Turizm işletmeleri işlerin doğası gereği kişilerin kimlik numarası, kart bilgileri, pasaport bilgileri gibi kritik ve kişisel bilgilerine ihtiyaç duyan ve veri tabanında saklayan bir sektördür. Müşteriler bu sektör ile çalışırken verdikleri bilgilerin sadece verdikleri izinler doğrultusunda kullanılmasını bekler ve verilerinin güzenle saklanmasını ister. Fakat durum her zaman istenen doğrultuda gitmeyebilir, özellikle turizm sektörüne karşı yapılan siber saldırıların artması müşteri verilerini riske atıyor ve işletmlerin itibarını zedeleyebiliyor. Bu yazımızda da sizlere turizm şirketlerinin KVKK’ya uygun bir şekilde nasıl veri güvenliği sağlayacağını anlatacağız.
KVKK (Kişisel Verilerin Korunması Kanunu) Nedir?
KVKK (Kişisel Verilerin Korunması Kanunu), hem kamu hem de özel sektörü kapsayan kişisel verilerin kullanımını ve bu verilerin güvenliğini konu alan temel yasa çerçevedir.
KVKK Kanunun Amaçları
- Bireylerin kişisel verileri üzerinde kontrol sahibi olmalarını sağlamak.
- Verilerin hukuka uygun kullanılmasını sağlamak.
- Kişisel verilerin kullanımını kısıtlamak.
- Verilerin kötü kullanımı karşısında yaptırım uygulamak.
- Uluslarası veri güvenliği standartlarını sağlamak.
Turizm Sektöründe Toplanan Kişisel Veriler
Turizm sektöründe kişisel verilerin toplandığından bahsettik, bu verilerin neden bu kadar önemli olduğunu anlamak adına bu verilerin neler olduğundan da bahsedelim:
- Kimlik Bilgileri:
- Ad ve soyad
- T.C. kimlik numarası
- Pasaport bilgileri
- Doğum tarihi
- Cinsiyet
- İletişim Bilgileri:
- Telefon numarası
- E-posta adresi
- İkamet adresi
- Seyahat ve Konaklama Bilgileri
- Kişi sayısı
- Konaklama adresi
- Uçuş detayları
- Ödeme Bilgileri
- Kredi kartı bilgileri
- Fatura adresi
- Sağlık Bilgileri
- Sağlık durumu
- Engel durumu
- Alerji bilgileri
Gibi kişinin hayatının her noktasından toplanan kişisel veriler, seyahatimiz sırasında paylaşılan bilgilerden sadece bir kaçı. Bu gibi bilgilerin kötü amaçlarla kullanılması müşterilere maddi ve manevi zarar verir. Şirketinizin hukuki yaptırımlara maruz kalmasına sebep olabilir.
KVKK Kapsamında Dikkat Edilmesi Gerekenler
Şirketinizde verileri KVKK’ya uygun şekilde saklamak istiyorsanız uymanız gereken bazı temel ilkeler var.
Hukuka ve Dürüstlük Kurallarına Uygun İşleme
Kişisel verileri şeffaf, iyi niyetli şekilde toplanmalıdır. Müşteriden gizli bilgi toplanmamalıdır.
Doğru ve Gerektiğinde Güncel Olma
Veriler düzenli olarak güncellenmeli ve yanlış olanlar düzeltilmeli.
Belirli, Açık ve Meşru Amaçlarla İşleme
Veriler açıkça belirtilmiş , belirli ve meşru nedenler ile işlenmeli. “İleride lazım olabilir” düşüncesi ile veri toplanmamalı.
Veri Minimasyonu (İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma)
Veri yalnızca ihtiyaç duyulan kadar toplanmalı, ihtiyaç duyulmayan veriler işlenmemeli.
İlgili Mevzuatta Öngörülen Süre Kadar Muhafaza Edilme
Verilerl gerekli olduğu süreç boyunca saklanmalı, ihtiyaç duyulmayan veriler yok edilmeli veya anonim hale getirilmeli.
KVKK Uyumlu Veri Güvenliği Uygulamaları
KVKK toplanan verilerin nasıl korunması ve işlenmesi gerektiğini de düzenler. Kişisel Verileri Koruma Kanun’un 12. Maddesine göre veri sorumluları veri güvenliğini sağlamak, verilerin muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Aldığınız teknik ve idari tedbirler bir zorunluluk olsa da müşteri güvenini sağlmak için ayrıca bir şanstır.
Teknik Tedbirler:
Teknik tedbirler veri güvenliğini sağlamak amacıyla yazılımsal donanımsal yapılan önlemlerdir. Bu önlemler:
- Erişim Kontrolü
- Veri Maskeleme ve Şifreleme
- Güvenlik Duvarı ve Antivirüs Kullanımı
- Loglama (Kayıt Tutma)
- Yedekleme ve Felaket Kurtarma Planları
İdari Tedbirler:
İdari tedbirler, organizasyonel süreçlerde veri güvenliği açısından alınan önlemlerdir.
- Personel Eğitimi
- Veri İşleyenlerle Sözleşme Yapılması
- Politika ve Prosedür Oluşturulması
- Aydınlatma Yükümlülüğü ve Açık Rıza Süreçleri
Olası Riskler ve Yaptırımlar
KVKK’yı ihlal ettiğiniz vakit şirketinize bazı idari para cezaları uygulanabilir.
Kişisel Verileri Koruma Kanunu’na göre:
- Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar para cezasına
- Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar
- Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar
- Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar
- Bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar
idari para cezası verilir.
Yukarıda da görebilceğiniz gibi KVKK’yı ihlal etmeniz sonucunda veri sorumlusu 5.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası ile karşılaşabilir.
Fakat şirketler sadece para cezası ile karşı karşıya kalmaz. Özellikle turizm gibi müşteri ile bağ kuran bir sektörde, müşterinin güvenini kaybetmek itibar kaybına ve sonucunda müşteri kaybına sebep olabilir.
Şirketinizin itibarını korumak ve maddi kayıplar yaşamamak adına KVKK uyumlu veri güvenliği ile müşteri bilgilerinizi korumanızı öneriyoruz.
Eğer siz de KVKK uyumlu veri güvenliği çözümleri ile ilgileniyorsanız, bize ulaşabilirsiniz!
