2023/1309
03/08/2023
- Sektör: Havayolu
- Kanun Maddesi
Kurula iletilen şikayette, ilgili kişi ailesi ile birlikte bir seyahat acentesinden bir tur satın almıştır. tur firması tarafından şikayete konu olan veri sorumlusu havayolu firması ile seyahatin panlandığı ve tarafına uçuş bilgilerinin gönderildiği, havayolunun mobil uygulaması üzerinden Check-in işlemi yapmak için Yolcu İsim Kaydını-passenger Name İnformation(PNR) ve soyadını girdiğinde tanımadığı başka yolcu bilgilerini gördüğü, ayrıca uçuşlarını iptal etmek ve değiştirmek gibi birçok işlem hakkının da tanındığı görülmektedir. Şikayet dilekçesine göre, havayolu şirketi tarafından tutulan kişisel verilerin, tanımadığı kişilere açıklanması-yayınlanması ihlali ve ihmal ihtimali söz konusudur. Bu nedenle, kişi, Kişisel Verilerin Korunması Kanunu’nun 11. maddesi çerçevesinde hakları doğrultusunda, veri sorumlusu olarak yaşanan ihlal hakkında bilgi almak, mevcut ihlalin giderilmesini sağlamak, gerekli bildirimlerin yapılmasını talep etmektedir. Veri sorumlusundan gelen yanıtta, kişisel verilerinin hukuka aykırı olarak üçüncü kişilere aktarıldığının kabul edildiği ancak diğer talepleriyle ilgili herhangi bir cevap alamadığı belirtilmiştir. Bu bağlamda, kişi, şahsi verilerinin korunması adına alınan teknik ve idari tedbirler, verilerin işlenme amacı, üçüncü kişilere aktarılan bilgiler ve hukuka aykırı veri işleme faaliyetine son verilmesi hususlarında bilgi talep etmektedir. Kurul tarafından, İlgili kişinin şikayeti üzerine, havayolu şirketi tarafından yapılan bir PNR (Yolcu İsim Kaydı) sistemi incelemesinde, kişisel verilerin hukuka aykırı olarak paylaşıldığına dair bir ihlal tespit edilmiştir. Veri sorumlusunun iddia ettiği PNR + SOYADI kombinasyonuyla giriş işlemi sırasında sadece aynı soyada sahip kişilerin verilerinin görüntüleyebileceği açıklamasına rağmen, ilgili kişinin ekran görüntülerinde farklı soyadına sahip kişilerin verilerinin görüldüğü belirlenmiştir. Bu durum, veri sorumlusunun gerekli teknik ve idari tedbirleri almadığını ve Kanun’un 12. maddesi uyarınca kişisel verilerin güvenliğini sağlama yükümlülüğünü yerine getirmediğini göstermektedir. Bu nedenle, Kanun’un 18. maddesi çerçevesinde veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir. Ayrıca, ortak PNR oluşturulması durumlarında aynı soyadına sahip kişilerin birbirlerinin verilerine erişim sağlanabilmesi konusundaki açıklamaları üzerine, veri sorumlusunun ilave teknik tedbirleri alması ve bu değişiklikleri Kurula bildirmesi için talimatlandırılmasına karar verilmiştir. Ancak, ilgili kişinin diğer sorularına veri sorumlusu tarafından yeterli yanıt verildiği belirlendiğinden, bu konuda ayrı bir işlem yapılmasına gerek olmadığına karar verilmiştir.