Turizm sektörünün haber kaynağı Turizm Haber Merkezi'nin haberine göre bir otelde konaklayan kişiye sosyal medya hesabından otel konaklama ve kişisel bilgilerini içeren belge gönderilirken belgenin, otel çalışanları tarafından sızdırıldığını düşünen kişi, veri sorumlusu konumundaki otelin yükümlülüklerini yerine getirmediğini savunarak Kişisel Verileri Koruma Kurumu'na (KVKK) şikayette bulundu.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu konumunda olan ismi açıklanmayan otel tarafından yapılan savunmada kat hizmetleri görevlisi kişilerin gün içerisinde temizliğini yapacakları ve sorumlu olduğu odaların takibinin yapılabilmesi amaçlı Housekeeping Task Sheet isimli tek sayfalık matbu belge düzenlendiği, bu belgede müşterilerin yalnızca isim ve soy isimleri ile oda numaralarının yer aldığı, ilgili belgenin otelcilik hizmeti sunan tüm şirketlerde kullanılan standart bir belge olduğu belirtildi. Söz konusu belge kapsamında isim ve soy isim bilgilerinin yer almasının farklı nedenleri bulunduğu, lüks hizmet sunan otellerin standartları gereği konaklayan misafirlerin kişisel ve özel hissettirilmesi amaçlı misafirlere soy isim ile seslenildiği, ayrıca acil durum yaşanması durumunda kat hizmetleri görevlisi kişilerin misafirlerin kontrollerini sağlamalarının gerektiği, bu noktada acil durumlarda kişiye seslenilebilmesi, doğru kişi olup olmadığının tespiti veya acil durum müdahale raporu oluşturulabilmesi için kat hizmetleri görevlisi kişilerin misafirlerin isim-soy isim bilgilerine hakim olmasının gerektiği, ilgili belgenin Kat Hizmetleri Departmanı'nın fiziksel arşivinde anahtarı sınırlı sayıda kişide olacak şekilde kilitli dolaplar içerisinde saklandığı ve olayın gerçekleştiği dönemde 3 ayda bir periyodik olarak imha edildiği vurgulandı.
İlgili kişi ile sosyal medya hesabı bulunan kişi arasında gerçekleştirilen görüşmenin tarihi itibarıyla ilgili kişiye ilişkin Housekeeping Task Sheet belgesinin imha edilmiş olduğu, haliyle herhangi bir kişi tarafından erişilmesinin mümkün olmadığı diğer yandan, veri sorumlusunun misafirlerine ilişkin hazırlamış olduğu aydınlatma metinlerini misafirlerin verilerinin ilk elde edildiği sırada Registration Card vasıtasıyla sunduğu ve ilgili doküman kapsamında misafirlerini kişisel verileri işlenen süreçlere yönelik bilgilendirdiği, bununla birlikte matbu olarak sunulan aydınlatma metni haricinde otelde konaklayan ve konaklamayı planlayan herkes için açık bir şekilde internet sitesinde aydınlatma metninin bulunduğu, ilgili kişiye verilen yanıttan sonraki tarihte internet sitesinde bazı çalışmalar gerçekleştirildiği ve yeni URL adresleri eklendiği belirtildi.
Kurum tarafından alınan kararda ilgili kişinin şikayetine ve veri sorumlusu tarafından üçüncü kişilerle paylaşıldığı iddiasına konu edilen Housekeeping Task Sheet belgesinin oteldeki temizlik bakım hizmetleri için görevleri ve programı belirlemek amacıyla oluşturulduğu ve Temizlik Görev Kağıdı olarak çevrilebileceği, belge kapsamında işlemeye konu oluşturabilecek kişisel verilerin konaklayanın adı, soyadı, ünvanı, konakladığı oda numarası, konakladığı odaya ilişkin bilgiler, giriş ve çıkış tarihi olduğu, bu belgenin Kat Hizmetleri Departmanı tarafından hazırlanarak kat hizmetleri görevlisi olan kişilere verildiği, bu doğrultuda kat görevlilerinin konaklayan misafirlerin isim ve soy isimleri bilgilerine vakıf olduğuna dikkat çekildi.
Kanun’un 4’üncü maddesinin 2 numaralı fıkrasının (ç) bendinde belirtilen “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi uyarınca işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olmasının, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasının gerektiği,
Bununla birlikte her ne kadar veri sorumlusu olan otel tarafından ilgili belgede isim ve soy isim bilgilerinin yer almasının farklı nedenlerinin bulunduğu ifade edilmişse de, kat görevlilerinin temel faaliyet alanının bakım ve temizlik hizmetleri olduğu, hizmetlerin yürütülmesinin konaklayan kişinin adını soyadını bilmesini gerektirmediğinin vurgulandığı kurum kararında veri sorumlusunun konaklayanları özel hissettirmek amacından yola çıkarak kişisel verilerin korunması hakkını göz ardı etmemesinin gerektiği, bu amacın kişisel verilerin korunması hakkı karşısında mutlak olarak korunmaya değer bir menfaat niteliği taşımadığı belirtildi.
6698 sayılı kişisel verilerin korunması kanunu kapsamında şikayeti inceleyen ve paylaşılan bilgilerin otel bünyesinde oluşturulduğunu tespit eden kurum, kişisel verilere hukuka aykırı erişilmesini önleme yükümlülüğü ile kişisel verilerin muhafazasını sağlama adına gerekli teknik ve idari tedbirleri almadığını belirlediği otele 500 Bin TL idari para cezası verilmesini kararlaştırdı.
Kararın tamamını okumak için tıklayın https://www.kvkk.gov.tr/Icerik/7778/2023-1327