EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Havayolu sektörü ile ilgili kararlar

2020/608

11/08/2020
Konu: İlgili kişinin, herhangi bir şekilde bilet satın almamasına karşın bir havayolu şirketinden uçak bileti satın aldığına dair SMS alması.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen şikayette, ilgili kişi tarafından veri sorumlusu havayolu şirketinden bilet satın almamasına rağmen uçak bileti satın aldığına dair uçuş bilgilerinin de yer aldığı SMS alması dolayısıyla veri sorumlusuna yapmış olduğu başvuruya cevap verilmediği belirtilmiştir. Kurul tarafından yapılan inceleme neticesinde, veri sorumlusunun sistemlerinde kişilere manuel olarak ilgili kişi dışında farklı kişilerin telefon bilgilerinin girilerek bilet bilgilerinin iletilmesine yönelik sistem sağlandığı ve telefon numaralarının sisteme numarayı ekleyen kişiye ait olup olmadığını sorgulayacak bir alt yapının bulunmaması sebebiyle KVKK madde 12 kapsamında gerekli teknik ve idari tedbirlerin alınması ilişkin herhangi bir ihlalin bulunmadığına, bununla birlikte veri sorumlusunun Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun şekilde süresi içerisinde ilgili kişinin yanıtlanması hakkında talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2020/504

30/06/2020
Konu: Veri sorumlusu bir havayolu şirketi tarafından ilgili kişiye ait çağrı merkezi görüşme kayıtlarının transkriptinin teslim edilmemesi.

Kararı Paylaşın

Karar Özeti:

Kurul’a yapılan başvuru kapsamında ilgili kişinin havayolu şirketi çağrı merkeziyle yapmış olduğu görüşme kayıtlarının talep etmesi üzerine veri sorumlusu tarafından bunun yalnızca yasal mercilerle paylaşılmasının mümkün olduğunu belirtmiştir. Kurul taraf tarafından yapılan incelemeler neticesinde, KVKK’nın 11’inci maddesinde düzenlenen kişinin kendisine ait işlenen veriler üzerinde bilgi talep etme hakkının erişim hakkını da kapsadığını; veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri de dikkate alınarak, işlenen kişisel verilerin, teknik/fiziki imkânların el verdiği ölçüde ve verinin içeriğine ilgili kişi tarafından makul bir şekilde ulaşılabilmesine imkân tanınmasını içerdiği belirtilmiştir. Bu kapsamda, veri sorumlusu tarafından görüşme kayıtlarının, transkript şeklinde iletilmesinin KVKK’ya uygun olduğuna karar vererek herhangi bir idari işlem tesis etmemiştir.

Ceza: İdari para cezası verilmemiştir.

2020/124

13/02/2020
Konu: Veri sorumlusu bünyesindeki çalışanın ilgili kişiye ait kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırı şekilde şirket kayıtlarından elde etmeleri.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından veri sorumlusu havayolu şirketi hakkında Kurul’a gerçekleştirilen şikayette, veri sorumlusu bünyesindeki çalışanın ilgili kişiye ait uçuş bilgilerini şirket kayıtlarından elde ettiği, aralarındaki husumet nedeniyle her uçuşu sonraı aranarak verileri elde eden çalışan tarafından rahatsız edildiği, durumu veri sorumlusuna iletmesine karşın çalışan hakkında herhangi bri işlem yapılmadığı belirtilmiştir. Kurul tarafındna yapılan inceleme sonucunda, veri sorumlusu çalışanının kişisel verilere erişimine ilişkin herhangi bir sınırlama getirilmemesi ve çalışanlara verilen eğitimlerin yeterisz olması nedeniyle KVKK madde 12 kapsamında veri güvenliğinin sağlanmasına yönelik gerekli idari ve teknik tedbirlerin alınmaması sebebiyle idari para cezası uygulanmıştır.

Ceza: 100.000,00-TL idari para cezası uygulanmıştır.

2019/294

01/10/2019
Konu: Bir havayolu taşımacılık şirketinin (veri sorumlusu) sunduğu sadakat programını kullanan ilgili kişinin kullanıcı adı ve parola bilgilerini değiştirme talebi karşısında ilgili kişiden arkalı önlü kimlik görüntüsü talep eden, ilgili kişinin kimlik görüntülerinin silinmesi talebine ise verilerin sistemlerinde tutulmadığı ve üçüncü kişilerle paylaşılmadığı yanıtını veren veri sorumlusu hakkında yapılan şikayet hk.

Kararı Paylaşın

Karar Özeti:

İlgili kişi bir havayolunun sadakat programı çerçevesinde kullanıcı adı ve parola değiştirme talebinde bulunduğunda bu işlemi gerçekleştirmek için kimliğinin önlü arkalı fotoğrafı talep ediliyor. İlgili kişi uçuş biletine erişim sağlayabilmek adına gönderiyor ancak sonrasında bu bilgilerin silinmesini ve 3. kişilere aktarıldıysa onların da silinmesini talep edilmiştir. Kimlikte kişinin din ve kan grubu gibi özel nitelikte kişisel verileri var ve bunların kişinin açık rızası olmadan işlenmesi hukuka aykırı olduğuna, ayrıca veri işlemeyle ilgili olarak şeffaflık ilkesine ve dürüstlük kuralına da aykırı olduğuna, veri işleme için belirli bir hukuki dayanak olmadığına, amaçla bağlantılı, sınırlı ve ölçülü bir veri işleme bulunmadığına karar verilmiştir. Bununla birlikte, veri sorumlusu kimlik verilerini Kurumdan bilgi talep edildiğinde silmiş, dolayısıyla gerektiği kadar muhafaza etme ilkesine de aykırılık teşkil ettiği belirtilmiştir.

Ceza: 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2019/144

16/05/2019
Konu: Cathay Pasific Airway Limited’in veri ihlal bildirimi hakkında bilgilendirme.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurum’a yapılan veri ihlal bildiriminde veri sorumlusu bilgisayar ağları üzerinden yolcu bilgilerini içeren bilgi sistemlerine yetkisiz erişim gerçekleştiği, saldırganın veri sorumlusunun ortamına uzaktan eriştiği ve müşteri sadakat sistemiin kısmi veri tabanı yedeği olarak hitap edilebilecek belgeleri ele geçirdiği, Türkiye’de toplamda 1.286 kişinin etkilendiği ve isim, uyruk, doğum tarihi , telefon numarası , elektronik posta adresi , pasaport numarası, kimlik numarası verilerinin etkilendiği belirtilmiştir. kurul tarafından yapılan incelemeler sonucunda, veri ihlalinin 2 ay sonra tespit edilmesinin güvenlik çaığı olduğu ve veri sorumlusu tarafından gerekli denetim ve kontrollerin yapılmadığına karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve iadri tedbirlerin alınmaması nedeniyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesi kapsamında 450.000,00-TL ve geç bildirim sebebiyle 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.