Seyahat Acentaları Uygulamalarında Kişisel Verilerin İşlenmesi

7 Nisan 2016’da yürürlüğe giren Kişisel Verilerin Korunması Kanunu, Türkiye Seyahat Acentaları Birliği (TÜRSAB) tarafından da ifade edildiği üzere turizm sektörünü ve ana aktörlerinden olan seyahat acentalarını doğrudan ilgilendiriyor. Seyahat acentalarının Kanun’un yürürlük tarihinden önce elde ettikleri verileri hukuka uygun hale getirmesi için son gün 7 Nisan 2018. Bu kapsamda seyahat acentalarının tüm riskli süreçlerini tespit edip 6 yıla varan hapis cezalarına, milyonlarca TL’lik idari para cezalarına ve tazminat yaptırımlarına maruz kalmamak için riayet etmesi gereken başlıca yükümlülükler aşağıdaki şekilde sıralanabilir:

• Veri Sorumluları Siciline Kaydolmak

• Kişisel Verileri Genel İlkelere Uygun Şekilde İşlemek

• Veri Sahiplerinden Açık Rıza Almak ya da Diğer Veri İşleme Şartlarına Sahip Olmak

• Veri Sahibinin Aydınlatılması

• Kişisel Verileri Hukuka Uygun Şekilde Aktarmak

• Veri Güvenliğine İlişkin Gerekli Tedbirleri Almak

• Veri Sahiplerinin Taleplerini Sonuçlandırmak
• İşleme Amacı Kalktığında Kişisel Verileri Silmek, Yok Etmek veya Anonimleştirmek

Yukarıda sayılan yükümlülüklerin daha iyi anlaşılabilmesi için öncelikle birkaç temel kavramı tanımlayalım:

Kişisel veri: Kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü veridir. Dolayısıyla personelin adli sicil kaydı, müşterinin adı soyadı, cep telefonu numarası, fotoğrafı, kimlik ve pasaport fotokopisi, hangi otelde ne zaman konaklayacağına ilişkin bilgiler kişisel veridir. Bu kapsamda kişisel verinin hangi bilgileri kapsadığına ilişkin daha detaylı bilgi için “Kişisel Veri Nedir” başlıklı yazımızı inceleyebilirsiniz.

Kişisel verilerin işlenmesi: Veri işlemek kısaca, tamamen veya kısmen otomatik yollarla veya bir veri kayıt sisteminin parçası olmak koşuluyla otomatik olmayan yollarla veri üzerinde gerçekleştirilen her türlü faaliyettir.

Genel kanaatin aksine bir faaliyetin veri işleme sayılması için, kişisel veriler üzerinde derin tahlil ve analizler yapılması gerekmez. Dolayısıyla örneğin, personelin özlük dosyasını tutmak veya müşterilerin mail adreslerini sadece toplamak dahi bir veri işleme faaliyetidir.

Bu yüzden seyahat acentalarının kişisel veri işlediğine dair herhangi bir şüphe bulunmamalıdır. Veri işlemeye dair daha detaylı bilgi edinmek için “Kişisel Verilerin İşlenmesi Nedir?” başlıklı yazımızı inceleyebilirsiniz.

Seyahat Acentaları Kimlerin Kişisel Verisini İşliyor?

Kişisel Verilerin Korunması Kanunu’na uyum kapsamında birçok sektörde olduğu gibi yaygın olarak gözden kaçırılan hususlardan biri, seyahat acentalarının yalnızca müşterilerinin kişisel verilerini işlemediğidir. Müşterilerin yanı sıra; çalışanların, tedarikçilerin, tedarikçi çalışanlarının, danışmanlarının, çalışan adaylarının ve daha birçok veri sahibi grubunun kişisel verisi işlenmektedir.

Bu nedenle, seyahat acentalarının mevzuata uyumun yalnızca müşterinin aydınlatılması ve açık rızasının alınmasıyla sağlanabileceği yanılgısına düşmemeleri ve faaliyetlerini bütün veri işleme süreçleri bakımından hukuka uygun hale getirmeleri gerekmektedir.

 Seyahat Acentalarının Yükümlülükleri Nelerdir?

1) Veri Sorumluları Siciline Kaydolmak

Bütün veri sorumluları (Seyahat acentaları Kanun kapsamında veri sorumlusu sıfatını taşırlar. Veri sorumlusu kavramına ilişkin detaylı bilgi için tıklayınız) Veri Sorumluları Sicili’ne kaydolmak zorundadır. Bu kapsamda Sicile kaydolabilmek için bir kişisel veri işleme envanteri oluşturulması, tüzel kişilik bünyesinde bir irtibat kişisi atanması zorunludur. Sicile kayıt yükümlülüğe uyulmaması halinde Kişisel Verileri Koruma Kurulu tarafından 1.000.000 TL’ye kadar idari para cezasına hükmedilebilecek olup daha detaylı bilgi için Veri Sorumluları Sicili, Kişisel Veri İşleme Envanteri ve İrtibat Kişisinin Sorumlulukları Nelerdir başlıklı yazılarımızı inceleyebilirsiniz.

Not: Kişisel Verileri Koruma Kurulu Veri Sorumluları Sicili’ne kayıt zorunluluğuna yönelik birtakım istisnalar getirebilecek olmakla birlikte işlem hacimlerine ve işledikleri kişisel verilerin niteliğine bakıldığında seyahat acentalarının çoğunluğunun sorumluluktan muaf tutulmayacağı kanaatindeyiz.  

2) Açık Rıza Almak veya Diğer Veri İşleme Şartlarına Sahip Olmak

Kişisel verilerin işlenebilmesi için 6698 sayılı Kanun’un 5. maddesinde ortaya konulan veri işleme şartlarından en az birinin mevcudiyeti şarttır. İşleme faaliyetlerinde kural, veri sahibinin açık rızasının alınmasıdır. Ancak Kanun, veri sahibinin kendi bilgilerini alenileştirmesi, yasal yükümlülüklerin yerine getirilmesi veya fiili imkansızlık gibi bazı istisnai hallerde veri sahibinin açık rızasını aramamaktadır. (Açık rızanın gerekmediği istisnai haller için tıklayınız)

Konuya seyahat acentaları açısından bakılacak olursa, elbette söz konusu şirketlerin veri işleme faaliyetlerinde açık rızanın gerekmediği haller mevcut olacaktır. Örneğin, otel rezervasyonun yapılabilmesi için müşterinin kredi kartı bilgilerinin kaydedilmesi halinde onaya gerek bulunmaz. 

Ancak seyahat acentalarının birçok faaliyetinde gerek pazarlama amacından dolayı gerekse faaliyetin hassas veri içermesi nedeniyle veri sahibinin açık rızasına ihtiyaç bulunmaktadır. Aksi halde faaliyet, TCK’da tanımlı kişisel verilerin kaydedilmesi suçunu oluşturacak ve sorumlular hakkında 4.5 yıla kadar hapis cezaları ve 1.000.000 TL’ye varan idari para cezaları gündeme gelebilecektir.

Örneğin, nüfus cüzdanı fotokopisinde yer alan fotoğraf (kılık kıyafet verisi), kan grubu (sağlık verisi) ve din bilgisi hassas veri niteliğindedir. Hassas verilerin işlenmesi özel şartlara tabi olup bu şartların karşılanamaması halinde veri sahibinin hukuka uygun olarak açık rızasının alınması zorunludur.  

Dolayısıyla seyahat acentalarının hangi faaliyetlerinde açık rızaya ihtiyaç bulunduğu dikkatli bir şekilde tespit edilmeli ve veri sahiplerinden Kanun’a uygun açık rızaları alınmalıdır. Konuyla ilgili daha detaylı bilgi için Açık Rıza Nedir? başlıklı yazımızı inceleyebilirsiniz.

3) Veri Sahibinin Aydınlatılması

Her ne kadar veri sahibinden açık rıza alınsa veya (kanuni gereklilik gibi) diğer veri işleme şartlarından birine sahip olunsa da bunlar tek başına yeterli olmayıp veri sahipleri, kişisel veriler işlenmeye başlanmadan önce veya en geç veri işleme esnasında Kanun’da düzenlenen asgari konuları kapsayacak biçimde aydınlatılmalıdır.

Bu kapsamda örneğin müşterilerinin adreslerini belirli bir süre boyunca bulutta tutacak seyahat acentası henüz verileri elde etmeden önce veri sahibinin hakları, veri işleme amacı, verilerin hangi amaçla kimlere aktarılacağı gibi hususlarda müşteriyi bilgilendirmekle mükelleftir. 

Bu yükümlülüğe uyulmaması halinde Kurul, ilgili e-ticaret şirketi hakkında 100.000 TL’ye kadar idari para cezasına hükmedebilecektir. Veri sahibinin aydınlatılması ile ilgili daha detaylı bilgi için Aydınlatma Yükümlülüğü Nedir? başlıklı yazımızı inceleyebilirsiniz.

 4) Kişisel Verileri Silme, Yok Etme ya da Anonimleştirme

Seyahat acentaları kural olarak, hukuka uygun şekilde elde ettikleri hatta işlemeden önce gerekli aydınlatma yükümlülüklerini de yerine getirdikleri kişisel verileri, bütün işlenme amaçları ortadan kalktıktan sonra silmek, yok etmek veya anonim hale getirmekle yükümlüdür. Yine benzer şekilde şirketlerin kişisel veri saklama ve imha politikası oluşturması ve veri imha periyotları belirlemesi de yasal zorunluluktur.

Bu kapsamda bir seyahat acentası, zamanında elde etmiş olduğu müşteri mail adreslerini artık herhangi bir gereklilik bulunmamasına rağmen “ilerde lazım olur” şeklindeki bir düşünce ile saklayamayacaktır. 

Aksi takdirde faaliyet TCK’da sayılan kişisel verileri yok etmeme suçu teşkil edecek olup sorumlular hakkında 1 yıla kadar hapis cezasına hükmedilebilecektir.

Anonimleştirme ile ilgili daha detaylı bilgi için Kişisel Verilerin Anonim Hale Getirilmesi başlıklı yazımızı inceleyebilirsiniz.

5) Kişisel Verileri Hukuka Uygun Şekilde Aktarma

Seyahat acentaları, hukuka uygun şekilde elde etmiş oldukları kişisel verileri üçüncü kişilere aktarmak için 6698 sayılı Kanun’da yurt içinde ve yurt dışına aktarım için ayrı ayrı düzenlenen şartlara uymak zorundadır.

Dolayısıyla bir seyahat acentasının otel rezervasyonu yaptıran müşterilerin bilgilerini konaklayacakları otele aktarması üçüncü kişiye aktarımdır ve Kanun’da yer alan şartlara tabidir. 

Benzer şekilde müşteri bilgileri içeren veritabanlarının bir pazarlama listesi olarak üçüncü kişilerden temin edilmesi için de Kanun’da yer alan şartlara uyulması zaruridir. Zira kişisel verilerin hukuka aykırı şekilde aktarılması ve elde edilmesi halinde sorumlular hakkında Türk Ceza Kanunu uyarınca 6 yıla kadar hapis cezasına hükmedilmesi gündeme gelecektir.

Detaylı bilgi için Kişisel Verilerin Aktarılması, Kişisel Verileri Yurtdışına Aktarmak ve İşletmelerin Pazarlama Listeleri Satması başlıklı yazıları inceleyebilirsiniz.

6) Veri Güvenliğine İlişkin Gerekli Tedbirleri Alma

Seyahat acentaları kişisel verilerin gerek dijital gerekse de fiziki ortamdaki güvenliğini sağlamak için her türlü teknik ve idari tedbiri almakla mükelleftir. Bu hususta doğabilecek bir zafiyette Kişisel Verileri Koruma Kurulu tarafından 1.000.000 TL’ye kadar idari para cezasına hükmedilebileceği gibi zarara uğrayan veri sahiplerinin de tazminat talep etme hakkı gündeme gelecektir. Konuyla ilgili daha detaylı bilgi için Verileri Dijital Ortamda Tutmak başlıklı yazımızı inceleyebilirsiniz.

7) Veri Sahiplerinin Taleplerini Sonuçlandırma

Seyahat acentaları, kişisel verilerini işlediği personelin, müşterilerin, tüketicilerin ve diğer veri sahiplerinin bilgi taleplerini ve şikâyetlerini en kısa sürede ve en geç 30 gün içinde sonuçlandırmak zorundadır. Aksi takdirde veri sahiplerinin (yani kişisel verisi işlenen tüketici, müşteri veya personelin) Kurul’a şikâyet hakkı doğacak ve şirket Kurul’un denetimine maruz kalabilecektir.

Bu kapsamda kişisel verilerin korunmasıyla ilgili gelebilecek bilgi talepleri ve şikâyetlere karşı seyahat acentalarına etkin bir cevap mekanizması oluşturmaları tavsiye edilmektedir. 

Konuyla ilgili daha detaylı bilgi için “Veri Sahibinin Hakları Nelerdir?” başlıklı yazımızı inceleyebilirsiniz.

8) Kişisel Verileri Genel İlkelere Uygun İşlemek

Yukarıda sayılan bütün usul ve tedbirlere ilave olarak seyahat acentaları kişisel verileri işleme faaliyetlerinde Kanun’da yer alan genel ilkelere riayet etmekle mükelleftir. Bu kapsamda kişisel verileri işlerken hukuka ve dürüstlük kuralına uygun davranma, kişisel verileri belirli meşru ve açık amaçlarla işleme, veri işlemede sınırlı ve ölçülülük ilkesine bağlı olma gibi birçok ilkeye uygun hareket etmelidirler.

[Dolayısıyla, örneğin bir seyahat acentası gerekli değilse müşterilerinin araç kullanıp kullanmadığına ilişkin bilgi talep edemeyecek veya müşterilerinin cinsel tercihlerine göre değişken fiyat sunamayacaktır. 

Genel ilkelere ilişkin daha detaylı bilgi için Açık Rıza Sınırsız Özgürlük Verir mi? başlıklı yazımızı inceleyebilirsiniz.

Bu Tedbirler Fazla mı Abartılı?

Kişisel verilerin korunması hukukunun ülkemizde uzun bir geçmişinin bulunmamasının da etkisiyle ilk bakışta Kanun’un emrettiği tüm bu tedbirler gereksiz derecede abartılı bulunabilmekte veya bürokratik bir angarya oluşturacağı düşünülebilmektedir. Belirtmeliyiz ki bu alanda uzman ve deneyimli bir ekipten destek alınması halinde bu yükümlülükler ticari işleyişi aksatmadan oldukça pratik şekilde uygulanabilecektir. Hukukun kişisel verileri korumaya neden bu kadar önem verdiğine ilişkin fikir vermesi adına “Hukuk Neden Kişisel Verileri Koruyor?” başlıklı yazımızı inceleyebilirsiniz.

Toparlamak gerekirse; kişisel verilerin korunması hukuku hukukumuzda oldukça yeni bir alan olup kişisel veriler ile doğrudan temas halinde olan seyahat acentalarını yakından ilgilendirmekte, onlara önemli görevler yüklemekte ve büyük bir değişimi zorunlu kılmaktadır. Yukarıda sadece başlıcaları sayılmış olmakla birlikte; bu yükümlülüklere uyulmaması halinde 6 yıla varan hapis cezalarına, milyonlarca TL’ye varan idari para cezalarına ve tazminatlara hükmedilebilecek olup seyahat acentalarının bu yükümlülüklere uyması büyük önem arz etmektedir.