Otellerde Wi-Fi Hizmetlerinde Kişisel Verilerin Yönetimi

Q: Wi-Fi logları ne kadar süre saklanmalıdır?

İnternet Toplu Kullanım Sağlayıcıları Yönetmeliği uyarınca erişim logları belirli süreler boyunca saklanmalıdır (uygulamada genellikle en az iki yıl). Bu süre dolduğunda veriler, veri envanterinde tanımlı saklama politikalarına uygun şekilde güvenle silinmeli veya anonimleştirilmelidir.

Otellerde Misafir Wi-Fi’si ve KVKK: Pratik Uyum Rehberi

Wi-Fi artık temel bir hizmet; fakat toplanan teknik veriler kişisel veridir. Bu rehber, aydınlatmadan log saklamaya, güvenlik tedbirlerinden ihlal yönetimine kadar oteller için KVKK uyumunun ana hatlarını sunar.

KVKK ve Dijital Hizmetlerdeki Önemi

KVKK; kişisel verilerin toplanması, saklanması ve paylaşımı süreçlerine şeffaf, ölçülü ve güvenli bir çerçeve getirir. Uyum, yalnızca yasal bir gereklilik değil; misafir memnuniyeti ve marka itibarı için de kritiktir.

Bu noktada aydınlatma yükümlülüğü esastır: amaçlar, saklama süreleri ve haklar, misafirlere açıkça bildirilmelidir. Wi-Fi giriş ekranı/QR, resepsiyon ve web sitesi; bu bilgilerin sunulabileceği temel temas noktalarıdır.

Wi-Fi Üzerinden Toplanan Veriler

Cihaz MAC adresi
IP adresi, bağlantı zamanı, oturum süresi
Trafik miktarı / temel oturum metrikleri
Giriş yapılan portal bilgileri (captive portal)
Gerekliyse: kullanıcı adı, e-posta, telefon (kimlik doğrulama)

Tekil olarak kimliği göstermese de diğer kayıtlarla ilişkilendiğinde kişiyi tanımlayabilir; bu nedenle kişisel veri kabul edilir. Toplama amacı (güvenlik, yasal yükümlülük, kalite takibi vb.) net ve yazılı olmalıdır.

Veri İşleme İlkeleri ve Yasal Dayanaklar

KVKK’ya göre veri işlemeleri açık rıza veya kanunda öngörülen işleme şartlarına dayanır. Wi-Fi senaryosunda tipik dayanaklar şunlardır:

Yasal zorunluluk: “İnternet Toplu Kullanım Sağlayıcıları Yönetmeliği” uyarınca log tutma yükümlülüğü.
Meşru menfaat: Ağ güvenliği ve hizmet sürekliliği için sınırlı log saklama.
Açık rıza: İletişim/pazarlama amaçlı kullanım (veya zorunlu olmayan kişisel veriler) için gereklidir.

Aydınlatma: Amaçlar, saklama süreleri, paylaşım, haklar ve başvuru kanalları; Wi-Fi başlangıç ekranında ve web/tesis içinde erişilebilir olmalıdır.

Oteller İçin Log Saklama & Yasal Gereklilikler

Yönetmelik gereği oteller; IP, MAC, bağlantı zamanı/oturum süresi gibi erişim loglarını belirli süreler boyunca saklamakla yükümlüdür (genellikle en az iki yıl).

Süre bitiminde veriler güvenle silinmeli veya anonimleştirilmelidir.
Log erişimi yalnızca yetkili kişilerle sınırlanmalı; tüm erişimler ayrıca loglanmalıdır.
Veriler bütünlük ve gizlilik kontrolleri olan sistemlerde saklanmalıdır.

Güvenlik Tedbirleri ve Uygulama Önerileri

Şifreleme: WPA3 (mümkün değilse en güncel WPA2-Enterprise), güçlü PSK veya 802.1X kullanımı.
Ağ ayırımı: Konuk ağı ile iç/personel ağlarının kesin segmentasyonu (VLAN, ayrı SSID/alt ağlar).
Güvenlik duvarı & IDS/IPS: DNS/URL filtresi, içerik güvenliği ve kötü amaçlı trafiğin engellenmesi.
Güncellemeler: Erişim noktaları ve denetleyiciler için düzenli firmware ve yama yönetimi.
Captive portal & kimlik doğrulama: SMS/e-posta/oda numarası eşlemesi, oturum süresi ve cihaz limiti tanımları.
Erişim kontrolü: Log/veritabanlarına rol bazlı erişim (RBAC), need-to-know yetki, en az ayrıcalık prensibi.
Eğitim: Çalışanlara KVKK ve bilgi güvenliği farkındalık eğitimleri verilmesi.

Bu adımlar, hem KVKK yükümlülüklerinin karşılanmasını hem de siber risklerin azaltılmasını destekler.

Üçüncü Taraflar & Sözleşme Yönetimi

Wi-Fi altyapısı dış hizmet/sağlayıcılarca yönetiliyorsa, veri işleyen sözleşmeleri kritik önem taşır.

İşleme amacı ve kapsamının (hizmet tanımı) açık yazılması
Teknik & idari güvenlik yükümlülükleri, denetim hakkı ve raporlama
Alt yüklenici kullanım şartları ve sorumluluk zinciri
İhlal bildirimi süreleri ve yöntemleri
Sorumluluk sınırları ve yaptırımların netleştirilmesi

Yurt dışına aktarım: Bulut tabanlı yönetim varsa, KVKK’nın aktarım hükümlerine uygun hukuki dayanak/garanti sağlanmalıdır.

Saklama Süresi, Silme & Anonimleştirme Süreçleri

Kişisel veriler, işleme amacı sona erdiğinde veya yasal saklama süresi dolduğunda artık saklanmamalıdır.

Otel; veri envanterinde saklama sürelerini ve saklama amaçlarını açıkça belirtmelidir.
Süre dolduğunda güvenli silme, yok etme veya anonimleştirme uygulanmalıdır.
Silme/anonimleştirme işlemleri kayıt altına alınmalı ve denetlenebilir olmalıdır.

Veri İhlali Durumlarında İzlenecek Adımlar

İhlalin tespiti, kapsam ve neden analizinin hızla yapılması
Yayılımı durduracak acil teknik ve organizasyonel önlemlerin alınması
KVKK Kurumu ve etkilenen kişilere mevzuata uygun sürede bildirim yapılması
Olay sonrası iyileştirme: yama, süreç güncellemesi ve ek eğitimler

Bildirim gecikmesi idari yaptırıma yol açabilir; bu nedenle önceden tanımlı bir olay müdahale planı şarttır.

Sık Sorulan Sorular

1) Misafir Wi-Fi’sinde hangi veriler loglanır?

Genellikle cihaz MAC adresi, IP adresi, bağlantı zamanı, oturum süresi, trafik miktarı ve giriş yapılan portal bilgisi loglanır. Kimlik doğrulama varsa, kullanıcı adı/e-posta/telefon gibi ek veriler de kayda girebilir. Bu veriler diğer kayıtlarla eşleştirildiğinde kişiyi belirlenebilir kıldığı için KVKK’ya göre kişisel veri sayılır.

2) Wi-Fi logları ne kadar süre saklanmalıdır?

“İnternet Toplu Kullanım Sağlayıcıları Yönetmeliği” uyarınca erişim logları belirli süreler boyunca saklanmalıdır (uygulamada genellikle en az iki yıl). Bu süre dolduğunda veriler, veri envanterinde tanımlı saklama politikalarına uygun şekilde güvenle silinmeli veya anonimleştirilmelidir.

3) Wi-Fi altyapısını üçüncü taraf yönetiyorsa nelere dikkat edilmeli?

Hizmet sağlayıcı ile detaylı bir veri işleme sözleşmesi yapılmalı; işleme amacı ve kapsamı, güvenlik yükümlülükleri, denetim hakkı, alt yüklenici şartları, ihlal bildirim süreleri ve sorumluluk sınırları açıkça düzenlenmelidir. Bulut tabanlı yönetim varsa, olası yurtdışı aktarım için KVKK’ya uygun hukuki dayanaklar ve güvenceler sağlanmalıdır.