KVKK Kurul Kararı 2020/608 “Bilet Almadım Ama Uçak Bileti SMS’i Geldi” Vakası
Dijital kanallardan (mobil uygulama/online satış) yapılan işlemlerde, kullanıcıların manuel veri girişi sebebiyle yanlış telefon numarasına bildirim gönderilmesi; hem kişisel veri güvenliği hem de ilgili kişi başvurularının yönetimi açısından doğrudan uyum riski üretir. Kişisel Verileri Koruma Kurulu’nun 11/08/2020 tarihli ve 2020/608 sayılı kararı bu riski, havayolu sektöründeki PNR ve “ücretli SMS bildirimi” kurgusu üzerinden somutlaştırmaktadır.
Bu içerikte; kararın olay akışını, veri sorumlusunun savunmasını, Kurul’un değerlendirmesini ve en önemlisi de kurumların benzer vakaları KVKK m.12 (teknik-idari tedbirler) ve başvuruya süresi içinde cevap yükümlülüğü kapsamında nasıl yönetmesi gerektiğini uygulamaya dönük şekilde ele alıyoruz.
Olay: İlgili kişi bilet almamasına rağmen “uçak bileti satın alındı” SMS’i alıyor.
Kritik nokta: SMS, bilet alımı sırasında “ücretli SMS bildirimi” alanına üçüncü kişi tarafından sehven girilen numaraya gidiyor.
Kurul sonucu: KVKK m.12 ihlali yönünde tespit yapılamıyor; ancak veri sorumlusu, başvurulara süresinde ve Tebliğe uygun cevap vermesi için talimatlandırılıyor.
Kurumsal ders: Bildirim sistemlerinde veri doğrulama, asgari veri yaklaşımı, kayıt izleri ve başvuru süreçleri standart hale getirilmeli.
Bu tür vakalarda en yüksek risk, çoğu zaman “teknik zafiyet” değil; süreç tasarımı ve müşteri/ilgili kişi iletişim yönetimi eksikliğidir.
1. Kararın Konusu ve Olay Akışı
Karara konu olayda; ilgili kişinin cep telefonuna, bir havayolu şirketi tarafından Umman’dan İzmir aktarmalı İstanbul’a uçak bileti satın alındığına ilişkin SMS gönderilmiştir. İlgili kişi, mesajı görür görmez veri sorumlusunu aramış ancak görüşme sağlayamamış; bunun üzerine çevrimiçi şikâyet formu doldurmuştur. Başvuruyu takiben veri sorumlusu tarafından aranarak biletin iptal edildiği bilgisi paylaşılmıştır.
İlgili kişi; adını ve telefon numarasını kullanarak söz konusu bileti kimin satın aldığına ilişkin bilginin tarafına yazılı olarak bildirilmesini talep etmiş, ancak bu talebine yanıt alamadığını belirtmiştir. Şikâyet bu kapsamda Kurum’a intikal etmiş ve inceleme başlatılmıştır.
Kararın Uyum Bakış Açısından Önemi
Bu vaka; “yanlış numaraya bildirim” gibi görünmekle birlikte, iki kritik uyum alanını birlikte gündeme taşır:
- Bildirim sistemleri: Manuel veri girişine izin veren kurgularda doğrulama ve kontrol mekanizması nasıl tasarlanmalı?
- Başvuru yönetimi: İlgili kişi taleplerine süresi içinde ve usule uygun cevap verme yükümlülüğü nasıl işletilmeli?
2. Veri Sorumlusunun Savunması: PNR ve SMS Alanı
İnceleme kapsamında veri sorumlusundan savunma istenmiş; veri sorumlusu özetle, ilgili kişi adına sonradan oluşturulmuş bir üyelik hesabı bulunduğunu, ancak şikâyet tarihine kadar ilgili kişiye ilişkin üyelik kaydı bulunmadığını belirtmiştir.
PNR Kapsamı ve “Ücretli SMS Bildirimi” Alanı
Veri sorumlusu; şikâyete konu PNR kapsamında ilgili kişiye ait tek kişisel verinin telefon numarası olduğunu, bu verinin de bileti satın alan mobil uygulama kullanıcısı tarafından tercihe bağlı “ücretli SMS bildirimi” alanına girildiğini açıklamıştır. SMS içeriğinin iletimi için yalnızca telefon numarasının hat operatörü ile paylaşıldığı ifade edilmiştir.
Zorunlu Alanlar ve Eşleşme Mantığı
Savunmada; mobil uygulama üzerinden bilet satışında bazı bilgilerin zorunlu olduğu, ancak SMS bilgilendirme hizmetinin zorunlu olmadığı vurgulanmıştır. Ayrıca ilgili kişinin telefon numarasının PNR’daki müşteri iletişim alanı ile sistemsel olarak eşleşmediği; ilgili kişiye ait kimlik bilgilerinin (ad-soyad, T.C. kimlik no vb.) ilgili PNR kapsamında işlenmediği belirtilmiştir.
3. Kurul Değerlendirmesi: Kişisel Veri, KVKK m.12 ve Sonuç
Kurul değerlendirmesinde; telefon numarasının, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin olduğunda kişisel veri niteliği taşıdığı; özellikle ad-soyad ve T.C. kimlik numarası gibi bilgilerle eşleştirilerek saklandığında kimliğe ulaşma sonucunu doğurduğu vurgulanmıştır.
Somut Olayın Özgünlüğü: “Sehven Girilen Numara”
Somut olayda ise ilgili kişiye ait telefon numarasının, veri sorumlusunun sistemlerinde ilgili kişiye ait bir kayıtla eşleşmediği; aksine bileti satın alan kişi tarafından manuel veri girişi ile sehven sisteme girildiği anlaşılmıştır. Veri sorumlusu; mobil uygulama üzerinden bilet alan gerçek kişinin, biletle ilişkili SMS bildirimi için ilgili kişiye ait numarayı paylaştığını göstermiş; Kurum da bu hususu tevsik edici bilgi ve belgeleri incelemiştir.
KVKK m.12 Yönünden Sonuç
Kurul; veri sorumlusu tarafından ilgili kişinin iletişim bilgisinin başka bir kullanıcı tarafından sisteme girilmesi suretiyle ve kastı bulunmaksızın işlendiği; ayrıca sisteme girilen telefon numaralarının kime ait olduğunun belirlenmesine yönelik sistemsel bir eşleştirme/veri tabanı bulunmadığı dikkate alındığında, KVKK m.12 kapsamında “uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünün ihlali” yönünde somut olay özelinde bir tespit yapılamadığı değerlendirmesiyle, konuya ilişkin Kanun kapsamında tesis edilecek bir işlem olmadığına karar vermiştir.
Başvuruya Cevap Yükümlülüğü: Talimatlandırma
Bununla birlikte Kurul; veri sorumlusunun, ilgili kişiler tarafından Kanun çerçevesinde yapılan başvurulara süresi içinde ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun şekilde cevap vermesi hususunda talimatlandırılmasına karar vermiştir.
4. Uygulama Çıkarımları: Neyi Nasıl Kurgulamalısınız?
Karar; özellikle e-ticaret, havayolu, seyahat, kargo/lojistik ve abonelik bazlı hizmetlerde yaygın olan “bildirim için farklı numara girme” modelinin, yanlış kişiye bilgilendirme riskini doğurduğunu göstermektedir. Kurumlar bu riski; kullanıcı deneyimini bozmadan, ölçülebilir kontrollerle yönetebilir.
1) Bildirim Alanlarında Doğrulama ve Onay Mekanizması
- Çift doğrulama: “Ücretli SMS” gibi opsiyonel alanlara girilen numaraya kısa bir onay kodu gönderilmesi,
- Format/ülke kodu kontrolü: Hatalı girişleri azaltan doğrulama kuralları,
- Hata azaltıcı UX: “Rezervasyon iletişim numarası ile aynı” seçeneğini varsayılan yapmak,
- Sınırlı deneme ve hız limiti: Kötüye kullanım senaryolarını azaltmak
2) Asgari Veri ve İçerik Minimizasyonu
Yanlış kişiye SMS gitmesi ihtimalinde, SMS içeriğinin “zarar etkisini” düşürmek için içerik tasarımı kritik bir kaldıraçtır:
- SMS’te gereksiz detay (tam isim, kimlik bilgisi, kapsamlı rota) yerine asgari bilgilendirme,
- İptal/itiraz için güvenli doğrulama ile çalışan kısa yol (müşteri hizmetleri/online form),
- Link kullanılacaksa tek kullanımlık ve süreli bağlantı.
3) İlgili Kişi Başvurularında Standart Operasyon
Karar, başvuruya cevap sürecinin operasyonel olarak zayıf kaldığında Kurul’un talimatlandırma yoluna gittiğini açıkça gösterir. Bu nedenle:
- Çağrı merkezi/online form üzerinden gelen başvurular için tekil kayıt ve takip numarası,
- İç SLA’lar (ilk geri dönüş, analiz, nihai cevap) ve tutanak/kanıt üretimi,
- Yanıtların Tebliğ’e uygun içerikte ve sürelerde verilmesi
kurum içi standart haline getirilmelidir.
5. Teknik ve İdari Önlemler: Pratik Kontrol Listesi
Benzer vakaları sistematik şekilde önlemek ve doğru yönetmek için, aşağıdaki kontrol seti “minimum uygulanabilir” bir çerçeve sunar:
1. Bildirim Modülü Kontrolleri
- Opsiyonel SMS alanı için doğrulama (OTP / onay linki) uygulanıyor mu?
- Girilen numara, rezervasyon iletişim numarasıyla farklıysa kullanıcıya açık uyarı gösteriliyor mu?
- SMS içeriği “asgari bilgi” prensibine göre tasarlandı mı?
- Yanlış bildirimlerde hızlı iptal/durdurma için operasyonel “acil aksiyon” akışı var mı?
2. Kayıt İzleri ve Denetlenebilirlik
- Hangi kullanıcı hangi numarayı ne zaman girdi? (IP/cihaz bilgisi dahil) loglanıyor mu?
- İlgili kişi şikâyeti geldiğinde, olayın kök neden analizi için gerekli loglar erişilebilir mi?
- Log saklama süresi ve erişim yetkileri politika ile belirlenmiş mi?
3. Başvuru Yönetimi ve Tebliğ Uyum Adımları
- Başvurular için standart şablonlar, görev atama ve iç onay mekanizması var mı?
- Yanıtlar süre içinde ve Tebliğ’e uygun formatta veriliyor mu?
- Yanıt verilemeyen hallerde gerekçe ve süreç planı ilgili kişiye iletiliyor mu?
- Başvurunun kapanışı; iptal/aksiyon/kanıt ile birlikte dokümante ediliyor mu?
6. Sık Sorulan Sorular (SSS)
Bilet almadığım halde SMS almak kişisel veri ihlali midir?
Her olayın koşulu farklıdır. Yanlış kişiye SMS gitmesi, kişisel veri işleme açısından riskli bir durumdur; ancak ihlal tespiti, olayın kapsamı, sistem kurgusu, tedbirler ve veri sorumlusunun süreci yönetme biçimine göre değerlendirilir.
Kurul neden bu kararda KVKK m.12 ihlali tespit etmedi?
Kararda, numaranın veri sorumlusu tarafından değil; üçüncü kişi kullanıcı tarafından sehven girildiği, ilgili kişiyle sistemsel eşleşme olmadığı ve somut olayda m.12 ihlali için yeterli tespit eşiğinin oluşmadığı değerlendirilmiştir.
Veri sorumlusu hangi konuda talimatlandırıldı?
Kurul, veri sorumlusunun ilgili kişi başvurularına süresi içinde ve “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”e uygun şekilde cevap vermesi hususunda talimat verilmesine karar vermiştir.
“Ücretli SMS bildirimi” gibi opsiyonel alanlarda en iyi uygulama nedir?
Farklı numaraya bildirim gönderme seçeneği korunacaksa, OTP doğrulama, açık uyarı, kayıt izleri ve asgari içerik prensibi birlikte uygulanmalıdır.
İlgili kişi “kim bilet aldı?” bilgisini talep edebilir mi?
Başvurular, KVKK çerçevesinde değerlendirilir; ancak üçüncü kişilere ait kişisel verilerin ifşası ayrı bir risk alanıdır. Bu nedenle kurumlar, başvuru yanıtlarını hem ilgili kişi hakları hem de üçüncü kişi gizliliği ekseninde dengeli kurgulamalıdır.
Benzer vakaları azaltmak için ilk adım ne olmalı?
Bildirim modülündeki manuel alanlar için doğrulama ve UX kontrolleri devreye alınmalı; başvuru süreçleri için tekil kayıt, SLA ve kanıt üretimi standardize edilmelidir.
