| Okuma Süresi: 4 Dakika
|

Araç Kiralama Sektöründeki Kara Liste Uygulamasına İlişkin Kişisel Verileri Koruma Kurulu İlke Kararı

ADEM AKKIR NUJEN TUNCER ONURCAN YAĞCI
Araç Kiralama Sektöründeki Kara Liste Uygulamasına İlişkin Kişisel Verileri Koruma Kurulu İlke Kararı

Araç kiralama sektöründeki “kara liste” uygulamalarının KVKK’ya aykırı olduğuna dair Kişisel Verileri Koruma Kurumu ilke kararı yayımlamıştır.

Kişisel Verileri Koruma Kurulu’nun 20.01.2022 tarihli Resmi Gazete’de yayımlanan ilke kararı ile, araç kiralama sektöründe kullanılan “kara liste” uygulamasının KVKK’na aykırılık içerdiği tespit edilmiştir. Kiralama işleminin gerçekleşmesinin ardından yaşanmış veya yaşanabilecek olan olumsuz durumlarla ilgili tespitler ve notlar içeren uygulamanın, şirketler tarafından ortak olarak kullanıldığı ve bu sebeple herhangi bir firmayla anlaşan kişinin bilgilerinin rızası dışında sektördeki firmalara aktarıldığı tespit edilmiş ve kararda belirtilmiştir. Bu durumun, Kanun’un 4. maddesinde belirtilen, kişisel verilerin işlenmesindeki önemli bir denetim mekanizması olan aşağıdaki ilkelere aykırı olduğuna kanaat getirilmiştir.

  • Hukuka ve dürüstlük kurallarına uygun olma.
  • Belirli, açık ve meşru amaçlar için işlenme.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

Araç kiralama firması tarafından işlenen kişisel verilerin, verilen karara konu uygulama aracılığıyla bilinmeyen sayıda veri sorumlusu araç kiralama firmasıyla paylaşılmasının, yukarıdaki ilkelere aykırılık teşkil ettiği değerlendirilmiştir.

Kanunun 5. maddesinde kişisel verilerin işlenme şartları düzenlenmektedir. KVKK md. 5/1 hükmü kişinin açık rızası olmaksızın kişisel verilerinin işlenemeyeceğini söylemekteyken hükmün 2. fıkrasında;

a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Yukarıda sıralı şartlardan birinin bulunması durumunda kişinin açık rızası aranmaksızın kişisel verilerinin işlenebileceği düzenlenmektedir.

Kurul kararı yukarıda açıklanan KVKK md. 5/2 (f) hükmünde belirtilen “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması”. Durumunda, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek şartı koşulduğundan, kurul tarafından burada ilgili kişinin temel hak ve özgürlükleri ile veri sorumlusunun meşru menfaatleri arasında bir denge testi yapılması gerektiği değerlendirilmiştir.

Kurul 25/03/2019 tarihli ve 2019/78 sayılı karar özetinde meşru menfaatin tespitinde hangi hususların dikkate alınacağını aşağıdaki gibi ifade etmiştir;

Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin, bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması,

Madde kapsamında yapılan değerlendirme her ne kadar veri sorumlusu bünyesinde tutulan kara liste kaydının meşru menfaat kapsamında değerlendirileceği belirtilmişse de işlenen bu kişisel verilerin yazılımı kullanan diğer veri sorumlularına açılmasının temel hak ve özgürlüklere yönelik ihlal oluşturacağı ifade edilmiş ve bu kapsamda kanunun 5. maddesinin ihlal edildiği değerlendirilmiştir.

Bu açıklamalar doğrultusunda kurul; Kanun’un 12. maddesinde düzenlenen teknik ve idari tedbirlerin veri sorumlularınca alınması gerektiğini belirtmiş, “kara liste” uygulamasına başvuran veri sorumluları hakkında Kanun’un 18. maddesi kapsamında gerekli işlemleri gerçekleştireceğine ilişkin araç kiralama şirketleri ve diğer veri sorumluları uyarılmıştır.

Ortak Veri Sorumlusu Kavramının Değerlendirilmesi

Bu uygulamanın yukarıda sıralı ilkelere aykırı olduğuna karar veren Kurul, araç kiralama şirketleri ile yazılım şirketlerinin “ortak veri sorumlusu” olarak değerlendirileceklerini ifade etmiştir. “ortak veri sorumlusu” kavramı GDPR md. 26’da yer almasına karşın mevzuatımızda bu kavrama ilişkin bir düzenleme mevcut değildir. Kurul kararı bu bakımdan önem arz etmektedir. Ortak veri sorumlusu kavramı olay bazında, uygulamayı kendi menfaatleri için kullananlar ve yazılım şirketlerini beraber tanımlanmıştır ve kararda da bu kişiler bu kavramla nitelendirilmiştir.

GDPR md. 26’da, ortak veri sorumlusunu aşağıdaki şekilde tanımlamaktadır;

İki ya da daha fazla sayıda kontrolörün işleme amaçları ve yöntemlerini ortak bir şekilde belirlediği hallerde, bu kontrolörler ortak kontrolörlerdir. Ortak kontrolörler, kontrolörlerin ilgili sorumlulukları kontrolörün tabi olduğu Birlik veya üye devlet hukuku çerçevesinde belirlenmedikçe ve belirlendiği sürece, özellikle veri sahibinin haklarının kullanımı ve 13 ve 14. maddelerde atıfta bulunulan bilgi sağlama görevleri ile ilgili olarak bu Tüzük kapsamındaki yükümlülüklere uygunluğa ilişkin sorumluluklarını aralarındaki bir düzenleme vasıtasıyla şeffaf bir şekilde belirler. Düzenleme çerçevesinde veri sahiplerine yönelik bir temas noktası belirlenebilir.

  • Paragrafta atıfta bulunulan düzenleme ortak kontrolörlerin veri sahipleriyle karşılıklı rolleri ve ilişkilerini uygun şekilde yansıtır. Düzenlemenin mahiyeti veri sahibine sağlanır.
  • Paragrafta atıfta bulunulan düzenlemenin koşullarına bakılmaksızın, veri sahibi bu Tüzük kapsamındaki haklarını her kontrolör açısından ve her kontrolöre karşı kullanabilir.

GPDR kapsamında tanımı bulunsa da, mevzuatımızda henüz düzenlenmemiş olan “ortak veri sorumlusu” kavramına atıfta bulunulan kararda, kusurluluk haline hasıl olan taraflardan birini “araç kiralama şirketleri” olarak değerlendirmiştir. Kurul kararında, ortak veri sorumlusu olarak nitelendirdiği kişilerin kusurluluklarının belirlenmesinde;

  • Verinin ilk ve son kullanıcısının kim olduğu,
  • Veri girişini kimin yaptığı,
  • Söz konusu verinin hangi amaç doğrultusunda girildiği,
  • Bu verinin silinmesine, değiştirilmesine veya aktarılmasına kimin karar verdiği.

Veriyi toplayan dışında kalan veri sorumlularının bu veri ile hangi faaliyetleri gerçekleştirildiği gibi etkenlere dikkat edileceğini ifade etmiştir.

Kurul kararında, yukarıdaki değerlendirmeler dışında KVKK md. 11’de düzenlenen; işlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, hakkından da bahsetmektedir. Kurul, kara liste uygulamasının işbu madde kapsamında kişilere tanınan itiraz hakkını kullanmasının önüne geçtiğini belirtmiştir.

Kurul, kara liste uygulaması gibi uygulamaların, kişi hakkında olumsuz sonuca ulaşılmasına yol açacağını ve olumsuzun sonucunun bu uygulamaya işlenmesiyle kişi hakkında bu olumsuz sonuca göre karar verilmesi beraberinde yapılan profillemeyle ilgili kişi hakkında olumsuz sonuç çıkmasına karşın, araç kiralamak isteyen kişinin verilerinin paylaşıldığı diğer firmaları bilebilecek durumda olmamasının, yukarıda irdelenen 11. madde düzenlemesine aykırılık oluştuğuna kanaat etmektedir. Kurul tarafından söz konusu uygulamanın kişiye 11. madde kapsamında tanınan itiraz hakkını kullanmayı güçleştirdiği değerlendirilmiştir.

Bu hususta, mevzuatımızda düzenlenmemiş bir kavram ile hüküm kurulmuş olması karar alış tekniği açısından tartışmalıdır. Bu haliyle mevzuattan beslenmek yerine; yeni bir bakış açısı katılmış, kanunun amacı ve özü kapsamında değerlendirme yapılıp amaçsal bir yorumda bulunulmuştur.