EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Turizm sektörü ile ilgili kararlar

2023/1327

03/08/2023

Konu: İlgili kişinin kişisel verilerinin konakladığı otel çalışanı tarafından üçüncü kişilerle paylaşılması hakkında inceleme

Kararı Paylaşın

Karar Özeti:

“Karar metninde, konaklama hizmetleri sunan bir otelin temizlik ve bakım görevlerini düzenlemek amacıyla oluşturulan “”Housekeeping Task Sheet”” belgesinin incelenmesi mevzu bahistir. Buna göre belgede, konaklayan müşterilere ait kişisel verilerin işlendiği ve üçüncü kişilerle paylaşıldığı iddiaları üzerinde durulmaktadır. Kurul, kişisel verilerin işlenmesine ilişkin genel ilkelerin Türkiye’deki veri koruma kanunu olan “”Kanun””un 4. maddesinde; verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerektiği ilkesine özellikle vurgu yapılmıştır. İlgili belge üzerinde yer alan isim ve soyisim bilgilerinin, otel çalışanlarına konaklayan misafirlerin isimlerini bilmelerini gerektirecek bir ihtiyaç olmadığı ifade edilmiştir. Ayrıca, konaklayanların bu tür bilgilerini paylaşmak istememe hakkına vurgu yapılmış ve kişisel veri güvenliği risklerinin göz önünde bulundurularak veri minimizasyonu ilkesine uyulması gerektiği Kurul’un değerlendirmeleri neticesinde ifade edilmiştir. Şikayet konusu belgenin sahteliği iddiasına yönelik olarak, belgenin doğruluğunun ve sahteliğinin tespitine dair yeterli kanıt olmadığı; ayrıca, otel tarafından sunulan konaklama hizmetlerine ilişkin belgelerin düzenlenmesi sürecinde konuklara ait kişisel verilerin işlenmesine dair aydınlatma yükümlülüğünün yerine getirilmediği ve bu noktada bir eksiklik olduğu belirtilmiştir. Konaklama belgesini dolduran kişilerin iletişim bilgilerinin reklam ve pazarlama amaçlı kullanılmasına ilişkin düzenleme ise açık rıza unsurlarını ihlal ettiği ifade edilmiştir.

Sonuç olarak, otel tarafından alınması gereken teknik ve idari tedbirlerin yeterince alınmadığına dair bir tespitte bulunulmuş; bu nedenle, otel yönetimine 500.000 TL idari para cezası uygulanması, belgelerin düzeltilmesi ve bu süreçlerin Kurul’a bildirilmesi, ayrıca belirtilen eksikliklerin düzeltilmesi için otel yönetimine talimat verilmesine karar verilmiştir.”

Ceza: 500.000 TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/303

24/03/2021

Konu: İlgili kişinin rızası dışında verilerinin işlenmesi ve diğer şirketlere aktarılması hakkındaki 2020/899 sayılı karara ilişkin itiraz hakkında.

Kararı Paylaşın

Karar Özeti:

2020/899 sayılı Kurul Kararıyla veri sorumlusuna verilen talimatta aydınlatma yükümlülüğünün gerçekleştirilip gerçekleştirilmediği hususunda bilgi istenmiş ancak veri sorumlusu Kuruma herhangi bir bilgi vermemiştir. Bunun üzerine kuruma yapılmış olan 2020/899 sayılı kararın itiraz niteliğinde olan başvuruda; veri sorumlusunun aydınlatma yükümlülüğünü yerine getirip getirmediği hususunda Kurula bilgi vermesi, veri sorumlusunun ilgili kişinin verilerini hukuka aykırı işlediği ve Kanunu ihlal ettiğinin tespitini, bu tespit doğrultusunda veri sorumlusuna idari yaptırım uygulanması ve söz konusu Kurul Kararı’nın kaldırılıp yerine yeni işlem tesis edilerek inceleme yapılması talep edilmiştir. Kurul yapılan incelemede; veri sorumlusunun talimatı yerine getirmemesi sebebiyle KVKK md.18 f.1 b.(c) kapsamında 75.000 TL idari para cezasına karar vermiştir. Kurul kararına ilişkin itiraz hususunda ise hukuki anlamda somut zemine oturan argümanların olmaması sebebiyle yapılacak bir işlem olmadığına karar vermiştir. 

Ceza: 75.000 TL -İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/242

18/03/2021

Konu: İlgili kişinin kişisel verilerinin bir tur şirketi tarafından üçüncü kişilerle paylaşılması.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin veri sorumlusu tur şirketinden tatil paketi satın aldığı ve ilgili tüm bilgilerini veri sorumlusu ile paylaştığı, paylaşılan bu verilerin veri sorumlusu tarafından üçüncü bir kişiye aktarıldığı, söz konusu üçüncü kişi tarafından bahsi geçen bilgilerin mahkeme dosyasına ve baro şikayet dilekçesine eklendiği, veri sorumlusuna yapılan başvuruda ise yeterli cevabın alınamadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişinin rezervasyonuna ilişkin log kayıtlarının 25 satırda takip edildiği, bunlardan ilk 16 adetinin ilgili kişinin veri sorumlusuna yaptığı başvuruya ilişkin olduğu, geri kalan 9 adetinin de Kurumdan gönderilen tebligatların kontrolüne yönelik olduğu, 25 satırlık log kaydına ilişkin olarak 4 farklı kullanıcı tarafından rezervasyon ve sonrasındaki inceleme işlemlerine yönelik kaydın yer aldığı, Voucher dokümanının acente üzerinden yapılan satışlarda misafire elden imza karşılığı verilirken, çağrı merkezi ve internet üzerinden gerçekleştirilen satışlarda rezervasyon sırasında bildirilen e-posta adresine gönderildiği belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/899

24/11/2020

Konu: İlgili kişinin rızası dışında verilerinin işlenmesi ve üçüncü taraflara aktarılması hakkında.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kurum’a iletilen şikayette; bir dönem Veri Sorumlusu bünyesinde çalışmış olan ilgili kişi , veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmediği bu sebeple de kişisel verileri hukuka aykırı işlediği, ilgili kişinin kişisel verilerini diğer şirketlere aktardığı, veri sorumlusuna KVKK md.13 kapsamında başvurduğunu ancak herhangi bir dönüş alamadığını ayrıca veri sorumlusunun, özel nitelikli kişisel veri olan ceza mahkumiyeti verisini rıza alınmaksızın ve hatalı işlediğini, bu veriyi diğer şirketlere aktarmış olduğunun kuvvetle muhtemel olduğu iddialarında bulunmuştur. Veri Koruma Otoritesi iddialar ve cevaplarla sunulan belgeler doğrultusunda yapmış olduğu incelemede; veri sorumlusunun kendisine yapılmış olunan başvuruya makul sürede yanıt verdiği ve bu noktada hukuka aykırı bir eylem olmadığı için bir işlem tesis etmemiştir. İlgili kişinin çok sayıda verisinin (özellikle özel nitelikli kişisel verisi olan ceza mahkumiyeti verisi) diğer şirketlere aktarıldığı iddiası hususunda ilgili kişinin kanıtlayıcı bir belge sunmaması sebebiyle bir işlem tesis edilmemiştir. İlgili kişinin, veri sorumlusunun gerekli aydınlatma yükümlülüğünü yerine getirmediği iddiasına ilişkin veri sorumlusu tarafından herhangi bir belge Kurum ile paylaşılmamış bu sebeple işbu hususta veri sorumlusunun Kurula bilgi vermesi konusunda talimat verilmiştir. Son olarak özel nitelikli kişisel verisi olan ceza mahkumiyeti verisinin ilgili kişinin rızası alınmaksızın işlenmiş olduğu iddiasında; şikayete konu verinin ceza mahkumiyeti kapsamına giremeyeceği bu sebeple özel nitelikli veri olmadığı değerlendirmesine varılmış olup, bu verinin işlenmesinin KVKK md.5 f.2 b.(e) kapsamında olduğu için herhangi bir işlem tesis edilmemiştir.

Ceza: Veri sorumlusu talimatlandırılmıştır.

İlgili GDPR kararlarını görmek ister misin?

2019/255

27/08/2019

Konu: Bir turizm şirketinin veri ihlali hakkında Karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurul’a iletilen ihlal bildiriminde yerel alan ağı üzerinden ilgili şifrelerin ele geçirilmesi yoluyla yetkisiz şifre giriş ile siber saldırı yapıldığı ve söz konusu olayın şirketin genel alanda bulunan bir çalışan bilgisayarı üzerinden çalışan ağına sızılarak gerçekleştirildiği, personel verilerinden ad, soyadı, T.C. kimlik numarası, doğum tarihi, medeni durum, eş, çalışma bilgisi, çocuk sayısı, anne adı, baba adı, adres, GSM numarası ve banka bilgilerinin etkilendiği, müşteri verilerinden ise ülke/Eyalet, uyruk , ad soyadı, telefon numarası, kredi kartı numarası ve son kullanım tarihi verilerinin etkilendiği belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda veri sorumlusunun KVKK’nın 12’nci maddesinin 1 numaralı fıkrası kapsamında yeterli teknik ve idari tedbirleri almaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: KVKK madde 12 kapsamında 400.000,00-TL ve geç bildirim sebebiyle 100.000,00-TL olmak üzere toplamda 500.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2019/143

16/05/2019

Konu: Marriot International Inc.’nin veri ihlal bildirimi hakkında bilgilendirme.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurum’a yapılan bildirimde veri sorumlusu veritabanının tutulduğu ağa Temmuz 2014’ten veri yetkisiz erişim olduğu, Starwood misafir veritabanına yetkisiz erişimin 08.09.2018’de tespit edildiği, Türkiye’den yaklaşık 1.24 milyon müşterinin kaydının bulunduğu , web suncuusuna erişim sağlanmasının ardından, saldırgan tarafından web sunucusuna uzaktan erişim sağlayan bir truva atı (RAT) yüklendiği beliritlmiştir. Kurul tarafından yapılan incelemeler neticesinde, veri sorumlusu tarafından KVKK’nın 12’nci madesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirin alınmaması sebebiyle idari para cezası uygulanmıştır.

Ceza: KVKK madde 12 kapsamında 1.100.000,00-TL ve geç bildirim sebebiyle 350.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?