TURİZMDE DİJİTAL DÖNÜŞÜM: Yapay Zekâ Kullanımı ve KVKK Kapsamında Veri Sorumluluğu

Yapay zekâ artık turizmde “trend” değil, oyunun kendisi. Ama bu oyunun bir de görünmeyen tarafı var: veri ve sorumluluk.

Teknoloji değil, sistem değişimi

Turizm sektöründe yapay zekâ artık yalnızca “yenilikçi bir teknoloji” değil, doğrudan operasyonel modeli dönüştüren bir altyapı haline gelmiştir. OECD’nin 2024 tarihli politika belgesi, yapay zekânın turizmde inovasyon ve sürdürülebilir kalkınma için önemli fırsatlar sunduğunu; ancak kişiselleştirilmiş turist deneyimleri üretildikçe güçlü veri ve tüketici koruma önlemlerinin zorunlu hale geldiğini vurgulamaktadır. Benzer şekilde UN Tourism de yapay zekânın turizmde verimlilik, kişiselleştirme ve stratejik karar alma süreçlerini yeniden şekillendirdiğini belirtmektedir.

Otel ölçeğinde bu dönüşüm, rezervasyon öncesi bilgi verme, WhatsApp tabanlı misafir asistanı, CRM entegrasyonu, şikâyet analitiği, dinamik fiyatlandırma, çağrı merkezi otomasyonu ve kimi zaman yüz tanımalı check-in gibi uygulamalar üzerinden görünür hale gelmektedir. Ne var ki bu araçların tamamı, görünürde bir “müşteri deneyimi” aracı olsa da, hukuken kişisel veri işleme zinciri kurar. Dolayısıyla yapay zekâ projesi yalnızca BT veya pazarlama projesi değil; aynı zamanda hukuki sebep, veri minimizasyonu, aydınlatma, güvenlik, saklama ve aktarım kararlarının birlikte tasarlanmasını gerektiren bir uyum projesidir. Türkiye’de bu mimarinin omurgasını ise Kişisel Verileri Koruma Kurumu tarafından uygulanan KVKK rejimi oluşturmaktadır.

Yapay Zekâlı Otelin Veri Haritası

Otelcilikte kullanılan yapay zekâ sistemleri çoğu zaman bir sohbet ekranından ibaret değildir. Bu sistemler rezervasyon bilgilerini, iletişim verilerini, oda tercihlerini, sadakat programı kayıtlarını, şikâyet metinlerini, ödeme ve faturalandırma bilgilerini, çağrı kayıtlarını ve bazen de sağlık, engellilik, beslenme tercihi veya özel asistans taleplerini aynı akış içinde toplayıp işleyebilir. Bu nedenle sistemin “müşteri ilişkileri” başlığı altında konumlanması, işlenen verilerin niteliğini hafifletmez; tersine, veri kategorileri çoğaldıkça amaçla bağlantılılık, sınırlılık ve ölçülülük testi daha da kritik hale gelir.

Turizm ve otelcilik alanında yakın tarihli Kurul yaklaşımı da tam olarak bu noktaya işaret etmektedir. 2025 tarihli ilke kararında, konaklama işletmelerinin misafirlerin kimlik bilgilerini kaydetmesi 1774 sayılı Kimlik Bildirme Kanunu ve ilgili yükümlülükler çerçevesinde hukuka uygun kabul edilmiş; buna karşılık T.C. kimlik belgesinin fotokopisinin kayda alınması “gereğinden fazla veri işleme” sayılmış ve bu uygulamanın sona erdirilmesi gerektiği belirtilmiştir. Aynı şekilde 2023 tarihli otel kararında, housekeeping görev kâğıdında misafirlerin ad ve soyadlarının yer alması, kat görevlilerinin hizmetini yürütmesi için zorunlu görülmemiş; veri minimizasyonu ilkesine aykırı bulunmuştur. Bu iki karar birlikte okunduğunda, turizm sektöründe “işe yarıyor” olan her verinin “işlenebilir” olmadığı açık biçimde ortaya çıkmaktadır.

Bu çerçevede yapay zekâya aktarılan veri setleri için en temel soru şudur: Misafir asistanının gerçekten hangi veriye ihtiyacı vardır? Rezervasyon teyidi için pasaport veya kimlik fotokopisi gerekmez. Oda temizliği planlaması için misafirin soyadı çoğu durumda gerekmez. Şikâyet yönetimi için de her zaman tam kimlik bilgisi yerine vaka numarası, oda numarası veya sınırlı profil yeterli olabilir. Başka bir ifadeyle, klasik operasyon içinde gereksiz görülen veri, yapay zekâ boru hattına dahil edildiğinde daha da riskli hale gelir; çünkü aynı veri bu kez istemlere, loglara, yedeklere, analitik katmanlara ve üçüncü taraf entegrasyonlara yayılabilir.

Özel nitelikli kişisel veriler açısından eşik daha da yüksektir. Kurul rehberleri ve kararları, biyometrik verilerin daha sıkı korunduğunu; yüz görüntüsünün ise ancak kişiyi özgün biçimde teşhis veya doğrulamaya yarayan belirli teknik yöntemlerle işlendiğinde biyometrik veri niteliği kazandığını belirtmektedir. Yüz tanıma ile giriş-çıkış veya check-in kurguları bu nedenle sıradan kamera kaydıyla aynı kategoride değerlendirilemez; açık rıza, kanuni dayanak, alternatif yöntemlerin varlığı, saklama süresi ve yeterli önlemler ayrıca test edilmelidir. Oteller açısından bu tespit önemlidir; çünkü “temassız deneyim” adına kurulan bir sistem, fark edilmeksizin özel nitelikli veri işleme rejimine girebilir.

Veri Sorumlusu ile Veri İşleyen Ayrımı

KVKK bakımından hukuki sorumluluğun ağırlık merkezi, veri sorumlusu ile veri işleyen ayrımında toplanır. Kurumun tanımına göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişidir; yani işlemenin “neden” ve “nasıl” yapılacağına karar veren taraftır. Kurulun 2020/71 sayılı karar özeti de bu yaklaşımı somutlaştırarak hangi verilerin toplanacağı, ne amaçla kullanılacağı, kimlerle paylaşılacağı, ne kadar saklanacağı ve kimlerin erişeceği gibi temel unsurlara karar verme yetkisinin veri sorumlusuna ait olduğunu açıkça ortaya koymaktadır.

Bu nedenle bir otelin misafir asistanı projesinde, misafir iletişiminin amacı, kapsamı, entegrasyon modeli, veri kategorileri ve hizmet tasarımını belirleyen taraf kural olarak otelin kendisidir. Yazılım sağlayıcısı ise, eğer yalnızca otelin talimatı doğrultusunda teknik hizmet veriyorsa, tipik olarak veri işleyen konumundadır. Kurul kararında veri işleyenin veri sorumlusu adına hareket ettiği, veri işlemenin daha çok teknik kısımlarıyla ilgilendiği ve talimat dışına çıkmadığı ölçüde bu sıfatı koruduğu belirtilmiştir.

Sözleşme Yetmez: Veri İşleyen mi, Veri Sorumlusu mu? Gerçek Rol Sahada Belirlenir

Bununla birlikte sözleşmede “veri işleyen” ibaresinin yer alması tek başına yeterli değildir. Rol tayini, başlığa değil fiili işleyişe göre yapılır. Eğer yazılım sağlayıcısı veriyi kendi ürününü geliştirmek, bağımsız analitik üretmek, sektör geneli benchmark çıkarmak, kendi ticari amaçları için tekrar kullanmak ya da saklama ve alıcı yapısını kendi çıkarı doğrultusunda belirlemek istiyorsa, salt veri işleyen olarak kalması zorlaşır. Bu tespit bir yorumdur; fakat Kurulun rol tespitinde esas aldığı ölçütler ile uluslararası sağlayıcıların veri işleme sözleşmelerindeki yapı birlikte değerlendirildiğinde, otellerin rol analizini işlem bazında yapması gerektiği sonucuna ulaşılmaktadır. Ayrıca Kurul, veri sorumlusunun kendi adına işleyen kişiyle birlikte teknik ve idari tedbirler bakımından müştereken sorumlu olduğunu da ifade etmektedir.

Aydınlatma yükümlülüğü de bu ayrımın doğal sonucudur. Kurul, aydınlatma yükümlülüğünün esasen veri sorumlusuna ait olduğunu; ancak veri sorumlusunun yetkilendirdiği kişi aracılığıyla, yani kimi durumlarda veri işleyen üzerinden de yerine getirilebileceğini belirtmektedir. Bu, pratikte şu anlama gelir: Otel, aydınlatma metnini ekran üzerinde teknik olarak yazılım sağlayıcısına göstertse bile hukuki yükümlülüğün asli sahibi olmaya devam eder. Yazılım ekranı bir araçtır; sorumluluğun kendisi değildir.

Açık Rıza, Aydınlatma ve İnsan denetimi

Otelcilikte yapay zekâ projelerinde en çok yapılan hata, her veri işleme faaliyeti için refleks olarak “açık rıza” aramak veya daha kötüsü, aydınlatma ile açık rızayı tek metinde eriterek hukuki zemini belirsizleştirmektir. Oysa Kurum, kişisel veri işlemenin açık rızaya dayalı olsun ya da olmasın, her durumda ilgili kişinin aydınlatılması gerektiğini açıkça belirtmektedir. Açık rıza elektronik ortamda alınabilir; ancak bunun ispat yükü veri sorumlusundadır.

Açık Rıza Tuzakları: KVKK 2026/347 Kararı Ne Diyor?

Bu konuda 2026/347 sayılı ilke kararı özellikle dikkat çekicidir. Kurul, açık rıza metni ile aydınlatma metninin iç içe sunulmasının yaygın bir hukuka aykırılık olduğunu tespit etmiş; aydınlatmanın her durumda veri işlemeye başlamadan önce yapılması gerektiğini, açık rızaya dayalı işleme varsa iki metnin ayrı başlıklar altında düzenlenmesini, açık rıza dışındaki hukuki sebeplere dayanılan işlemlerde ise ayrıca açık rıza metni sunulmamasını istemiştir. Aynı kararda “kopyala-yapıştır” metinler, muğlak ifade kullanımı ve yanıltıcı aktarım açıklamaları da eleştirilmiştir. Bu bulgu, oteller açısından son derece önemlidir; çünkü dışarıdan alınan yapay zekâ çözümlerinde sağlayıcının hazır metinlerinin aynen kullanılması, çoğu zaman kurumun kendi veri akışına uymayan riskli bir pratik oluşturmaktadır.

Her Şey Açık Rıza Değil: Doğru Hukuki Dayanağı Seçmek

Açık rızanın sınırı bakımından Kurulun daha eski fakat hâlâ çok canlı olan yaklaşımı da yol göstericidir: Başka bir hukuki sebep varken hizmetin açık rıza şartına bağlanması, açık rızayı sakatlar. Turizm bağlamında rezervasyon teyidi, check-in öncesi bilgi, konaklama kaydı, fatura ve kimlik bildirim yükümlülüğü gibi işlemler çoğu zaman sözleşmenin ifası veya hukuki yükümlülük zemininde yürür. Buna karşılık davranışsal profilleme, pazarlama amaçlı kişiselleştirme, yüz tanıma, ses klonlama veya yabancı sağlayıcılar nezdinde ikincil kullanım doğuran süreçler için ayrıca ve ayrı ayrı hukuki sebep analizi gerekir; kimi senaryolarda açık rıza olmaksızın güvenli hareket etmek mümkün olmayabilir.

Yapay zekâya özgü bir başka kritik başlık da insan denetimidir. Kurumun yapay zekâ tavsiyeleri, kişisel veri işleme temelli sistemlerin şeffaflık, ölçülülük, doğruluk ve hesap verebilirlik ilkeleriyle yönetilmesini; özel nitelikli veriler varsa daha sıkı tedbirler alınmasını; bireylerin yalnızca otomatik işlemeye dayalı ve kendi görüşleri dikkate alınmaksızın kendilerini etkileyecek kararlara maruz kalmamalarını sağlayacak ürün ve hizmetlerin tasarlanmasını önermektedir. Otelcilik açısından bunun anlamı nettir: Yapay zekâ misafirle ilk teması kurabilir, yanıt taslağı üretebilir, talep sınıflandırabilir; ancak şikâyet, ret, risk puanlama, kara listeleme veya güvenlik kararı gibi hukuki ya da ciddi fiili sonuç doğurabilecek süreçlerde mutlaka insan devreye girme imkânı korunmalıdır.

Alt İşleyiciler ve Yurt Dışı Aktarım

Turizm sektöründeki yapay zekâlı müşteri ilişkileri sistemleri çoğu zaman tek bir sağlayıcıdan ibaret değildir. Otel ile yerli yazılım şirketi arasında başlayan ilişki; büyük dil modeli sağlayıcısı, bulut altyapısı, mesajlaşma kanalı, analitik servisi, log yönetimi ve yedekleme sağlayıcısıyla devam eden çok katmanlı bir alt işleyici zincirine dönüşebilir. Bu nedenle asıl hukuki soru “bizim sağlayıcımız yerli mi?” sorusundan ziyade “veri fiilen hangi sistemlere, hangi ülkelerde, hangi rollerle akıyor?” sorusudur. 2024’te değişen rejimle birlikte KVKK’nın 9. maddesinde yurt dışına aktarım için aşamalı bir yapı kurulmuş; yeterlilik kararı, uygun güvenceler ve sınırlı istisnalar temel çerçeve haline getirilmiştir. Standart sözleşmeler ve bağlayıcı şirket kuralları da bu uygun güvence araçları arasında açıkça sayılmıştır.

Kurumun rehberi, kişisel verilerin yurt dışına aktarımında dört tip standart sözleşme metni bulunduğunu göstermektedir: veri sorumlusundan veri sorumlusuna, veri sorumlusundan veri işleyene, veri işleyenden veri işleyene ve veri işleyenden veri sorumlusuna. Rehber ayrıca standart sözleşmenin imzaların tamamlanmasından itibaren beş iş günü içinde Kuruma bildirilmesi gerektiğini; bildirim yükümlüsünün sözleşmede belirlenebileceğini, aksi halde veri aktaranın bildirimden sorumlu olduğunu; eklerde ise veri kategorileri, amaç, alıcı grupları, saklama süresi, güvenlik önlemleri ve varsa VERBİS uyumunun açıkça gösterilmesi gerektiğini belirtmektedir. Bu yüzden oteller için “tek paragrafla yurt dışı aktarım izni” dönemi fiilen kapanmıştır; aktarım mimarisi eklerle ve rol bazlı belgelerle kurulmalıdır.

Global Sözleşme Var Diye Rahatlama: Yurt Dışı Veri Aktarımı Hâlâ Sizin Sorumluluğunuz

Uluslararası sağlayıcı sözleşmeleri bu resimde yardımcı olabilir, ama tek başına yeterli değildir. OpenAI’ın güncel geliştirici dokümantasyonu, API’ye gönderilen verilerin varsayılan olarak model eğitimi veya geliştirme için kullanılmadığını, yalnızca kullanıcı açıkça veri paylaşımına katılırsa bunun değiştiğini söylemektedir. OpenAI’nin veri işleme ek sözleşmesi de şirketin müşteri adına veri işleyen olarak hareket ettiğini, veri öznesi taleplerinde makul yardım sağlayacağını, kişisel veri ihlalini gecikmeksizin bildireceğini, alt işleyiciler için liste ve itiraz mekanizması sunduğunu ve sözleşme sonunda veriyi iade veya silme yükümlülüğüne tabi olduğunu düzenlemektedir. Benzer biçimde Amazon Web Services küresel DPA ve alt işleyici listesi sunmaktadır. Bunlar önemli güvencelerdir; ancak Türk hukuku bakımından yurt dışı aktarım sorununu otomatik olarak çözmez. Otelin veya yerli sağlayıcının, aktarım yaptığı yabancı alıcıyla KVKK’nın 9. maddesine uygun mekanizmayı ayrıca kurması gerekir. API’de “opt-out” ayarının açık olması, transfer hukukunu ortadan kaldırmaz; yalnızca ikincil kullanım riskini azaltır.

Mesajlaşma kanalı kullanımı da bu sonucu değiştirmez. Meta geliştirici dokümantasyonu, WhatsApp Cloud API kullanımında mesajların kullanıcı ile Cloud API arasında şifreli iletildiğini belirtmektedir. Ancak şifreleme, verinin daha sonra CRM’e, PMS’ye, yapay zekâ modeline, log sistemine veya yedekleme katmanına aktarıldığı sonraki işleme faaliyetleri bakımından tek başına yeterli hukuki cevap değildir. Teknik güvenlik ile aktarım hukuku aynı şey değildir; biri diğerinin yerine geçmez.

Sonuç; Hesap verebilirlik.

Turizm sektöründe yapay zekâ kullanımı, misafir memnuniyetini ve operasyonel verimliliği artırma potansiyeli taşıyan güçlü bir araçtır. Ancak bu araç, özellikle otelcilikte, aynı zamanda yoğun bir veri işleme rejimi üretir. Son Kurul kararları ve rehberleri birlikte okunduğunda ortaya çıkan tablo nettir: Otel, yapay zekâyı “müşteri ilişkileri yazılımı” gibi görüp hukuki yükü sağlayıcıya devredemez. Kimlik verilerinde aşırı toplamadan kaçınmak, operasyonla ilgisiz isim görünürlüğünü azaltmak, biyometrik eşiği doğru okumak, aydınlatma ile açık rızayı ayırmak, insan denetimini muhafaza etmek ve yurt dışı aktarım zincirini sözleşmesel olarak belgelemek gerekir.

Kısacası turizmde dijital dönüşüm, hukuki dilde veri yönetişimi demektir. Başarılı otel artık yalnızca hızlı yanıt veren değil; hangi veriyi neden işlediğini bilen, gereksiz veriyi sisteme hiç sokmayan, sağlayıcı zincirini denetleyen ve misafire insan merkezli bir güven ilişkisi kurabilen oteldir. Yapay zekânın turizmde kalıcı olacağı anlaşılıyor; kalıcı olacak bir başka şeyin de hesap verebilirlik olduğu unutulmamalıdır.

Bu oyunda kazananlar:
teknolojiyi kullananlar değil,
teknolojiyi yönetenler olacak.

Avukat Umay Hasancebi Önder 

HSC Hukuk Bürosu Kurucusu