Kişisel Verileri Koruma Kurulunun 11/08/2020 tarihli ve 2020/608 sayılı Karar Özeti

“İlgili kişinin, bilet satın almamasına karşın bir havayolu şirketinden uçak bileti satın aldığına dair SMS alması” hakkında Kişisel Verileri Koruma Kurulunun 11/08/2020 tarihli ve 2020/608 sayılı Karar Özeti

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin 05********4 numaralı cep telefonuna 01.07.2019 tarihinde bir Havayolu Şirketi tarafından Umman’dan İzmir aktarmalı İstanbul’a uçak bileti satın alındığına dair bir SMS gönderildiği, ilgili kişinin mesajı görür görmez veri sorumlusunu aradığı ancak görüşme sağlayamadığı, bunun üzerine çevrimiçi şikâyet formu doldurduğu, bu başvurusunu müteakiben veri sorumlusu tarafından aranarak belirtilen biletin iptal edildiğinin kendisine söylendiği, ilgili kişinin bunun üzerine adını ve cep telefonu numarasını kullanarak kimin söz konusu uçak biletini satın aldığının tarafına yazılı olarak bildirilmesini talep ettiği ancak herhangi bir yanıt alamadığı belirtilmiş olup veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;

• İlgili kişi adına 02.01.2020 tarihinde oluşturulmuş bir üyelik hesabı olduğunun görüldüğü, şikâyet tarihi olan 20.08.2019’a kadar ilgili kişiye ait herhangi bir üyelik hesabı ve bu hesap altında üyelik bilgisinin kayıtlarında yer almadığı,
• Şikâyete konu PNR kapsamında yer alan ilgili kişiye ait tek kişisel verinin cep telefonu bilgisi olduğu, söz konusu PNR kaydına bu veri girişinin de bileti satın alan mobil uygulaması kullanıcısı tarafından yapıldığı, belirtilen ilgili kişinin telefon numarasının zorunlu veri girişi alanına değil tercihe bağlı olarak sunulan “ücretli SMS bildirimi” alanına bu kullanıcı tarafından girildiği ve SMS içeriğinin iletimi için yalnızca telefon numarasının hat operatörü ile paylaşıldığı,
• PNR ile ilgili kişinin telefon numarasının sistemsel olarak eşleşmediği, mobil uygulama üzerinden bilet satışında ad, soyadı, cinsiyet, doğum tarihi, telefon numarası, e-posta ve ülke bilgisi girilmesinin zorunlu olduğu diğer yandan SMS bilgilendirme hizmetinin ise zorunlu olmadığı, dolayısıyla ilgili kişiye ait kimlik bilgilerinin ilgili PNR kapsamında işlenmediği,
• İlgili kişiye ait kişisel verilerin üçüncü kişilerle paylaşımının veya üçüncü kişilerce bu verilere erişimin söz konusu olmadığı,
• Bilet satın alımı sırasında girilen T.C. kimlik numaralarının doğruluğunun MERNİS üzerinden eşleştirilerek teyit edilmesine ilişkin bir sistem bulunmadığı ancak girilen numaranın mevcut bir numara olup olmadığını anlayan (Ulaştırma ve Altyapı Bakanlığı Sivil Havacılık Genel Müdürlüğü düzenlemeleri ile uyumlu olarak) bir algoritma kullanıldığı

ifade edilmiştir.

Bu savunma üzerine Kurum tarafından veri sorumlusundan, mobil uygulama vasıtasıyla alınan bilete ait PNR numarasının, ilgili kişinin iletişim bilgileri ile eşleşmediği hususunu tevsik edici mahiyette bilgi ve belgelerin Kuruma sunulması istenilmiş olup veri sorumlusu tarafından verilen yanıtta; ilgili kişiye ait olmayan biletleme işlemindeki uçuş rezervasyonu oluşturulurken işlemi yapan kişi tarafından bilet bilgilerinin ücretli SMS olarak iletilmesi tercihinin işaretlendiği ancak ücretli SMS’in gönderileceği telefon numarasının rezervasyonda kayıtlı iletişim numarasından farklı olarak girildiği, bu numaranın da ilgili kişiye ait telefon numarası olduğu hususu belirtilmiş ve bu hususa dayanak olan bilgi ve belgeler Kuruma ulaştırılmıştır.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 11/08/2020 tarihli ve 2020/608 sayılı Kararı ile; 

• 6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinin (1) numaralı fıkrasının (d) bendi gereğince “kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlandığı, bu kapsamda ilgili kişiye ait telefon numarasının, adı- soyadı ve TC kimlik numarası ile eşleştirilerek saklandığından ve kimliği belirlenebilir gerçek bir kişiye ulaşılması sonucu doğurduğundan kişisel veri niteliğinde olduğu, ancak somut olayda ilgili kişiye ait telefon numarasının kendisine ait herhangi bir kayıtla eşleşmediği aksine sehven yazılmış olan numaranın bileti satın alan kişi tarafından veri sorumlusu sistemlerine girildiğinin anlaşıldığı,
• Söz konusu bilgi ve belgelerin incelenmesi neticesinde, veri sorumlusu kanalları üzerinden bilet almakta olan 05*******2 telefon numarasının kullanıcısı gerçek kişinin satın aldığı biletle ilişkili olarak ilgili kişiye ait 05********4 telefon numarasını veri sorumlusu ile paylaştığının anlaşıldığı, bu kapsamda veri sorumlusunun müşterilerine alınan biletlere ilişkin SMS hizmeti sunarken başka bir telefon numarasına SMS gönderilmesi seçeneği de sunduğu görülmüş olup alınan bilete ilişkin müşteri bilgilerinin ilgili kişiye ait olmadığı,
• değerlendirmelerinden hareketle;
• Veri sorumlusu tarafından ilgili kişinin iletişim bilgilerinin başka bir kullanıcı tarafından sisteme girilmesi suretiyle ve kastı bulunmaksızın işlendiği; ayrıca söz konusu manuel veri girişlerine cevaz veren sisteme girilen telefon numaralarının kime ait olduğunun belirlenmesine ilişkin sistemsel bir eşleştirme yahut veri tabanı bulunmadığı dikkate alındığında Kanunun 12 nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü ihlal ettiği yönünde bir tespitte bulunulamadığından konuya ilişkin Kanun kapsamında tesis edilecek bir işlem olmadığına,
• İlgili kişiler tarafından Kanun çerçevesinde yapılan başvurulara süresi içinde ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun bir şekilde cevap vermesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.