BİR OTEL ÇALIŞANININ, OTELDE KONAKLAYAN MİSAFİRİN KİŞİSEL VERİLERİNİ ÜÇÜNCÜ KİŞİLERLE PAYLAŞMASI NETİCESİNDE MEYDANA GELEN İHLAL VE VERİ SORUMLUSU OLAN OTELİN KANUNDAN DOĞAN SORUMLULUĞUNA İLİŞKİN KARAR ÖZETİ
27.12.2023 tarihinde Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayımlanan, 03.08.2023 tarihli ve 2023/1327 sayılı Kişisel Verileri Koruma Kurulu’nun (“Kurul”) karar (“Karar”) özeti hakkında sizleri bilgilendirmek amacı ile işbu bilgi notunu paylaşmaktayız.
Karar’a konu olayda başvurucu özetle:
Sosyal medya uygulamalarından birisi vasıtasıyla kendisine, bir otelde konakladığı döneme ait birtakım bilgiler içeren bir belge gönderildiğini,
Belgeyi gönderen kişinin, bu belgeyi otel çalışanlarından birisinden temin ettiğini,
Söz konusu belgede başvurucunun isim ve konaklama bilgileri yer almakla, veri sorumlusu olan otel bünyesinde üretilen belge nedeniyle otelin sorumlu olduğunu ve ayrıca aydınlatma yükümlülüğünün yerine getirilmediğini iddia etmiştir.
Veri sorumlusu "otel" tarafından yapılan savunmada özetle:
Kat hizmetleri görevlilerinin, gün içinde temizlik yapacakları ve sorumlu olduğu odaların takibinin yapılabilmesi amacı ile “Housekeeping Task Sheet” isimli matbu bir belge düzenlendiği ve bu belgede misafirlerin yalnızca adı-soyadı ve oda numaralarının yer aldığı, anılan belgenin otelcilik hizmeti sunan tüm şirketlerde kullanılan standart bir belge olduğu,
Bu belgede ad-soyad bilgilerinin yer almasının farklı nedenleri olduğu, lüks hizmet sunan otellerin standartları gereği konaklayan misafirlerin kişisel ve özel hissettirilmesi amacıyla misafirlere soyadları ile hitap edildiği, ayrıca acil bir durum yaşanması halinde kat hizmetleri görevlilerinin, misafirleri kontrol etmesi gerektiğini, misafirin doğru kişi olup olmadığının tespiti veya acil durum müdahale raporu oluşturulabilmesi için kat hizmetleri görevlilerinin misafirlerin ad-soyad bilgilerine hâkim olması gerektiği,
Söz konusu belgenin, Kat Hizmetleri Departmanı’nın fiziksel arşivinde anahtarı sınırlı sayıda kişide olacak şekilde kilitli dolaplar içerisinde saklandığı ve olayın gerçekleştiği dönemde, her üç ayda bir olmak üzere periyodik olarak imha edildiği,
Başvurucu ile başvurucuya anılan belgeyi gönderen kişi arasında gerçekleşen görüşme tarihi itibariyle, başvurucunun kişisel verilerini içeren “Housekeeping Task Sheet” belgesinin imha edilmiş olduğu, bu nedenle de herhangi bir kişi tarafından erişilmesinin mümkün olmadığı,
“Housekeeping Task Sheet” adlı belgenin aslının otelde bulunma imkânı olmadığından, otel kayıtlarındaki belge ile uyuşup uyuşmadığının tespit edilmesinin mümkün olmadığı; başvurucunun şikayetinin ekinde mevcut “Housekeeping Task Sheet” adlı belgenin içeriğinin okunamadığı, üzerinde bazı karalamalar olduğu,
Otelin, veri sorumlusu olarak, kişisel verilerin güvenliğini sağlamak üzere tüm önlemleri aldığı, bu doğrultuda veri sorumlusunun bu konuda gerekli soruşturmayı yürüttüğü ve paylaşım olasılığına dair herhangi bir bulguya rastlamadığı,
Başvurucu ile başvurucuya ilgili belgeyi gönderen kişi arasındaki görüşmelerde birçok çelişki bulunduğu ve başvurucunun iddialarının gerçeği yansıtmadığı gibi, otelde konakladığı bilgisinin başvurucu tarafından sosyal medyada paylaşılmış olduğu,
“Housekeeping Task Sheet” adlı belgenin orijinal olup olmadığının ve başvurucuya ilgili belgeyi gönderen kişinin varlığının tespiti açısından belirleyici olacağı için konuya ilişkin Savcılık tarafından yürütülen soruşturmanın sonuçlanmasının beklenmesi gerektiği,
Otelin, misafirlerin kişisel verilerini ilk elde ettiği sırada “Registration Card” vasıtası ile aydınlatma metnini misafirlerine sunduğu ve bu şekilde misafirlerin bilgilendirildiği ifade edilmiştir.
Kurul tarafından yapılan inceleme neticesinde:
“Housekeeping Task Sheet” belgesinin oteldeki temizlik-bakım hizmetleri için, hizmetlilerin görevleri ve programı belirlemek amacıyla oluşturulduğu ve belge kapsamında işlemeye konu oluşturabilecek kişisel verilerin konaklayanın adı, soyadı, unvanı, konakladığı oda numarası, konakladığı odaya ilişkin bilgiler, giriş ve çıkış tarihi olduğu, bu belgenin Kat Hizmetleri Departmanı tarafından hazırlanarak, kat hizmetleri görevlisi olan kişilere verildiği, bu doğrultuda kat görevlilerinin konaklayan misafirlerin isim ve soy isimleri bilgilerine vakıf olduğu,
Kişisel verilerin işlenmesine ilişkin olarak, tüm kişisel veri işleme faaliyetlerinin özünde bulunması ve tüm kişisel veri işleme faaliyetlerinin uygun olarak gerçekleştirilmesi gereken ilkelerin Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 4’üncü maddesinde düzenleme altına alındığı,
Kanun’un md.4/f.2/b.(ç)’de belirtilen “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi uyarınca işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olmasının, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasının gerektiği,
Her ne kadar otel tarafından, söz konusu belgede ad-soyad bilgilerinin yer almasının farklı nedenleri bulunduğu ifade edilmişse de, kat görevlilerinin temel faaliyet alanının bakım ve temizlik hizmetleri olduğu, hizmetlerin yürütülmesinin konaklayan kişinin adını-soyadını bilmesini gerektirmediği, veri sorumlusunun konaklayanları özel hissettirmek amacından yola çıkarak kişisel verilerin korunması hakkını göz ardı etmemesinin gerektiği, bu amacın kişisel verilerin korunması hakkı karşısında mutlak olarak korunmaya değer bir menfaat niteliği taşımadığı, mahremiyet bilincinin yaygınlaştığı günümüzde konaklayanların pek çoğu tarafından da kişisel verilerinin, isteği ve bilgisi dahilinde paylaşılmadığı kişi ve birimlerce kullanılmasının istenmeyeceği, bu anlamda ilgili kişilere seçim hakkının verilmesi gerektiği, kişisel veri güvenliği hususunda yaşanabilecek riskler de göz önüne alındığında veri minimizasyonu ilkesi doğrultusunda hareket edilmesi gerektiği, bu doğrultuda kat görevlilerinin görevlerinin belirlendiği “Housekeeping Task Sheet” belgesinde konaklayanların ad ve soyad bilgilerine yer verilmesi şeklinde gerçekleşen veri işleme faaliyetinin, Kanun’un md.4/f.2/b.(ç)’de belirtilen “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesini zedeleyeceği, anılan belgede ilgili kişilerin isim ve soy isim bilgilerine yer verilmesi uygulamasına son verilmesinin gerektiği,
Otel tarafından Kurum’a iletilen “Housekeeping Task Sheet” adlı belgenin boş nüshası ile başvurucunun şikayetine ve paylaşıma konu oluşturduğunu iddia ettiği belgeye ilişkin ekran görüntüleri ve ekran görüntüsünün video kaydı karşılaştırmalarından, nüshaya uygun ibarelere yer verildiğinin anlaşıldığı,
Başsavcılık nezdinde başlatılan soruşturmanın konusunun cinsel dokunulmazlığa ve şerefe karşı işlenen eylemler nedeniyle başvurucu tarafından sosyal medya kullanıcısı şahsa karşı başlatıldığının anlaşıldığı,
Her ne kadar otel tarafından, Savcılık tarafından yürütülen soruşturmanın belgenin orijinal olup olmadığının tespiti bağlamında belirleyici olacağı beyan edilmişse de belgenin sahteliğinin tespitine yönelik otel tarafından ayrıca bir işlem başlatıldığının tespit edilmediği, ayrıca otelin, belgeyi paylaşan şahsın kimliği ve varlığı hususunda şüphelerinin bulunduğu iddialarının da başvurucu tarafından Kurum’a iletilen yazışma ekran görüntüleri karşısında tevsik edilmeye muhtaç iddialar olduğu, otelin ilgili kişinin kişisel verilerini ihtiva eden “Housekeeping Task Sheet” adlı belgenin sahte olduğu, şahsın kimliği ve varlığı hususunun şüpheli bulunduğu dolayısıyla bünyesinde bir veri ihlali yaşanmadığı hususlarındaki açıklamalarını tevsik edemediği,
Otel tarafından, bünyelerinde mezkûr belgenin imha edildiği beyan edilmişse de belgenin imha edildiğini gösteren herhangi bir kaydın Kurum’a iletilmediği,
Bu doğrultuda, anılan belgenin tahrifatlar ve başvurucu ile üçüncü kişi arasındaki konuşmalardaki çelişkiler nedeniyle otel bünyesi dışında oluşturulduğu iddialarının tevsik edilemediği gözetildiğinde, mevcut bilgi ve belgeler ışığında söz konusu belgenin hizmet içi hususları düzenlemek amacıyla otel bünyesinde oluşturulan bir belge olduğu, söz konusu belgenin otelin bünyesindeki hizmetlerin yürütülmesi amacıyla yalnız personeli ile paylaşıldığı, somut olay kapsamında üçüncü bir kişi tarafından elde edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin yalnızca otel tarafından idari ve teknik tedbirlerin alınmamış olması dolayısıyla gerçekleşebileceği,
Başvurucunun, aydınlatma yükümlülüğünün yerine getirilmemesi şikayetine ilişkin veri sorumlusunun otelcilik faaliyetleri yürüttüğü dikkate alındığında konaklayan ilgili kişiler ile otel arasında bir sözleşme kurulduğu bu itibarla otelin, konaklayan ilgili kişilere ait pek çok kişisel veriyi Kanun’un md.5/f.2/b.(c) uyarınca “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartına dayanarak işlediği, web sayfasında sunulan aydınlatma metninde (bu metnin konaklama belgesi ekinde sunulan metinden de farklılık taşıdığı tespit edilmekle birlikte) iletişim bilgilerinin konaklama hizmetleri kapsamındaki rezervasyonların alınması ve takibi, rezervasyon kapsamında gerçekleştirilen işlemlere ilişkin iletişim sağlanması gibi amaçlar doğrultusunda Kanun’un md.5/f.2 kapsamındaki işleme şartlarına dayanılarak işlendiğinin ifade edildiğinin görüldüğü,
Veri sorumlusunun “Registration Card” belgesi üzerinde yer vermiş olduğu sorumsuzluk kaydında, konaklama belgesini imzalayan kişilerin iletişim bilgilerine reklam, promosyon vb. ticari elektronik ileti gönderilmesini, bilgilerinin bu amaçla kullanılacağını kabul edeceğini, saklanacağını ve veri sorumlusunun hizmet alacağı üçüncü kişilerle paylaşılmasını kabul edeceğini belirttiği, öte yandan metnin İngilizce ifadelerinin yer aldığı sol kısmında aynı ibarelere yer verilmediğinin anlaşıldığı,
“Registration Card” belgesi düzenlenmesinin; 1774 sayılı Kimlik Bildirme Kanunu’nun 12. maddesine dayanılarak çıkarılan Kimlik Bildirme Kanununun Uygulanması ile İlgili Yönetmelik’in 23. maddesindeki hüküm gereğince zorunlu olduğu, bu itibarla otelin, bahse konu düzenleme nedeniyle hukuki bir yükümlülüğünün bulunduğu ve ilgili kişilerin konaklama belgesini doldurmalarının ve imzalamalarının otelin sahip olduğu yasal bir yükümlülükten ileri geldiği ancak aynı belgede sorumsuzluk kaydı başlığı altında “konaklama belgesini imzalayan kişilerin iletişim bilgilerine reklam, promosyon vb. ticari elektronik ileti gönderilmesini, bilgilerinin bu amaçla kullanılacağını kabul edeceğini, saklanacağını ve veri sorumlusunun hizmet alacağı üçüncü kişilerle paylaşılmasını kabul edeceği” düzenlemesinin veri işlemenin bir genel işlem şartı olarak ileri sürüldüğünü gösterdiği,
“Registration Card” belgesini doldurma ve imzalamak zorunluluğu altında bulunan kişilere ayrıca belgeyi imzalamaları halinde reklam ve pazarlama amaçlı iletişim bilgilerinin işlenmesini kabul edecekleri düzenlemesinin getirilmesi halinde, kişisel verilerinin işlenmesi konusunda ilgili kişilerin iradelerinin sakatlanacağı,
Bu doğrultuda “Registration Card” belgesini imzalayan kişilerin, mevzuat gereği bu belgeyi imzalamakla yükümlü oldukları dikkate alındığında, ayrıca iletişim bilgilerinin reklam ve pazarlama amaçlı işlenmesini kabul edecekleri şeklinde hüküm derç edilmesinin açık rızanın özgür irade unsurunu sakatlayacağı göz önünde bulundurularak:
“Housekeeping Task Sheet” belgesinde müşterilere ait isim ve soy isime yer verilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 4.maddesi kapsamında ölçüsüz bir veri işleme faaliyeti olduğu, üçüncü kişilerle paylaşılmaya konu edilen “Housekeeping Task Sheet” belgesinde yer alan kişisel verilerin veri sorumlusu bünyesinde oluşturulduğu ve üçüncü kişiler tarafından elde edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin yalnızca veri sorumlusu tarafından idari ve teknik tedbirlerin alınmamış olması dolayısıyla gerçekleşebileceği kanaatine varıldığından, Kanun’un 12. maddesi uyarınca kişisel verilere hukuka aykırı olarak erişilmesini önlemek yükümlülüğü ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri alma yükümlülüğünün sağlanamadığı dikkate alındığında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında 500.000-TL idari para cezası uygulanmasına,
“Housekeeping Task Sheet” belgesinde müşterilere ait isim ve soy isime yer verilmemesine yönelik olarak belgelerin düzenlenmesi ve sonucundan Kurul’a bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
Aydınlatma yükümlülüğünün yerine getirilmemesi şikâyeti doğrultusunda; konaklama belgesi ekinde sunulan aydınlatma metni ile web sayfasında bulunan aydınlatma metinlerinin farklılıklarının giderilmesini teminen gerekli düzenlemeleri yapması, “Registration Card” belgesini doldurma ve imzalama zorunluluğu altında bulunan kişilere ayrıca belgeyi imzalamaları halinde reklam ve pazarlama amaçlı iletişim bilgilerinin işlenmesini kabul edecekleri düzenlemesinin getirilmesinin açık rızanın özgür irade unsurunu sakatlayacağı, bu doğrultuda otelin, anılan belge üzerindeki sorumsuzluk kaydını revize etmesi ve iletişim bilgilerini reklam ve pazarlama amaçlı işleme konusunda aydınlatma metninde belirttiği şekilde Kanun hükümlerine uygun olarak ayrıca açık rıza alma yoluna gitmesi ve yapılacak işlemlerin sonucundan Kurul’a bilgi vermesi hususunda talimatlandırılmasına,
karar verilmiştir. 28.12.2023
Saygılarımızla,
Kenaroğlu|Legal