Dijital Biz Dergisi | Yazar

 

Prof. Dr. Mustafa ALKAN

 

Ekim 2020

 

 

Turizm Sektöründe Kişisel Verileri İnceleme Raporu

 

Bugün, tüm dünyada terör estiren salgın (pandemi) ilginç bir biçimde bizlere bu salgının her bir sektör için etkilerini inceleme noktasında bir çalışma ihtiyacını doğurdu. Bu konuda birçok sektörle ilgili çalışmalar yaparak bir dizi sektör raporları yayınladık.

Bu çalışmada ise, salgının en fazla sekteye uğrattığı ve hırpaladığı sektörlerin belki de en başında gelen turizm sektörü üzerinde durmak istiyorum. Özellikle Türkiye açısından turizm önemli bir sektör ve görünen o ki 2020 yılı turizm ve dolayısıyla turizm ekosisteminin parçası olan sektörler için çok zor bir yıl olacak.

Bardağın dolu tarafından bakacak olursak, turizm ekosistemi öncelikle bu tarz kırılganlıklara yönelik direnç ve dayanıklılık geliştirmenin yollarını ve çözümlerini araştırıp geliştirmek için bir fırsat olarak değerlendirilebilir.

Bu noktada özellikle temas takip uygulamaları ile yeniden gözde tartışma konularından biri olan kişisel veriler ve bunların işlenme biçimleri, turizmden önemli bir geliri ve beklentileri olan ülkemizde de dikkatlice irdelenip uygulanması gereken bir konudur. Avrupa yerleşik turistlerin Türkiye’nin turizm sektöründeki oranının yaklaşık %50 olduğu düşünüldüğünde, kişisel veriler ve bunların korunması süreci daha fazla bir önem kazanmaktadır.

Çünkü salgının yarattığı can tehlikesi ile izolasyonun yarattığı kapanmak ve daralmışlık, özellikle Avrupalı bireylerin kendilerini bulundukları ortamdan uzaklaşıp rahatlayabilecekleri bir ortam arayışına itecektir; en iyi seçeneklerden biri olarak elbette Türkiye’de geçirilecek bir tatil en uygun bir dinlenme ve rahatlama fırsatı olacaktır.

Ne var ki, salgın döneminin alışkanlıkları, ateş ölçme ve Covid-19 virüsü ile ilgili bilgiler bu noktada da gündeme gelecek, hiç kuşkusuz kişisel veriler, özellikle kişisel sağlık verileri konusu en önemli gündem konularından biri olacaktır.

İşte böyle bir durumda, turizm ekosistemi buna çok iyi hazırlanmış olarak ortaya çıkmak zorundadır. Turizm ve otelcilik sektörü, toplanacak, işlenecek ve doğası gereği birçok iş ortağı ile paylaşılacak kişisel verilerin, özellikle de kişisel sağlık verilerinin korunmasına gerekli hassasiyeti göstermek ve önemi vermek zorundadır.

Bu nedenle sektör inceleme raporlarımızın 5.sinde turizm ve otelcilik sektöründeki kişisel verilerin korunmasını konusu ele alıp inceledik.

Bütün dünyayı istediği gibi yöneteceğini, her istediğini yapabileceğini ve her şeyi düzenleyip, denetleyip, kontrol altına alacağını sanan insanoğlu, aslında bu kadar güçlü olmadığını, aksine evrenin kanunları karşısında ne kadar çaresiz ve zayıf olduğunu da çok acı bir deneyimle görmeye başlamıştır.

Ancak insanlık tarihinin çok önemli olaylarından birisi olan bu “korona salgını” bir gerçeği daha net bir şekilde ortaya koydu. Bu gerçek, yakın gelecekte yani korona sonrası dünyada, insanoğlunun hayatının hemen hemen her şeyiyle sayısallaştığı, bir siber hayat ve siber dünya olacağı gerçeğidir.

Yarının “siber dünyasında” veri ve bilgi kavramları bugünden daha fazla anlam ve kıymet ifade edecek, bilginin ve verinin korunması ise daha önemli bir hale gelecektir. Kişisel verilerin korunması ve kişisel mahremiyet özelinde ise konu her zamankinden daha başka bir anlam kazanacaktır. Çünkü yeryüzünde yaşayan insanoğlunun tüm kişisel bilgileri, siber dünya içinde dolaşmaya başlayacak ve yeni bir e-insan tipi ortaya çıkacaktır.

Korona sonrası kimler hayatta kalır bilinmez ama bütün insanlığın en az kayıp ve zararla bu süreci atlatacağı umudu ve dileğiyle bu çalışmanın bundan sonraki süreçte insanlar için önemli bir kaynak olacağı inancını taşıyoruz.

İnsanoğlunun varlığını sürdürmesinde, sağlıklı yaşamasında, mutlu olmasında en büyük paya sahip, başta Türk Hekimleri, sağlık kurumları ve çalışanları olmak üzere, tüm dünya sağlık insanlarına bu vesileyle bir kez daha şükranlarımızı sunuyoruz.

Bundan sonraki süreçte farklı sektörler için hazırlamayı planladığımız “kişisel verilerin korunması” kapsamındaki sektör inceleme raporlarını da kamuoyuyla paylaşıyor olacağız.

Turizm Sektörü ve Kişisel Veriler

Türkiye’de özellikle 1980 yılı sonrası hızlı bir gelişme gösteren turizm ve otelcilik sektörü, “ülkeye döviz kazandıran ve ekonomiye katkı sağlayan özelliğiyle, GSYH ve istihdam üzerinde de etkili olan” bir sektördür. Turizm sektörü “50’den fazla sektöre doğrudan katkı sağlarken”, 2017 yılında “Türkiye’nin ödemeler dengesine de 26,3 milyar $ katkıda bulunmuştur.”

Turizm ve otelcilik sektörü hizmet ağırlıklı bir alan olduğu için, emek-yoğun niteliğinden dolayı “işsizliğin giderilmesinde göz ardı edilemeyecek bir yere sahiptir.”  Bu özelliklerinden dolayı turizm ve otelcilik sektörünün “toplam istihdam içindeki payı %1,6, yatırımcı, devlet ve tedarikçi olarak mal ve hizmet sunanların çalışanları da dikkate alındığında, sektörün istihdama toplam katkısı %7,4” oranındadır. Diğer taraftan turizm sektörünün “2017 yılındaki turizm gelirleri GSYH içindeki %3,1 pay ile ihracat gelirinin %16,7’sini karşılamış” ve “dış ticaret açığının da %34,3’ünü kapatmıştır.”

Veriler, turizm ve otelcilik sektöründe gerek 1,9 milyon çalışandan gerek yılda 40 milyon civarındaki yabancı turistten gerekse de sektörün paydaşlarından (seyahat acenteleri, mal ve hizmet tedarikçileri, kamu kurumları vb.) topladığı kişisel verilerin boyutunun oldukça büyük olduğunu göstermektedir. Bu sayılar her yıl giderek çeşitlenerek artmaktadır.

Turizm ve otelcilik sektörü gerek doğrudan kendi hizmetlerinde gerekse de dolaylı olarak müşterilerine sağladığı spa, fotoğrafçılık, yerel tarihi ve turistik geziler gibi hizmetlerde, kişisel verileri oldukça yoğun olarak kullanmaktadır. Ayrıca, spa ve benzeri hizmetler ile sağlık turizminde kullanılan verilerin önemli bir bölümünü özel nitelikli kişisel veriler (kişisel sağlık verileri) oluşturmaktadır.

Bu nedenle, turizm ve otelcilik sektörünün kişisel veriler konusundaki başta 6698 sayılı Kişisel Verilerin Korunması Kanunu olmak üzere mevcut düzenlemelere uyumluluğu konusu da önemli bir duruma gelmektedir. Çünkü bu alanda yaşanacak kişisel veri ihlalleri hem ilgili kişiler için büyük mağduriyetler yaratacak hem de ihlale neden olan kurum ve kuruluşlar için de daha ciddi yasal ve idari sorumluluklar doğuracaktır.

Hem ulusal hem de uluslararası düzenlemelere bakıldığında, bu alana yönelik önemli tanımlamalar ve düzenlemeler olduğu görülmektedir. Ülkemizde 7.Nisan.2016 tarihinde yürürlüğe giren Kanunun 6. Maddesinde “özel nitelikli kişisel veriler”; “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak tanımlanmıştır.

Turizm ve otelcilik sektörünün kendi doğası gereği toplanan, işlenen ve aktarılan yüksek miktarlardaki kişisel veriler, sektörü daha kırılgan hale getirmektedir. Özellikle 2016 yılında hem ülkemizde yürürlüğe giren KVKK hem de AB’de yürürlüğe giren GDPR düzenlemeleri, bu kişisel verilerin toplanması, işlenmesi, paylaşılması ve silinip yok edilmesi konusunda daha katı kuralları, daha ağır yaptırımları ve cezaları gündeme getirmiştir.

2019 yılı sonu itibarı ile ülkemizi ziyaret eden turist sayısı 45 milyon civarında olup, bu turistlerin %44,67’si (20,1 milyon) Avrupa’dan gelmiştir. Bu ise, her yıl yaklaşık olarak 20 milyon Avrupa yerleşik kişinin başta pasaport bilgileri olmak üzere çeşitli kişisel verilerinin Türkiye’de turizm ve otelcilik sektöründe yer alan firmalar tarafından toplanıp işlenildiğini ve paylaşıldığını göstermektedir.

GDPR düzenlemeleri, verilerin nerede tutulduğuna bakılmaksızın, AB yerleşik bireylere ait kişisel verilerin, özellikle de kişisel sağlık verilerinin işlenmesi durumunda AB dışındaki kurum ve kuruluşları da kapsamaktadır. AB’de yerleşik veri sahiplerine mal ve hizmet sağlayan ya da davranışlarını izleyen AB üyesi olmayan veri sorumlusu ve/veya veri işleyenleri, dolayısıyla ülkemizdeki turizm ve otelcilik şirketlerini de kapsamaktadır.

Dünya Turizm Örgütü’nün verilerine göre Türkiye turist sayısında dünyada 6. sırada yer alırken, turizm gelirinde ise 14. sırada yer almaktadır. Bu veriler ise, Türkiye’de verilen turizm ve otelcilik hizmetlerinin oldukça düşük kâr payları ile yürütüldüğünü, GDPR kapsamında kesilecek idari para cezaları ve olası tazminat bedellerinin, (Marriott Otelleri örneğinde olduğu gibi) bu sektörde çok ciddi bir yüke de dönüşebileceğini göstermektedir.

Turizm ve otelcilik sektörü bu düzenlemelerden doğrudan etkilenecek olup yeni düzenlemelere en etkili ve verimli biçimde bu sektörün uyumluluk sağlaması gerekmektedir. GDPR süreçleri daha ayrıntılı, yaptırım sonuçları ise daha ağırdır. Özellikle 11. Kalkınma Planı’nda yer alan hedeflere uygun olarak KVK Kurumu tarafından GDPR temelli yeni bir yasa için çalışmaların yürütülüyor olması, GDPR uyumluluğunu KVKK uygulamaları açısından da daha önemli bir hale getirmektedir.

Etkili bir uyumluluk sürecinde ticari faydalar da vardır. Yabancı konukların, çalışanlarının ve iş ortaklarının mahremiyetini koruyan ve uygun şekilde hedeflenmiş çalışmalar yürüten turizm ve otelcilik şirketleri, iş, personel ve turistler için daha güvenli ve tercih edilir işletmeler olacaklardır.

Turizm ve Otelcilik Sektöründe Kişisel Verilerin Korunması

Turizm ve otelcilik, Türkiye ekonomisi içerisinde önemli ağırlığı olan bir sektördür ve “50’den fazla sektöre doğrudan katkı sağlarken”, 2017 yılında “Türkiye’nin ödemeler dengesine de 26,3 milyar $ katkıda bulunmuştur.”

Türkiye’de Bakanlık’tan işletme belgeli 4.038, yatırım belgeli 723 ve belediyelerden belgeli 8.081 adet tesis vardır. Bu tesislerin Ocak.2020 itibarı ile sahip oldukları yatak sayısı ise toplam 1.715.108’dir. 2018 yılsonu itibarı ile seyahat acente sayısı ise 10.299’dur.

Emek-yoğun iş yapma niteliğinden dolayı turizm ve otelcilik sektörü “2010 yılında ekonominin tamamı içerisinde 1.833.900 kişiye turizm sektöründe doğrudan ve dolaylı olarak istihdam sağlamıştır.” Diğer taraftan turizm sektörü, “2017 yılındaki gelirleri ile GSYH içindeki % 3,1 pay ile ihracat gelirinin %16,7’sini karşılamış” ve “dış ticaret açığının da %34,3’ünü kapatmıştır.”

Dünya genelinde uluslararası seyahat edenlerin %77’si tatil amaçlı, %23’ü ise iş amaçlı seyahatler gerçekleştirmişlerdir. Ülkemize gelen turist sayıları aşağıdaki gibidir;

Bu sayılar her yıl giderek çeşitlenmekte ve artmaktadır. Yapılan araştırmalar turist sayısının turizm ve otelcilik sektöründe istihdamı artırdığını da ortaya koymaktadır.

Bu veriler, turizm ve otellerde kullanılan değişik sistemler ve uygulamalar tarafından işlenir ve saklanır;

  • Müşteri İlişki Yönetimi Sistemleri (MİY/CRM)
  • Rezervasyon Sistemleri
  • Çalışan Yönetim Sistemleri
  • Web Sitesi Geliştiricileri
  • Müşteri Veritabanları
  • Ödeme İşlemcileri
  • Sadakat Programları
  • E-posta Pazarlamacılığı
  • Sosyal Medya Pazarlamacılığı
  • Çerez Yönetim Sistemleri vb.

Turizm verilere bağlıdır ve sektör, sadece yoğun bir kişisel veri işlemekle kalmaz, bu verileri çok değişik amaçla saklar ve paylaşır. Oteller, havayolları ve turizm endüstrisinin diğer bölümleri müşterilere kolaylık sağlamak ve daha verimli olmanın bir yolu olarak müşterilerinin kredi kartı numaraları başta olmak üzere birçok kişisel verilerini toplarlar ve saklarlar. Pasaportlar ve sürücü ehliyetleri kişisel kimlik belgesi olarak kullanılır.

Bu nedenle, turizm ve otelcilik sektörü, kimlik ve pasaport bilgileri başta olmak üzere birçok kişisel verilerin toplandığı, işlendiği ve gerek ulusal gerekse de uluslararası kişi ve kurumlarla paylaşıldığı sektörlerden birisidir.

Turizm Hizmetleri

Türkiye gerek doğası gerek tarihi gerekse de kültürel yapısıyla dünyada büyük bir kitlenin ilgisini çekmektedir. Bu ilginin en somut kanıtı ve çıktılarından biri ülkemizi ziyaret eden kişi sayısıdır. Türkiye dünya turizminde, turist sayısı bakımından 6. sırada yer almaktadır.

Bu kapsamda, ilgi alanına göre turizm de çeşitlenmektedir. Ülkemizdeki turizm türlerinin başlıcaları;

  • Sağlık ve Termal Turizmi,
  • Kış Turizmi,
  • Yayla Turizmi,
  • Mağara Turizmi,
  • Av Turizmi,
  • Kongre Turizmi,
  • Golf Turizmi,
  • Yat Turizmi,
  • İpek Yolu,
  • İnanç Turizmi,
  • Hava Sporları,
  • Dağcılık,
  • Akarsu-Rafting Turizmi
  • Su Altı Dalış
  • Kuş Gözlemciliğidir.

Bunlardan bazılarının ayrıntıları aşağıda verilmiştir.

Sağlık Turizmi

Sağlık turizmi ticari bir sektör olarak uluslararası ticaretin parçasıdır ve özellikle sigorta geri ödeme sistemleri ile yapılacak anlaşmalar nedeniyle uluslararası ticari hukukun da ilgi alanına girmektedir. Bu durum, hızla gelişen bir sektör olarak sağlık turizmini, KVKK/GDPR düzenlemeleri kapsamında da gündeme getirmektedir.

GDPR bölgesel kapsamı açısından, hizmetlerin AB yerleşik veri sahiplerini hedefleme kriterlerinin varlığı en kritik uygulama esaslarından birisidir. Hedefleme kriterinin uygulanması, kişisel verileri işlenen veri sahibinin vatandaşlığı, ikametgâhı veya diğer yasal statüsü ile sınırlı değildir. GDPR tarafından sağlanan korumanın, “kişisel verilerinin işlenmesi ile ilgili olarak milliyetleri veya ikamet yerleri ne olursa olsun gerçek kişiler için geçerli olması gerektiğini” belirtir.

Diğer taraftan hizmet teklifi ve işlem faaliyetleriyle ilgili olarak; hizmetin, AB’deki kişileri yanlışlıkla veya tesadüfen değil, özellikle hedeflemesi, söz konusu hizmetleri ve hizmet sağlayanları doğrudan GDPR yükümlüsü hâline getirmektedir.

Nitekim Yönetmelik, sağlık turizmi hizmetlerinin sunulabilmesi için koyduğu yeterlilik kriterleri içerisinde, “İngilizceden veya hizmet sunulacak uluslararası sağlık turistinin dilinden Avrupa Dil Portfolyosunda yer alan B2 dil düzeyini gösterir belgeye sahip olmayı” şart koşmaktadır.

Ayrıca, “tanıtımları, tanıtım yapılacak ülkelerin dilleri ve/veya İngilizce dilinde yapılabilme” koşulu da sağlık turizmi hizmeti sunacakların, GDPR kapsamında “AB’de bir temsilci tayin etmesi” de dâhil tüm yükümlülükleri yerine getirmeleri gerekmektedir.

KVKK/GDPR ve Turizm/Otelcilik Sektöründeki Yükümlülükler

Turizm ve otelcilik işletmelerinin verdikleri hizmetler için KVKK ve GDPR düzenlemeleri kapsamında bir dizi yükümlülükleri bulunmaktadır. Türkiye’de turizm sektörü büyük bir potansiyel oluşturmaktadır. Başta AB ülkeleri olmak üzere dünyanın birçok ülkesinden birçok kişi ülkemizi çeşitli amaçlarla ziyaret etmektedir. Bu ziyaret sürecinde bu kişilerin kişisel verileri ve özel nitelikli kişisel verileri olmak üzere bilgileri toplanıp işlenmekte ve paylaşılmaktadır.

Bu durum başta kamu kurum ve kuruluşları olmak üzere turizm ve otel işletmelerine kişisel verilerin korunması kapsamında yükümlülükler getirmektedir.

Aşağıda bunlara ilişkin bazı örnekler yer almaktadır:

Kimlik Bildirme Kanunu ve yönetmeliklerinde yer alan ilgili hükümler;

Kanun Madde 2- Otel, motel, han, pansiyon, bekâr odaları, kamp, kamping, tatil köyü ve benzeri her türlü, özel veya resmi konaklama yerleri ile özel sağlık müesseseleri, dinlenme ve huzur evleri, dini ve hayır kurumlarının sosyal tesislerinin sorumlu işleticileri, bu yerlerde ücretli veya ücretsiz, gündüz veya gece, yatacak yer gösterdikleri yerli veya yabancı herkesin kimlik ve geliş ayrılış kayıtlarını, örneğine ve usulüne uygun şekilde günü gününe tutmak, g2enel kolluk örgütlerinin her an incelemelerine hazır bulundurmak, Devlet İstatistik Enstitüsüne, talebi halinde vermek zorundadırlar.

Kanun Madde 14-Bu Kanuna göre verilecek belgeler ve yapılacak her türlü bildirimler, her çeşit vergi, resim ve harçtan muaftır. Mahkeme kararı olmadıkça, yetkili resmi örgütler dışında, hiç kimsenin bunlardan yararlanmasına müsaade edilemez.

Yönetmelik Madde 24-Bir yıla ait konaklama belgeleri, düzenlendiği yılı izleyen takvim yılından başlayarak bir yıl; konaklama yeri kayıt defterleri, dolduğu yılı izleyen takvim yılından başlayarak beş yıl süre ile sorumlu işleticinin sorumluluğu altında tesiste saklanır.

Bu düzenlemeler ile ilgili bir ihlal örneği yaşanmış ve aşağıda görüleceği gibi ilgili kurum aleyhine idari ve para cezaları verilmiştir.

Otelde Kimlik Bildirme Kanunu gereğince alınan kişisel verilerin gizliliğinin korunmadığı gerekçesiyle İçişleri Bakanlığı’na başvurarak, otelde kaldığı yönünde Emniyet’te GBT’sinin (Genel Bilgi Toplama) bulunup bulunmadığı konusunda kendisine bilgi verilmesini istemiştir. İçişleri Bakanlığı, yasal mevzuatı gerekçe göstererek bu talebi reddetmiştir.

Daha sonra açılan davada, İçişleri Bakanlığı, mevzuat gereği otelde kalan kişinin kaydının tutulmasının zorunlu olduğunu ve kaydın tutulmasındaki amacın suç ve suçlularla mücadele olduğunu savunarak, hukuka uygun olarak tutulan kayıtların silinmesinin mümkün olmadığını belirterek davanın reddini istemiştir.

Mahkeme, “Davacının otel kaydı, davalı idare sistemine bildirildi. Davacı hakkında tutulan kayıtların gizlilik içinde muhafaza edilmemesi ve davacıya veya başkalarına bilgi aktaracak kişiler tarafından da görülmesi, sistemin gizli olmadığını ve sorumsuz kişi veya kişilerin müdahalesine açık olduğunu göstermektedir. Yani davalı idare, gizli olması gereken bilgileri koruma konusunda gerekli hassasiyeti göstermemiştir. Bu hassasiyetin gösterilmemiş olması, özel hayatin gizliliğini ihlal sonucunu doğurduğuna” hükmetmiştir.

Davacının kayıtlarının davalı idarece gereken özen gösterilmeden saklandığını belirten mahkeme, “Suç ve suçlu ile mücadele için erişim amacı dışında üçüncü kişilerin erişim imkânının olduğu ve davacının gelinen aşamada bilgilerinin üçüncü kişilerin görmesine açık olmaması noktasında gereken özen ve dikkati göstermediğini” gerekçe göstererek davayı kabul ederek, davacının otel kaydının silinmesi yönündeki talebini yerine getirmeyen İçişleri Bakanlığı’nın bu işleminin iptaline, talep ettiği 5.000 TL manevi tazminatın da faiziyle ödenmesine oybirliği ile karar vermiştir.

Bu örnekten anlaşılacağı üzere, yasa gereği bile toplansa kişisel verilerin ihlali söz konusu olduğu durumlarda, kamu kurumlarına bile ciddi yaptırımlar uygulanmaktadır. Kaldı ki, mevcut veri koruma düzenlemelerine uygun davranmayan ve gerekli idari ve teknik önlemleri almayan tüm kurum ve kuruluşlar ciddi yaptırımlara maruz kalabilirler.

Bu açıdan KVKK düzenlemelerine göre, turizm sektöründeki hizmetler ile ilgili işlemlerde işlenen kişisel verilerin korunması kritik bir konudur. Çünkü düzenlemeler açısından turizm şirketleri ve/veya oteller veri sorumlusu veya veri işleyen olarak hukuki yükümlüklere sahiptir.

Turizm hizmetleri sunanların genel olarak işlediği kişisel veriler (örneğin, personel kayıtları ve hasta kayıtları) ile ilgili olarak veri sorumlusu iken, 3. taraflardan alarak kendi bilişim sisteminde kaydedip saklamakta olduğu kişisel veriler için de bir veri işleyen konumundadır.

Düzenlemelere göre turizm ve otelcilik sektöründeki kuruluşlar, çoğu durumda doğrudan veri sorumlusu, bazı durumda da veri işleyen niteliğine haiz olmaktadır. Bu durum, ilgili tarafların gerek doğrudan veri sorumlusu gerekse de veri işleyen niteliği ile hem kendisinin eylemlerinden doğrudan hem de kişisel verileri paylaştıkları tarafların işleyeceği eylemlerden dolayı müştereken sorumluluklar doğurmaktadır.

Bu durum, KVKK uyarınca turizm ve otelcilik sektörü tarafından, yapılan işlemler ile ilgili çok kapsamlı ve detaylı bir “envanter” çıkarılmasını ve “risk/etki analizlerinin” yapılmasını gerektirmektedir.

Turizm ve otelcilik hizmeti sunan işletmelerin kişisel verileri işlenen gerçek kişilere (ilgili kişi) yönelik doğrudan yükümlülükleri de bulunmaktadır. İlgili kişilerin kendileriyle ilgili olarak işlenen veriler bakımından tam ve doğru şekilde yetkililer tarafından işleme öncesinde (en geç veri işlemesi esnasında) aydınlatılması gerekir. Bu sorumluluğun yerine getirilmemesi veya gereği gibi yerine getirilmemesi turizm ve otelcilik sektöründeki işletmeler ile kişilerin doğrudan sorumluluğunu doğurur. Aynı şekilde ilgili kişilerin KVKK ile özel olarak koruma altına alınmış olan haklarına turizm ve otelcilik sektörü çalışanları tarafından riayet edilmemesi de aynı şekilde hukuki ve cezai sorumluluklar doğuracaktır.

Kanunlarda “açıkça” öngörülen hallerde kişisel verilerin ilişkili olduğu kişinin (ilgili kişi) “açık rızası”nı almadan veri işleyebilecekken, Kanun’da sayılan istisnai işleme şartlarından herhangi birinin bulunmaması halinde ise veriyi işleyebilmek için ilgili kişinin açık rızasının alınması bir zorunluluktur.

Ancak bu istisnaların yanında düzenlemeler, kurum ve kuruluşlara veri güvenliği konusunda da yükümlülükler getirmektedir. Düzenlemede “Veri paylaşılan kamu idareleri ile gerçek ve tüzel kişiler, paylaşılan verinin gizliliğinden ve güvenliğinden sorumludur. Bu fıkranın aksine davrananlar hakkında, veri paylaşımı yapılanlar da dâhil olmak üzere 5237 sayılı Türk Ceza Kanunu ile diğer ilgili mevzuat hükümleri uygulanır.” denilmektedir.

Düzenlemeler bilindiği üzere özel nitelikli kişisel veri sayılan sağlık verileri için ek tedbirler içermekte ve ihlali halinde yaptırımlar öngörmektedir. Bunun yanında KVKK, sağlık mevzuatında yer alan sır tutma sorumluluklarına ek olarak bir dizi yeni yükümlülükler de getirmiştir.

Düzenlemeler kişisel verilerin “silinmesi”, “yok edilmesi” veya “anonim hale getirilmesi”ni de içermektedir. Keza, Kanun kişisel verilerin yurt içinde veya yurt dışına aktarılması bakımından ek yükümlülükler getirmekte, hatta belirli durumlarda Kişisel Verilerin Korunması Kurulu’nun iznini şart koşmaktadır.

Veri güvenliğinin Kanun’da öngörülen çerçevede tesis edilmesi turizm ve otelcilik sektörü için başlı başına bir yükümlülüktür. Bu yükümlük sadece idari tedbirler alınmasını gerektirmemekte, aynı zamanda çeşitli teknik tedbirlerin alınmasını da zorunlu kılmaktadır.

Ülkemizdeki turizm ve otelcilik sektöründe verilen hizmetlerin sadece ülkemiz vatandaşları ile sınırlı olmadığı göz önüne alındığında veri güvenliğine ilişkin alınması gereken tedbirlerin de sadece bu işletmelerle ve yine sadece ülke sınırlarında alınması gereken tedbirlerden ibaret olmadığı açıktır.

Kişisel verilerin gerek yurtiçinde gerekse de yurtdışına aktarılmasında “yeterli önlemlerin” alınması, belirli durumlarda “yeterli bir korumayı yazılı olarak taahhüt edilmesi” gibi ek önlemlerin de alınması gerekmektedir.

Yurtdışına aktarılacak kişisel sağlık verileri ise, KVKK düzenlemelerindeki koşullara ve yerine göre KVK Kurulu’nun iznine tabiidir. Bu nedenle yurtdışına veri aktarımı gerektiren tüm işlem süreçleri de KVKK düzenlemelerine uyum bakımından gözden geçirilmelidir.

İzmir Ticaret Odası tarafından hazırlanan Mart.2018 tarihli “Avrupa Genel Veri Koruma Tüzüğü GDPR” başlıklı belgede “GDPR sadece AB üyesi ülkelerdeki şirketleri değil, AB üyesi ülkelerden mal alan, bu ülkelere mal satan ve AB vatandaşı personeli veya müşterisi bulunan tüm işletmeleri ilgilendirmektedir. Dolayısıyla Türkiye’de de konunun pek çok açıdan yüksek sesle ve sık şekilde gündeme taşınması, AB veri güvenliği sisteminin güncel yapısının Türkiye’deki kamu, iş dünyası, akademi ve sivil toplum merkezli paydaşlar tarafından anlaşılır hale gelmesi gerekmektedir. Çünkü AB vatandaşlarının kişisel verilerini bulunduran tüm firmalar bu yasal düzenlemeye uymak zorunda olacaktır.” ifadeleri ile kendi üyelerini GDPR yükümlülüğü hakkında özellikle uyarmaktadır.

GDPR düzenlemeleri, verilerin nerede tutulduğuna bakılmaksızın, AB yerleşik bireylere ait kişisel verilerin, özellikle de kişisel sağlık verilerinin işlenmesi durumunda AB dışındaki kurum ve kuruluşları da kapsamaktadır. AB’de yerleşik veri sahiplerine mal ve hizmet sağlayan ya da davranışlarını izleyen AB üyesi olmayan veri sorumlusu ve/veya veri işleyenleri, dolayısıyla ülkemizdeki turizm ve otelcilik şirketlerini de kapsamaktadır.

Nitekim GDPR düzenlemelerinin bölgesel kapsamı ile ilgili ayrıntılı açıklamalar yaparak örnekler veren 12.Kasım.2019 tarihli EDPB’nin (Avrupa Veri Koruma Kurulu) “GDPR 3.maddesinde Yer Alan Bölgesel Kapsam üzerine Rehber”inde açıklayıcı örneklerin bazıları ve bunlara karşılık gelen yükümlülükler, Türkiye’deki kurgusal işletmeler ile açıklanmıştır:

Örnek 1: Türkiye’de yerleşik ve yönetilen bir web sitesi, kişiselleştirilmiş aile fotoğraf albümlerinin oluşturulması, düzenlenmesi, basılması ve gönderilmesi için hizmetler sunmaktadır. Web sitesi İngilizce, Fransızca, Hollandaca ve Almanca olarak mevcuttur ve ödemeler Euro olarak yapılabilir. Web sitesi fotoğraf albümlerinin yalnızca Fransa, Benelüks ülkeleri ve Almanya’da posta yoluyla dağıtılabileceğini gösteriyor.

Bu durumda, kişiselleştirilmiş aile fotoğraf albümlerinin oluşturulması, düzenlenmesi ve yazdırılmasının AB hukuku anlamında bir hizmet oluşturduğu açıktır. Web sitesinin AB’nin dört dilinde mevcut olması ve fotoğraf albümlerinin altı AB üye devletinde posta yoluyla teslim edilebilmesi, Türk web sitesinde birlikteki kişilere hizmet sunma niyetinin olduğunu göstermektedir.

Sonuç olarak, Türk web sitesi tarafından bir veri sorumlusu olarak gerçekleştirilen işlemin Birlik’teki veri sahiplerine bir hizmet sunulmasıyla ilgili olduğu ve bu nedenle GDPR’ın 3 (2) (a) maddesindeki yükümlülüklerine ve hükümlerine tabi olduğu açıktır.

Madde 27 uyarınca, veri sorumlusunun Birlik’te bir temsilci tayin etmesi gerekecektir.

Örnek 2: Örnek 1’de atıfta bulunulan ve Türkiye’de yönetilen web sitesi, kişiselleştirilmiş aile fotoğraf albümlerinin oluşturulması, basımı ve nakliyesi için hizmetler sunmaktadır. Web sitesi İngilizce, Fransızca, Hollandaca ve Almanca dillerinde mevcuttur ve ödemeler Euro veya Sterling olarak yapılabilir. Web sitesi, fotoğraf albümlerinin yalnızca Fransa, Benelüks ülkeleri ve Almanya’da posta yoluyla dağıtılabileceğini gösteriyor. Bu web sitesi GDPR’a tabi olmak kaydıyla, Madde 3 (2) (a) uyarınca, veri sorumlusunun Birlik’te bir temsilci tayin etmesi gerekir.

Temsilci, sunulan hizmetin mevcut olduğu üye devletlerden birinde, bu durumda Fransa, Belçika, Hollanda, Lüksemburg veya Almanya’da kurulmalıdır. Veri sorumlusunun ve Birlikteki temsilcisinin adı ve iletişim bilgileri, fotoğraf albümlerini oluşturarak hizmeti kullanmaya başladıklarında veri sahiplerine çevrimiçi olarak sunulan bilgilerin bir parçası olmalıdır. Ayrıca, web sitesinin genel gizlilik bildiriminde de görünmelidir.

İlginç olan, genel bir açıklama için verilen örneklerin Türkiye’den seçilmiş olması, ama daha da ilginç olan ise 2 örneğin de turizm sektöründen seçilmiş olmasıdır. Bu, AB ülkelerinin özellikle kişisel veriler (GDPR) konusunda Türkiye’ye gelen vatandaşları ile Türkiye’deki turizm ve otel işletmeleri konusunda temel yaklaşımlarını göstermektedir.

GDPR düzenlemeleri, KVKK düzenlemelerine göre çok daha geniş bir kapsama sahip olup, yaptırımları da KVKK yaptırımlarına göre çok daha ağır şartlar içermektedir.