20 Ocak 2022 tarihli ve 31725 sayılı Resmi Gazetede Kişisel Verileri Koruma Kurulunun (“Kurul”) 23/12/2021 Tarihli ve 2021/1304 Sayılı Kararı yayımlanmıştır. Kurul İlke kararı, araç kiralama sektöründeki “kara liste” uygulamalarına ilişkindir.
Kurul, kendisine gelen çok sayıda ihbar kapsamında, araç kiralama sektöründe kara liste uygulamasının söz konusu olduğunu tespit etmiştir. Kara liste uygulaması ile araç kiralama şirketlerinin araç kiralayan gerçek kişilerin, kiraladıkları araçları kullanırken meydana gelen olumsuzlukları ve diğer verileri içeren bir platform kurdukları ve bu platform üzerinden birbirlerine veri aktarımı sağladıkları tespit edilmiştir. Söz konusu platform, yazılım şirketleri tarafından kurulan SaaS (Software as a Service) hizmetidir ve bu kapsamda yazılımın yönetimi yazılım şirketinin yetkisi dahilinde olup, araç kiralama firmaları tarafından admin yetkisine sahip kullanıcılar atanarak araç kiralama firmaları tarafından sisteme içerik sağlanmaktadır. Bu kapsamda sisteme müşterilerin araç kiralama şirketiyle yaşadığı olumlu/olumsuz hususlar, varsa kiralanan araca verilen zararlar, ödeme sürecine ilişkin bilgiler vb. kişisel veriler aktarılmakta olduğu belirlenmiştir.
Kurul, araç kiralayan kişinin, müşterisi olduğu kiralama firmasına kiralama sözleşmesi kapsamında gerekli olan kişisel verileri sağladığı ancak bunun haricindeki yukarıda belirtilen kişisel verilerinin kara liste özelliği içeren yazılımlar vasıtasıyla müşterisi olduğu araç kiralama firması haricinde bilinmeyen sayıda kullanıcı ile paylaşıldığından haberi olmadığını belirtmiştir.
Bu tespitlerin ardından Kurul tarafından Kişisel Verileri Koruma Kanunu’nun (Kanun) kişisel veri işleme-aktarım şartları ile kişisel veri sahibinin hakları yönünden bir inceleme yapılmıştır. Bu kapsamda Kanun’un 5. Maddesi hükmü doğrultusunda, kişisel verilerin kişinin açık rızası olmaksızın işlemeyeceğine, 8. Madde hükmü ile verilerin, ilgili kişinin açık rızası olmaksızın aktarılamayacağına ve 12. Madde ile veri sorumlularının verilerin muhafazasını sağlamakla yükümlü olduğuna atıf yapılmıştır.
Kurul kararın devamında kara liste ve benzeri kişisel verilerin yalnızca ilgili araç kiralama şirketi tarafından işletme faaliyetleri ile sınırlı olacak şekilde işlenmesi ile bu bilgilerin yazılım firmaları aracılığı ile diğer araç kiralama şirketlerinin de bilgisine sunulması ilişkin farklı tespitlerde bulunmuştur. İlgili araç kiralama şirketinin kendi faaliyetleri çerçevesinde söz konusu kişisel verileri işlemesine ilişkin olarak 1774 sayılı Kimlik Bildirme Kanunu uyarınca araç kiralama faaliyetlerinde bulunanların kiralama faaliyetleriyle ilgili olarak kolluk kuvvetlerine bildirimde bulunma zorunluluğu olduğuna değinilmiştir. Bu kapsamda araç kiralama şirketlerinin Kiralık Araç Bildirim Sistemine giriş yapılması çerçevesinde müşterilerinin yukarıda belirtilen kişisel verilerini işlemelerinin Kanun ile açıkça öngörülmesi ve veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması şartlarını sağladığının değerlendirilebileceği belirtilmiştir. Bununla birlikte Kurul kara listede yer alan kişisel verilerin yalnızca ilgili işletme tarafından işlendiği durumlarda “meşru menfaat” şartı yönünden de bir değerlendirme de bulunmuş ve ilgili kişinin temel hak ve özgürlükleri ile veri sorumlusunun meşru menfaatleri arasında yapılacak denge testi neticesinde meşru menfaatin baskın geldiğine kanaat getiriliyorsa işletme faaliyetleri ile sınırlı olmak kaydıyla kara liste kaydı yapılabileceği belirtilmiştir. Ancak Kurul her somut olayda ayrıca değerlendirme yapılacağını da tespitlerine eklemiştir.
Kara listede yer alan firmaların yazılım firmaları aracılığı ile diğer araç kiralama şirketlerinin de bilgisine sunulması faaliyetlerinin ise “hukuka ve dürüstlük kuralına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme”, “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil edeceği belirtilmiştir.
Ayrıca Kurul, araç kiralama firmalarının kişisel verileri ilk elden toplayan veri sorumluları olduklarını belirtmiş ve kara liste uygulamasını kendi menfaatleri doğrultusunda kullanan araç kiralama şirketlerinin yazılım şirketleri ile beraber ortak veri sorumluluğunun ortaya çıkacağını belirtmiştir. Bu ortak veri sorumlularının sorumluluk ve kusur miktarlarının belirlenmesinde ise verinin ilk ve son kullanıcısının kim olduğu, veri girişinin kim tarafından yapıldığı, verinin değiştirilmesine, aktarılmasına kimin karar verdiği gibi hususların dikkate alınacağı belirtilmiştir.
Sonuç olarak, söz konusu kara liste uygulamasının Kanun’un 4. Maddesinde düzenlenen genel ilkelere aykırılık teşkil edeceğine, hukuka aykırı bu gibi hukuka aykırı uygulamaların sona ermesi gerektiğine ve bu kapsamda Kanun’un 12. Maddesi gereğince veri sorumlularının gerekli idari tedbirleri alması gerektiğine, aksi halde Kanun’un 18. Maddesi hükümlerince işlemlerin tesis edileceğine hükmedilmiştir.
Kararın tamamına aşağıdaki linkten ulaşabilirsiniz.
Comentários