Karar Konusu
Araç kiralama firmalarının, araç kiralama yazılımcısı ve satıcısı kişilerin kendilerine sattığı araç kiralama yazılımlarına, müşterilerinin kişisel verilerini işlediği ve işlenilen veriler arasında sonraki kiralamalarda karar verilmek amacı ile araç kiralayan kişilerin araç kullanım sürecinde meydana gelen olumsuzlukları veya araç kiralama firmasının yorumlarını da içeren “kara liste” bilgilerinin yer aldığı tespit edilmiştir. Bununla birlikte, yazılımın “kara listeleri” diğer araç kiralama firmalarıyla paylaşılmasına olanak sağladığı tespit edilmiştir. Yazılım şirketinin sunduğu bu hizmetin, SaaS (Software as a Service) şeklinde olduğu, SaaS hizmetinin doğası gereği veri tabanı ve yazılımın yönetiminin yazılım şirketlerinde olduğu, araç kiralama firmalarının yazılım kodlarına müdahalesine izin verilmediği ve araç kiralama firmalarının yetkilerinin içerik sağlamakla sınırlığı olduğu da ifade edilmiştir. İlgili kişilerin kiralama sözleşmesi kapsamında araç kiralama şirketine sağladığı verilerin yanı sıra kiralama sürecinde ortaya çıkan durumlara (şirket ile yaşanılan olumlu/olumsuz ilişki, araca verilen zarar vb.) ilişkin kişisel verilerinin bir sonraki araç kiralamasına etki edecek şekilde kara liste uygulamasında tutulduğuna, bu listenin diğer araç kiralama firmalarıile paylaşıldığına dair bilgisinin olmadığı da tespit edilmiştir.
Kurul Görüşü
Kurul, 1774 sayılı Kimlik Bildirme Kanunu kapsamında araç kiralama faaliyetlininkolluk kuvvetlerine bildirme zorunluluğu gereği araç kiralama firmalarının, Kiralık Araç Bildirim Sistemine (KABİS) veri girişi yapmaları sürecinde kişisel verileri, Kişisel Verileri Korunması Kanunun (“Kanun”) m.5/a bendi kapsamında “Kanunlarda açıkça öngörülmesi” ve ç bendi uyarıca “veri sorumlusunun hukuki yükümlülüğü” şartı ile işleyebileceğini belirtmiştir. Yine araç kiralama sürecinde taraflar arasında yapılan sözleşme kapsamında kişisel verilerin işlenmesinin Kanun m.5/2-c bendinde sözleşmenin kurulması ve ifası doğrultusunda işlenebileceği ifade edilmiştir.
Kara liste benzeri veri kayıtlarının ise, kişisel verilerin işlenmesi faaliyetleri ile sınırlı olmak üzere Kanun m.5/2-c uyarınca, kişisel verilerin ilgili kişinin temel hak ve özgürlükleri ile veri sorumlusunun meşru menfaati arasında yapılacak denge testi sonucunda meşru menfaatin baskın gelmesi durumunda işlenebileceği ve kara liste uygulamalarının her somut olaya göre değerlendirilebileceği belirtilmiştir. Öte yandan söz konusu bu listenin aynı yazılımı kullanan diğer veri sorumluları ile paylaşılması halinde ise Kurul, ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmeme şartını karşılamayacağından bahisle aktarımın, veri sorumlusunun meşru menfaati kapsamında değerlendirilemeyeceğine karar vermiştir.
Tüm bunlarla birlikte, kişisel verilerin söz konusu yazılım aracılığı ile bilinmeyen sayıda araç kiralama firması ile paylaşılmasının Kanun’un kişiselveri işlemenin genel ilkelerini düzenlediği m. 4 kapsamında, “hukuka vedürüstlük kuralına uygun olma”, “belirli, açık ve meşru amaçlar için işleme”, “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil edeceği de belirtilmiştir.
Kurul işbu İlke Kararı ile kara liste uygulamalarında, araç kiralama firmalarının gerçek kişi müşteriden kişisel verileri ilk elden toplayan veri sorumluları olduğunu, yazılımı ve kara liste kaydını kendi menfaatleri doğrultusunda kullanan diğer araç kiralama firmaları ile yazılım şirketlerinin ortak veri sorumlusu olacağını belirterek ilk defa “ortak veri sorumlusu” nu tanımıştır. Bu doğrultuda, ortak veri sorumlularına ilişkin sorumluluk ve kusur miktarının belirlenmesi açısından olay bazında veri işleme süreçlerinin incelenmesi, kusurun ve söz konusu veri üzerindeki kontrolün kimde oluğunun tespit edilmesi gerekliliği de ifade edilmiştir. Kusur bakımından yapılanin celemede, işlenen verinin ilk ve son kullanıcısının kim olduğu; veri girişinin kimin yaptığı; hangi amaç ile söz konusu verinin girildiği; verilerin değiştirilmesine, silinmesine veya aktarılmasına kimin karar verdiği; veri toplayan dışında kalan veri sorumlularının bu veri ile hangi faaliyetleri gerçekleştirdiği vb. kıstaslarının değerlendirilmesi gerekliliğine kararverilmiştir.
Son olarak, söz konusu bu uygulamanın ilgili kişinin Kanun’un m.11’de belirlenen haklarını kullanmasında engel teşkil edeceğinin de altı çizilmiştir.
Sonuç
Yukarıda belirtilen değerlendirilmeler doğrultusunda,
- Kanun’un m.4’de düzenlenen genel ilkelerine, Kanun’un m.5’te düzenlenen veri işleme şartlarına ve Kanun’un m.8’de belirtilen aktarıma ilişkin hükümlerine aykırı kişisel verilerin işlendiği, ve bu süreçte hakimiyeti bulunan araç kiralama şirketlerinin yazılım şirketleri ile ortak veri sorumlusu olarak değerlendirileceğine,
- Hukuka aykırı bu uygulamalara son verilmek üzere Kanun m.12’de düzenlenen gerekli teknik ve idari tedbirlerin veri sorumlularınca alınması gerektiğine,
- Gerekli önlemleri almaksızın ve Kanun hükümlerine aykırı şekilde araç kiralama sektöründe kara liste uygulamasına başvuran veri sorumluları hakkında Kanun m. 18 uyarınca işlem tesis edileceği hususunda kamuoyunu bilgilendirilmesine,
karar verilmiştir.
HUKUKİ UYARILAR VE BİLDİRİMLER
1. Mesleki Düzenlemeler
DL Avukatlık Bürosu’nun avukatları İstanbul Barosu üyesi olup Avukat unvanını taşımaktadırlar ve İstanbul Barosu ile Türkiye Barolar Birliği tarafından çıkarılan mesleki düzenlemelere bağlı faaliyet göstermektedirler.
2. Hukuki Uyarı
Bu internet sitesinde yayımlanan içerikler sadece bilgilendirme amaçlı olarak hazırlanmış olup herhangi bir şekilde hukuki görüş olarak kullanılmamalıdır. Bu site ve içerdiği bilgilerin avukat-müvekkil ilişkisi kurma amacı bulunmamaktadır. DL Avukatlık Bürosu ve avukatları doğru ve tam bilgi temin etmeyi amaçlamış olup, yayımlanan içerikler mevzuat değişikliği veya yeni tarihli yargı kararları nedeniyle güncelliğini yitirebilir ve yürürlükte olan yasal gelişmelerin son halini yansıtmayabilir. DL Avukatlık Bürosu bu internet sitesinde bulunan içerikleri dilediği zaman değiştirme ve gözden geçirme hakkını saklı tutar.
Bu internet sitesinde bulunan hiçbir içerik herhangi bir olaya özgülenebilecek hukuki danışmanlık yerine geçmez. Kullanıcı bu internet sitesine girerek, DL Avukatlık Bürosunu ve avukatlarını işbu internet sitesinde bulunan bilgilere dayanarak hareket etmesi sonucu meydana gelen herhangi bir zarar veya ziyandan sorumlu tutmayacağını kabul etmektedir.
Bu internet sitesinde yer alan tüm bilgiler, Türkiye Barolar Birliği’nin Meslek Kuralları ve ilgili mevzuatına bağlı kalınarak ve ilgili mevzuatla reklam yasağına ilişkin düzenlemelere uygun olarak hazırlanmıştır. İnternet sitesini ziyareteden tüm kullanıcılar, Kullanım Koşulları'nda yer alan düzenlemeleri kabul etmiş sayılırlar.
3. Fikri Mülkiyet Hakları
Bu internet sitesinde yayımlanan içerikler DL Avukatlık Bürosu’nun malik veya lisans sahibi olduğu telif hakkı ve/veya diğer fikri mülkiyet hakları uyarınca koruma altındadır. İşbu internet sitesinin içeriği DL Avukatlık Bürosu’nun yazılı izni olmaksızın kısmen ya da tamamen kopyalanamaz, dağıtılamaz, kullanılamaz ya da değiştirilemez. Bu onay DL Avukatlık Bürosu ile info@dlhukuk.com adresinden iletişime geçilerek talep edilebilir.
4. Bağlantılar (Links)
İnternet sitesinin herhangi bir bölümüne DL Avukatlık Bürosu’nun yazılı ön onayı olmaksızın elektronik bağlantı (electronic link) verilemez. DL Avukatlık Bürosu, DL Avukatlık Bürosu internet sitesine yapılan elektronik bağlantıların kaldırılmasını talep etme hakkını saklı tutar.
İnternet sitemizin bir bölümü üçüncü kişilerin internet sitelerine atıfta bulunabilir ve üçüncü kişilere ait internet siteleri DL Avukatlık Bürosu’nun internet sitesine atıfta bulunabilir. DL Avukatlık Bürosu harici internet sitelerinin içeriğinden sorumlu tutulamaz.