TR
  2. Anasayfa
  3. Mevzuat
  4. Kurul Kararları ve Duyurular
  5. Kişisel Verileri Koruma Kurulunun 03/08/2023 tarihli ve 2023/1309 sayılı Karar Özeti

Kişisel Verileri Koruma Kurulunun 03/08/2023 tarihli ve 2023/1309 sayılı Karar Özeti

"Bir havayolu şirketi tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak üçüncü kişilerle paylaşılması" hakkında Kişisel Verileri Koruma Kurulunun 03/08/2023 tarihli ve 2023/1309 sayılı Karar Özeti

 

Karar Tarihi : 03/08/2023
Karar No : 2023/1309
Konu Özeti : Bir havayolu şirketi tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak üçüncü kişilerle paylaşılması

 

Kuruma intikal ettirilen şikayette özetle, ilgili kişinin  ailesi ile birlikte bir seyahat acentesinden tur satın aldığı, tur firması tarafından şikâyete konu veri sorumlusu havayolu firması ile seyahatinin planlandığı ve tarafına uçuş bilgilerinin gönderildiği, havayolunun mobil uygulamasından Check-in işlemi yapmak için Yolcu İsim Kaydını-Passenger Name Information (PNR) ve soyadını girdiğinde tanımadığı dört kişinin "isim, soyisim, cinsiyet, doğum tarihi, uyruğu, belge türü, belgenin verildiği ülke, belge no, son geçerlilik tarihi, vize bilgileri" gibi bilgilerini gördüğü, tanımadığı 4 kişinin tüm bilgilerinin hem gidiş hem de dönüş check-in işlemlerinde gözüktüğü, bunun yanında tanımadığı kişilerin biletleri hakkında uçak biletlerini iptal etmek ve değiştirmek gibi birçok işlem hakkı tanındığı, aynı şekilde diğer tanımadığı kişilerin de kendisinin isim, soyisim, cinsiyet, doğum tarihi, uyruğu, belge türü, belgenin verildiği ülke, belge no, son geçerlilik tarihi, vize bilgileri gibi kişisel verilerini görebildiğinin kuvvetle muhtemel olduğu ayrıca havayolu şirketince tutulan kişisel verilerinin tanımadığı kişilere açıklanması-yayınlanması ihlali ve ihtimali hakkında ve kişisel verilerinin ihlali ile ilgili bilgi verilmesini ve mevcut ihlalin kaldırılmasını, gerekli yerlere bildirim yapılmasını ve Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’nci maddesi kapsamındaki hakları doğrultusunda veri sorumlusu olarak söz konusu hadise kapsamında gerekli aksiyonların alınmasının yanı sıra hangi kişisel verilerinin işlendiği, şahsına ait işlenen kişisel verilerinin korunması adına hangi teknik ve idari tedbirlerin alındığını, şahsına ait işlenen kişisel verilerin işlenme amacı ve bunların amacına uygun kullanılıp kullanılmadığı hakkında bilgi verilmesini, şahsına ait işlenen kişisel verilerinin yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişiler hakkında bilgi verilmesini, kişisel verilerine erişim yetkisi olmayan üçüncü kişilere aktarımına ve hukuka aykırı veri işleme faaliyetine son verilmesini talep ettiği başvurusunu gerçekleştirdiği, veri sorumlusu tarafından verilen yanıtta kişisel verilerinin üçüncü kişilere hukuka aykırı olarak aktarıldığının kabul edildiği, verilen cevapta bilgi edinmek adına cevaplanmasını talep ettiği hususlarda da herhangi bir cevap verilmediği ifade edilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusundan alınan cevabi yazıda özetle;

  • İlgili kişinin kişisel verilerinin üçüncü kişilere aktarıldığı yönündeki iddialara ilişkin olarak; Şirketlerinin yurt içinde ve yurt dışında hava taşımacılığı hizmeti veren bir havayolu şirketi olduğu, uçuşları için tüketicilerin doğrudan veya seyahat acenteleri aracılığıyla bilet alabileceği gibi Şirketlerinin tur operatörü olarak faaliyet gösteren ve tüketicilere paket tur satışı yapan seyahat acentelerine belirli hacimde koltuk kullanımını anlaşmalar doğrultusunda tahsis ettiği, bu durumda acentelerin kendi müşterilerinin paket tur seyahati kapsamında uçuşları için rezervasyon işlemlerini havayolu şirketinin rezervasyon ve satış sistemi acente ekranları üzerinden kendilerinin gerçekleştirdiği, şikayete konu uçuş rezervasyonun da bu şekilde gerçekleştiği, Şirketleri ile ticari iş ilişkisi olan tur operatörü olarak faaliyet gösteren seyahat acenteleri, ulaştırma, konaklama ve bunlara yardımcı olmayan diğer turistik hizmetlerin en az ikisinin birlikte, her şeyin dahil olduğu paket tur satışlarında, ulaştırma hizmeti için kendilerine tanınan sistem erişim kullanıcı bilgileri ve şifreler ile, havayolu şirketinin rezervasyon ve satış sistemi acente ekranları üzerinden uygulamaya giriş yaparak uçuşlar için biletleme yapabilmekte ve dolayısıyla PNR oluşturabilmekte olduğu, oluşturulan PNR'lar Şirketlerinin uçuşlarına ait olduğundan yolculara check-in ve uçuşa ilişkin ek ürün/hizmet ihtiyaçlarına cevap vermek adına PNR ve soyadı kombinasyonu ile uçuşlarını kendi dijital kanalları üzerinden yönetme imkanı tanıdıkları,
  • Seyahat acentelerinin, aynı paket turda yer alan tüm yolcuların rezervasyon ve biletleme işlemlerini toplu olarak yaptığı, bu nedenle rezervasyon kayıtlarının tek bir PNR üzerinden birçok yolcu için seyahat acenteleri tarafından yapıldığı, seyahat acentesinin böylece grup rezervasyonu kapsamında tek bir Grup PNR üzerinden tüm müşterilerinin takibini yapabildiği, Şirketlerinin, Grup PNR uygulamasının farklı yolcu gruplarını bir araya getirebileceğinin bilinciyle bu Grup PNR'larına erişim ve kişisel verilerin görüntülenmesi konusunda ek tedbirler uyguladığı, bu tedbirlerin şikayete konu vaka öncesinde uygulamaya alındığı ve düzenli olarak uygulandığı, bu tedbirler kapsamında Grup PNR'da yer alan bir yolcu check-in işlemi yapmak veya bilet işlemlerini internet sitesi veya mobil uygulama üzerinden yönetmek istediğinde, PNR + SOYADI kombinasyonu ile giriş yaptığı, başarılı giriş sonrasında ise genel uygulamadan farklı olarak PNR'daki tüm yolcuları görüntüleyememekte ve yalnız PNR içinde SOYADI eşleşen kayıtları görüntüleyebilmekte olduğu, ortak görüntülemenin birlikte seyahat eden ailelerin işlemlerini bir arada yapabilmeleri amacını taşıdığı, nitekim, paket tur satın alan yolcuların genellikle aile olarak seyahat ettiği ve aynı soyada sahip aile bireylerinin check-in deneyimlerinin kolaylaştırılması ve özellikle uçuş için aile bireylerine yan yana koltuk tanınması konusunda yolculardan gelen talepler doğrultusunda bu yönde bir uygulamanın olduğu, bu geliştirmenin, Şirketlerinin kişisel verilerin korunması konusundaki uyum çalışmaları kapsamında şikayet tarihinden önce öngörülmüş bir tedbir olduğu, bu tedbirin öncelikli amacının, grup rezervasyonlarında, birlikte seyahat etme amacı olmayan, birbirini tanımayan yolcuların birbirlerinin kişisel verilerine ulaşımını engellemek olduğu,
  • Şikayete konu olay hakkında işlemi gerçekleştiren seyahat acentesi ile yapmış oldukları görüşmelerde, başvuru sahibinin check-in işlemi yaparken görüntülediği diğer yolcuların soy isimlerinin de başvuru sahibi ile aynı olduğu ve fakat bu kişilerin başvuru sahibinin aile bireyi olmadıklarının anlaşıldığı, bunun esasen seyahat acentesinin kontrolünde ve dikkat etmesi gereken bir kontrol adımının işletilmemiş olduğunu gösterdiği, şikayete konu işlemin başvuru sahibi ile seyahat acentesi arasında gerçekleşen Paket Tur Sözleşmesi ile bağlantılı bir işlem olduğunun açık olduğu, Şirketlerinin, sistem üzerinden veri gizliliğini korumaya yönelik gerekli tedbirleri aldığı ve uyguladığı, sistemde kaydı oluşturan seyahat acentesinin aynı soyadlı farklı kişileri tek bir Grup PNR'ında birleştirmemesi yükümlülüğü bulunduğu,
  • Ayrıca, Şirketleri tarafından şikayetten önce alınmış olan teknik tedbir ötesinde, aynı soyadına sahip bu yolcuların aile bireyi olmadığı ve birlikte seyahat etmeyecekleri konusundaki bilgiye Şirketlerinin haiz olmasının mümkün olmadığı, grup rezervasyonlarının, paket turlar kapsamında seyahat acenteleri tarafından oluşturulduğu, hangi yolcuların birlikte bu turdan faydalanacakları konusunda da yalnızca seyahat acentelerinin bilgi sahibi olduğu, bu anlamda, gerekli tedbirleri şikayet tarihinden önce almış olan Şirketlerine herhangi bir kusur atfedilmesinin mümkün olmadığı, şikayet konusundakine benzer şekilde meydana gelebilecek istisnai durumların önüne geçilebilmesi için, ilgili seyahat acentelerine söz konusu tedbirin amacı ve dikkatli olunması gerektiğinin tekrar hatırlatıldığı,
  • İlgili kişinin başvurusunu takiben ve Kanun'un 12’nci maddesi uyarınca Şirketleri tarafından alınan teknik ve idari tedbirlere ilişkin olarak; ilgili kişinin şikayetine ilişkin tedbirlerin etkin bir şekilde şikayete konu olay öncesinden itibaren uygulandığı, söz konusu durumun önüne geçilmesi için, şikayet tarihinden önce, zaten yolcuların PNR ve soyadı kombinasyonu ile check-in işlemi yaptıklarında yalnızca kendi soyadlarına sahip yolcuların bilgilerine ulaşabildiği bir sistem uygulandığı ve bu sistem aracılığıyla yolcuların kişisel verilerini korumayı amaçladıkları, seyahat acentelerinin yalnızca kendilerinin sahip olabileceği bilgilerle haberdar olacağı şikayete konu istisnai durumların yaşandığı hallerde de seyahat acentelerinin gerekli önlemleri almasının beklendiği konusunda seyahat acentelerinin uyarıldığı,
  • Şikayeti takiben ilgili kişi ve PNR'da yer alan aynı soy isme sahip diğer kişilerin grup PNR'ının ayrıştırıldığı ve erişimin engellendiği, başvuru sahibinin PNR içerisinde yalnızca kendi aile bireylerini görebileceği şekilde PNR içeriğinin güncellendiği, seyahat acentelerine başvuru sahibinin talebine cevap verilen e-posta iletisinin gönderilerek, paket tur satın alan misafirlerinden aynı soyadına sahip ve fakat aynı aile bireyi olmayan yolcuların PNR'larının ayrıştırılması gerektiği yönünde hatırlatma yapıldığı,
  • Kanun’un 12’nci maddesi uyarınca veri sorumlusu olarak Şirketlerinin kişisel verilerin (i) hukuka aykırı olarak işlenmesini önlemek, (ii) muhafazasını sağlamak ve (iii) kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri aldığı, bu kapsamda Şirketlerinin aldığı tüm teknik ve idari tedbirlerin Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) üzerinden kamu ile paylaşıldığı, Şirket tarafından düzenli şekilde takibi yapılan "Kişisel Verilerin Korunması Kanunu'na Uyum Çalışmaları Kapsamında Alınan Teknik ve İdari Tedbirler" isimli dokümanın da ekte sunulduğu,
  • Başvuru sahibinin Kanun’un 11’nci maddesi uyarınca iletmiş olduğu talebe vermiş oldukları cevapları hakkında; ilgili kişinin, Şirketlerine kayıtlı elektronik posta yoluyla talebini ilettiği, tüm taleplerine ilişkin olarak yasal sürede cevap verilmesine rağmen, ilgili kişinin hangi kişisel verilerin işlendiği; işlenen kişisel verilerin korunması için hangi teknik ve idari tedbirlerin alındığı; işlenme amacı ve amacına uygun kullanılıp kullanılmayacağı ve yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişiler hakkında bilgi verilmediğini iddia ettiği, bu kapsamda, Şirketleri tarafından ilgili kişiye verilen, yukarıdaki tüm talepleri kapsayan cevaplarının ekte sunulduğu, bu kapsamda ilgili kişiye, yasal süre içerisinde, eksiksiz şekilde cevap verildiği ve taleplerinin karşılandığı, yazı ekinde iletilen ekteki Gizlilik Politikası kapsamında, kişisel verilerin korunmasına yönelik olarak yolculara karşı aydınlatma yükümlülüğünün yerine getirilmekte olduğu ve yolcuların hangi kişisel verilerinin, hangi hukuki dayanağa istinaden, hangi amaçlarla işlendiği, kişisel verilerinin kimlerle paylaşıldığı, hangi teknik ve idari tedbirlerin alındığı konusunda bilgilendirildiği, VERBİS kaydında da söz konusu hususların açıklandığı, 

ifade edilmiş, Kişisel Verilerin Korunması Kanunu'na uyum çalışmaları kapsamında alınan teknik ve idari tedbirler kapsamında ise detaylı bilgilere yer verilmiş, ayrıca yolculara sunulan gizlilik politikası metni iletilmiştir.

İlgili kişinin şikâyeti ekinde Kuruma sunulan ekran görüntülerinde üçüncü kişilere ait kayıtların karartılmış olması nedeniyle PNR verilerini kullanarak ulaşmış olduğu üçüncü kişilerin bilgilerinin karartılmamış hali talep edilmiş olup ilgili kişi tarafından söz konusu bilgiler Kuruma sunulduğunda, veri sorumlusunun beyanın aksine, kişisel verilerine erişilen üçüncü kişilerin soyadı bilgisinin ilgili kişiden farklı olduğu görülmüştür.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulu’nun 03/08/2023 tarih ve 2023/1309 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun kişisel verilerin işlenme şartlarına ilişkin 5’inci maddesinin birinci fıkrasında “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez”, ikinci fıkrasında ise: “Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükümlerine yer verildiği,
  • Kanunun 11’inci maddesinde ilgili kişilerin hakları sıralanmış olup, anılan maddede “Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.” hükümlerine yer verildiği,
  • Kanunun 12’nci maddesinin (1) numaralı fıkrasının “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” (5) numaralı fıkrası ise “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amir olduğu,
  • Bu çerçevede, Uluslararası Sivil Havacılık Organizasyonu tarafından yayınlanan PNR Verisi Rehberi’nde (The International Civil Aviation Organization, “Guidelines on Passenger Name Record (PNR) Data” ) hava taşımacılığı sektöründe Yolcu Adı Kaydının, “herhangi bir yolcu adına veya yapılan her yolculuk için uçak operatörleri veya yetkili acenteleri tarafından oluşturulan kayıtlara verilen genel ad” olarak tanımlandığı, PNR’ın bir yolculuğun tüm uçuş bölümleriyle ilgili olarak yolcu tarafından veya yolcu adına sağlanan verilerden oluşturulduğu, öte yandan rehbere göre verilerin, operatörler tarafından hava taşımacılığı hizmetlerinin sağlanmasında kendi ticari ve operasyonel amaçları için kullanılmakta ve PNR bilgilerinin uçuş operasyonuna bağlı olarak (uçuşun gerçekleştiği ülkenin talepleri doğrultusunda) pek çok farklı veriyi içerebilmekte olduğu, buna ek olarak “paylaşılmış/bölünmüş PNR”ın ise rehberde PNR üzerinde çok sayıda yolcu, diğer yolcular olması olarak tanımlandığı (https://www.icao.int/Security/FAL/ANNEX9/Documents/9944_cons_en.pdf),
  • 2920 sayılı Türk Sivil Havacılık Kanunu’nun “Milli Sivil Havacılık Güvenlik Kurulu ve Havacılık Güvenliği” başlıklı 40’ncı maddesinin beşinci fıkrasında “Havayolu ile seyahat edecek kişilerin bilgileri kişilerin seyahatini kolaylaştırmak veya güvenlik ve risk değerlendirmesi yapmak amacıyla 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde toplanabilir, kaydedilebilir, işlenebilir, paylaşılabilir, havacılık güvenliği ve emniyetini sağlamak üzere değerlendirilerek gereken tedbirler alınabilir...” hükmünün yer aldığı,
  • Bu çerçevede, ilgili kişinin şikâyeti kapsamında veri sorumlusu tarafından verilen yanıtta, grup rezervasyonlarının, paket turlar kapsamında seyahat acenteleri tarafından oluşturulduğu, hangi yolcuların birlikte bu turdan faydalanacakları konusunda da yalnızca seyahat acentelerinin bilgi sahibi olduğu, Grup PNR uygulamasının farklı yolcu gruplarını bir araya getirebileceğinin bilinciyle bu Grup PNR'larına erişim ve kişisel verilerin görüntülenmesi konusunda ek tedbirler uygulandığı; bu tedbirler kapsamında Grup PNR'da yer alan bir yolcu check-in işlemi yapmak veya bilet işlemlerini internet sitesi veya mobil uygulama üzerinden yönetmek istediğinde PNR + SOYADI kombinasyonu ile giriş yapmakta, başarılı giriş sonrasında ise genel uygulamadan farklı olarak PNR'daki tüm yolcuları görüntüleyememekte ve yalnız PNR içinde soyadı eşleşen kayıtları görüntüleyebilmekte olduğu, ilgili kişinin check-in işlemi yaparken görüntülediği diğer yolcuların soy isimlerinin de ilgili kişi ile aynı olduğu ve fakat bu kişilerin ilgili kişinin aile bireyi olmadıklarının anlaşıldığı, bunun esasen seyahat acentesinin kontrolünde ve dikkat etmesi gereken bir kontrol adımının işletilmemiş olduğunu gösterdiği, şikayete konu işlemin ilgili kişi ile seyahat acentesi arasında gerçekleşen Paket Tur Sözleşmesi ile bağlantılı bir işlem olduğuna ilişkin açıklamalarına karşın, ilgili kişi tarafından iletilen ekran görüntülerinde PNR bilgisinin girilmesi sonucunda ekranında görmüş olduğu kişilere ait soyadların kendi soyadından farklı olduğu , dolayısıyla veri sorumlusu tarafından iddia edildiğinin aksine PNR + SOYADI kombinasyonu ile giriş işlemi yapılsa dahi farklı soyadına sahip kişilerin verilerinin aynı PNR üzerinden görülebildiğinin anlaşıldığı, bu durumun veri sorumlusu tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınmadığını gösterdiği,
  • Ayrıca söz konusu veri ihlali ile ilgili Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kurula bir bildirim yapılmadığı,
  • Öte yandan, veri sorumlusunun ortak PNR oluşturulması durumlarında aynı soyadına sahip kişilerin birbirlerinin verilerine erişim sağlayabildiğine ilişkin açıklamaları kapsamında; her ne kadar söz konusu uygulama dahilinde ilgili kişilerden ya da üçüncü kişilerden temin edilen bilgilerin, satılan bilet karşılığında oluşturulan rezervasyon kapsamında Kanunun 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” işleme şartına dayalı olarak işlendiği ve ortak PNR verilmesinin de birlikte rezervasyon yapan aile bireylerinin seyahatini kolaylaştırmak amacı güttüğü bu durumun da 2920 sayılı Türk Sivil Havacılık Kanununun 40’ncı maddesi kapsamında değerlendirilebileceği anlaşılmakla birlikte, PNR bilgilerine yalnızca soyadı kombinasyonu ile eşleştirilerek erişim sağlanmasının, somut olayda iddia edilen aynı soyadlı ancak aynı gruba ya da aileye dahil olmayan, birlikte seyahat etmeyen kişilerin verilerine erişim sağlanmasına ilişkin bir veri ihlaline sebep olabileceği

değerlendirmelerinden hareketle;

  • İlgili kişiye ait kişisel verilerin üçüncü kişilerle hukuka aykırı olarak paylaşılması ve verilerinin korunması için gerekli teknik ve idari tedbirlerin alınmamasına ilişkin şikâyeti kapsamında; veri sorumlusunun Grup PNR'da yer alan bir yolcu check-in işlemi yapmak veya bilet işlemlerini internet sitesi veya mobil uygulama üzerinden yönetmek istediğinde PNR + SOYADI kombinasyonu ile giriş yapıldığı, başarılı giriş sonrasında ise genel uygulamadan farklı olarak PNR'daki tüm yolcuları görüntüleyememekte ve yalnız PNR içinde soyadı eşleşen kayıtların görüntülenebildiğine ilişkin açıklamalarına karşın, ilgili kişi tarafından iletilen ekran görüntülerinde PNR bilgisinin girilmesi sonucunda ekranında görmüş olduğu kişilere ait soyadların kendi soyadından farklı olduğu, dolayısı ile veri sorumlusu tarafından iddia edildiğinin aksine PNR + SOYADI kombinasyonu ile giriş işlemi yapılsa dahi farklı soyadına sahip kişilerin verilerinin aynı PNR üzerinden görülebildiği, bu durumun da veri sorumlusu tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını gösterdiği, söz konusu durumdan çok sayıda kişinin etkilenme ihtimalinin de fazla olduğu, ayrıca söz konusu veri ihlali ile ilgili Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kuruma bir bildirim de yapılmadığı dikkate alındığında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,
  • Öte yandan, veri sorumlusunun, ortak PNR oluşturulması durumlarında aynı soyadına sahip kişilerin birbirlerinin verilerine erişim sağlayabildiğine ilişkin açıklamaları kapsamında; PNR bilgilerine yalnızca soyadı kombinasyonu ile eşleştirilerek erişim sağlanmasının, somut olayda iddia edilen aynı soyadlı ancak aynı gruba ya da aileye dahil olmayan, birlikte seyahat etmeyen kişilerin verilerine erişim sağlanmasına ilişkin bir veri ihlaline sebep olabileceği anlaşıldığından, veri sorumlusunun söz konusu uygulamaya ilişkin ilave teknik tedbirleri alması ve sonucundan Kurula bilgi verilmesi hususunda talimatlandırılmasına,
  • İlgili kişinin, veri sorumlusuna başvurusunda bilgi edinmek adına cevaplanmasını talep ettiği hususlarda veri sorumlusu tarafından herhangi bir cevap verilmemesine ilişkin iddiası kapsamında, ilgili kişinin veri sorumlusuna yöneltmiş olduğu kişisel verilerin korunması amacıyla alınan teknik ve idari tedbirlerin neler olduğu, verilerin işleme amaçlarının neler olduğu, verilerinin yurt içinde ve yurt dışında aktarıldığı üçüncü kişilerin kimler olduğuna ilişkin sorularına veri sorumlusu tarafından verilen cevapta yeterli olarak yanıt verilmiş olduğu anlaşıldığından söz konusu şikayete ilişkin yapılacak işlem bulunmadığına

karar verilmiştir.