Türkiye turizm sektöründe her şey iyiye giderken kişisel veri güvenliği ile ilgili önlemlerin alınmaması nedeniyle oteller, tatil köyleri ve diğer turizm işletmeleri kişisel veri güvenliği mahremiyeti ile ilgili sorunlar yaşıyor. Türkiye'deki yabancı grupların otelleri dahi Kişisel verilerin korunması kanunu ve Avrupa Birliği'nin kişisel veri güvenliği yasası olan Genel Veri Koruma Kanunu yani GDPR'a uyumda zorluklar yaşıyorlar. KVKK ve GDPR danışmanlığı yapan bir kurum olarak turizm sektörünün büyük bir tehlike altında olduğunu görüyoruz.
Kurumlarımızın çoğu kağıt üstünde çeşitli yazışmalarla sorunların çözüleceğine inansa da durum öyle değil: Kurum içinde bir organizasyon kurmak gerekiyor. Otel için KVKK ile ilgili bir denetim yapısı oluşturmak gerekiyor. IT ile ilgili çeşitli iş ve işlemler yapılması gerekiyor, fiziksel bazı önlemler alınması gerekiyor. KVKK için DLP satın almak, sadece IT sistemlerinde güvenlik sıkılaştırması yapmak sizi güvende tutmaz. Görev tanımları ile ilgili çeşitli işler yapılması gerekiyor. Tüm çalışanların eğitilmesi gerekiyor. Müşterilerin, ziyaretçilerin, tedarikçilerin bilgilendirilmesi gerekiyor. Şirketler arası protokoller oluşturmak gerekiyor.
Konu biraz detaylı otellerimizin KVKK danışmanlığı alma konusundaki isteksizliği otellerimizin KVKK ile ilgili sorunları deneyimleyerek öğrenmelerine neden olacak bu da oteller için büyük tehlike. Kişisel veri güvenliği ile ilgili tedbirleri almayan oteller eğer kişisel kişisel verilerini KVKK ve AB mevzuatı olan GDPR'a uygun şekilde bir kişisel veri güvenliği yönetim sistemi kurmazsalar ise 1 milyon 400 bin TL idari para cezasını ödemek zorunda kalabilirler. Otellerimiz KVKK ile ilgili mevzuatın kurumları cezalandırmak gibi görmemeliler çünkü KVKK aslında kurumlarımızın sürdürülebilirliğini ve rekabet edebilirliğini artırmak için çıkarılmış bir yasadır.
KVKK yasa olarak çıkmasaydı dahi bugün tüm otellerimiz kvkk ile aynı içeriğe sahip olan GDPR'a uymak zorundadırlar. Eğer Avrupa Birliği vatandaşının kişisel verisi bir otelimiz tarafında ifşa edilir, yetkisiz erişime açılır ise o otelimiz veya turizm işletmemiz GDPR'a otomatikman tabi olacaktır. Otellere KVKK tarafından verilen idari para cezaları KVKK’ya uygunluk konusunda çok büyük sıkıntılar yaşandığının göstergesidir. Her otel KVKK danışmanlığı almak zorunda değil! İmkanı olan otellerimizin KVKK veya GDPR danışmanlığı almalarını tavsiye ediyoruz. Otellerini KVKK’ya uygun hale getirmeyen şirketleri yüklü miktarda idari para cezaları bekliyor. İnternet sayfasına bir aydınlatma koydum, bir form koydurdum otelimi KVKK'ya uyumlu hale getirdim! Bu doğru bir yaklaşım değil!
işte Türkiye'de yerleşik bir otelimizin veri ihlali bildirimi ve otel ile ilgili alınan karar özeti :
Karar Tarihi: 16/05/2019
Karar No: 2019/143
Konu Özeti: Marriot International Inc.'nin veri ihlal bildirimi hakkında bilgilendirme
Marriott International Inc’in (Marriott) 04.12.2018 ve 28.03.2019 tarihlerinde Kurumumuza intikal eden yazılarında özetle;
2016 yılı Eylül ayında Marriott’un önceden halka açık ve ayrı bir konaklama şirketi olan Starwood Hotels & Resorts Worldwide Inc'i (Starwood) devralma işlemi gerçekleştirdiği,
Starwood otel markaları arasında St. Regis, Sheraton Hotel & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton and Design Hotels’in bulunduğu,
Starwood misafir veritabanının tutulduğu ağa Temmuz 2014'ten beri yetkisiz erişim olduğu,
Starwood misafir veritabanına yetkisiz erişimin 08.09.2018'de tespit edildiği,
Starwood müşteri rezervasyon veri tabanının Marriott otelleri için değil sadece Starwood otellerindeki rezervasyonlar için kullanıldığı,
Marriott’un yaklaşık 383 milyon müşteri kaydı arasında ülke/bölge adresi Türkiye olan yaklaşık 1.24 milyon müşteri kaydının bulunduğu,
Saldırganın web sunucusuna bir komut istemi yüklediği ve Starwood ağına girdiğinin Marriot tarafından tespit edildiği,
Web sunucusuna erişimin sağlanmasının ardından, saldırgan tarafından web sunucusuna uzaktan erişim sağlayan bir truva atı (RAT) yüklendiği,
İhlal hakkında otel müşterilerini aydınlatmak için, özel bir web sitesinin (info.starwoodhotels.com) kurulduğu
ifadelerine yer verilmiştir.
Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/143 sayılı Kararı ile;
Starwood otel markaları arasında Türkiye’de faaliyet gösteren, St. Regis, Sheraton Hotel & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton and Design Hotels’in bulunduğu,
İhlalden etkilenen veri tabanının tutulduğu Starwood Hotels ağına 2014'ten beri yetkisiz erişim olduğu, 2016 yılı Eylül ayında Marriott’un önceden halka açık ve ayrı bir konaklama şirketi olan Starwood’u devralma işlemi gerçekleştirdikten sonra da ihlalin 19.11.2018 tarihine kadar yaklaşık 4 yıl sürmesinin çok ciddi bir güvenlik açığı olduğu ve Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığının göstergesi olduğu,
İhlalden etkilenen veriler arasında müşterilere ait ad, soyad, posta adresi, telefon numarası, doğum tarihi, cinsiyet, pasaport numarası, Starwood Preferred Guest (“SPG”) hesap bilgileri, otel ödül bilgileri, otele giriş ve çıkış bilgileri, ödeme kartı numaraları ve ödeme kartı son kullanma tarihleri, rezervasyon tarihi ve iletişim tercihlerini içeren bilgilerin olduğu,
Sistemde şifrelenmiş ödeme kartı bilgilerinin yanında çok sayıda şifrelenmemiş ödeme kartı numaralarının da bulunmasının sistemin tasarım aşamasından itibaren doğru bir şekilde planlanmadığı ve gerekli kontrollerin yapılmadığının göstergesi olduğu, bu durumun ilgili kişiler açısından olumsuz etki oluşturabilecek bir güvenlik açığı olduğu,
İhlalden etkilenen müşterilere ait bilgiler arasında ülke/bölge adresi Türkiye olan yaklaşık 1.24 milyon müşteri kaydının bulunduğu, ancak aynı müşteri için birden fazla kayıt bulunduğu için ihlalden etkilenen Türk müşterilerin sayısının tam olarak tespit edilemediği,
Saldırganın web sunucusuna bir komut istemi yükleyerek Starwood ağına girdiğinin tespit edildiği ve web sunucusuna erişimin sağlanmasının ardından, saldırgan tarafından web sunucusuna uzaktan erişim sağlayan bir truva atı (RAT) yüklendiği, saldırganın daha sonra kimlik bilgilerini toplayan ilave araçlar yüklediği ve sonrasında Starwood ağındaki diğer cihazlara erişim sağlayabilmek için kimlik bilgilerini ve iç ağ bağlanabilirliğini kullandığının tespit edilememesinin alınan teknik ve idari tedbirlerin yetersizliğinin göstergesi olduğu,
2014 yılından itibaren mevcut olan yetkisiz erişim ve komut isteminin kurulumunu gösteren web olay günlüklerinin (log kayıtları) olmasına rağmen, olayın tespit edilememesinin Şirket tarafından alınması gereken teknik ve idari tedbirlerin alınmadığının somut bir göstergesi olduğu
hususları dikkate alınarak
- 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.100.000 TL,
- Şirket tarafından 08.09.2018 tarihinde tespit edilen ihlale ilişkin Kuruma 03.12.2018 tarihinde bildirim yapılmasının, ihlalden etkilenen kişilere ise 30.11.2018 tarihinden sonra bildirimde bulunulmaya başlanmasının, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle, Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 350.000 TL,
olmak üzere toplam 1.450.000 TL idari para cezası uygulanmasına,
karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
Kaynak: kvkk.gov.tr