Kişisel Verileri Koruma Kurulu’nun Araç Kiralama Sektöründeki Kara Liste Uygulamaları Hakkında İlke Kararı Değerlendirmeleri

KİŞİSEL VERİLERİ KORUMA KURULU’NUN ARAÇ KİRALAMA SEKTÖRÜNDEKİ KARA LİSTE UYGULAMALARI HAKKINDA İLKE KARARI DEĞERLENDİRMELERİ

Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 23 Aralık 2021 tarihli ve 2021/1304 sayılı ilke kararı (“Karar”) 20 Ocak 2022 tarihli Resmî Gazete’de yayımlanmış olup Karar çıktıları araç kiralama sektöründe “kara liste” yazılımlarına ve programlarına başvurulması ile ilgili ihbarlar üzerinde temellendirilmekle birlikte Kurul, General Data Protection Regulation (“GDPR”) düzenlemesinde tanımlanan ancak 6698 sy. Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ikincil mevzuatta düzenlemesi bulunmayan “ortak veri sorumlusu” (joint controllers) kavramını tanımış olması başta olmak üzere önemli birkaç noktada hatırlatmalarda bulunmuştur.

1. KARA LİSTE UYGULAMALARI

Bahsi geçen kara liste uygulamalarında araç kiralama yazılımcısı ile satıcı kişilerin kiralama firmalarına veya bu işi yapan gerçek kişilere “kara liste” özelliği içeren araç kiralama yazılımı sunduğu, bu yazılımlara kendi müşterileri ile araç kiralayan gerçek kişilerin kişisel verilerinin işlendiği, verilerin içerisinde araç kullanım süresince meydana gelen olumsuzlukların veya firmanın yorumlarının da bulunduğuna değinilmiş, nihayetinde araç kiralama firmasından yazılıma, yazılımdan da bu yazılımları kullanan diğer araç kiralama firmalarına kara listeye ilişkin bir veri akışı/paylaşımı sağlayan bir sistemin yapılandırıldığı ve araç kiralayan gerçek kişilerin ilgili durumdan haberdar olmadığı vurgulanmıştır.

2. ARAÇ KİRALAMA FAALİYETLERİNİN KVKK KAPSAMINDA DEĞERLENDİRİLMESİ

Karar’da Kurul’un her kararından alışık olunduğu üzere öncelikle kişisel verilerin açık rıza olmaksızın işlenemeyeceği ve buna ilişkin istisnaların açıklanması amacıyla Kanun’un ilgili maddelerine atıf yapılmış, ilgili kişilerin hakları ve veri sorumlularının madde 12 kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları hatırlatılmıştır.

Bu kapsamda araç kiralama faaliyetlerinin gerçekleştirilmesinde 1774 sy. Kimlik Bildirme Kanunu’nun ilgili maddeleri gereğince kolluk kuvvetlerine bildirme zorunluluğu ve Kiralık Araç Bildirim Sistemi’ne girişin gerekmesi nedeniyle veri sorumlularının kişisel veri işlemeleri, Kanun’un m.5/2/a-ç bendine dayandırılarak “kanunlarda açıkça öngörülmesi” ve “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hukuki sebepleri kapsamında değerlendirilmiş, taraflar arasındaki araç kiralama işi hakkında akdedilen sözleşme ise Kanun’un m.5/2/c bendine göre “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” istisnası içerisinde sayılmıştır.

3. ORTAK VERİ SORUMLUSU ve DİĞER ÖNE ÇIKAN BAŞLIKLAR

Kurul, kara liste benzeri veri kayıtları bakımından kişisel verilerin işletme faaliyetleri ile sınırlı olarak işlenmesi ile yazılım firmaları aracılığıyla diğer veri sorumlularına açılmasının farklılık arz edeceğini belirtmiştir. Bu kapsamda, “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme şartı ile veri sorumlusunun meşru menfaatleri arasında bir denge testi yapılması gerektiği, meşru menfaatin baskın çıkması halinde ise işletme faaliyetleri ile sınırlı kalmak, diğer bir ifadeyle veri sorumlusunun bünyesinde kalması koşuluyla kara liste kaydı yapılmasının somut olaya göre uygulanabilir olabileceğini değerlendirmiştir.

Bu noktada işlenen verilerin diğer veri sorumlularına açılmasının ise ilgili kişinin temel hak ve özgürlüklerini ihlal etmeme şartını sağlamayacağının, Kanun’da düzenlenen genel ilkelerden özellikle “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme”, “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil edeceği ve bu nedenle kapsam dahilinde sayılamayacağının altı çizilmiştir.

Söz konusu uygulamada da işlenen verilerin veri sorumlusunun bünyesi ile sınırlı kalmadığı, yazılıma aktarılan kişisel verilere yazılımı kullanan diğer araç kiralama firmalarının da erişim sağlayabildiği ve veri üzerinde hakimiyetleri olduğu dikkate alındığında, kara liste kaydını kendi menfaatleri doğrultusunda kullanan araç kiralama şirketleri ile yazılım şirketlerinin ortak veri sorumluluğunun ortaya çıkacağı değerlendirilmiştir.

Ortak veri sorumluluğu, GDPR madde 26’da düzenlenmekte ve “iki ya da daha fazla sayıda veri sorumlusunun işleme amaçları ve yöntemlerini ortak bir şekilde belirlediği hallerde” bu kişiler ortak veri sorumluları olarak tanımlanmaktadır. GDPR’a göre, bu veri sorumlularından yalnızca birisinin verilere erişebilmesi yeterlidir. İlgili kararda da Kurul’un bu kavramı iç hukukumuza uyarladığı görülmektedir.

Kurul, ortak veri sorumlularının sorumluluk ve kusur miktarlarının belirlenmesi açısından süreçlerin incelenmesi, söz konusu veri üzerindeki kontrolün tespitinin gerektiği üzerinde durmuştur. Kusur oranı belirlenirken veri girişinin kim tarafından yapıldığı, işleme amaçları, veriyi toplayan veri sorumlusu dışında verilere erişim sağlayan veri sorumlularının veri ile hangi faaliyetleri gerçekleştirdikleri gibi etkenlerin ölçüt alınarak ilgili kişinin hakları bakımından da değerlendirme yapılacağı açıklanmıştır.

Kara liste uygulamalarının doğası gereği kişi hakkında olumsuz yargılara yönlendireceği, bu durumun profilleme kapsamında olmasının muhtemel olduğu gözlemlenmiş, bu neticede ilgili kişilerin kişisel verilerinin paylaşıldığı diğer araç kiralama firmaları hakkında bilgi sahibi olamaması nedeniyle Kanun’dan kaynaklanan ilgili kişi haklarını da ileri süremeyeceği açıkça ortaya koyulmuştur.

Ayrıca gerçekleştirilen profilleme faaliyetinin merkezi yazılım aracılığıyla kaç araç kiralama firmasına veya hangi kişi ve kurumlarca aktarıldığı net olarak bilinmemektedir. Bu nedenle Kanun’un 11/1/g bendinde yer alan ilgili haklarından “işlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme” başta olmak üzere ilgili kişilerce diğer hakların da kullanılmasının önüne geçildiği hatta engellendiği yorumu yapılabilecektir.

Bu kapsamda Kurul; Kanun’un 4. maddesi çerçevesinde genel ilkelere, 5. maddesi çerçevesinde işleme şartlarına ve 8. maddesi kapsamında aktarıma ilişkin hükümlere aykırı olarak araç kiralama sektöründe kara liste uygulamaları kapsamında kişisel verilerin işlenmesi halinde, söz konusu veriler üzerinde hakimiyeti bulunan araç kiralama şirketlerinin yazılım şirketleri ile ortak veri sorumlusu olarak değerlendirileceklerine ve hukuka aykırı bu uygulamalara son verilerek kişisel verilerin işlenme süreçlerinin Kanun’a uygun olmasını teminen gerekli idari ve teknik tedbirlerin veri sorumluları tarafından alınmasına, hükmetmiştir.

4. SONUÇ

Yukarıda incelemesi yapılan Kurul kararı yaşayan bir mevzuat olan kişisel verilerin korunması ve bağlı süreçleriyle ilgili yönlendirme yapmaktadır. Şöyle ki;

1. Mevzuatımızda düzenlenmemiş bir kavram olan “ortak/müşterek veri sorumlusu” kavramı bir bağımsız idari otorite kararı ile iç hukukumuza uyarlanmış ve kabul edilmiştir. GDPR ekseninde hareket eden Kanun ve Kurul uygulamaları incelendiğinde bunun bir sürpriz olmadığı söylenebileceği gibi hukuk tekniği ve yöntemi bakımından alınan karar eleştirilere açıktır. GDPR yurt dışına veri aktarılmasına yönelik hükümlerin esas alınarak Kanun’da da gerekli değişikliklerin yapılmasına ilişkin 31.3.2022 hedefli Kanun güncellemesinde bu konunun ele alınıp alınmadığı takip edilmelidir.
2. İlke Kararı, SaaS (software as a service) ve buna benzer hizmetler sunan kişi ve kurumları doğrudan ilgilendirmektedir. Karar’da yer verilen sorumluluk halleri, fiili uygulamaya indirgendiğinde yazılım sağlayıcıların çalışmalarını bundan sonra çok daha özenli ve tasarımda gizlilik (privacy by design/privacy by default) ekseninde gerçekleştirmeleri gerektiğine işaret etmektedir. Bu husus teknik ve kurumsal mimari tasarımı açısından süreç işleyişine eklenecek bir kontrol maddesi olmalıdır. Bu kapsamda mevcut uygulamamızda veri sorumlusu ve veri işleyen arasında görülen müşterek sorumluluk hallerinin, İlke Kararı uyarınca ortak/müşterek veri sorumluluğu hallerini de kapsayacak şekilde genişlediği söylenebilecektir.
3. Karar’da Kişisel verilerin işlenmesinde dayanılan hukuki sebeplerden garanti klozu olarak nitelendirilebilecek Kanun’un m.5/2/f bendi uyarınca “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” yorumlanırken denge testi yapılması gerektiği ile hem veri sorumlusunun hem ilgili kişinin meşru menfaatinin yoruma tabi tutulması gerektiği belirtilmiştir. Bu kapsamda bundan sonra m.5/2/f gerekçelendirmelerinin kolayca yapılamayacağı ve Kurul’un ilgili kişi lehine olan tutumunu güçlendirdiği söylenebilecektir.
4. Yine ilgili kişi menfaatlerini koruyucu şekilde ilgili kişinin hak arama yöntemleri hem genel hem de özel surette sayılmış ve Kurul tarafından veri sorumlularının ilgili kişinin hak arama yöntemlerine gerek doğrudan veya kasıtla gerek dolaylı veya ihmalen kastedecek uygulamaların yaptırıma tabi olabileceği söylenebilecektir.
5. “Bir ürün veya hizmet şartına bağlanmış rıza” meselesindeki tartışmalara benzer şekilde “profillemenin sınırları”na da Karar kapsamında yeniden değinilmiş olduğu görülmekte, meşru menfaat denge testi uyarınca veri sorumlusunun meşru menfaatinin baskın gelmesi durumunda işletme faaliyetleri ile sınırlı olmak kaydıyla; sadece veri sorumlusunun kendi bünyesinde kalacak şekilde profillemenin uygulanabilir olduğu yönünde kanaat açıklanmıştır.

Bu kapsamda ele alınan profilleme uygulamalarının gizlilik tasarımı ve mimarisi (privacy by design/privacy by default) kapsamında dikkatle ele alınarak veri sorumluları tarafından uygulanabileceği söylenebilecektir.