Kanuna göre, kişilerin biyometrik ve genetik verilerinin ilgilinin açık rızası olmaksızın işlenmesi yasak. Kişisel verilerin korunması Batı’da uzun yıllardan bu yana tartışılıyor. Ülkemizde bu konuda Anayasanın 20. maddesinde değişiklik yapılarak ve Türk Ceza Kanunu’nda düzenlemeler getirilerek ilk adımlar atıldı. İlgili kanunu şuradan indirebilirsiniz. Ayrıca şu resmi site ve şu siteler güzelce rehberlik ediyor. Ama asıl konumuz bu değil.

Peki GDPR Ne O Zaman?

GDPR’ın İngilizce açılımı; “General Data Protection Regulation” Ben “Genel Data Güvenliği Mevzuatı” olarak çevirdim ama önerilere açığım. Avrupa Birliği Parlamentosu 2012 yılından bu mevzuat üzerinde çalışıyordu. Mayıs 2016’da onayladılar ve 25 Mayıs 2018’de yürürlüğe girecek. Şurada resmi sitesi var, detaylar için bakılabilir.

Şimdi bizdeki kanunun bununla ilgili olduğunu düşünmüş olabilirsiniz. Ne de olsa tarihler yaklaşık birbirine. Maalesef ki ilgili değil. Bizdeki KVKK, Avrupa Birliği’nin 1995’te yürülüğe koyduğu yasayı esas alıyor. GDPR’daki yeni sorumlulukları kapsamıyor.

Avrupa Birliği’ne girmemişken “bize ne” diyebilirsiniz. Sorun burada başlıyor zaten, çünkü “AB vatandaşlarına hizmet veren AB üyesi olmayan ülkeler” de kapsam altına alınmış ve cezai hükümlülük getirilmiştir. Bu konuda yaptırımların nasıl uygulanacağına dair kesin bir bilgi mevzuatta ben bulamadım. Zaten 2 yıl süre içinde hazırlık imkanı verimiş. Bence bu süre içinde ciddi bazı yaptırım veya adımlar olmayacaktır.

Ben bu konuya bu yazıda yer vermemin sebebi ise, ben ve birçok meslektaşım AB üyesi ülke vatandaşları ile çalışmakta ve bu vatandaşların kişisel verilerini işlemektedir. Böyle bir yasaya dikkat etmesi gereken 2-3 iş kolundan birinin seyahat ve konaklama sektörü şirketleri olduğuna inanıyorum.

Türk Şirketlerini Nasıl Etkileyebilir?

GDPR’ nin Türkiye’de faaliyet gösteren hangi firmalar için uygulanacağı, regülasyonun “Bölgesel Kapsam” (Territorial Scope) başlıklı 3. maddesinde belirlenmiştir.Buna göre GDPR, ilgili madde uyarınca üç halde uygulanabilecektir;

  1. Avrupa Birliği (“AB“) sınırları içerisinde bir şirketin operasyonları amacı ile işlediği tüm kişisel veriler için işlemin şirketin merkezinin AB’de olup olmadığına bakılmaksızın uygulanacaktır. İlgili maddenin 1. fıkrası uyarınca veri işleme faaliyetinin AB sınırları içerisinde yapılması şartı aranmaksızın AB merkezli bir şirket adına ya da bizzat şirket tarafından yapılıyor ise de GDPR’ye tabi kılınmıştır.
  2. İşbu yönetmelik Avrupa Birliği içerisindeki ilgili kişilerin kişisel verilerini;
    1. Birlik içerisindeki ilgili kişilere bir ödeme yapılmasının zaruri olduğuna bakılmaksızın mal ve hizmet sunulması; veya
    2. Birlik içerisindeki davranışların gözetilmesi maksadıyla işleyen Avrupa Birliği içerisinde kurulu olmayan veri sorumlusu veya veri işleyene uygulanacaktır.

İşbu yönetmelik Avrupa Birliği içerisinde kurulmayan fakat Devletler Genel Hukuku’na binaen Üye Devlet Hukukunun uygulandığı bir yerde kurulmuş olan ve kişisel verileri işleyen Veri Sorumlusu’na uygulanacaktır. AB’ye üye olmayan diğer ülkelere -şirketler topluluğu içerisinde gerçekleştirilen veri aktarımı da dâhil olmak üzere – yapılacak olan kişisel veri aktarımı GDPR’nin 44 ile 49. maddeleri arasında detaylıca düzenlenmiştir. Buna göre, AB merkezli çokuluslu bir şirketin, AB tarafından güvenli ülke olarak tanınmayan ülkede bulunan bir iştirakine veri aktarımı yapacağı kanunda sayılan koşulları sağladığından ve GDPR tarafından öngörülen yeterli korumayı sağladığından emin olması beklenmektedir.44 ile 49. maddelerde belirtilen AB dışına veri aktarımında uyulması gereken şartlara aykırılık halinde, şirketler GDPR’nin 83. maddesinin 5. fıkrasında sayılan idari para cezalarına çarptırılma tehlikesiyle karşı karşıya kalacaktır. İlgili madde de düzenlendiği üzere, üçüncü ülkelere veri aktarımı şartlarını ihlal halinde şirkete kesilecek ceza tutarı belirlenirken 20.000.000,00-EUR veya önceki mali yılın toplam global cirosunun %4’ü ne isabet eden tutar arasından yüksek olan dikkate alınacaktır.

GDPR Neleri Zorunlu Kılıyor?

Şuradan ilgili mevzuatın Türkçe’sine ulaşabilirsiniz. Aşağıdaki 6 konuda data toplayan ve işleyen firmalara yükümlülük getiriliyor;

  • 6(1)(a) Veri sahibinin rızası.
  • 6(1)(b) Veri sahibi ile imza edilmiş bir sözleşmenin uygulanabilmesi veya sözleşmenin yürürlüğe girebilmesi bakımından veri işlemenin gerekli olması.
  • 6(1)(c) Hukuki bir yükümlülüğe uyumluluk bakımından işlemenin gerekli olması.6(1)(d) Veri işlemenin veri sahibinin yahut bir başka kişinin yaşamsal faaliyetleri bakımından gerekli olması.
  • 6(1)(e) Kamu yararının sağlanması üzere gerçekleştirilen işlemler yahut veri sorumlusuna verilmiş kanuni bir yetkinin yerine getirilebilmesi bakımından veri işlemenin gerekli olması.
  • 6(1)(f)8 Veri sorumlusunun haklarını, özgürlüğünü kısıtlamamak kaydıyla; veri sorumlusu yahut üçüncü kişi tarafından hukuki bir yararın sağlanması bakımından veri işlemenin gerekli olması.

Ne Yapalım?

Hukuki konularda uzman değilim, bu yüzden resmi bir cevap vermem zor. Ama ben çalıştığım firmada ilgili kişilere bulduğum kaynakları ilettim, zaten bu konuda çalışmalarımız olduğunu öğrendim. Ama sizlere de önerim şirketinizin hukuk danışmanlığı hizmeti alan şirket veya kişilere öncelikli olarak danışmanız.

Bence kısa vadede yabancı dillerdeki otel websitelerine “çerezleri kabul ediyor musunuz” sorusu eklemek dışında beklememiz gerekiyor.

Fakat özellikle otellerin misafirlerine ait bilgilerin saklanması ve imhası gibi konular için süreçlerini yeniden ele alması gerekebilir. Çünkü pasaport fotokopisi, konaklama formu, ön büro yazılımı (PMS) içindeki misafir bilgileri ve benzeri data kaynaklarının hepsi risk noktası. Reklamasyon oranları ile ünlü misafir profili için GDPR yeni bir bahane olabilir….

Kaynak: Haber merkezi