Nisan 2021

KVK Hukuku E-Bülten

“İlgili Kişinin, Bilet Satın Almamasına Karşın Bir Havayolu Şirketinden Uçak Bileti Satın Aldığına Dair SMS Alması” Hakkında Kişisel Verileri Koruma Kurulunun 11/08/2020 Tarihli ve 2020/608 Sayılı Karar Özeti

Kişisel Verileri Koruma Kurul’una (Kurul) gönderilen şikâyet dilekçesinde özetle; ilgili kişinin cep telefonuna 01.07.2019 tarihinde bir Havayolu Şirketi tarafından uçak bileti satın alındığına dair bir SMS gönderildiği, ilgili kişinin mesajı gördüğünde veri sorumlusuyla iletişim kurmaya çalıştığı ancak görüşme sağlayamadığı, bunun üzerine çevrimiçi şikâyet formu doldurduğu, bu form neticesinde veri sorumlusu tarafından aranarak belirtilen biletin iptal edildiğinin kendisine söylendiği, ilgili kişinin bunun üzerine adını ve cep telefonu numarasını kullanarak kimin söz konusu uçak biletini satın aldığının tarafına yazılı olarak bildirilmesini talep ettiği ancak herhangi bir yanıt alamadığı belirtilmiş olup veri sorumlusu hakkında gerekli kararın verilmesini ve olay nezdinde gerekli incelemelerin yapılmasını talep etmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevap yazısında özetle;

  • İlgili kişi adına 02.01.2020 tarihinde oluşturulmuş bir üyelik hesabı olduğunun görüldüğü, şikâyet tarihi olan 20.08.2019’a kadar ilgili kişiye ait herhangi bir üyelik hesabı ve bu hesap altında üyelik bilgisinin kayıtlarında yer almadığı,
  • Şikâyete konu PNR kapsamında yer alan ilgili kişiye ait tek kişisel verinin cep telefonu bilgisi olduğu, bu bilginin kaydının da PNR kaydına bileti mobil uygulamadan satın alan bir başka kullanıcı tarafından, belirtilen ilgili kişinin telefon numarasının zorunlu veri girişi alanına değil tercihe bağlı olarak sunulan “ücretli SMS bildirimi” alanına bu kullanıcı tarafından girildiği ve SMS içeriğinin iletimi için telefon numarasının yalnızca hat operatörü ile paylaşıldığı, onun dışında 3.kişilerle paylaşımının yapılmadığı,
  • PNR ile ilgili kişinin telefon numarasının sistemsel olarak eşleşmediği, mobil uygulama üzerinden bilet satışında ad, soyadı, cinsiyet, doğum tarihi, telefon numarası, e-posta ve ülke bilgisi girilmesinin zorunlu olduğu ve bu bilgilerin de bileti satın alan kişiye ait olduğu, diğer yandan SMS bilgilendirme hizmetinin ise zorunlu olmadığı, dolayısıyla ilgili kişiye ait kimlik bilgilerinin ilgili PNR kapsamında işlenmediği,

ifade edilmiştir.

Bu savunma üzerine Kurum tarafından veri sorumlusundan, mobil uygulama vasıtasıyla alınan bilete ait PNR numarasının, ilgili kişinin iletişim bilgileri ile eşleşmediği hususunu kanıtlayıcı düzeyde bilgi ve belgelerin Kuruma sunulması istenilmiş olup veri sorumlusu tarafından verilen yanıtta; ilgili kişiye ait olmayan biletleme işlemindeki uçuş rezervasyonu oluşturulurken işlemi yapan kişi tarafından bilet bilgilerinin ücretli SMS olarak iletilmesi tercihinin işaretlendiği ancak ücretli SMS’in gönderileceği telefon numarasının rezervasyonda kayıtlı iletişim numarasından farklı olarak girildiği, bu numaranın da ilgili kişiye ait telefon numarası olduğu hususu belirtilmiş ve bu hususa dayanak olan bilgi ve belgeler Kuruma gönderilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kurulun 11/08/2020 tarihli ve 2020/608 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun 3.maddesinin 1/d gereğince “kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlandığı, bu kapsamda ilgili kişiye ait telefon numarasının, adı soyadı ve TC kimlik numarası ile eşleştirilerek saklandığından ve kimliği belirlenebilir gerçek bir kişiye ulaşılması sonucu doğurduğundan kişisel veri niteliğinde olduğu, ancak somut olayda ilgili kişiye ait telefon numarasının kendisine ait herhangi bir kayıtla eşleşmediği aksine telefon numarasının hatalı bir şekilde bileti satın alan kişi tarafından veri sorumlusunun sistemine girdiğinin anlaşıldığı,
  • Söz konusu bilgi ve belgelerin incelenmesi üzerine, veri sorumlusunun bilet sattığı kanallar üzerinden bilet almış olan telefon numarasının kullanıcısı gerçek kişinin, satın aldığı biletle ilişkili olarak şikayet eden kişiye ait telefon numarasını veri sorumlusu ile paylaştığının anlaşıldığı, bu kapsamda veri sorumlusunun müşterilerine alınan biletlere ilişkin SMS hizmeti sunarken başka bir telefon numarasına SMS gönderilmesi seçeneği de sunduğu görülmüş olup alınan bilete ilişkin müşteri bilgilerinin ilgili kişiye ait olmadığı,

değerlendirmelerinden hareketle;

Veri sorumlusu tarafından ilgili kişinin iletişim bilgilerinin başka bir kullanıcı tarafından sisteme girilmesi suretiyle ve kastı bulunmaksızın işlendiği; ayrıca söz konusu manuel veri girişlerine cevaz veren sisteme girilen telefon numaralarının kime ait olduğunun belirlenmesine ilişkin sistemsel bir eşleştirme veya veri tabanı bulunmadığı dikkate alındığında Kanunun 12. maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü ihlal ettiği yönünde bir tespitte bulunulamadığından konuya ilişkin Kanun kapsamında yerine getirilecek bir işlem olmadığına, ilgili kişiler tarafından Kanun çerçevesinde yapılan başvurulara süresi içinde ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun bir şekilde cevap vermesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Almila Sabiha Yıkık / Marmara Üniversitesi Hukuk Fakültesi Öğrencisi

Yorum yap