Aylık Bülten

Kişisel Verileri Koruma Kurumu tarafından hazırlanan, Araç Kiralama Sektöründeki Kara Liste Uygulamaları Hakkında İlke Kararı 20 Ocak 2022 tarihinde, 31725 sayılı Resmi Gazete’de yayımlanmıştır.

İlke kararının amacı; araç kiralama sektöründeki kara liste uygulamalarının yazılım firmaları vasıtasıyla diğer veri sorumlularına aktarmanın hukuki durumunu değerlendirmek ve ilgililerin sorumluluklarının niteliğini belirlemektir.

Küçükislamoğlu Partners olarak araç kiralama sektöründeki kara liste uygulamalarına ilişkin Kurul’un ilke kararını sizler için özetledik.

İlgili İlke kararını ticari dikkatinize sunmadan önce İlke Kararı’nın hukuki niteliğinden bahsedilmesi gerekmektedir. Kişisel Verilerin Korunması Kanunu'nun (“KVKK” veya “Kanun”) 15 inci maddesine göre, Kişisel Verileri Koruma Kurulu şikayet üzerine veya resen yaptığı inceleme sonucunda, herhangi bir ihlalin yaygın olduğunu tespit etmesi halinde “İlke Kararı” alma yetkisine sahiptir. Veri Sorumlusu sıfatıyla Müvekkil Şirket’in kişisel verileri İlke Kararı uyarınca hukuka uygun olarak işlemesi ve aktarması gerekmektedir.

23.12.2021 Tarihli ve 2021/1304 Karar Sayılı Kurul Kararı

Kurul’un KVKK m.  15 çerçevesinde  yürüttüğü incelemeler  sonucu araç kiralama sektöründe “kara liste” yazılımlarına/ programlarına/uygulamalarına başvurulduğu görülmüştür.

Araç kiralama sektöründe kullanılan “kara liste” uygulamaları ile,

• » Araç kiralama yazılımcısı ve satıcısı kişilerin araç kiralama firmalarına “kara liste” özelliğe de içeren araç kiralama yazılımları sundukları,
• » Araç kiralama firmaları tarafından söz konusu yazılımlara kendi müşterileri olan araç kiralayan gerçek kişilerin kişisel verilerinin işlendiği; işlenen veriler arasında araçların kullanım sürecinde meydana gelen olumsuzlukları veya araç kiralama firmasının yorumlarını da içeren “kara liste” bilgilerinin yeraldığı,
• » Bu bilgilerin araç kiralama firmaları tarafından sonraki kiralamalar için karar verirken kullanılmak üzere işlendiği,
• » Öte yandan bahse konu yazılımların, bir araç kiralama firmasının kendi girdiği verileri diğer araç kiralama firmalarına da açmasına da olanak veren sistemler tasarlandığı,
• » Dolayısıyla araç kiralama firmasından yazılıma, yazılımdan ise söz konusu yazılım kullanan diğer araç kiralama firmalarına kara listeye ilişkin veri akışı/paylaşımı sağlayan bir sistem oluşturulduğu, araç kiralayan ilgili kişilerin kişisel verilerinin de böylece karşılıklı olarak paylaşılmakta olduğu,
• » Genel olarak yazılım şirketleri tarafından sunulan hizmetin, SaaS (Software as aService) şeklinde olduğu, SaaS hizmetinin gereği olarak veri tabanı yazılımın yönetiminin yazılım şirketlerinde olup araç kiralama firmalarında gerektiğinde teknik destek geliştirme sağlayabilmesi için yazılım şirketlerinde admin yetkisine sahip kullanıcıların atandığı, sunulan hizmete türü hazır SaaS hizmeti olduğundan kaynak kod halinde sunulmadığı, araç kiralama firmalarının yazılım kodlarına müdahalesine izin verilmediği, sebeple araç kiralama firmalarının yetkilerinin içerik sağlamakla sınırlı olduğu,
• » Araç kiralayan gerçek kişinin, müşterisi olduğu araç kiralama firmasına kiralama sözleşmesi kapsamında gerekli olan kişisel verilerini sağlarken, süreçte firmaya sağladığı verilerin, firma ile yaşadığı olumlu/olumsuz ilişkinin, araca verdiği zarar, ödeme sürecinde yaşanan sorunlar gibi kişisel haricinde bilinmeyen sayıda kullanıcı ile paylaşıldığına dair bilgi sahibi olmadığı anlaşılmıştır.

Kanun maddesi uyarınca, müşterilere ait kişisel verilerin üçüncü kişilere aktarılması halinde ilgili kişilerden açık rıza alınması gerekmektedir. Kanun 'un 11'inci maddesi ilgili kişinin hakları düzenlemekte olup maddenin 1 (g) bendi, "işlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme” hakkını içermektedir.

Kanunun 12 inci maddesinde Veri Sorumlusu sıfatıyla Müvekkil Şirket’in; kişisel verilerin hukuka aykırı olarak işlenmesini ve aktarılmasını önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları hüküm altına alınmıştır.

Bununla birlikte Veri Sorumlularının kişisel verileri işleme şartları “Kişisel verileri işlenme şartları” başlıklı Kanun’un 5. maddesinde tahdidi olarak sayılmaktadır.

İlke kararında üzerine  hüküm kurulan bentler şu şekildedir:

• a) kanunda açıkça öngörülmesi,
• c) bir sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• ç) veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
• f) ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde mümkündür.

Kurul İlke Kararında; Veri Sorumlularının 1774 sayılı Kimlik Bildirme Kanunu uyarınca araç kiralama faaliyetini kolluk kuvvetlerine bildirmekle yükümlü olduğunu belirtmektedir.  Yapılacak bildirim Kiralık Araç Bildirim Sistemi (KABİS) aracılığıyla yapılmaktadır. Veri Sorumlularının Kiralık Araç Bildirim Sistemine (KABİS), kiralayan kişilere ait kişisel verileri işlemeleri ilgili maddenin a ve ç bendi uyarınca yapılmaktadır.

İlgili maddenin f bendi uyarınca ise; kara liste ve benzeri veri kayıtları bakımından kişisel verilerin işleme faaliyeti çerçevesinde Veri Sorumlusu’nun yalnızca kendi adına işlemesi ile yazılım firmaları aracığıyla diğer Veri Sorumlularının görebileceği şekilde işlenmesi arasında farklılık olabileceği hususları değerlendirilmiştir. Zira Kurul, araç kiralayan ilgili kişinin temel hak ve özgürlükleri ile Veri Sorumlusu’nun meşru menfaatinin kıyaslanmasıyla bir sonuca varılması gerektiği kanaatindedir.

Kurul kararına konu somut olayda, Veri Sorumlusu’nun meşru menfaati ile araç kiralayan ilgili kişinin temel hak ve özgürlükleri arasında yapılacak denge testi sonucunda meşru menfaatin baskın gelmesi durumunda, işletme faaliyetleri ile sınırlı olmak kaydıyla Veri Sorumlusu bünyesinde kara liste kaydı yapılması somut olaya göre hukuka uygundur. Ancak Kurul somut olayda işlenen kişisel verilerin aynı yazılımı kullanan diğer araç kiralama firmalarına açılması halinde müşterinin temel hak ve özgürlüklerinin ihlal edileceği sonucuna varmıştır. Ayrıca bir araç kiralama firmasının işlediği kişisel verileri yazılım vasıtasıyla bilinmeyen sayıda araç kiralama firmasıyla paylaşmasının “belirli, açık ve meşru amaçlar için işlenme”, “hukuka ve dürüstlük kuralına uygun olma” ve “amaçla bağlantılı şekilde sınırlı ve ölçülü olma” ilkelerinin tümüne aykırılık teşkil ettiği sonuç ve kanaatine varmıştır. Araç kiralayan ilgili kişinin kara liste uygulaması dolayısıyla kişisel verilerinin işlenmesi olumsuz sonuçlara da yol açabileceğinden ve verilerinin paylaşıldığı diğer araç kiralama firmalarının kim olduğunun dahi bilebilecek durumda olmaması nedeniyle kanundan kaynaklanan haklarını kullanmasının önüne engel teşkil ettiğinden,  bahse konu uygulamalar hukuka aykırılık yaratacaktır.

İlke Kararını özetlemek gerekirse;

1. Mevzuat hükümlerine aykırı olarak kişisel verilerin işlenmesi halinde, söz konusu veriler üzerinde hakimiyeti bulunan araç kiralama şirketlerinin yazılım şirketleri “Ortak Veri Sorumlusu” olarak değerlendirileceklerine,
2. Hukuka aykırı gibi uygulamalara son verilerek, kanuna uygun gerekli teknik ve idari tedbirlerin Veri Sorumluları sıfatıyla Müvekkil Şirket tarafından alınması gerektiği,
3. Söz konusu tedbir önlemleri almaksızın kara liste uygulamasına devam eden Sorumlusu sıfatıyla Müvekkil Şirket hakkında idari para cezası uygulanacağına,

oybirliği ile karar verilmiştir.

Veri Sorumlu sıfatıyla Müvekkil Şirket’in araç kiralama eylem ve işlemlerine ilişkin uygulamada dikkate alması gereken hususlar yukarıda açıklanmıştır. Açıklanan hususlara ilişkin uygulamada dikkatinizi rica ederiz.

Saygılarımızla,

Küçükislamoğlu Partners