Havayolu Şirketlerinde Veri İhlalinin Engellenmesi

Yaz mevsiminin gelmesi ve hepimizin pandemi dolayısıyla evlerinde geçirdiği üç aylık sürenin ardından yavaş yavaş tatil planları yapılmaya başlandı. Özellikle 15 Temmuz’dan sonra bir takım Avrupa ülkelerinin Türkiye’ye sınır kapılarını açabileceğini duyurmasının üzerine yurt dışı uçuş rezervasyonları şimdiden başladı bile. Havayolu şirketleri de KVKK kapsamında işleyişini değerlendirmesi ve düzenlemesi gereken şirketlerdendir.

Yolculukta Kişisel Verilerin Korunması

Her ne kadar pandemi olsa da yeni sosyal hayata uyum göstererek tatil yapmak ve dinlenmek istiyoruz. Peki uçak biletimiz için rezervasyon yaparken, ya da havalimanında valizimizi verirken, biletimizi bastırırken aslında hangi kişisel verilerimizi kimlerle paylaştığımızın farkında mıyız? Kaç tane havayolu şirketinin internet sitesinde kişisel verilerin korunmasına ilişkin olarak KVKK (Kişisel Verilerin Korunması Kanunu) aydınlatma metni, gizlilik politikası mevcut? Kaç uçuş firması havayolu KVKK Metni ni usulüne uygun olarak hazırlıyor?

Aslında Avrupa’daki GDPR (Avrupa Birliği Genel Veri Koruma Yönetmeliği) uygulamasına bakıldığında Türkiye’de hala kişisel verilerin korunması ile ilgili yeterli toplum bilincinin oluşmadığını söyleyebiliriz. Zira her alanda kişisel veri paylaşımı yapıyor ve bu kadar kolay erişilebilir olmayı da hiç önemsemiyoruz.

Bu yazımızda sizlerle yolculukta kişisel verilerin korunması ile ilgili önerilerimizi paylaşacağız. Öncelikle Türk Sivil Havacılık Kanunu 40. Maddesi gereği “… Havayolu ile seyahat edecek kişilerin bilgileri kişilerin seyahatini kolaylaştırmak veya güvenlik ve risk değerlendirmesi yapmak amacıyla 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde toplanabilir, kaydedilebilir, işlenebilir, paylaşılabilir, havacılık güvenliği ve emniyetini sağlamak üzere değerlendirilerek gereken tedbirler alınabilir. Bu kapsamda, talep halinde yolcu bilgileri havayolu işletmeleri veya kurumlar tarafından üçüncü ülkelerle İçişleri Bakanlığının uygun görüşü ile paylaşılabilir. İçişleri Bakanlığı değerlendirme esnasında ilgili tüm kurum ve kuruluşlar ile koordine sağlar ve mütekabiliyet çerçevesinde karar verir…” Bu durum veri sorumlusu havayolu şirketlerinin aydınlatma yükümlülüğünü ortadan kaldırmamakla birlikte açık rıza alma yükümlülüğünü ortadan kaldırmaktadır.

Havayolu Uçak Firması KVKK Metni

Ancak madde hükmü sadece havayolu ile seyahat edecek kişileri kapsamaktadır. Havayolu şirketleri internet sitesi ziyaretçilerine ilişkin kişisel verileri de işlemektedir. Oysa firmaların yolcu veri koruma ve ziyaretçi veri koruma konularında hassas olması gerekir. Özellikle ziyaretçilerin web ayak izleri, iletişim bilgileri, isim soyisim bilgileri işlenen veriler arasındadır. Seyahat etmeyecek ziyaretçilerden açık rıza alınmaksızın verilerin toplanması ve işlenmesi hukuka aykırıdır. 

Günümüzde, en ucuz uçak biletini müşterilere sunmak için yapılan aracılık faaliyetleri kapsamında mobil uygulamalara olan yoğun ilgi sebebiyle havayolu şirketleri ve aracı şirketlerle web ayak izleri, iletişim bilgileri, isim soyisim bilgileri dışında özellikle kredi kartı bilgileri de paylaşılmaya başlandı ve bu durum yolcuların verilerinin korunması bakımından büyük zafiyetlerin ortaya çıkmasına sebebiyet verdi. 

Bu konu hakkında Kişisel Verileri Koruma Kurulu’nun 16.05.2019 tarih ve 2019/144 sayılı kararına değinecek olursak Cathay Pasific Airway Limited Şirketi tarafından gerekli teknik önlemler alınmaması sebebiyle Türkiye’de tahminen 1286 kişinin etkilendiği veri ihlalinde yolcuların ismi, uyruğu, doğum tarihi, telefon numarası, elektronik posta adresi, pasaport numarası, kimlik kartı numarası, “frequent flyer” üyelik numarası, müşteri hizmetleri notları ve geçmiş seyahat bilgileri ifşa olmuştur. Bu ihlalden hem kişisel veriler hem de özel nitelikli kişisel veriler etkilenmiştir. Buna istinaden şirket hakkında 550.000 TL idari para cezası uygulanmıştır. 

Kişisel Verilerimiz Her Yerde

Bu konudan ayrı olarak, kişisel verilerimizi sadece biletleme işlemi esnasında veya web sitesinde gezinirken paylaşmadığımızı hatırlatmakta fayda var. Zira havaalanlarındaki gişelerin de yolcuların birbirlerinin kişisel verilerini duyamayacağı şekilde düzenlenmesi gerekiyor. Aslında gişelerde yolcuların birbirlerinin seyahat bilgilerini, isim soyisim verilerini duyması önemsiz gibi gözükse de bu durum da veri ihlali oluşturuyor. Bu konu ile ilgili Kişisel Verileri Koruma Kurulu’nun 21/12/2017 Tarihli ve 2017/62 Sayılı ilke kararı gereği”… Banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda yaşanan kişisel veri güvenliği ihlallerine ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilmesini teminen;

– Bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesi uyarınca kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına,

– Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci maddesi kapsamında işlem yapılacağına” oy birliği ile karar verilmiştir.

Tüm bunlar dikkate alındığında, bu yaz yapacağımız seyahatlerde kişisel verilerinizin güvenliğine ilişkin yolcu hakları ile ilgili detaylı bilgilere web sitemizdeki diğer yazılarımızdan ulaşabilirsiniz. Kişisel Verilerin Korunması Kanunu 13. ve 14. maddeleri uyarınca şikayet bildirimi yapmak istediğinizde bunu kurumlara yapabilirsiniz. Garanti KVK ile kişisel veriler GARANTİ ALTINDA!

İlgili Mesajlar

GDPR

Görüşmeyi Başlat
Merhaba, hangi konu ile ilgili size yardımcı olabiliriz?
*VERBİS Kaydı Danışmanlığı
*KVKK Uyum Süreci Danışmanlığı
*BT Danışmanlığı
*GDPR Danışmanlığı
*Kurumunuza Özel Eğitim ve Danışmanlık