KVKK’dan Check-in Bilgileri Paylaşılan Havayolu Şirketine 300.000 TL Ceza

Kişisel Verileri Koruma Kurulu  (KVKK), bir havayolu şirketinin mobil uygulamasında yapılan check-in sırasında üçüncü kişilere ait verilerin açığa çıkması üzerine 300.000 TL para cezası verdi.

KVKK şikayettinde özetle, ilgili kişinin ailesi ile birlikte bir seyahat acentesinden tur satın aldığı, havayolunun mobil uygulamasından check-in yapmak için Yolcu İsim Kaydını-Passenger Name Information (PNR) ve soyadını girdiğinde tanımadığı 4 kişinin “isim, soyisim, cinsiyet, doğum tarihi, uyruğu, belge türü, belgenin verildiği ülke, belge no, son geçerlilik tarihi, #vize bilgileri” gibi bilgilerini gördüğü, bu 4 kişinin tüm bilgilerinin hem gidiş hem de dönüş check-in işlemlerinde gözüktüğü, bunun yanında uçak biletlerini iptal etmek ve değiştirmek gibi birçok işlem hakkı tanındığı ileri sürülerek gereğinin yapılması talep ediliyor.

Veri sorumlusu havayolu şirketi savunmasında özetle, grup rezervasyonlarının paket turlar kapsamında  seyahat acenteleri tarafından oluşturulduğu, hangi yolcuların birlikte bu turdan faydalanacakları konusunda da yalnızca seyahat acentelerinin bilgi sahibi olduğu, Grup PNR uygulamasının farklı yolcu gruplarını bir araya getirebildiği, Grup PNR’da yer alan bir yolcu check-in işlemi yapmak veya bilet işlemlerini internet sitesi veya mobil uygulama üzerinden yönetmek istediğinde PNR + SOYADI kombinasyonu ile giriş yapabildiği, giriş sonrasında ise genel uygulamadan farklı olarak PNR’daki tüm yolcuları görüntüleyemediği ve yalnız PNR içinde soyadı eşleşen kayıtları görüntüleyebildiği, ilgili kişinin check-in işlemi yaparken görüntülediği diğer yolcuların soy isimlerinin de ilgili kişi ile aynı olduğu ve fakat bu kişilerin ilgili kişinin aile bireyi olmadıklarının anlaşıldığı, bunun esasen seyahat acentesinin kontrolünde olduğu ifade ediliyor.

KVK Kurulu yaptığı incelemede, ilgili kişi tarafından iletilen ekran görüntülerinde PNR bilgisinin girilmesi sonucunda ekranında görmüş olduğu kişilere ait soyadların kendi soyadından farklı olduğunu, dolayısıyla veri sorumlusu tarafından iddia edildiğinin aksine PNR + SOYADI kombinasyonu ile giriş işlemi yapılsa dahi farklı soyadına sahip kişilerin verilerinin aynı PNR üzerinden görülebildiğinin anlaşıldığını belirtiliyor.

Veri sorumlusu tarafından KVKK kapsamında kişisel verilerin hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınmadığı vurgulanıyor.

Söz konusu veri ihlali ile ilgili Kurula bir bildirim yapılmadığı tespit ediliyor ve söz konusu durumdan çok sayıda kişinin etkilenme ihtimalinin de fazla olduğu vurgulanarak 300.000 TL para cezası veriliyor.

Ayrıca, veri sorumlusunun söz konusu uygulamaya ilişkin ilave teknik tedbirleri alması ve sonucundan Kurula bilgi verilmesi hususunda talimat veriliyor.

KVKK para cezası kararı için ⬇️

https://kvkk.gov.tr/Icerik/7774/2023-1309