EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Havayolu sektörü ile ilgili kararlar

2023/1309

03/08/2023

Konu: Bir havayolu şirketi tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak üçüncü kişilerle paylaşılması

Kararı Paylaşın

Karar Özeti:

Kurula iletilen şikayette, ilgili kişi ailesi ile birlikte bir seyahat acentesinden bir tur satın almıştır. tur firması tarafından şikayete konu olan veri sorumlusu havayolu firması ile seyahatin panlandığı ve tarafına uçuş bilgilerinin gönderildiği, havayolunun mobil uygulaması üzerinden Check-in işlemi yapmak için Yolcu İsim Kaydını-passenger Name İnformation(PNR) ve soyadını girdiğinde tanımadığı başka yolcu bilgilerini gördüğü, ayrıca uçuşlarını iptal etmek ve değiştirmek gibi birçok işlem hakkının da tanındığı görülmektedir. Şikayet dilekçesine göre, havayolu şirketi tarafından tutulan kişisel verilerin, tanımadığı kişilere açıklanması-yayınlanması ihlali ve ihmal ihtimali söz konusudur. Bu nedenle, kişi, Kişisel Verilerin Korunması Kanunu’nun 11. maddesi çerçevesinde hakları doğrultusunda, veri sorumlusu olarak yaşanan ihlal hakkında bilgi almak, mevcut ihlalin giderilmesini sağlamak, gerekli bildirimlerin yapılmasını talep etmektedir. Veri sorumlusundan gelen yanıtta, kişisel verilerinin hukuka aykırı olarak üçüncü kişilere aktarıldığının kabul edildiği ancak diğer talepleriyle ilgili herhangi bir cevap alamadığı belirtilmiştir. Bu bağlamda, kişi, şahsi verilerinin korunması adına alınan teknik ve idari tedbirler, verilerin işlenme amacı, üçüncü kişilere aktarılan bilgiler ve hukuka aykırı veri işleme faaliyetine son verilmesi hususlarında bilgi talep etmektedir. Kurul tarafından, İlgili kişinin şikayeti üzerine, havayolu şirketi tarafından yapılan bir PNR (Yolcu İsim Kaydı) sistemi incelemesinde, kişisel verilerin hukuka aykırı olarak paylaşıldığına dair bir ihlal tespit edilmiştir. Veri sorumlusunun iddia ettiği PNR + SOYADI kombinasyonuyla giriş işlemi sırasında sadece aynı soyada sahip kişilerin verilerinin görüntüleyebileceği açıklamasına rağmen, ilgili kişinin ekran görüntülerinde farklı soyadına sahip kişilerin verilerinin görüldüğü belirlenmiştir. Bu durum, veri sorumlusunun gerekli teknik ve idari tedbirleri almadığını ve Kanun’un 12. maddesi uyarınca kişisel verilerin güvenliğini sağlama yükümlülüğünü yerine getirmediğini göstermektedir. Bu nedenle, Kanun’un 18. maddesi çerçevesinde veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir. Ayrıca, ortak PNR oluşturulması durumlarında aynı soyadına sahip kişilerin birbirlerinin verilerine erişim sağlanabilmesi konusundaki açıklamaları üzerine, veri sorumlusunun ilave teknik tedbirleri alması ve bu değişiklikleri Kurula bildirmesi için talimatlandırılmasına karar verilmiştir. Ancak, ilgili kişinin diğer sorularına veri sorumlusu tarafından yeterli yanıt verildiği belirlendiğinden, bu konuda ayrı bir işlem yapılmasına gerek olmadığına karar verilmiştir.

Ceza: 300.000 TL idari para cezası, ilave teknik tedbirlerin alınması ve Kurula bilgi verilmesi, veri sorumlusu tarafından bilgi verilmesi amacıyla cevap verilmemesi iddiası kapsamında yeterli yanıt verilmiş olup söz konusu şikayete ilişkin yapılacak bir işlem olmadığına ilişkin karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/890

25/05/2023

Konu: Bir hava yolu şirketinin özel yolcu programı hizmetinin açık rıza şartına bağlanması.

Kararı Paylaşın

Karar Özeti:

Bir hava yolu şirketinin özel yolcu programına katılımın açık rızaya bağlanmış olup olmadığı Kurul tarafından değerlendirilmiştir ve kararda belirtilen sadakat programına katılmadan da yolcuların hava yolu şirketinin hizmetlerinden faydalanabilmeleri sebebiyle programın, üyelere ek imkanlar sunması ve bu ek menfaatlerin açık rıza koşuluna bağlanması sebebiyle, açık rızanın özgür irade ile verilmesini engelleyici bir durum olmadığı ve şikayet edilen durumda, açık rızanın koşul olarak dayatılmasının söz konusu olmadığına karar verilmiştir.

Ceza: Veri sorumlusu hakkında herhangi bir işlem yapılmasına gerek olmadığına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/608

11/08/2020

Konu: İlgili kişinin, herhangi bir şekilde bilet satın almamasına karşın bir havayolu şirketinden uçak bileti satın aldığına dair SMS alması.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen şikayette, ilgili kişi tarafından veri sorumlusu havayolu şirketinden bilet satın almamasına rağmen uçak bileti satın aldığına dair uçuş bilgilerinin de yer aldığı SMS alması dolayısıyla veri sorumlusuna yapmış olduğu başvuruya cevap verilmediği belirtilmiştir. Kurul tarafından yapılan inceleme neticesinde, veri sorumlusunun sistemlerinde kişilere manuel olarak ilgili kişi dışında farklı kişilerin telefon bilgilerinin girilerek bilet bilgilerinin iletilmesine yönelik sistem sağlandığı ve telefon numaralarının sisteme numarayı ekleyen kişiye ait olup olmadığını sorgulayacak bir alt yapının bulunmaması sebebiyle KVKK madde 12 kapsamında gerekli teknik ve idari tedbirlerin alınması ilişkin herhangi bir ihlalin bulunmadığına, bununla birlikte veri sorumlusunun Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun şekilde süresi içerisinde ilgili kişinin yanıtlanması hakkında talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/504

30/06/2020

Konu: Veri sorumlusu bir havayolu şirketi tarafından ilgili kişiye ait çağrı merkezi görüşme kayıtlarının transkriptinin teslim edilmemesi.

Kararı Paylaşın

Karar Özeti:

Kurul’a yapılan başvuru kapsamında ilgili kişinin havayolu şirketi çağrı merkeziyle yapmış olduğu görüşme kayıtlarının talep etmesi üzerine veri sorumlusu tarafından bunun yalnızca yasal mercilerle paylaşılmasının mümkün olduğunu belirtmiştir. Kurul taraf tarafından yapılan incelemeler neticesinde, KVKK’nın 11’inci maddesinde düzenlenen kişinin kendisine ait işlenen veriler üzerinde bilgi talep etme hakkının erişim hakkını da kapsadığını; veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri de dikkate alınarak, işlenen kişisel verilerin, teknik/fiziki imkânların el verdiği ölçüde ve verinin içeriğine ilgili kişi tarafından makul bir şekilde ulaşılabilmesine imkân tanınmasını içerdiği belirtilmiştir. Bu kapsamda, veri sorumlusu tarafından görüşme kayıtlarının, transkript şeklinde iletilmesinin KVKK’ya uygun olduğuna karar vererek herhangi bir idari işlem tesis etmemiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/124

13/02/2020

Konu: Veri sorumlusu bünyesindeki çalışanın ilgili kişiye ait kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırı şekilde şirket kayıtlarından elde etmeleri.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından veri sorumlusu havayolu şirketi hakkında Kurul’a gerçekleştirilen şikayette, veri sorumlusu bünyesindeki çalışanın ilgili kişiye ait uçuş bilgilerini şirket kayıtlarından elde ettiği, aralarındaki husumet nedeniyle her uçuşu sonraı aranarak verileri elde eden çalışan tarafından rahatsız edildiği, durumu veri sorumlusuna iletmesine karşın çalışan hakkında herhangi bri işlem yapılmadığı belirtilmiştir. Kurul tarafındna yapılan inceleme sonucunda, veri sorumlusu çalışanının kişisel verilere erişimine ilişkin herhangi bir sınırlama getirilmemesi ve çalışanlara verilen eğitimlerin yeterisz olması nedeniyle KVKK madde 12 kapsamında veri güvenliğinin sağlanmasına yönelik gerekli idari ve teknik tedbirlerin alınmaması sebebiyle idari para cezası uygulanmıştır.

Ceza: 100.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2019/294

01/10/2019

Konu: Bir havayolu taşımacılık şirketinin (veri sorumlusu) sunduğu sadakat programını kullanan ilgili kişinin kullanıcı adı ve parola bilgilerini değiştirme talebi karşısında ilgili kişiden arkalı önlü kimlik görüntüsü talep eden, ilgili kişinin kimlik görüntülerinin silinmesi talebine ise verilerin sistemlerinde tutulmadığı ve üçüncü kişilerle paylaşılmadığı yanıtını veren veri sorumlusu hakkında yapılan şikayet hk.

Kararı Paylaşın

Karar Özeti:

İlgili kişi bir havayolunun sadakat programı çerçevesinde kullanıcı adı ve parola değiştirme talebinde bulunduğunda bu işlemi gerçekleştirmek için kimliğinin önlü arkalı fotoğrafı talep ediliyor. İlgili kişi uçuş biletine erişim sağlayabilmek adına gönderiyor ancak sonrasında bu bilgilerin silinmesini ve 3. kişilere aktarıldıysa onların da silinmesini talep edilmiştir. Kimlikte kişinin din ve kan grubu gibi özel nitelikte kişisel verileri var ve bunların kişinin açık rızası olmadan işlenmesi hukuka aykırı olduğuna, ayrıca veri işlemeyle ilgili olarak şeffaflık ilkesine ve dürüstlük kuralına da aykırı olduğuna, veri işleme için belirli bir hukuki dayanak olmadığına, amaçla bağlantılı, sınırlı ve ölçülü bir veri işleme bulunmadığına karar verilmiştir. Bununla birlikte, veri sorumlusu kimlik verilerini Kurumdan bilgi talep edildiğinde silmiş, dolayısıyla gerektiği kadar muhafaza etme ilkesine de aykırılık teşkil ettiği belirtilmiştir.

Ceza: 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2019/144

16/05/2019

Konu: Cathay Pasific Airway Limited’in veri ihlal bildirimi hakkında bilgilendirme.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurum’a yapılan veri ihlal bildiriminde veri sorumlusu bilgisayar ağları üzerinden yolcu bilgilerini içeren bilgi sistemlerine yetkisiz erişim gerçekleştiği, saldırganın veri sorumlusunun ortamına uzaktan eriştiği ve müşteri sadakat sistemiin kısmi veri tabanı yedeği olarak hitap edilebilecek belgeleri ele geçirdiği, Türkiye’de toplamda 1.286 kişinin etkilendiği ve isim, uyruk, doğum tarihi , telefon numarası , elektronik posta adresi , pasaport numarası, kimlik numarası verilerinin etkilendiği belirtilmiştir. kurul tarafından yapılan incelemeler sonucunda, veri ihlalinin 2 ay sonra tespit edilmesinin güvenlik çaığı olduğu ve veri sorumlusu tarafından gerekli denetim ve kontrollerin yapılmadığına karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve iadri tedbirlerin alınmaması nedeniyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesi kapsamında 450.000,00-TL ve geç bildirim sebebiyle 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?