Rezervasyon Yönetiminde KVKK ve Veri Gizliliği: Misafir Bilgilerini Doğru Korumak

Rezervasyonda toplanan verilerin bir kısmı süreç için zorunludur (iletişim, tarih, kişi sayısı), bir kısmı ise “alışkanlıkla” istenir ama çoğu zaman gereksiz risk yaratır. İlk adım, veri türlerini sınıflandırıp “minimum set”i belirlemektir.

Rezervasyon sürecinde hangi kişisel veriler KVKK kapsamına girer?

Ad-soyad, telefon/e-posta, kimlik/pasaport bilgileri, ödeme ile ilişkili bilgiler, konaklama tercihleri, özel istekler (bazıları hassas olabilir) ve iletişim kayıtları KVKK kapsamında değerlendirilebilir. İlke: yalnız gerekli olanı topla, amacı dışında kullanma ve erişimi sınırla.

Veri Türleri Tablosu (minimum pratik)

KVKK’yı operasyonel hale getiren 3 altın kural:

1. Gerektiği kadar veri
2. Yetkili kişilerle sınırlı erişim
3. Güvenli kanal ve doğru kayıt

Rezervasyonda hangi bilgileri sormamalıyım?

Kimlik fotoğrafı, pasaport fotoğrafı, kart fotoğrafı veya kartın ön/arka görüntüsü gibi hassas materyalleri mesajlaşma üzerinden istemek risklidir. Bunun yerine süreç, güvenli ödeme sayfası/POS yönlendirmesi ve check-in’de doğrulama gibi güvenli adımlarla kurgulanmalıdır.

Kanallar değişse de kural aynı: hassas veriyi açık kanallarda paylaşma, kimlik doğrulamadan bilgi verme, gereksiz veri isteme. WhatsApp pratikte en sık kullanılan kanal olduğu için risk de yüksek olur.

Rezervasyon ekibi telefon ve WhatsApp’ta hangi bilgileri sormamalı/paylaşmamalı?

Kart görseli, pasaport/kimlik fotoğrafı, CVV gibi ödeme güvenlik bilgileri istenmemeli; misafir adına arayan üçüncü kişilere rezervasyon detayları doğrulama olmadan paylaşılmamalıdır. WhatsApp’ta mümkünse yalnızca rezervasyon referansı, tarih, isim gibi minimum doğrulama bilgisi üzerinden ilerlenmelidir.

Üçüncü kişi aradıysa (arkadaş/acente/aile) kontrol kuralı

• •“Rezervasyon referans no + misafir soyadı + kayıtlı telefon/e-posta” doğrulanmadan detay verilmez.
• •Doğrulama yoksa: “Misafirden teyit alıp döneceğiz.”

PMS notları, en hızlı bilgi aktarım yeridir; aynı zamanda en hızlı risk üreten alan olabilir. Notlara gereksiz hassas veri yazmak hem erişimi genişletir hem de kontrolü zorlaştırır.

PMS notlarına hangi bilgiler yazılmamalı?

Kart bilgileri, pasaport/kimlik numarasının gereksiz detayları, kimlik fotoğrafı, CVV gibi ödeme güvenlik detayları PMS notlarına yazılmamalıdır. Notlar; operasyonel aksiyona dönüşecek minimum bilgiyi taşımalı (örn. “diyet: gluten-free”, “bebek yatağı”, “erişilebilir oda” gibi).

Not formatı (güvenli ve aksiyon odaklı)

• •[HK] bebek yatağı 16:00
• •[F&B][CRIT] alerjen: fındık (ürün teyidi)
• •[FO] geç giriş: 23:00

“Belge/kart/pasaport görseli” gibi içerikler notta yer almaz.

Antalya/Belek resort — yüksek hacim + WhatsApp yoğunluğu

• •Risk: WhatsApp’ta pasaport/kart fotoğrafı alışkanlığı
• •Çözüm: “güvenli yönlendirme” şablonu + kabul etmeme kuralı + alternatif kanal

İstanbul city — iş segmenti + hızlı süreç

• •Risk: kurumsal asistan/üçüncü kişi ile paylaşım
• •Çözüm: hızlı doğrulama adımı + “misafir teyidi” SOP’u + kayıt disiplini

1. WhatsApp’tan pasaport/kimlik fotoğrafı istemek veya kabul etmek
2. Kartın ön/arka fotoğrafını istemek (CVV dahil)
3. Kimlik doğrulama olmadan üçüncü kişiye rezervasyon detayı vermek
4. PMS notlarına kart/pasaport detaylarını yazmak
5. Gereksiz veri toplamak (işe yaramayan “her şeyi” sormak)
6. Kişisel veriyi “kişisel telefon”da dağınık tutmak
7. Misafir onayı/aydınlatması olmadan pazarlama mesajı göndermek (Varsayım: pazarlama ayrı izin ister)
8. Ekran görüntüsü/ekleri kontrolsüz ekip içinde paylaşmak
9. “Herkes görsün” diye ortak drive’a hassas belge yüklemek
10. İhlal şüphesini gizlemek; bildirmemek

Rakip içerikler KVKK’yı hukuk diliyle anlatır; rezervasyon ekibinin ihtiyacı ise “bugün, bu konuşmada ne yapmalıyım?” rehberidir. Bu yazı; veri minimizasyonu, WhatsApp/telefon/e-posta pratikleri, üçüncü kişi doğrulaması ve PMS not hijyenini somut örneklerle standardize ederek teknik/operasyonel boşluğu kapatır. Hukuki yorumdan kaçınır; gerektiğinde hukuk danışmanıyla detaylandırılabilecek bir operasyon çerçevesi sunar.