Rezervasyon Yönetiminde KVKK ve Veri Gizliliği: Misafir Bilgilerini Doğru Korumak

Rezervasyonda toplanan verilerin bir kısmı süreç için zorunludur (iletişim, tarih, kişi sayısı), bir kısmı ise “alışkanlıkla” istenir ama çoğu zaman gereksiz risk yaratır. İlk adım, veri türlerini sınıflandırıp “minimum set”i belirlemektir.

Bu yaklaşım, daha geniş PMS & OTA yönetimi yapısı içinde ele alındığında daha sağlıklı çalışır; çünkü rezervasyon verisinin korunması yalnız kayıt değil, aynı zamanda KVKK ve veri güvenliği disipliniyle birlikte düşünülmesi gereken günlük bir operasyondur.

Rezervasyon sürecinde hangi kişisel veriler KVKK kapsamına girer?

Ad-soyad, telefon/e-posta, kimlik/pasaport bilgileri, ödeme ile ilişkili bilgiler, konaklama tercihleri, özel istekler (bazıları hassas olabilir) ve iletişim kayıtları KVKK kapsamında değerlendirilebilir. İlke: yalnız gerekli olanı topla, amacı dışında kullanma ve erişimi sınırla.

Veri Türleri Tablosu (minimum pratik)

KVKK’yı operasyonel hale getiren 3 altın kural:

1. Gerektiği kadar veri
2. Yetkili kişilerle sınırlı erişim
3. Güvenli kanal ve doğru kayıt

Rezervasyonda hangi bilgileri sormamalıyım?

Kimlik fotoğrafı, pasaport fotoğrafı, kart fotoğrafı veya kartın ön/arka görüntüsü gibi hassas materyalleri mesajlaşma üzerinden istemek risklidir. Bunun yerine süreç, güvenli ödeme sayfası/POS yönlendirmesi ve check-in’de doğrulama gibi güvenli adımlarla kurgulanmalıdır.

Özellikle kart, garanti ve bloke bilgisi işlenen senaryolarda ön ödeme, depozito ve ön provizyon süreçleri tarafı, rezervasyon verisi gizliliği açısından ekstra dikkat ister; finansal güvence ile veri güvenliği aynı anda doğru kurulmalıdır.

Kanallar değişse de kural aynı: hassas veriyi açık kanallarda paylaşma, kimlik doğrulamadan bilgi verme, gereksiz veri isteme. WhatsApp pratikte en sık kullanılan kanal olduğu için risk de yüksek olur.

Rezervasyon ekibi telefon ve WhatsApp’ta hangi bilgileri sormamalı/paylaşmamalı?

Kart görseli, pasaport/kimlik fotoğrafı, CVV gibi ödeme güvenlik bilgileri istenmemeli; misafir adına arayan üçüncü kişilere rezervasyon detayları doğrulama olmadan paylaşılmamalıdır. WhatsApp’ta mümkünse yalnızca rezervasyon referansı, tarih, isim gibi minimum doğrulama bilgisi üzerinden ilerlenmelidir.

Üçüncü kişi aradıysa (arkadaş/acente/aile) kontrol kuralı

• •“Rezervasyon referans no + misafir soyadı + kayıtlı telefon/e-posta” doğrulanmadan detay verilmez.
• •Doğrulama yoksa: “Misafirden teyit alıp döneceğiz.”

PMS notları, en hızlı bilgi aktarım yeridir; aynı zamanda en hızlı risk üreten alan olabilir. Notlara gereksiz hassas veri yazmak hem erişimi genişletir hem de kontrolü zorlaştırır.

Yanlış, fazla ya da yanlış kişiye açık bırakılmış veri; sahada kolayca yanlış beklenti, hatalı işlem ve sonunda rezervasyon uyuşmazlıkları ve şikayet yönetimi sürecine dönüşebilen sorunlar üretir.

PMS notlarına hangi bilgiler yazılmamalı?

Kart bilgileri, pasaport/kimlik numarasının gereksiz detayları, kimlik fotoğrafı, CVV gibi ödeme güvenlik detayları PMS notlarına yazılmamalıdır. Notlar; operasyonel aksiyona dönüşecek minimum bilgiyi taşımalı (örn. “diyet: gluten-free”, “bebek yatağı”, “erişilebilir oda” gibi).

Not formatı (güvenli ve aksiyon odaklı)

• •[HK] bebek yatağı 16:00
• •[F&B][CRIT] alerjen: fındık (ürün teyidi)
• •[FO] geç giriş: 23:00

“Belge/kart/pasaport görseli” gibi içerikler notta yer almaz.

Bu not alanları, erişim yetkileri ve kayıt alışkanlıkları düzenli olarak gözden geçirilmelidir; bunun için rezervasyon yönetimi için periyodik sağlık kontrolü ve audit yaklaşımı, veri minimizasyonunun gerçekten yaşayıp yaşamadığını test etmek için iyi bir çerçeve sunar.

Antalya/Belek resort — yüksek hacim + WhatsApp yoğunluğu

• •Risk: WhatsApp’ta pasaport/kart fotoğrafı alışkanlığı
• •Çözüm: “güvenli yönlendirme” şablonu + kabul etmeme kuralı + alternatif kanal

İstanbul city — iş segmenti + hızlı süreç

• •Risk: kurumsal asistan/üçüncü kişi ile paylaşım
• •Çözüm: hızlı doğrulama adımı + “misafir teyidi” SOP’u + kayıt disiplini

1. WhatsApp’tan pasaport/kimlik fotoğrafı istemek veya kabul etmek
2. Kartın ön/arka fotoğrafını istemek (CVV dahil)
3. Kimlik doğrulama olmadan üçüncü kişiye rezervasyon detayı vermek
4. PMS notlarına kart/pasaport detaylarını yazmak
5. Gereksiz veri toplamak (işe yaramayan “her şeyi” sormak)
6. Kişisel veriyi “kişisel telefon”da dağınık tutmak
7. Misafir onayı/aydınlatması olmadan pazarlama mesajı göndermek (Varsayım: pazarlama ayrı izin ister)
8. Ekran görüntüsü/ekleri kontrolsüz ekip içinde paylaşmak
9. “Herkes görsün” diye ortak drive’a hassas belge yüklemek
10. İhlal şüphesini gizlemek; bildirmemek

Rakip içerikler KVKK’yı hukuk diliyle anlatır; rezervasyon ekibinin ihtiyacı ise “bugün, bu konuşmada ne yapmalıyım?” rehberidir. Bu yazı; veri minimizasyonu, WhatsApp/telefon/e-posta pratikleri, üçüncü kişi doğrulaması ve PMS not hijyenini somut örneklerle standardize ederek teknik/operasyonel boşluğu kapatır. Hukuki yorumdan kaçınır; gerektiğinde hukuk danışmanıyla detaylandırılabilecek bir operasyon çerçevesi sunar.

Bu çerçevenin aydınlatma, saklama ve süreç tasarımı tarafını yazılı hale getirmek için KVKK uyum hizmeti yaklaşımı, günlük rezervasyon pratiğinde kim hangi veriyi neden görür sorusunu netleştirmeye yardımcı olur.

Rezervasyon verisi gizliliği yalnız IT ya da hukuk başlığı değildir; günlük ekip pratiğinde hangi verinin gerçekten gerekli olduğu, kimin erişebildiği, notlara ne yazıldığı ve misafire hangi kanaldan nasıl dönüldüğüyle belirlenir. Doğru yaklaşım; minimum veri, yetkili erişim, güvenli saklama ve uyumlu iletişim zincirini birlikte kurmaktır.

Bu standardı operasyon genelinde netleştirmek için rezervasyon yönetimi hizmeti yapısını inceleyebilir, detaylı sorular için de rezervasyon yönetimi hakkında sık sorulan sorular sayfasına geçebilirsiniz.