Havayolu Şirketinde “Aşırı Veri” ve Yanıltıcı Beyan İhlali: 2019/294 Sayılı Karar Analizi

Kişisel Verileri Koruma Kurulu (Kurul), 01/10/2019 tarihli bu kararıyla, bir havayolu şirketinin sadakat programı (loyalty program) kullanıcılarından basit bir parola değişikliği için “arkalı önlü kimlik görüntüsü” talep etmesini ve ardından süreci yönetirken sergilediği şeffaflıktan uzak tutumu cezalandırmıştır. Karar, “Veri Minimizasyonu” (ölçülülük) ilkesinin ve ilgili kişiye dürüstçe cevap verme yükümlülüğünün altını çizmektedir.

---

1. Olayın Özeti: Parola İçin Kimlik İfşası

Olay: Bir havayolu müşterisi, sadakat programı bilgilerini değiştirmek istemiş; ancak şirket, arkalı önlü kimlik fotoğrafı iletilmeden bu işlemin yapılamayacağını bildirmiştir. Müşteri, bilet işlemlerini yapabilmek adına bu görseli iletmiş, ancak daha sonra bu verinin silinmesini talep etmiştir.

Şirketin Yanıtı: Şirket önce “Verileriniz sistemlerimizde tutulmuyor ve kimseyle paylaşılmıyor” diyerek talebi reddetmiştir. Ancak Kurul incelemesi sırasında, verilerin aslında silinmediği ve yazılım firmasının sunucularında tutulduğu ortaya çıkmıştır.

---

2. Kurulun Hukuki Değerlendirmesi

Kurul, havayolu şirketinin sürecini KVKK’nın hem genel ilkeleri hem de teknik yükümlülükleri açısından sınıfta bırakmıştır:

A. Özel Nitelikli Kişisel Verilerin İhlali (Md. 6)

Kimliğin arkalı önlü görüntüsü; “din” ve “kan grubu” gibi özel nitelikli kişisel verileri içerir.

• Hukuka Aykırılık: Bu tür verilerin işlenmesi için ya kanunlarda açık hüküm olmalı ya da kişinin açık rızası alınmalıdır. Şirket, parola değişikliği gibi bir işlemde bu verileri zorla alarak açık rıza mekanizmasını ve kanunu ihlal etmiştir.

B. Ölçülülük ve Sınırlılık İlkesi (Md. 4)

• Veri Minimizasyonu: Kimlik doğrulamak için kişinin din veya kan grubu bilgisini görmeye ihtiyaç yoktur. Daha az veri içeren bir yöntem (örneğin sadece isim-soyisim ve TCKN’nin son haneleri gibi) mümkünken tüm kimlik kartının istenmesi “ölçülülük” ilkesine aykırıdır.

C. Dürüstlük Kuralına Aykırılık ve Yanıltıcı Beyan

Şirket, ilgili kişiye “veriler tutulmuyor” demiş; ancak Kurul’a “çağrı merkezi personeli hatalı bilgi vermiş, veriler aslında yazılım firmasında duruyor” şeklinde ikrarda bulunmuştur.

• Sonuç: Bu durum, veri sorumlusunun ilgili kişiye karşı şeffaf olmadığını ve dürüstlük kuralına (Md. 4/2-a) aykırı hareket ettiğini kanıtlamıştır.

D. Muhafaza Süresi İlkesi

Kimlik doğrulama işlemi bittikten sonra verilerin silinmesi gerekirken, verilerin sistemde tutulmaya devam etmesi “amaç için gerekli süre kadar muhafaza” ilkesinin ihlalidir.

---

3. Karar Sonucu: 100.000 TL İdari Para Cezası ve Talimatlar

Kurul inceleme neticesinde şu yaptırımları uygulamıştır:

1. İdari Para Cezası: Veri güvenliğine ilişkin yükümlülüklerin (teknik ve idari tedbirler) yerine getirilmemesi nedeniyle havayolu şirketine 100.000 TL (2019 yılı değeri) para cezası uygulanmasına,
2. Silme ve Bilgilendirme Talimatı: Kimlik görüntülerinin hem şirket hem de veri işleyen (yazılım firması) sistemlerinden silindiğinin ilgili kişiye bildirilmesine ve Kurul’un bu konuda tevsik edilmesine,
3. Kurumsal Düzenleme: Kimlik teyidi süreçlerinin Kanun’a uygun hale getirilmesi için kurumsal kuralların gözden geçirilmesi ve personelin eğitilmesi yönünde talimat verilmesine,karar verilmiştir.

---

4. Özgür Eralp Perspektifi: “Parola Değiştirmek Pasaport Kontrolü Değildir”

Bilişim hukuku alanındaki tecrübemizde, kurumların “güvenlik” bahanesiyle müşterilerinden ölçüsüz veri talep etme alışkanlığını sıkça görüyoruz. Ancak güvenlik, en çok veriyi toplamak değil, en gerekli veriyi en güvenli şekilde yönetmektir. Bir havayolu şirketinin, parola değiştiren müşterisinden din ve kan grubu bilgisini içeren kimlik fotoğrafı istemesi, “sinek öldürmek için balyoz kullanmak” gibidir.

Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketlerin “çalışan hatası” veya “bilgi eksikliği” gibi bahaneleri Kurul nezdinde geçerli bir savunma değildir. Veri sorumlusu, çağrı merkezi personelinin ne cevap vereceğinden ve veri işleyenin (taşeron yazılım firması) veriyi nerede sakladığından bizzat sorumludur. Müşteriye “sildik” deyip silmemek, sadece bir idari kusur değil, güven ilişkisine vurulmuş bir darbedir. Şirketler, kimlik doğrulama süreçlerinde “Tasarımda Gizlilik” (Privacy by Design) ilkesini uygulayarak, gereksiz veri akışını sistemden henüz başlamadan kesmelidir.

---

Sıkça Sorulan Sorular

1. Parolamı unuttuğumda şirket benden kimlik fotoğrafı isteyebilir mi?

Şirket kimliğinizi teyit etmek zorundadır; ancak bunun yöntemi ölçülü olmalıdır. Arkalı önlü fotoğraf yerine, kimliğin bazı kısımlarının kapatılarak (maskelenerek) iletilmesi veya telefon/e-posta onayı gibi yöntemler tercih edilmelidir.

2. Kimlik üzerindeki din ve kan grubu verisi neden “özel” kabul ediliyor?

KVKK Madde 6 uyarınca bu veriler sızdığında kişiye karşı ayrımcılık yapılmasına yol açabilecek hassasiyettedir. Bu nedenle korunmaları için daha sıkı şartlar gerekir.

3. Şirket “verini sildim” deyip silmezse ne yapabilirim?

Bu karar bir emsaldir. Şüpheniz varsa Kurul’a şikayette bulunabilirsiniz. Kurul inceleme başlattığında verinin aslında silinmediği teknik olarak ortaya çıkacaktır.

4. 100.000 TL ceza yeterli mi?

2019 yılındaki yasal sınırlar dahilinde bu rakam bir “uyarı” niteliğindedir. Günümüzde (2026) bu tür yanıltıcı beyanlar ve özel nitelikli veri ihlallerinin cezası milyonlarca lirayı bulmaktadır.

5. Veri İşleyen (Yazılım Firması) nedir?

Veri sorumlusu (havayolu) adına teknik altyapıyı yöneten firmadır. Havayolu şirketi, bu firmanın veriyi nasıl sakladığından ve silip silmediğinden müşterisine karşı doğrudan sorumludur.

---

Kaynaklar

• KVKK Kurumu – 2019/294 Sayılı Karar Özeti
• 6698 Sayılı KVKK (Madde 4, 5, 6, 12 ve 18)
• Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ

---

Etiketler

KVKK, Havayolu İhlali, Sadakat Programı, Kimlik Doğrulama, Ölçülülük İlkesi, Veri Minimizasyonu, İdari Para Cezası, 2019/294 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Özel Nitelikli Kişisel Veri, Yanıltıcı Beyan, Veri İşleyen Sorumluluğu