EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"bilgi güvenliği" etiketli kararlar

2023/1309

03/08/2023

Konu: Bir havayolu şirketi tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak üçüncü kişilerle paylaşılması

Kararı Paylaşın

Karar Özeti:

Kurula iletilen şikayette, ilgili kişi ailesi ile birlikte bir seyahat acentesinden bir tur satın almıştır. tur firması tarafından şikayete konu olan veri sorumlusu havayolu firması ile seyahatin panlandığı ve tarafına uçuş bilgilerinin gönderildiği, havayolunun mobil uygulaması üzerinden Check-in işlemi yapmak için Yolcu İsim Kaydını-passenger Name İnformation(PNR) ve soyadını girdiğinde tanımadığı başka yolcu bilgilerini gördüğü, ayrıca uçuşlarını iptal etmek ve değiştirmek gibi birçok işlem hakkının da tanındığı görülmektedir. Şikayet dilekçesine göre, havayolu şirketi tarafından tutulan kişisel verilerin, tanımadığı kişilere açıklanması-yayınlanması ihlali ve ihmal ihtimali söz konusudur. Bu nedenle, kişi, Kişisel Verilerin Korunması Kanunu’nun 11. maddesi çerçevesinde hakları doğrultusunda, veri sorumlusu olarak yaşanan ihlal hakkında bilgi almak, mevcut ihlalin giderilmesini sağlamak, gerekli bildirimlerin yapılmasını talep etmektedir. Veri sorumlusundan gelen yanıtta, kişisel verilerinin hukuka aykırı olarak üçüncü kişilere aktarıldığının kabul edildiği ancak diğer talepleriyle ilgili herhangi bir cevap alamadığı belirtilmiştir. Bu bağlamda, kişi, şahsi verilerinin korunması adına alınan teknik ve idari tedbirler, verilerin işlenme amacı, üçüncü kişilere aktarılan bilgiler ve hukuka aykırı veri işleme faaliyetine son verilmesi hususlarında bilgi talep etmektedir. Kurul tarafından, İlgili kişinin şikayeti üzerine, havayolu şirketi tarafından yapılan bir PNR (Yolcu İsim Kaydı) sistemi incelemesinde, kişisel verilerin hukuka aykırı olarak paylaşıldığına dair bir ihlal tespit edilmiştir. Veri sorumlusunun iddia ettiği PNR + SOYADI kombinasyonuyla giriş işlemi sırasında sadece aynı soyada sahip kişilerin verilerinin görüntüleyebileceği açıklamasına rağmen, ilgili kişinin ekran görüntülerinde farklı soyadına sahip kişilerin verilerinin görüldüğü belirlenmiştir. Bu durum, veri sorumlusunun gerekli teknik ve idari tedbirleri almadığını ve Kanun’un 12. maddesi uyarınca kişisel verilerin güvenliğini sağlama yükümlülüğünü yerine getirmediğini göstermektedir. Bu nedenle, Kanun’un 18. maddesi çerçevesinde veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir. Ayrıca, ortak PNR oluşturulması durumlarında aynı soyadına sahip kişilerin birbirlerinin verilerine erişim sağlanabilmesi konusundaki açıklamaları üzerine, veri sorumlusunun ilave teknik tedbirleri alması ve bu değişiklikleri Kurula bildirmesi için talimatlandırılmasına karar verilmiştir. Ancak, ilgili kişinin diğer sorularına veri sorumlusu tarafından yeterli yanıt verildiği belirlendiğinden, bu konuda ayrı bir işlem yapılmasına gerek olmadığına karar verilmiştir.

Ceza: 300.000 TL idari para cezası, ilave teknik tedbirlerin alınması ve Kurula bilgi verilmesi, veri sorumlusu tarafından bilgi verilmesi amacıyla cevap verilmemesi iddiası kapsamında yeterli yanıt verilmiş olup söz konusu şikayete ilişkin yapılacak bir işlem olmadığına ilişkin karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?