Araç kiralama sektöründeki "kara liste" uygulamalarinin KVKK'ya aykiri olduguna dair Kisisel Verileri Koruma Kurumu ilke karari yayimlamistir.

Kisisel Verileri Koruma Kurulu'nun 20.01.2022 tarihli Resmi Gazete'de yayimlanan ilke karari ile, araç kiralama sektöründe kullanilan "kara liste" uygulamasinin KVKK'na aykirilik içerdigi tespit edilmistir. Kiralama isleminin gerçeklesmesinin ardindan yasanmis veya yasanabilecek olan olumsuz durumlarla ilgili tespitler ve notlar içeren uygulamanin, sirketler tarafindan ortak olarak kullanildigi ve bu sebeple herhangi bir firmayla anlasan kisinin bilgilerinin rizasi disinda sektördeki firmalara aktarildigi tespit edilmis ve kararda belirtilmistir. Bu durumun, Kanun'un 4. maddesinde belirtilen, kisisel verilerin islenmesindeki önemli bir denetim mekanizmasi olan asagidaki ilkelere aykiri olduguna kanaat getirilmistir.

  • Hukuka ve dürüstlük kurallarina uygun olma.
  • Belirli, açik ve mesru amaçlar için islenme.
  • Islendikleri amaçla baglantili, sinirli ve ölçülü olma.

Araç kiralama firmasi tarafindan islenen kisisel verilerin, verilen karara konu uygulama araciligiyla bilinmeyen sayida veri sorumlusu araç kiralama firmasiyla paylasilmasinin, yukaridaki ilkelere aykirilik teskil ettigi degerlendirilmistir.

Kanunun 5. maddesinde kisisel verilerin islenme sartlari düzenlenmektedir. KVKK md. 5/1 hükmü kisinin açik rizasi olmaksizin kisisel verilerinin islenemeyecegini söylemekteyken hükmün 2. fikrasinda;

a) Kanunlarda açikça öngörülmesi.
b) Fiili imkânsizlik nedeniyle rizasini açiklayamayacak durumda bulunan veya rizasina hukuki geçerlilik taninmayan kisinin kendisinin ya da bir baskasinin hayati veya beden bütünlügünün korunmasi için zorunlu olmasi.
c) Bir sözlesmenin kurulmasi veya ifasiyla dogrudan dogruya ilgili olmasi kaydiyla, sözlesmenin taraflarina ait kisisel verilerin islenmesinin gerekli olmasi.
ç) Veri sorumlusunun hukuki yükümlülügünü yerine getirebilmesi için zorunlu olmasi.
d) Ilgili kisinin kendisi tarafindan alenilestirilmis olmasi.
e) Bir hakkin tesisi, kullanilmasi veya korunmasi için veri islemenin zorunlu olmasi.
f) Ilgili kisinin temel hak ve özgürlüklerine zarar vermemek kaydiyla, veri sorumlusunun mesru menfaatleri için veri islenmesinin zorunlu olmasi.

Yukarida sirali sartlardan birinin bulunmasi durumunda kisinin açik rizasi aranmaksizin kisisel verilerinin islenebilecegi düzenlenmektedir.

Kurul karari yukarida açiklanan KVKK md. 5/2 (f) hükmünde belirtilen "Ilgili kisinin temel hak ve özgürlüklerine zarar vermemek kaydiyla, veri sorumlusunun mesru menfaatleri için veri islenmesinin zorunlu olmasi". Durumunda, ilgili kisinin temel hak ve özgürlüklerine zarar vermemek sarti kosuldugundan, kurul tarafindan burada ilgili kisinin temel hak ve özgürlükleri ile veri sorumlusunun mesru menfaatleri arasinda bir denge testi yapilmasi gerektigi degerlendirilmistir.

Kurul 25/03/2019 tarihli ve 2019/78 sayili karar özetinde mesru menfaatin tespitinde hangi hususlarin dikkate alinacagini asagidaki gibi ifade etmistir;

"Mesru menfaat belirlenirken söz konusu yararin çok sayida kisiyi etkilemesi, yalnizca kâr elde edilmesi ya da ekonomik yararin saglanmasi amacina yönelik olmamasi, is süreçlerini ya da bir isleyisi kolaylastirmasi (örnegin, bir birim ya da az sayida personel nezdinde degil, kurumsal olarak geneli etkileyecek sekilde) gibi seffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alinmasi,"

Madde kapsaminda yapilan degerlendirme her ne kadar veri sorumlusu bünyesinde tutulan kara liste kaydinin mesru menfaat kapsaminda degerlendirilecegi belirtilmisse de islenen bu kisisel verilerin yazilimi kullanan diger veri sorumlularina açilmasinin temel hak ve özgürlüklere yönelik ihlal olusturacagi ifade edilmis ve bu kapsamda kanunun 5. maddesinin ihlal edildigi degerlendirilmistir.

Bu açiklamalar dogrultusunda kurul; Kanun'un 12. maddesinde düzenlenen teknik ve idari tedbirlerin veri sorumlularinca alinmasi gerektigini belirtmis, "kara liste" uygulamasina basvuran veri sorumlulari hakkinda Kanun'un 18. maddesi kapsaminda gerekli islemleri gerçeklestirecegine iliskin araç kiralama sirketleri ve diger veri sorumlulari uyarilmistir.

Ortak Veri Sorumlusu Kavraminin Degerlendirilmesi

Bu uygulamanin yukarida sirali ilkelere aykiri olduguna karar veren Kurul, araç kiralama sirketleri ile yazilim sirketlerinin "ortak veri sorumlusu" olarak degerlendirileceklerini ifade etmistir. "ortak veri sorumlusu" kavrami GDPR md. 26'da yer almasina karsin mevzuatimizda bu kavrama iliskin bir düzenleme mevcut degildir. Kurul karari bu bakimdan önem arz etmektedir. Ortak veri sorumlusu kavrami olay bazinda, uygulamayi kendi menfaatleri için kullananlar ve yazilim sirketlerini beraber tanimlanmistir ve kararda da bu kisiler bu kavramla nitelendirilmistir.

GDPR md. 26'da, ortak veri sorumlusunu asagidaki sekilde tanimlamaktadir;

Iki ya da daha fazla sayida kontrolörün isleme amaçlari ve yöntemlerini ortak bir sekilde belirledigi hallerde, bu kontrolörler ortak kontrolörlerdir. Ortak kontrolörler, kontrolörlerin ilgili sorumluluklari kontrolörün tabi oldugu Birlik veya üye devlet hukuku çerçevesinde belirlenmedikçe ve belirlendigi sürece, özellikle veri sahibinin haklarinin kullanimi ve 13 ve 14. maddelerde atifta bulunulan bilgi saglama görevleri ile ilgili olarak bu Tüzük kapsamindaki yükümlülüklere uygunluga iliskin sorumluluklarini aralarindaki bir düzenleme vasitasiyla seffaf bir sekilde belirler. Düzenleme çerçevesinde veri sahiplerine yönelik bir temas noktasi belirlenebilir.

  • Paragrafta atifta bulunulan düzenleme ortak kontrolörlerin veri sahipleriyle karsilikli rolleri ve iliskilerini uygun sekilde yansitir. Düzenlemenin mahiyeti veri sahibine saglanir.
  • Paragrafta atifta bulunulan düzenlemenin kosullarina bakilmaksizin, veri sahibi bu Tüzük kapsamindaki haklarini her kontrolör açisindan ve her kontrolöre karsi kullanabilir.

GPDR kapsaminda tanimi bulunsa da, mevzuatimizda henüz düzenlenmemis olan "ortak veri sorumlusu" kavramina atifta bulunulan kararda, kusurluluk haline hasil olan taraflardan birini "araç kiralama sirketleri" olarak degerlendirmistir. Kurul kararinda, ortak veri sorumlusu olarak nitelendirdigi kisilerin kusurluluklarinin belirlenmesinde;

  • Verinin ilk ve son kullanicisinin kim oldugu,
  • Veri girisini kimin yaptigi,
  • Söz konusu verinin hangi amaç dogrultusunda girildigi,
  • Bu verinin silinmesine, degistirilmesine veya aktarilmasina kimin karar verdigi.

Veriyi toplayan disinda kalan veri sorumlularinin bu veri ile hangi faaliyetleri gerçeklestirildigi gibi etkenlere dikkat edilecegini ifade etmistir.

Kurul kararinda, yukaridaki degerlendirmeler disinda KVKK md. 11'de düzenlenen; islenen kisisel verilerin münhasiran otomatik sistemler vasitasiyla analiz edilmesi suretiyle kisinin kendisi aleyhine bir sonucun ortaya çikmasina itiraz etme, hakkindan da bahsetmektedir. Kurul, kara liste uygulamasinin isbu madde kapsaminda kisilere taninan itiraz hakkini kullanmasinin önüne geçtigini belirtmistir.

Kurul, kara liste uygulamasi gibi uygulamalarin, kisi hakkinda olumsuz sonuca ulasilmasina yol açacagini ve olumsuzun sonucunun bu uygulamaya islenmesiyle kisi hakkinda bu olumsuz sonuca göre karar verilmesi beraberinde yapilan profillemeyle ilgili kisi hakkinda olumsuz sonuç çikmasina karsin, araç kiralamak isteyen kisinin verilerinin paylasildigi diger firmalari bilebilecek durumda olmamasinin, yukarida irdelenen 11. madde düzenlemesine aykirilik olustuguna kanaat etmektedir. Kurul tarafindan söz konusu uygulamanin kisiye 11. madde kapsaminda taninan itiraz hakkini kullanmayi güçlestirdigi degerlendirilmistir.

Bu hususta, mevzuatimizda düzenlenmemis bir kavram ile hüküm kurulmus olmasi karar alis teknigi açisindan tartismalidir. Bu haliyle mevzuattan beslenmek yerine; yeni bir bakis açisi katilmis, kanunun amaci ve özü kapsaminda degerlendirme yapilip amaçsal bir yorumda bulunulmustur.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.