KVKK ve Otel: Misafir Verisi Uyumu Rehberi
Bir otel; kimlik, iletişim, ödeme, konaklama geçmişi ve bazen sağlık/tercih bilgisi gibi yoğun kişisel veri işler. KVKK bu verinin nasıl toplanacağını, saklanacağını ve korunacağını düzenler. En kritik nokta, yasal zorunluluk gereği işlenen veri (KBS) ile rızaya dayalı işlenen veriyi (pazarlama) birbirinden ayırmaktır. Bu rehber, otel için uygulanabilir bir uyum çerçevesi kurar.
- Otelin işlediği verilerin çoğu kişisel veridir: kimlik, iletişim, ödeme, konaklama geçmişi
- Aydınlatma her durumda zorunludur; açık rıza yalnızca rızaya dayalı işlemeler için gerekir
- KBS bildirimi yasal yükümlülüktür — pazarlama izniyle karıştırılmamalı, ayrı tutulmalı
- Veri yalnızca amacı kadar ve mevzuatın öngördüğü süre kadar saklanmalı, sonra silinmeli
- Veri güvenliği (erişim yetkisi, şifreleme, log) ve misafir hakları (bilgi/silme talebi) sistemin parçası olmalı
Otelcilik, doğası gereği kişisel veri yoğun bir sektördür. Bir misafir check-in yaptığı an; adı, kimlik bilgisi, iletişim bilgisi, ödeme kartı, araç plakası, hatta bazen özel taleplerinde sağlık veya inanç bilgisi tesisin eline geçer. KVKK, bu verinin keyfî değil, belirli ilkelere ve hukuki sebeplere dayanarak işlenmesini zorunlu kılar. İyi haber: uyum, doğru kurulan birkaç temel adıma indirgenebilir. Kötü haber: en sık yapılan hata (yasal zorunluluğu rızayla karıştırmak) tüm akışı sakatlar.
Hangi Misafir Verileri Kişisel Veridir?
Kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgidir. Otelde bu tanım neredeyse tüm misafir kayıtlarını kapsar. Ayrıca bazı veriler 'özel nitelikli' sayılır ve daha katı korunur.
| Veri türü | Örnek | Kategori |
|---|---|---|
| Kimlik | Ad-soyad, T.C./pasaport no, doğum tarihi | Kişisel veri |
| İletişim | Telefon, e-posta, adres | Kişisel veri |
| Finansal | Kart bilgisi, fatura, ödeme geçmişi | Kişisel veri (hassas işlem) |
| Konaklama | Geçmiş konaklamalar, tercih, talepler | Kişisel veri |
| Özel nitelikli | Sağlık (diyet/engel), inanç, plaka bağlamı | Özel nitelikli — ekstra koruma |
Aydınlatma Metni: Her Zaman Zorunlu
Aydınlatma yükümlülüğü, veriyi hangi hukuki sebeple işlerseniz işleyin geçerlidir. Misafire; verisini kimin (veri sorumlusu), hangi amaçla, hangi hukuki sebeple işlediğini, kimlere aktarıldığını (örneğin KBS kapsamında ilgili kuruma) ve haklarını anlaşılır biçimde bildirmeniz gerekir. Bu metin check-in noktasında, online ön check-in akışında ve web sitesinde erişilebilir olmalıdır. Aydınlatma bir 'onay' değildir — bilgilendirmedir ve rıza gerektirmez; ama gösterilmiş olması gerekir.
Açık Rıza: Sadece Gerektiğinde
Burada en kritik kavram yanlışı düzeltilir: her veri işleme açık rıza gerektirmez. KVKK, rıza dışında da hukuki sebepler tanır — örneğin bir kanunun açıkça öngörmesi (KBS bildirimi) veya sözleşmenin ifası (konaklama hizmetini yerine getirmek için gereken veri). Açık rıza, ancak başka bir hukuki sebep yoksa ve veri o sebep dışında bir amaçla (tipik olarak pazarlama) işlenecekse gereklidir. Açık rızanın geçerli olması için özgür iradeyle, belirli bir konuda ve bilgilendirmeye dayalı olması gerekir.
| İşleme | Hukuki sebep | Açık rıza gerekir mi? |
|---|---|---|
| KBS kimlik bildirimi | Kanunda açıkça öngörülme | Hayır |
| Konaklama sözleşmesi (rezervasyon, ödeme) | Sözleşmenin ifası | Hayır |
| Yasal saklama (fatura, defter) | Hukuki yükümlülük | Hayır |
| Pazarlama e-postası / SMS / kampanya | Açık rıza | Evet |
| Sadakat programı profil analizi | Açık rıza (genelde) | Evet |
Saklama Süresi: Sonsuza Dek Saklamayın
KVKK'nın temel ilkelerinden biri, verinin amacı için gerekli olduğu süre kadar saklanmasıdır. Otelde bu, farklı veriler için farklı süreler demektir: bazı mali/yasal kayıtlar mevzuatın öngördüğü süre boyunca tutulmak zorundayken (örneğin fatura kayıtları), pazarlama amaçlı toplanan bir e-posta, rıza geri çekildiğinde veya amaç ortadan kalktığında silinmelidir. Süre sonunda veri ya silinmeli, ya yok edilmeli ya da anonim hale getirilmelidir. 'Belki ileride lazım olur' gerekçesiyle süresiz saklamak, KVKK'ya aykırıdır.
- Veri envanteri çıkarıldı: hangi veri, neden, ne kadar süre saklanıyor
- Aydınlatma metni check-in ve online akışta gösteriliyor
- KBS gibi yasal işlemeler pazarlama izninden ayrı tutuluyor
- Pazarlama izni ayrı, opsiyonel ve loglanan bir açık rıza
- Saklama süreleri tanımlı; süre sonunda silme/anonimleştirme yapılıyor
- Erişim yetkisi rol bazlı; kim hangi veriyi görüyor sınırlı
- Misafir bilgi/silme/düzeltme talepleri için bir akış var
Veri Güvenliği: Teknik ve İdari Tedbirler
KVKK, sadece 'rıza al' demez; veriyi korumak için makul teknik ve idari tedbirleri de zorunlu kılar. Pratikte bu, otel için şu anlama gelir: misafir verisine herkes değil, yalnızca yetkili roller erişmeli (rol bazlı yetki); veri aktarımı ve saklanması güvenli (şifreli) olmalı; kimin hangi veriye eriştiği izlenebilmeli (log); çalışanlar gizlilik konusunda bilgilendirilmeli. Excel dosyasında dolaşan misafir listesi veya ortak bir klasördeki kimlik fotokopileri, en sık görülen güvenlik açıklarıdır.
Misafir Hakları: Talep Geldiğinde Ne Yaparsınız?
Misafirin (ilgili kişinin) KVKK kapsamında hakları vardır: verisinin işlenip işlenmediğini öğrenme, düzeltilmesini, silinmesini veya işlemenin sınırlandırılmasını isteme gibi. Bir misafir 'verilerimi silin' veya 'hangi verimi tutuyorsunuz' diye sorduğunda, tesisin buna belirli süre içinde yanıt verebilecek bir akışı olmalıdır. Bunun için verinin nerede tutulduğunun bilinmesi (envanter) ve silme/düzeltme işleminin uygulanabilir olması şarttır. Dağınık, kontrolsüz veride bu talepleri karşılamak neredeyse imkânsızdır.
Sıkça Sorulan Sorular
Otelde hangi misafir bilgileri kişisel veri sayılır?
+
Kimliği belirli veya belirlenebilir bir kişiye ait neredeyse tüm misafir bilgisi kişisel veridir: ad-soyad, kimlik/pasaport no, telefon, e-posta, adres, ödeme bilgisi, araç plakası ve konaklama geçmişi. Sağlık temelli özel talepler veya inanç gibi bilgiler ise 'özel nitelikli kişisel veri' sayılır ve daha katı korunur; gereksizse hiç toplanmamalıdır.
KBS bildirimi için misafirden açık rıza almak gerekir mi?
+
Hayır. KBS kimlik bildirimi kanunda açıkça öngörülen bir yasal yükümlülüktür; bu nedenle açık rıza gerektirmez ve misafirin pazarlama iznine bağlanamaz. Misafir pazarlama iletilerini reddetse bile konaklayabilir ve KBS bildirimi yine yapılır. Açık rıza yalnızca pazarlama gibi rızaya dayalı, opsiyonel işlemeler için gereklidir.
Otel misafir verilerini ne kadar süre saklayabilir?
+
Veri, yalnızca işleme amacı için gerekli olduğu ve mevzuatın öngördüğü süre kadar saklanabilir. Bazı mali/yasal kayıtlar (örneğin fatura) belirli süre tutulmak zorundayken, pazarlama amaçlı toplanan veri rıza geri çekildiğinde veya amaç bittiğinde silinmelidir. Süre sonunda veri silinmeli, yok edilmeli veya anonimleştirilmelidir; süresiz saklama KVKK'ya aykırıdır. Tesise özel süreler için mali/hukuki danışmanınıza başvurun.
Aydınlatma metni ile açık rıza arasındaki fark nedir?
+
Aydınlatma, misafire verisinin kim tarafından, hangi amaç ve hukuki sebeple işlendiğini, kimlere aktarıldığını ve haklarını bildiren bir bilgilendirmedir; her durumda zorunludur ve onay/rıza gerektirmez. Açık rıza ise misafirin belirli bir işlemeye (tipik olarak pazarlama) özgür iradesiyle verdiği onaydır ve yalnızca başka bir hukuki sebep yoksa gerekir. Aydınlatma her zaman; açık rıza sadece gerektiğinde alınır.
Misafir verisini yetki ve log denetimiyle tek sistemde tutun
HotelPilot; aydınlatma/rıza akışı, KBS'i pazarlamadan ayıran yapı, rol bazlı erişim ve saklama yönetimiyle KVKK uyumunu kolaylaştırır.