Acik riza metni aydinlatma metninden nasil ayrilmalidir?

Aydinlatma metni; kim tarafindan, hangi amaclarla, hangi hukuki dayanakla ve ne kadar sureyle veri islendiginin anlatildigi metindir. Acik riza ise, aydinlatma sonrasinda belirli bir konu icin verilen onay beyanidir. Bu nedenle aydinlatma ve riza, ayri metinler ve ayri kutucuklarla sunulmali; kutular onceden isaretli olmamalidir.

Fiziksel misafir kayit formlari icin KVKK’ya uygun saklama nasil olmali?

Fiziksel formlar, yalnizca yetkili kisilerin erisebilecegi kilitli dolap veya arsivlerde saklanmali; saklama suresi doldugunda guvenli imha (ornegin parcalama) yapilmalidir. Arsive erisen personel listesi, saklama sureleri ve imha kayitlari dokumante edilmelidir.

Misafir Kayıt Formlarında KVKK Uygulamaları Ve Önemi

Q: Misafir kayıt formunda hangi veriler zorunlu, hangileri isteğe bağlı olmalı?

Kimlik, pasaport, iletisim ve konaklama bilgileri; mevzuat ve sozlesmenin ifasi kapsaminda genellikle zorunludur. Pazarlama izni, ozel tercih ve kampanya bilgileri gibi alanlar ise istege bagli olmali ve acik riza ile toplanmalidir. Form tasariminda zorunlu–istege bagli ayrimi net gosterilmelidir.

Otel Misafir Kayıt Formlarında KVKK Uygulamaları

Otelcilikte misafir kayıt formları, dijitalleşme ve kişisel veri koruma gereklilikleriyle birlikte yalnızca bir formalite değil, titizlik isteyen bir süreçtir. 6698 sayılı KVKK ile toplanan verilerin işlenmesi, saklanması ve korunması oteller için hem yasal zorunluluk hem de misafir güveninin temelidir.

Hukuki dayanaklar, aydınlatma ve açık rıza, veri minimizasyonu, saklama & imha, güvenlik tedbirleri ve pratik uygulama önerileri bu rehberde özetlenmiştir.

KVKK Nedir ve Otelcilik Sektörünü Neden İlgilendirir?

KVKK, kişisel verilerin işlenmesinde bireylerin temel hak ve özgürlüklerini korur. Oteller; ad-soyad, T.C. kimlik/pasaport, doğum tarihi, iletişim, ödeme bilgisi ve özel talepler gibi çok sayıda veriyi işler. Uyumsuzluk, idari yaptırımlar ve ciddi itibar kaybı doğurabilir.

Bu nedenle misafir kayıt formları, hukuki dayanak–aydınlatma–açık rıza–saklama & imha–güvenlik ekseninde bütüncül bir KVKK uyum programının parçası olarak ele alınmalıdır.

Misafir Kayıt Formlarında Toplanan Veriler & Hukuki Dayanaklar

Kanunlarda Açıkça Öngörülmesi

Örneğin Konaklama Tesisleri Kimlik Bildirme mevzuatı; kimlik bilgileri gibi bazı verilerin toplanmasını ve kolluk birimlerine bildirilmesini zorunlu kılar. Bu kapsamda işlenen veriler için hukuki dayanak, ilgili mevzuattır.

Sözleşmenin Kurulması veya İfası

Rezervasyon, check-in/checkout, faturalama ve ödeme işlemleri için gerekli kimlik, iletişim ve kart bilgileri sözleşmenin kurulması veya ifası kapsamında işlenebilir. Burada veri, konaklama sözleşmesinin gereği olarak alınır.

İlgili Kişinin Açık Rızası

Mevzuatta zorunlu olmayan veya sözleşmenin ifası için gerekli görülmeyen işlemler (örneğin pazarlama iletisi, kampanya bilgilendirmesi, tercih ve profil kaydı gibi) için açık rıza gereklidir. Rıza, belirli konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle verilmelidir.

KVKK Uyumlu Misafir Kayıt Formu İlkeleri

Şeffaflık & Aydınlatma Yükümlülüğü

Amaçlar, alıcı grupları, yöntem ve hukuki dayanak, saklama süreleri ile haklar; forma bitişik aydınlatma metni ile açık ve sade şekilde sunulmalıdır. Konuk; verisinin neden, ne kadar süre ve kimlerle paylaşılacağını ilk adımda görebilmelidir.

Veri Minimalliği (Veri Minimasyonu)

Yalnızca amaç için gerekli veri toplanır. Konaklama için zorunlu olmayan alanlar (örneğin hobi gibi) formdan kaldırılmalı; “olsa iyi olur” diye düşünülen alanlar için mutlaka gereklilik analizi yapılmalıdır.

Açık Rıza Beyanları

Pazarlama, sadakat programı, özel tercih kaydı gibi konular için ayrı onay kutuları kullanılmalıdır. Kutular varsayılan olarak boş bırakılmalı (opt-in); rıza geri çekme yolları (e-posta, SMS, portal vb.) metinde açıkça belirtilmelidir.

Güvenlik Tedbirleri

Fiziksel formlar: Kilitli alanlarda, yetkisiz kişilerin erişemeyeceği şekilde saklanmalıdır.
Dijital formlar: Şifreleme, erişim kontrolü, yetki matrisi ve loglama ile korunmalıdır.
Yetkisiz erişim: Kopyalama, ekran görüntüsü alma veya izinsiz paylaşım; politika ve prosedürlerle sınırlandırılmalı, teknik önlemlerle desteklenmelidir.
Siber güvenlik: Güncel antivirüs, yama yönetimi, yedekleme ve periyodik sızma testleri yürütülmelidir.

Veri Saklama Süreleri & İmha

Yasal veya işlemsel saklama süresi dolduğunda veriler silinmeli, yok edilmeli veya anonimleştirilmelidir. Otelde yazılı ve işler bir Veri Saklama ve İmha Politikası bulunmalı, formlarla toplanan veriler bu politika kapsamında yönetilmelidir.

Saklama süreleri; mevzuat, sözleşme ve iş ihtiyacına göre belirlenmelidir.
İmha süreçleri kayıt altına alınmalı ve periyodik denetimlerle doğrulanmalıdır.

İlgili Kişi Hakları

Misafirin; erişim, düzeltme, silme/anonimleştirme, işlemeye itiraz ve şikâyet haklarını kullanabileceği kolay kanallar sunulmalıdır (e-posta adresi, başvuru formu, posta adresi vb.).

Başvurulara KVKK uyarınca en geç 30 gün içinde yanıt verilmesi gerekir. Otel; bu süreci destekleyecek başvuru ve yanıt kayıtlarını düzenli tutmalıdır.

Veri Aktarımı

Online seyahat acenteleri (OTA), ödeme sağlayıcılar ve diğer entegrasyonlara aktarımın dayanağı ve kapsamı aydınlatma metninde açıklanmalıdır. Hangi verinin, hangi amaçla, hangi alıcı gruplarına aktarıldığı net olmalıdır.

Yurt dışına aktarım söz konusu ise KVKK m.9 uyarınca ek koşullar (açık rıza, yeterli koruma, taahhütname vb.) gözetilmeli ve ilgili kayıtlar saklanmalıdır.

Pratik Uygulamalar & Öneriler

Dijital & fiziksel form revizyonu: Online formlarda aydınlatma ve rıza bağlantıları görünür; fiziksel formlar güncel metinle birlikte verilir.
Personel eğitimi: Hangi verinin nasıl toplanacağı, işleneceği ve korunacağı; düzenli eğitimlerle personele aktarılır.
Veri envanteri: Kategoriler, amaçlar, alıcılar, saklama süreleri ve sistemler tek bir envanterde izlenir.
VERBİS kaydı: Eşikleri sağlayan işletmeler için zorunlu sicil kaydı tamamlanır ve güncel tutulur.
Risk analizi & denetim: Düzenli iç denetim ve siber güvenlik testleri yapılır; bulgular için aksiyon planı oluşturulur.
İhlal yönetimi: Olay planı, bildirim süreleri ve iletişim şablonları önceden tanımlanır.

Özel Nitelikli Kişisel Veriler

Sağlık/alerji, inanç vb. veriler sıkı şartlara tabidir. Gerekmedikçe toplanmamalı; işlenecekse çoğunlukla açık rıza alınmalı ve ilave teknik/idari tedbirler uygulanmalıdır.

Tercih verilerinden (örneğin yemek, oda tercihi) dolaylı sağlık çıkarımı yapılabileceği durumlara dikkat edilmeli; bu tür verilerin işlenmesinde minimizasyon ve amaç sınırlaması ilkeleri öne çıkarılmalıdır.

Kısa Özet & Sonuç

Otel misafir kayıt formları; yalnızca check-in işleminin değil, kurumsal KVKK uyumunun da kalbidir. Doğru hukuki dayanak, şeffaf aydınlatma, net rıza kurgusu, veri minimizasyonu, sağlam güvenlik tedbirleri ve iyi tasarlanmış saklama & imha süreçleri bir araya geldiğinde hem yasal riskler azalır hem de misafir güveni güçlenir.

Sık Sorulan Sorular

1) Misafir kayıt formunda hangi veriler zorunlu, hangileri isteğe bağlı olmalı?

Kimlik, pasaport, iletişim ve konaklama bilgileri; mevzuat ve sözleşmenin ifası kapsamında genellikle zorunludur. Pazarlama izni, özel tercih ve kampanya bilgileri gibi alanlar ise isteğe bağlı olmalı ve açık rıza ile toplanmalıdır. Form tasarımında zorunlu–isteğe bağlı ayrımı net gösterilmelidir.

2) Açık rıza metni aydınlatma metninden nasıl ayrılmalıdır?

Aydınlatma metni; kim tarafından, hangi amaçlarla, hangi hukuki dayanakla ve ne kadar süreyle veri işlendiğini anlatır. Açık rıza ise, aydınlatma sonrasında belirli bir konu için verilen onay beyanıdır. Bu nedenle aydınlatma ve rıza, ayrı metinler ve ayrı kutucuklarla sunulmalı; kutular önceden işaretli olmamalıdır.

3) Fiziksel misafir kayıt formları için KVKK’ya uygun saklama nasıl olmalı?

Fiziksel formlar, yalnızca yetkili kişilerin erişebileceği kilitli dolap veya arşivlerde saklanmalı; saklama süresi dolduğunda güvenli imha (örneğin parçalama) yapılmalıdır. Arşive erişen personel listesi, saklama süreleri ve imha kayıtları dokümante edilmelidir.