EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Turizm sektörü ile ilgili kararlar

2021/242

18/03/2021
Konu: İlgili kişinin kişisel verilerinin bir tur şirketi tarafından üçüncü kişilerle paylaşılması.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin veri sorumlusu tur şirketinden tatil paketi satın aldığı ve ilgili tüm bilgilerini veri sorumlusu ile paylaştığı, paylaşılan bu verilerin veri sorumlusu tarafından üçüncü bir kişiye aktarıldığı, söz konusu üçüncü kişi tarafından bahsi geçen bilgilerin mahkeme dosyasına ve baro şikayet dilekçesine eklendiği, veri sorumlusuna yapılan başvuruda ise yeterli cevabın alınamadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişinin rezervasyonuna ilişkin log kayıtlarının 25 satırda takip edildiği, bunlardan ilk 16 adetinin ilgili kişinin veri sorumlusuna yaptığı başvuruya ilişkin olduğu, geri kalan 9 adetinin de Kurumdan gönderilen tebligatların kontrolüne yönelik olduğu, 25 satırlık log kaydına ilişkin olarak 4 farklı kullanıcı tarafından rezervasyon ve sonrasındaki inceleme işlemlerine yönelik kaydın yer aldığı, Voucher dokümanının acente üzerinden yapılan satışlarda misafire elden imza karşılığı verilirken, çağrı merkezi ve internet üzerinden gerçekleştirilen satışlarda rezervasyon sırasında bildirilen e-posta adresine gönderildiği belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2019/255

27/08/2019
Konu: Bir turizm şirketinin veri ihlali hakkında Karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurul’a iletilen ihlal bildiriminde yerel alan ağı üzerinden ilgili şifrelerin ele geçirilmesi yoluyla yetkisiz şifre giriş ile siber saldırı yapıldığı ve söz konusu olayın şirketin genel alanda bulunan bir çalışan bilgisayarı üzerinden çalışan ağına sızılarak gerçekleştirildiği, personel verilerinden ad, soyadı, T.C. kimlik numarası, doğum tarihi, medeni durum, eş, çalışma bilgisi, çocuk sayısı, anne adı, baba adı, adres, GSM numarası ve banka bilgilerinin etkilendiği, müşteri verilerinden ise ülke/Eyalet, uyruk , ad soyadı, telefon numarası, kredi kartı numarası ve son kullanım tarihi verilerinin etkilendiği belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda veri sorumlusunun KVKK’nın 12’nci maddesinin 1 numaralı fıkrası kapsamında yeterli teknik ve idari tedbirleri almaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: KVKK madde 12 kapsamında 400.000,00-TL ve geç bildirim sebebiyle 100.000,00-TL olmak üzere toplamda 500.000,00-TL idari para cezası uygulanmıştır.

2019/143

16/05/2019
Konu: Marriot International Inc.’nin veri ihlal bildirimi hakkında bilgilendirme.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurum’a yapılan bildirimde veri sorumlusu veritabanının tutulduğu ağa Temmuz 2014’ten veri yetkisiz erişim olduğu, Starwood misafir veritabanına yetkisiz erişimin 08.09.2018’de tespit edildiği, Türkiye’den yaklaşık 1.24 milyon müşterinin kaydının bulunduğu , web suncuusuna erişim sağlanmasının ardından, saldırgan tarafından web sunucusuna uzaktan erişim sağlayan bir truva atı (RAT) yüklendiği beliritlmiştir. Kurul tarafından yapılan incelemeler neticesinde, veri sorumlusu tarafından KVKK’nın 12’nci madesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirin alınmaması sebebiyle idari para cezası uygulanmıştır.

Ceza: KVKK madde 12 kapsamında 1.100.000,00-TL ve geç bildirim sebebiyle 350.000,00-TL idari para cezası uygulanmasına karar verilmiştir.