Havayolu Şirketinde PNR Güvenliği ve Veri İhlali: 2023/1309 Sayılı Karar Analizi

Kişisel Verileri Koruma Kurulu (Kurul), 03/08/2023 tarihli ve 2023/1309 sayılı kararı ile havayolu sektöründe çok sık kullanılan “Grup PNR” (Yolcu İsim Kaydı) uygulamalarındaki güvenlik zafiyetlerini ve bu zafiyetlerin yol açtığı veri ihlallerini karara bağlamıştır. Karar, teknik tedbirlerin kağıt üzerinde kalmaması ve sistemin iddia edilen korumayı fiilen sağlaması gerektiğini vurgulamaktadır.

Olayın Özeti: Check-in Sırasında Tanınmayan Yolcuların İfşası

İlgili kişi, ailesiyle bir paket tur satın almış ve uçuş işlemleri için havayolu şirketinin mobil uygulamasını kullanmıştır. Kendi PNR kodu ve soyadıyla giriş yaptığında;

• Tanımadığı 4 farklı kişinin isim, soyisim, cinsiyet, doğum tarihi, pasaport/vize bilgileri gibi tüm detaylarını gördüğünü,
• Bu kişilerin biletlerini iptal etme veya değiştirme yetkisine sahip olduğunu,
• Dolayısıyla kendi mahrem bilgilerinin de başkaları tarafından görülmüş olabileceğini,Belirterek şikayette bulunmuştur.

Havayolu Şirketinin Savunması: “Hata Acentede, Biz Tedbir Aldık”

Veri sorumlusu havayolu şirketi özetle şunları savunmuştur:

• Grup PNR Uygulaması: Seyahat acenteleri grup rezervasyonlarını tek bir PNR üzerinden yapar.
• Soyadı Eşleşmesi Kuralı: Sistemimiz, PNR ile giriş yapıldığında sadece giriş yapan kişinin soyadıyla eşleşen diğer yolcuları gösterir. Bu, ailelerin işlemlerini kolaylaştırmak için tasarlanmış bir tedbirdir.
• Acente Hatası: Eğer ilgili kişi yabancıları gördüyse, bu durum acentenin aynı soyadlı ama birbirini tanımayan kişileri aynı PNR’da birleştirmesinden kaynaklanmıştır.

Kurulun Hukuki Değerlendirmesi ve “Soyadı” Savunmasının Çöküşü

Kurul, inceleme sırasında ilgili kişiden ekran görüntülerinin karartılmamış halini talep etmiştir. Yapılan teknik incelemede çarpıcı bir gerçek ortaya çıkmıştır:

1. Fiili Durum: İlgili kişinin ekranında gördüğü yabancı yolcuların soyadları aslında ilgili kişiden farklıdır.
2. Yanıltıcı Savunma: Havayolu şirketinin “Sadece aynı soyadlıları gösteriyoruz” savunmasının gerçeği yansıtmadığı, sistemin PNR kodu girilen tüm yolcuları (soyadı farklı olsa dahi) ifşa ettiği saptanmıştır.
3. Güvenlik Zafiyeti: PNR ve soyadı kombinasyonunun, yabancıların mahrem verilerine (pasaport no, vize vb.) ve bilet yönetim yetkilerine erişim sağlaması ağır bir teknik tedbir eksikliğidir (KVKK Md. 12).
4. Bildirim İhmali: Şirket bu ihlali öğrenmesine rağmen Kurul’a veri ihlal bildirimi yapmamıştır (KVKK Md. 12/5).

Karar Sonucu: 300.000 TL İdari Para Cezası ve Talimat

Kurul inceleme neticesinde;

• Kişisel verilerin hukuka aykırı erişilmesini önleyecek teknik tedbirlerin alınmaması ve ihlalin Kurul’a bildirilmemesi nedeniyle havayolu şirketine 300.000 TL idari para cezası uygulamıştır.
• Şirkete, “aynı soyadlı kişilerin birbirinin verisini görmesi” uygulamasının dahi yeni ihlallere yol açabileceğini (aynı soyadlı yabancılar gibi) belirterek, sistemi daha güvenli hale getirecek ek teknik tedbirler alması talimatını vermiştir.

Özgür Eralp Perspektifi: “PNR Kodu Bir Şifre Değildir”

Bilişim hukuku alanındaki 25 yıllık tecrübemizde, havayolu şirketlerinin PNR kodunu adeta bir “master anahtar” gibi kullandığını görüyoruz. Kurul bu kararla çok net bir mesaj vermiştir: “Soyadı kontrolü tek başına bir güvenlik önlemi değildir.” Özellikle pasaport ve vize verileri gibi devletler arası hassasiyet taşıyan bilgilerin, sadece 6 haneli bir PNR kodu ve yaygın bir soyadı ile erişilebilir olması kabul edilemez.

Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketler, “Acentem hata yapmış” diyerek sorumluluktan kaçamazlar. Yazılımın algoritması, en kötü senaryoya (acentenin hatalı veri girişi) göre kurgulanmalı ve kişiye sadece kendi verisi gösterilmelidir. Tüketiciler ise check-in ekranlarında tanımadıkları isimlerle karşılaştıklarında, durumu sadece havayoluna bildirmekle kalmamalı; bu verilerin başkaları tarafından da görüldüğünü varsayarak hukuki haklarını (tazminat dahil) saklı tutmalıdırlar.

---

Sıkça Sorulan Sorular

1. PNR kodu ile başkasının pasaport bilgilerini görmem suç mu?

Bu bilgileri kasten ele geçirmek veya yaymak suçtur (TCK 136). Ancak sistem hatası nedeniyle önünüze düşmesi durumunda, bu durumu veri sorumlusuna ve Kurul’a bildirmeniz gerekir.

2. Havayolu şirketi “Acente suçlu” diyerek cezayı acenteye yansıtabilir mi?

İdari para cezasını veri sorumlusu olarak havayolu öder. Ancak havayolu şirketi, acente ile arasındaki sözleşmeye dayanarak ödediği bu cezayı (ve uğradığı zararı) acenteye rücu edebilir (tazminat olarak geri isteyebilir).

3. Aynı soyadına sahip olmamız, verilerimizi birbirimize açık hale getirir mi?

Havayolu şirketleri kolaylık olsun diye bunu yapsa da, Kurul bu kararda bu uygulamanın bile riskli olduğunu ve ek önlemler (SMS onayı, TCKN doğrulaması vb.) gerektiğini belirtmiştir.

4. PNR kodumu sosyal medyada paylaşmam güvenli mi?

Kesinlikle hayır. Bu karar da gösteriyor ki, PNR kodunuzu ele geçiren birisi sadece uçuş bilgilerinizi değil; pasaport numaranızı, vizenizi ve doğum tarihinizi de görebilir, hatta biletinizi iptal edebilir.

5. Veri ihlali bildirimi (72 saat kuralı) bu olayda neden önemliydi?

Şirket bu sızıntıyı fark ettiği an 72 saat içinde Kurul’a bildirmeliydi. Bildirmemesi, cezanın miktarının artmasında önemli bir etken olmuştur.

---

Kaynaklar

• KVKK Kurumu – 2023/1309 Sayılı Karar Özeti
• 6698 Sayılı KVKK (Madde 11, 12, 18)
• ICAO PNR Verisi Rehberi
• 2920 Sayılı Türk Sivil Havacılık Kanunu