• VMİ Danışmanlık - KVKK Danışmanlığı

Oteller KVKK uyumu için hazır değil!


Bilgi Çağının sermayesi bilgidir, veridir. Bugün veriler işlenip, analiz edildiği hizmet ve ürüne çevrilebildiği için pazarlamanın en gözde değerlerinden biri olarak değerlendiriliyor. Burada veri güvenliği devreye giriyor. Türkiye'de kurumlar henüz ne bilgisine sahip olduğunu çözmekte zorlanıyor. Veriler kurumların sermayesi oldu. İşte bu dakikadan sonra kötüye kullanım yaygınlaştı ve ardından hem Türkiye'de hem de dünyada regülasyonlar ortaya çıktı.

Kişisel Verileri Koruma Kanunu KVKK'nın hayata geçmesi ile artık eskisi gibi kişisel verileri toplamak, kullanmak, depolamak, aktarmak kolay değil. Kişisel verilerin kullanılması çeşitli şartlara ve kanunlara bağlanmış durumda. Kurumlar KVKK uyumunu gerçekleştirememiş durumda. Bunun örneklerini hem kamu kurumlarında hem de özel şirketlerde görüyoruz. Kurumlar ne yazık ki daha bilgi tasnifini dahi yapmakta zorlanıyorlar. Oysa ne bilgiye sahip olduğunu bilmeyen bir kurum neyi koruyacağını da bilemez.

Turizm sektörü Türkiye'nin gözbebeği ama ne yazık ki bu alanda da KVKK ve özellikle GDPR uyumu henüz sağlanmış değil. Bir çok otel KVKK ve GDPR uyumu için tek bir aksiyon dahi almış değil. Ne yazık ki turizm sektöründe KVKK danışmanlık hizmeti ve GDPR danışmanlık hizmeti önem arzediyor. Kurumlarımız bir an önce yasalara, regülasyonlara uyumu sağlamalıdırlar. Bugün bir çok ülkeden misafiri ağırlayan Türkiye'deki turizm işletmeleri 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) konusu yeterince içselleştirmiş değil. Bu konu yani hem otel KVKK uyumu hem de turizm sektörü GDPR uyumu stratejik öneme sahip! Buradan uyarıyoruz bir çok otel bu yüzden büyük sıkıntılar yaşayabilir!

Bilgi güvenliği, veri güvenliği, siber güvenlik kurumların dikkate almaları gereken konular. Ama KVKK yani kişisel verilerin korunması yasal bir zorunluluk burada inisiyatif alarak yasaya uymamak doğru bir yaklaşım değil. Biz VMİ danışmanlık olarak Bilgi Güvenliği Yönetim Sistemleri alanında uzun yıllara dayalı önemli tecrübelere sahibiz. Eğer oteller KVKK uyumu konusunda ayak diremeye devam ederse hukuki ve idari yaptırımlara maruz kalabilirler. Özellikle Avrupa Birliği vatandaşlarının yoğun olarak tatil yaptığı bir ülkeyiz dolayısı iel bir AB vatandaşının kişisel verisini koruyamayan otelleri GDPR'a göre 20.000.000 Euro ceza bekliyor.

Otellerimize fikir vermek açısından soruyoruz. Otellerinizde KVKK için organizasyon yapısı kurdunuz mu? Veri Sorumlusu veya DPO olarak Veri Sorumlusu Temsilcisi'ni belirlediniz, VERBİS'e kayıt ettirdiniz mi? KVKK uyumu için talimatlar, prosedürler, politikalarınız tamam mı? Süreçlerini belirlediniz mi? KVKK uyumu ve GDPR uyumu için eğitimleri planlayıp gerçekleştirdiniz mi? Teknolojik önlemleri aldınız mı? Bu teknolojik önlemleri test ettiniz mi? Otel KVKK uyumu için kurduğunuz sistemi üçüncü bir gözle raporladınız mı?

Kişisel Verileri Koruma Kanunu'na göre kişisel verilerini çaldıran, sızdıran, yetkisiz erişimi önleyemeyen kurumlar sadece verilerin çalınması durumunda değil kişisel verilerin çalışması ile ilgili ağır şüphe taşıdıklarında dahi Kişisel Verileri Koruma Kurumu'na başvurarak 48 saat içinde KVKK'ya ve ilgili kişilere bildirim yapmak durumundalar.

İşte böyle bir örnek KVKK'nın web sayfalarına yansıdır. Türkiye'de iş yapan bir turizm şirketi KVKK'ya başvurarak bildirim yaptı. İşte o bildirim:

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

ABD merkezli otel zinciri olan Marriott International, Inc. (Şirket) unvanlı şirketten alınan 04.12.2018 tarihli yazıda;

  • 8 Eylül 2018 tarihinde, kurum içi güvenlik aracından Starwood konuk rezervasyon veri tabanına erişim girişimi ile ilgili uyarı aldıkları,

  • Yaptıkları inceleme sırasında 2014 yılından itibaren Starwood ağına yetkisiz erişim olduğu,

  • Yetkisiz erişim yapan tarafın bilgileri kopyalayarak şifrelediği,

  • 19 Kasım 2018 tarihinde Şirket tarafından bilgilerin şifresinin çözüldüğünü ve içeriğin Starwood konuk rezervasyon veri tabanından alındığı,

  • 20 Eylül 2018 tarihinde veya öncesinde bir Starwood tesisinde rezervasyon yapmış olan ve sayıları yaklaşık 500 milyonu bulan konuğa ilişkin bilgilerin yer aldığı,

  • Bu konuklardan yaklaşık 327 milyonuna ilişkin bilgiler arasında ad soyad, posta adresi, telefon numarası, e-posta adresi, pasaport numarası, Starwood Tercih Edilen Konuk (“SPG”) hesabı bilgileri, doğum tarihi, cinsiyet, varış ve ayrılış bilgileri, rezervasyon tarihi ve iletişim tercihlerinin çeşitli kombinasyonlarının yer aldığı,

  • Bazı kişilere ilişkin bilgiler arasında İleri Şifreleme Standardı ile şifrelenmiş ödeme yapılan kartların numaraları ve bu kartların son kullanma tarihlerinin bulunduğu, ancak bu şifrelerin çözülüp çözülemediğini söyleyemedikleri,

  • Starwood markalı; W Hotels, St. Regis, Sheraton Hotel & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton and Design Hotels ve devremülk tesisleri olduğu,

bilgilerine yer verilmiştir.

Yapılan değerlendirmeler neticesinde, Kişisel Verileri Koruma Kurulunun 05.12.2018 tarih ve 2018/147 sayılı Kararı ile Marriott International, Inc. ve bağlı kuruluşları nezdinde gerçekleşen söz konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Öte yandan, konuya ilişkin sorular için info.starwoodhotels.com internet sitesinin ziyaret edilmesi mümkün bulunmaktadır.

Kamuoyuna saygıyla duyurulur.*(1)

Bu örnek bize konunun vahametini anlatmaya yetiyor. VMİ Danışmanlık olarak turizm sektörü KVKK uyumu için bilgilerimizi paylaşmaya hazırız. GDPR danışmanlık hizmetleri, KVKK danışmanlık hizmetlerimizi sektörün hizmetine sunuyoruz. Turizm sektörünü ülkemizin lokomotifi olarak gördüğümüz için endişeliyiz. Oteller KVKK uyumunu sağlamak durumundadır. Oteller GDPR uyumunu sağlamak zorundadır.

Kaynak: *(1) Kişisel Verileri Koruma Kurumu web sayfası - kvkk.gov.tr

3 görüntüleme0 yorum

Son Paylaşımlar

Hepsini Gör

VERBİS'e kayıt süresi uzatılacak mı?

VERBİS'e kayıt süresi uzatılacak mı? Kişisel Verileri Koruma Kurumu (KVKK) Başkanı Prof. Dr. Faruk Bilir, KVKK'ya hem yurt içi hem de yurt dışı olmak üzere toplam 4 bin 839 ihbar ve şikayet başvurusu