İlgili kişi tarafından Kuruma intikal ettirilen şikâyette özetle, veri sorumlusu bünyesindeki çalışanın ilgili kişiye ait uçuş bilgilerini şirket kayıtlarından elde ettiği, bunu da bir başka çalışanla paylaştığı, bu çalışanın da söz konusu bilgileri ilgili kişiye ilettiği, aralarındaki husumet nedeniyle ilgili kişinin her uçuş sonrası aranarak verileri elde eden çalışan tarafından rahatsız edildiği, durumun veri sorumlusuna e-posta ile bildirildiği, ancak, aramalara devam edilmesi üzerine noter aracılığıyla veri sorumlusuna ihtarname gönderildiği, veri sorumlusunun vermiş olduğu cevapta çalışanın kişisel verileri elde ettiğinin tespit edildiği, fakat çalışan hakkında bir işlem yapılmadığının belirtildiği, daha sonrasında, aramaların devam ettiği, ilgili kişinin hakaret ve tehditlere maruz kaldığı, bunun üzerine, yetkili makamlara bildirimde bulunduğu, ancak yaptığı başvurular çerçevesinde veri sorumlusu tarafından verilen cevabın ve alınan aksiyonların yetersiz olduğu belirtilerek konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiş ve yazı ekinde ayrıca her iki çalışan ile gerçekleştirdiği kişisel telefonuna ait whatsapp konuşma görüntüleri, telefon çağrı geçmişi kayıtları ve PNR bilgileri sunulmuştur.

Kuruma intikal eden şikayet dilekçesi ekinde yer alan veri sorumlusunun ilgili kişiye verdiği cevapta özetle,

• Kişisel verileri elde eden çalışanın görevi gereği yolcu bilgilerine erişim yetkisinin olduğu, bu çalışanın bilgiye erişim kayıtlarının incelenmesi neticesinde gerekli yaptırımların uygulandığı,
• Şikâyete konu kişiler arası görüşmelerin içeriğinin tespit edilemediği,
• Değerlendirmeler sonucunda, ilgili kişiye ait kişisel verilerin bazı ek kontroller uygulanmadan güvenlik amacıyla görüntülenmesini engelleyecek ek tedbirlerin uygulamaya alındığı, Kanunda belirtilen amaçlar ve yasal dayanaklara istinaden veri sorumlusu tarafından saklanan ilgili kişiye ait kişisel verilerin herhangi bir yetkisiz erişime konu olmadığı, kişisel verilerin gerekli teknik ve idari tedbirler uygulanarak muhafaza edildiği

ifade edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

• İlgili kişinin ilk olarak çalışanlar hakkında veri sorumlusuna dolandırıcılık ve haksız menfaat iddiasıyla şikâyette bulunduğu,
• Şikâyetin aynı gün iç denetim birimlerine iletildiği ve konu hakkında soruşturma başlatıldığı, ilgili kişi ve çalışanlarla yapılan görüşmeler ile veri sorumlusunun kayıtlarının incelenmesi sonucunda hiçbir aşamada dolandırıcılık, tehdit ve benzeri bir eylem tespit edilemediği,
• Ardından ilgili kişinin göndermiş olduğu ihtarnamenin veri sorumlusuna ulaştığı, şikâyetçi olduğu kişilere ait özel hayatın gizliliğini ihlal eder nitelikteki bazı görsel kayıtların da bizzat ilgili kişi tarafından veri sorumlusuna iletildiği, gerçek kişiler arasındaki bu durumun birden fazla adli sürece konu olduğu ve devam ettiği, bununla birlikte, kişilerin karşılıklı olarak 6284 sayılı Ailenin Korunması ve Kadına Karşı Şiddetin Önlenmesine Dair Kanun kapsamında adli tedbir talep ettiği, bu durumda ilgili kişilerin birbirlerine ait kimlik ve iletişim bilgilerine şirketlerinin müdahalesi ve kayıtları dışında sahip oldukları ve veri sorumlusunun ilgili kişi ile çalışanlar arasındaki kişisel ilişkilerin tarafı olmadığı, bu nedenle, veri sorumlusunun yürüttüğü incelemenin PNR kayıtlarına erişim ve bunların kullanımı üzerine olduğu,
• İlgili kişinin çalışanlar tarafından arandığının tevsiki için bildirdiği telefon numarasının veri sorumlusuna ait olmadığı ve telefon görüşmelerinin içeriğine yönelik şikâyetlerin soruşturma kapsamında değerlendirilmediği,
• Yapılan incelemeler neticesinde veri sorumlusu çalışanının ilgili kişiye ait PNR kayıtlarına yönelik sistemde arama yaptığının tespit edildiği,
• …. yöneticisi olan çalışanın uçuş operasyonlarına yönelik emniyet risklerini, güvenlik tehditlerini ve üst düzey yönetim adına güvenlik yönetim sistemi operasyonunun günlük işleyişini yönetmek ve izlemekten sorumlu olduğu, 
• Erişim yetkisinin kişinin görev tanımı gereği ve 2920 sayılı Türk Sivil Havacılık Kanununun 40 ıncı maddesi dördüncü fıkrasında yer alan “Havayolu ile seyahat edecek kişilerin bilgileri kişilerin seyahatini kolaylaştırmak veya güvenlik ve risk değerlendirmesi yapmak amacıyla Kanun çerçevesinde toplanabilir, kaydedilebilir, işlenebilir, paylaşılabilir, havacılık güvenliği ve emniyetini sağlamak üzere değerlendirilerek gereken tedbirler alınabilir” hükmü doğrultusunda tanımlamış olması nedeniyle hukuka aykırı bir erişimin söz konusu olmadığı,
• Değerlendirmeler sonucunda ilgili kişiye ait kişisel verilerin saklanması ve erişim yetkilerinin tanımlanması konusunda hukuka aykırı bir durum olmadığı,
• Yürütülen soruşturma kapsamında görev gereği erişim yetkisi bulunan kişisel verileri kişisel çıkarlar doğrultusunda görüntülemenin Kanunda yer alan ilkelere aykırı olduğu, bununla birlikte, Kanuna aykırı olarak görüntülenen kişisel verilerin yetkisiz üçüncü kişiler ile paylaşılmadığı,
• Kişisel verilerin iş amacı dışında kullanılması sonucu oluşan bir zarar tespit edilmediği,
• Kişisel verilerin veri sorumlusu tarafından işlenmesine devam edilmesi nedeniyle ilgili kişinin temel hak ve hürriyetlerine yönelik veya mevcut bir durum nedeniyle ilgili kişi haricindeki yolculara ait kişisel verilere yönelik herhangi bir ihlal tespit edilmediği,
• Kanuna aykırı olarak kişisel verileri görüntüleyen çalışan hakkında yazılı uyarı verildiği ve yetkilerinin iptal edilerek görevleri kapsamındaki tüm sorgulama taleplerinin ayrı bir departman üzerinden gerçekleştirilmesinin sağlandığı,
• Veri sorumlusu bünyesinde farkındalığın artırılması adına çalışanlara yönelik çevrim içi eğitim gerçekleştirildiği,
• İç denetim birimleri tarafından yapılan kontroller sonucunda şikâyet bildiriminin yapılmasından sonra herhangi bir sorgulama gerçekleştirilmediği, bu nedenle, alınan tedbirlerin olumlu sonuç doğurduğu,
• İlgili kişinin, 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı maddeleri kapsamında kişisel verilerin hukuka aykırı olarak ele geçirildiği iddiasıyla suç duyurusunda bulunduğu ve soruşturmanın halen devam ettiği,
• Çalışanlara yönelik veri güvenliği konusunda belirli aralıklarla eğitim ve farkındalık çalışmaları yürütüldüğü, bu kapsamda, soruşturması yapılan çalışanların eğitimlerini başarı ile tamamladığı

ifade edilmiştir.

Söz konusu iddiaların incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 13/02/2020 tarih ve 2020/124 sayılı Kararında;

• Kişisel Verilerin Korunması Kanununun 12 inci maddesinin veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerini düzenlendiği, buna göre “(1) Veri sorumlusu; 
  a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, 
  b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, 
  c) Kişisel verilerin muhafazasını sağlamak, 
  amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. 
  (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
  (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. 
  (4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.” hükmüne yer verildiği, 
• Somut olayda,  veri sorumlusunun yürüttüğü soruşturma kapsamında kişisel verileri elde eden çalışanın ifadesine başvurulduğu, bu doğrultuda, şikâyete konu çalışanın, ilgili kişinin kişisel verilerinin paylaşıldığı diğer çalışanın uçuşlarına katılacağı düşünerek, sistem üzerinden arama gerçekleştirdiğini kabul ettiği, diğer taraftan, ilgili kişi ile arasında hâlihazırda dava durumu söz konusu olduğu, mahkeme sürecinin başladığı, bunun yanı sıra, ilgili kişiye hiçbir müdahalede bulunulmadığı, 
• Dilekçe ekinde yer verilen söz konusu Whatsapp konuşma ve telefon çağrı geçmişi görüntülerinin veri sorumlusu çalışanlarına ait olup olmadığı konusunda herhangi bir bilginin bulunmadığı, bununla birlikte, veri sorumlusunun soruşturma raporuna göre kişisel verileri elde eden çalışanın bu iddiaları kabul etmediği dikkate alındığında, ilgili kişinin telefonunda yer alan kişisel telefon kayıtlarının tevsik edici belge olarak değerlendirilemeyeceği,
• Diğer taraftan, veri sorumlusu tarafından şikâyete konu olan kişiler arası görüşmelerin içeriğinin tespit edilemediği, telefon görüşmelerine ilişkin şikâyetlerin olaya konu olan kişiler arasındaki bireysel ilişkilerin geçmişinden kaynaklanma ihtimalinin yüksek olduğunun belirtildiği, 
• Erişim yetkisinin görev tanımı gereği ve 2920 sayılı Türk Sivil Havacılık Kanununun 40 ıncı maddesinin dördüncü fıkrasında yer alan “Havayolu ile seyahat edecek kişilerin bilgileri kişilerin seyahatini kolaylaştırmak veya güvenlik ve risk değerlendirmesi yapmak amacıyla Kanun çerçevesinde toplanabilir, kaydedilebilir, işlenebilir, paylaşılabilir, havacılık güvenliği ve emniyetini sağlamak üzere değerlendirilerek gereken tedbirler alınabilir” hükmü doğrultusunda tanımlandığı,
• Her ne kadar çalışanlar eğitimlere tabi tutulmuş ve bu eğitimleri başarıyla tamamlamış olsalar da olay öncesinde eğitimlerin seyrek düzenlenmiş olduğu, 
• Ayrıca, çalışanın görev tanımı gereği yetkisi çerçevesinde PNR sorgulaması gerçekleştirdiği ancak Kasım 2018 tarihinde bir adet, Aralık 2018 tarihinde on iki adet, Ocak 2019 tarihinde beş adet, Mart 2019 tarihinde on adet sorgulama yapıldığı, veri sorumlusunun PNR sorgulama sayısına bir sınırlama getirmediği veya gözetim mekanizması geliştirmemiş olduğunun anlaşıldığı, veri sorumlusu tarafından her ne kadar log kayıtları tutuluyor olsa da, bu kayıtlarda sıra dışı aktivitelerin gözlemlenebilir olması ve bu kayıtların analiz edilmesi ile kişisel verilerin hukuka aykırı işlenmesinin ve erişilmesinin tespitinin önem arz ettiği dolayısıyla, veri sorumlusunun Kanunun 12 nci maddesi kapsamında aldığı idari ve teknik tedbirlerin yeterli olmadığı,
• Çalışanın yetkisini kötüye kullandığını kabul ettiği, bu nedenle, hakkında yazılı uyarı verildiği ve yetkilerinin iptal edildiği, sorgulama işlemlerinin ayrı bir Genel Müdür Yardımcılığına bağlı farklı bir departmana verildiği ve bunun sonucunda sunulan log kayıtlarında PNR sorgulamasının yapılmadığının anlaşıldığı, öte yandan, kişisel verilerin hukuka aykırı olarak işlenmemesine yönelik özel koruyucu düzenlenmelere yer verildiği, ancak, soruşturma sonucu çalışanın yetkilerine ilişkin yaptırımların yeterli ve caydırıcı olmadığı, bu tür zafiyetlerin yaşanma riski göz önünde bulundurularak, alınması gereken tedbirlerin geliştirilmesi gerektiği,
• Kanunun 17 nci maddesi (1) numaralı fıkrası uyarınca ise kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinin uygulandığı, veri sorumlusunun savunma yazısında, ilgili kişinin, çalışanlar ile birlikte veri sorumlusu hakkında 5237 sayılı Kanunun 135 ila 140 ıncı maddeleri kapsamında suç duyurusunda bulunduğu ve soruşturmanın halen devam ettiği, bu doğrultuda, 5237 sayılı Kanun kapsamında yürütülmekte olan bir soruşturmanın bulunması sebebiyle, 5237 sayılı Kanununun ilgili hükümleri çerçevesinde işlem tesis edilmesini teminen 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi hükmü uyarınca konunun Cumhuriyet Başsavcılığına bildirilmesine gerek olmadığı 

değerlendirilmiş olup bu doğrultuda, veri sorumlusu tarafından kişisel verilere erişim ile ilgili sınırlama getirilmemesi ve çalışanlara verilen eğitimin yetersiz olması sebebiyle Kanunun 12 nci maddesinde yer alan veri güvenliğinin sağlanmasına yönelik gerekli idari ve teknik tedbirlerin alınmadığı kanaatine varıldığından Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi çerçevesinde veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.