6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 24. 03. 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girdi. Kanun’un ikinci maddesinde kişisel veri, “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmış olup, soyut ve genel geçer bir tanım olması nedeniyle hangi verilerin kişisel veri olarak kabul edildiği Kişisel Verileri Koruma Kurulu’nca verilen kararlar neticesinde şekillenmektedir. Adı-soyadı, kimlik numarası, pasaport numarası, telefon numarası, kişinin ses ve görüntü kaydı kişisel verilerin örneğini oluşturmaktadır. Ayrıca, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki veriler özel nitelikli kişisel veri olarak tanımlanmış ve Kanun’da kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri örnek olarak gösterilmektedir.

Günümüzde teknolojinin gelişmesiyle beraber elektronik cihazların ekran kilitlerinin açılması, iş yerleri, spor salonları vb. yerlere giriş-çıkışların ve mesai takiplerinin yapılması gibi uygulamalar da parmak izi, avuç içi ya da retina okuyucu ile yapılmaya başlandı. Bu nedenle, Kişisel Verilerin Korunması Kanunu ile özel hayatın gizliliği hakkı ve unutulma hakkı başta olmak üzere bireylerin temel hak ve özgürlüklerinin güvenceye alınması amaçlanmaktadır. Elde edilen bu kişisel verilerin kanunda belirtilen şekilde kaydedilmesi, saklanması, gerektiğinde imha edilmesi ya da anonimleştirilmesi ve kişisel verileri saklanan kişinin talebi halinde silinmesi gerekmektedir. Aksi halde, veri sorumluları Türk Ceza Kanunu uyarınca cezai yaptırımla karşılaşabilecekleri gibi maddi ve manevi tazminat yükümlülüğü ve Kişisel Verilerin Korunması Kurulu tarafından idari para cezası yaptırımıyla da karşı karşıya gelmektedir.

Kişisel verilere ilişkin suçlar bakımından TCK 135-140 madde hükümleri uygulanmaktadır. Buna göre; kanunun kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi hükümlerine aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler TCK’nın 138. maddesine göre (verileri yok etmeme nedeniyle) cezalandırılmaktadır. Maddi ve manevi tazminat ile ise, kişisel verileri hukuka aykırı şekilde kaydedilen, talep üzerine silinmeyen/anonimleştirilmeyen kişinin dava yoluna başvurması halinde karşılaşılmaktadır.

Hem gündelik hayatta hem de ticari ilişkilerin sürdürülmesi sırasında sıklıkla kişisel veriler paylaşıldığı için ilgili konu turizm, sanayi, ticaret, sağlık sektörü gibi birçok faaliyet alanını ilgilendirmektedir. Turizm ve otelcilik alanı bakımından bir değerlendirme yapıldığında ise, otellerin hem konaklama yapan misafirler hem de istihdam ettiği çalışanlar bakımından kişisel verileri korumakla yükümlü olduğu görülmektedir.

Otelde konaklayacak misafirlerin doldurduğu giriş formunda kişisel verilerin yer alması nedeniyle bu forma aydınlatma metni ile bilgilendirme ve reklam yolları için sıklıkla kullanılan e-posta, sms gibi iletişim kanallarının kullanılmasına muvafakat edildiğini belirten açık rıza formunun eklenmesi gerekmektedir. Otellerde güvenlik amacıyla lobi, restaurant vb. alanlarda kamera bulunduğu ve kişisel veri niteliğindeki bu görüntülerin kamu kurumlarınca talep edilmediği takdirde üçüncü kişiler ile paylaşılmayacağı da otele giriş formlarında belirtilmelidir.

İstihdam edilen personellerin kişisel verilerin özlük dosyası vb. şekilde saklanacağına dair yazılı onaylarının alınması, belirli periyotlarla bu verilerin güvenliğine dair önlemlerin alındığına dair duyuruların yapılması gerekmektedir. İş akdine son verilen personel bakımından ise, parmak izi ile giriş çıkış yapılması halinde parmak izinin silinmesi ancak giriş-çıkış verilerinin olası bir davaya karşı saklanması ve bu uygulamaya dair bildirim yapılması gerekmektedir.

Turizm sektöründe faaliyet gösteren seyahat acentası, tur operatörü ve havayolları gibi şirketlerin de benzer şekilde hangi kişisel verilerin hangi hukuki amaçla işleneceği, gerektiği halde kimlerle (talep halinde kamu kurumları, bağımsız şirket denetçileri ve hukuki bir süreç başlatılması halinde avukatlar, mali müşavirler vb.) paylaşılabileceği, kişisel verileri kaydedilen kişilerin haklarının yer aldığı aydınlatma metninin paylaşılması ve bu işlemlere muvafakat verildiği ile ilgili açık rıza metninin imzalatılması yükümlülüğü bulunmaktadır.