görevlisi kişilerin misafirlerin isim-soy isim bilgilerine hakim olmasının gerektiği beyan etmiştir. Ayrıca bu belgelerin üç ayda bir imha edildiğine de değinmiştir.
Misafirin sosyal medyada otelde konakladığını paylaştığını üçüncü kişinin bu bilgiye buradan sahip olabileceğini belgenin gerçeği yansıtmadığını beyan etmiştir.
Kurul’un savunmaya cevabı ne oldu?
Kurul, kat görevlilerinin temel faaliyet alanının bakım ve temizlik hizmetleri olduğunu, bu hizmetlerin yapılabilmesi için konaklayan kişinin adını-soyadını bilmesini gerektirmediğini, Otel’in özel hissettirmek amacından yola çıkarak kişisel verilerin korunması hakkını göz ardı etmemesinin gerektiğini belirtmiştir. Kaldı ki, bu verilerin bu amaçla işlendiği misafirlere bildirilmediği gibi bu amaçla işlenmesini isteyip istemediğinin müşterinin onayına bırakılması gerektiğine değinmiştir.
Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendindeki “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesini bu uygulamanın zedeleyeceğini ilgili kişilerin isim ve soy isim bilgilerine bu belgede yer verilmesi uygulamasına son verilmesinin gerektiğini belirtmiştir. Ayrıca her ne kadar 3 ayda bir belgenin imha edildiğini belirtmişse de imha tutanağı da ibraz edemediğini belirtmiştir.
Konaklama belgesine reklam ve pazarlama faaliyeti için bilgilerinin işleneceğinin eklenmesi de açık rızayı sakatlamaktadır.
Ayrıca, konaklama belgesini doldurma ve imzalamak zorunluluğu altında bulunan kişilere ayrıca belgeyi imzalamaları halinde reklam ve pazarlama amaçlı iletişim bilgilerinin işlenmesini kabul edecekleri düzenlemesinin getirilmesi halinde, kişisel verilerinin işlenmesi konusunda ilgili kişilerin iradelerinin sakatlanacağı, mevzuat gereği bu belgeyi imzalamakla yükümlü oldukları dikkate alındığında, ayrıca iletişim bilgilerinin reklam ve pazarlama amaçlı işlenmesini kabul edecekleri şeklinde hüküm eklenmesinin açık rızanın özgür irade unsurunu sakatlayacağına da yer vermiştir.
500 Bin TL Para Cezası Neden Verildi?
Belgede yer alan kişisel verilerin veri sorumlusu bünyesinde oluşturulduğu ve üçüncü kişiler tarafından elde etmesinin veri sorumlusu tarafından idari ve teknik tedbirlerin alınmamış olması dolayısıyla gerçekleşebileceği kanaatine varıldığından veri sorumlusu hakkında 500.000 TL idari para cezası uygulanmasına karar verildi.
Belgede Yer Alan İsim, Soyisim Bilgisi Çıkartılmazsa Kurul Yeni Bir Ceza Verebilir.
Müşterilere ait isim ve soy isme yer verilmemesine yönelik olarak belgelerin düzenlenmesi ve sonucundan Kurul’a bilgi verilmesi yönünde Otel’e talimat verilmiştir.
Ayrıca, konaklama belgesini doldurma ve imzalamak zorunluluğu altında bulunan müşteriye belgeyi imzalamaları halinde reklam ve pazarlama amaçlı iletişim bilgilerinin işlenmesini kabul edecekleri düzenlemesinin kaldırılarak ayrıca bir açık rıza alma yoluna gitmesi ve yapılacak işlemlerin sonucundan Kurul’a bilgi vermesine karar verilmiştir. Otelin bu düzenlemeleri yapmaması durumunda yeniden ceza alması söz konusu olabilir.
Otellerin çoğu yasal düzenlemeleri evrak üzerinde tamamlamış olsa dahi uygulamada sürekli bir şekilde kişisel veri konusunda uzman avukatlar tarafından kontrollerin yapılması bu tip cezaların önüne geçilmesi açısından faydalı olacaktır. Çünkü kişisel veri süreci her işletme açısından farklılık gösteren özel bir süreçtir. Daha önce de Mariott International Otel’in 1.450.000 TL ceza aldığı düşünülecek olduğunda otellerin kişisel veri yönetiminin ne kadar büyük önem arz ettiği ortaya çıkmaktadır.
Av. Hande Elverdi Şahin: Otelcilere Kişisel Veri Koruma Konusunda Uzman Hukuki Danışmanlık
Hukuk Büromuz ortaklarından Av. Hande Elverdi Şahin yüksek lisansını kişisel veri alanında tamamlamış olup otellerin yüksek miktarda idari para cezası ile karşı karşıya kalmaması için güncel mevzuatı ve Kurul kararlarını sürekli bir şekilde takip ederek otellere hukuki danışmanlık hizmeti sunmaktadır.
*İş bu yazı yalnızca hukuki bilgilendirme niteliğinde olup, veri işleme süreçlerinin her bir şahıs/kurum bakımından özel olarak değerlendirilmesi gerektiğini belirtmek isteriz.
Ayrıca detaylı bilgi için hukuk büromuza info@sahinpartners.com uzantılı mail adresimizden ulaşabilir, www.sahinpartners.com adresli web sitemizi ziyaret edebilirsiniz.