Konaklama Sektörü Bileşenlerinin KVKK ve GDPR Uyumluluğuna Dair Atması Gereken Adımlar

Bir önceki yazımda, KVKK’nın ve GDPR’ın kapsamından, amacından  kısaca bahsedilmişti. KVKK’nın , 2 yıl geçiş aşamasından sonra, 7 Nisan 2018’de, GDPR’ın da, 2 yıl geçiş aşamasından sonra, 25 Mayıs 2018’de tamamen yürürlükte olduğunu belirtmekte fayda varken konaklama sektörünün ve kendisine hizmet veren yazılım şirketlerinin KVKK’nın ve GDPR’ın getirdiği yaptırımlara karşı atmış olması/atması gereken adımları listelersek:

  1. Veri Temsilcisinin Belirlenmesi
  2. Aydınlatma Metninin Yayınlanması
  3. Veri Envanterinin Hazırlanması
  4. Veri Sorumluları Siciline Kayıt
  5. Kişisel Verilerin Açık Rıza ile Toplanması
  6. Önceki Verilerin Düzenlenmesi
  7. Sistem ve Fiziksel Güvenliklerinin Oluşturulması
  8. Dokümanların Oluşturulması ve Denetimlerinin Yapılması

Yukarıdaki maddeler sadece konaklama sektörünü kapsayan, ilgilendiren maddeler olarak değil, kişisel verilere sahip olan/işleyen birçok sektördeki kamu/ tüzel kişilikleri ilgilendiren maddeler olarak ele alınabilir.

Bu noktada konaklama sektörüne hizmet veren yazılım şirketlerinin verdiği hizmetlerin yasalara uyumlu olabilmesi için ve böylece veri sorumlusu/kontrolörü sayılan otellerin yasal yükümlülüklerini yeri getirebilmek adına yazılım şirketlerinin atması gereken adımlardan bahsedilecek.

Konaklama Sektörüne Hizmet Veren Yazılım Şirketlerinin KVKK Uyumu İçin Yapması Gerekenler Nelerdir?

Konaklama sektörüne hizmet veren yazılım şirketlerinin yukarıda belirtilmiş olan maddelerin birkaçıyla doğrudan ilintili olduğunu belirtmekte fayda var. 3., 5., 6. ve 7. madde bu çerçevede biraz daha detaylı ele almak istenirse:

Veri Envanterinin Hazırlanması: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir. Bu yaptırım gereği, bir yazılım şirketinin kendi sistemi içerisinde adapte edeceği, istendiği vakit rapor halinde alınabilecek, bir veri envanteri bölümü oluşturulması veri sorumlularının zaten sisteme işlediği verilerin, tek elden toplanması, ulaşılması açısından kolaylık sağlayacaktır. Otellerin yasal yaptırımlarla karşı karşıya kalmaması için kullandıkları yazılımların/programların bu hizmeti sunabilmesi, oteller için büyük bir avantaj olacaktır.

Kişisel Verilerin Açık Rıza ile Toplanması: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak geçmektedir. Buna göre rıza beyanı, ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce ve konuyla ilgili yeterli bilgi sahibi olarak verdiği ve sadece o işlemle sınırlı onay beyanıdır. Rıza, ilgili kişi tarafından “tereddüdte yer bırakmayacak şekilde” verilmiş olmalıdır. Rıza, elektronik imza, güvenli elektronik imza, ıslak imza, opt-in seçeneğinin işaretlenmesi gibi aktif yolları ile alınabilecektir. Veri sorumlusunun almış olduğu açık rızalar doğrultusunda bir veri tabanı oluşturması gerekir. Verinin açık rıza olmadan işlendiği iddia ediliyorsa, açık rızanın varlığına dair ispat yükü, veri sorumlusuna aittir. Bu konuda, yazılım şirketleri otele şu kolaylığı sağlaması gerekiyor: Yazılım şirketleri, kendi sistemlerine  açık rıza alma yöntemleri eklemelidirler. Sistemin kendisi, müşterinin rezervasyonu sırasında/ otele girişi sırasında ya da müşteri ile hangi noktada verileriyle alakalı kontak kuruyorsa veri sahibinden açık ve net bir şekilde rızasını almak zorundadır. Veri işleyen yazılım şirketleri, veri sorumlusu sıfatına sahip otellere sağlayacağı bu hizmetle, açık rızanın kanıtlanması noktasında büyük bir avantaja sahip olacaktır.

Önceki Verilerin Düzenlenmesi: Kanun gereği, yasa çıkmadan önce yasaya aykırı alınmış verilerin bir şekilde silinmesi, anonimleştirmesi ya da  yok edilmesi gerekmektedir. Bu çerçeveden

 yaklaşıldığı vakit, veri sorumluları veri işleyen tarafından sahip olduğu yasaya aykırı verileri kendi sistemlerinden silmek ya da yok etmek zorundadır.

Sistem ve Fiziksel Güvenliklerinin Oluşturulması: Bir veri sorumlusunun/ kontrolörünün veri işleyenden en büyük beklentisi de veri işlenen sistemin güvenlik mimarisinin tamamlanmış olmasıdır. Bu noktada atılması gereken en büyük adım, veri işleyen yazılım şirketlerinin kendi sistemlerinin güvenilirliğini sağlama almak ve herhangi bir siber saldırı, sistem çökmesi ya da sisteme ait bir problemden dolayı veri sorumlusuna veri güvenliğine dair garanti verebilmesidir.

 KVKK’nın  GDPR’ın Getirdiği Yenilikler Bağlamında Ele Alınması ve Konaklama Sektörüne Hizmet Veren Yazılım Şirketlerinin Atması Gereken Adımlar

Yukarıdaki maddelerde KVKK’ya uyumluluğuna dair atılması gereken adımlardan bahsedildi. Uluslararası bir yaptırımı olan GDPR’ın da KVKK’dan farklı yönlerinden bahsedecek olursak:

  1. Veri İşleyen Tarafın Sorumluluğu: KVKK uyumunu sağlamış birçok işletmenin aslında GDPR gerekliliklerinin birçoğunu sağlamış olduğunu yorumlamak çok yanlış olmayacaktır. Ek olarak, GDPR’ın getirdiği en büyük farklılık, KVKK’da büyük oranda veri sorumlusuna/kontrolörüne verilmiş olan sorumluluk veri işleyen tarafa da yüklenmesidir. Ancak 6698 sayılı KVK Kanunu’nun 18. maddesinin ikinci fıkrasında veri sorumlusu ve veri işleyen açısından farklı bir sorumluluk düzeyi belirlenerek idari cezaların uygulaması bakımından yalnızca veri sorumlularına yaptırım uygulamaktadır. GDPR’da ise veri kontrolörü ile beraber veri işleyen tarafta sorumludur ve veri kontrolörleri veri işleyenlerini seçerken, bu şirketlerin veri güvenliğine dair adımlarını tamamlamış olmalarını beklemelidirler.
  2. Unutulma Hakkı : GDPR ile getirilen diğer bir önemli düzenleme “unutulma hakkıdır. Genel olarak, bireylerin kendilerine ait kişisel verilerini kontrol etme ve mümkün olduğunda silme hakkı olarak ifade edilen unutulma hakkı kavramı GDPR ile ilk kez hukuki bir düzenleme çerçevesine alınmıştır. Bu çerçevede  kendi verisinin silinmesini isteyen bir kişinin, birkaç istisna dışında(bilgi ve ifade hürriyeti hakkının kullanılması, veri kontrolörünün tabi olduğu yasalar bakımından işleme faaliyetiyle yükümlü olması veya kamu yararının gerektirdiği haller yahut veri kontrolörünce yürütülen resmi bir görevin gerektirmesi, GDPR’nin 9. maddesinde yer alan toplum sağlığının korunmasına ilişkin hükümlerin uygulanması, arşiv amaçlı araştırmalarda kamu yararına, bilimsel ve tarihi araştırmalarda kullanılması ile yasal iddiaların oluşturulması, uygulanması ve savunulması), talebi halinde o veriye dair unutulma hakkını kullanılabilir. Unutulma hakkını kendi sistemlerine entegre etmiş yazılım şirketleri veri kontrolörü olan otellere GDPR uyumunu kolaylaştıracağı aşikardır.
  3. Veri Taşınabilirliği ve Etki Değerlendirmesi: GDPR’nin 20. maddesiyle ile ilk kez tanımlanan “veri taşınabilirliği hakkı” kapsamında veri sahibi, kişisel verisini tutmaya yetkili bir veri kontrolöründen diğerine taşıyabilme yetkisine sahiptir. Ayrıca 37. madde kapsamında hassas verilerin işlenmesi bakımından “zorunlu veri koruma görevlisi”nin belirlenmesi ve 35. madde kapsamında riskli veri işleme faaliyetleri bakımından “zorunlu veri koruma etki değerlendirmesi” öngörülmektedir. 6698 sayılı Kanun’da ise bu kapsamda ayrıca tanımlanmış hükümler bulunmamaktadır. Yazılım şirketleri, kendi sistemleri içerisine, veri sorumlularının/kontrolörünün istendiği vakit tuttuğu verileri başka bir yere aktarabilmeyi imkan kılacak bir yapı sunmalıdırlar.
  4. Veri Koruma Tedbirleri: GDPR kapsamında kişisel verilerin işlenmesi bağlamında gerçek kişilerin hak ve özgürlüklerinin korunması amacıyla gerekli teknik ve organizasyonel önlemlerin alınmasının gerektiği ifade edilerek “Başlangıçtan itibaren (data protection by default)” ve “tasarımdan itibaren veri koruması (data protection by design) yaklaşımı” kavramlarına yer verilmektedir. Herhangi bir ürün tasarım edilmeye başlandığı vakit, kişisel verilerin güvenliğini göz önüne alarak dizayn edilmelidir ve de veri işlenmesine başlandığı vakit( en baştaki süreçten itibaren) veri güvenliği göz önüne alarak işlemler gerçekleştirilmelidir.

Yukarıda belirtmiş olduğum gibi, aslında KVKK uyumunu sağlamış birçok yerli şirket teknik açıdan GDPR uyumunu birçok yerden yakalamış olacaktır. Önümüzdeki yazımızda, Hotech Yazılım A.Ş.’nin KVKK uyumu ve GDPR uyumuna dair atmış olduğu adımlardan bahsedilecek. Son olarak, GDPR ve KVKK maddi yaptırımlarının farklı olduğunun altını çizerek yazıma son veriyorum.

Konuyla ilgili bir önceki yazı için lütfen tıklayın.