Bu bültenimizi podcast olarak da dinleyebilirsiniz!
Kişisel Verileri Koruma Kurumu (“Kurum”) araç kiralama sektöründe kara liste uygulamasına ilişkin bir ilke kararı (“Karar”) yayımladı. Karar ile kara liste uygulamasına ilişkin ihlalleri tespit eden Kurum, aynı zamanda ortak veri sorumlusu kavramını ilk defa kullandı.
Yeni Gelişme
Kurum’un araç kiralama sektöründe kara liste uygulamasına ilişkin değerlendirmelerde bulunduğu ilke Karar’ı 20 Ocak 2022 tarihli ve 31725 sayılı Resmi Gazete’de yayımlandı. Kurum, kara liste uygulamasının Kişisel Verilerin Korunması Kanununun (“KVKK“) genel ilkelere, hukuki sebeplere ve aktarıma ilişkin hükümlerine uygun olmadığına karar verdi. Karar’a buradan ulaşabilirsiniz.
Karar ne diyor?
Karar, araç kiralama şirketlerinin kullandığı yazılımlar kapsamında kişisel verilerin işlenmesini konu almaktadır. Araç kiralama şirketleri, kara liste yazılımları aracılığı ile araçları kiralayan kişilerin araç kazaları ve araç kullanımları dahil olmak üzere kişisel verilerini sisteme kaydetmektedir. Sisteme kaydedilen bilgiler sadece ilgili araç kiralama şirketi ve yazılım firması tarafından değil diğer tüm araç kiralama şirketleri tarafından erişilebilmektedir ve söz konusu uygulama sektördeki şirketler arasında veri aktarımı olarak kabul edilmektedir. İlgili kişiler bu veri aktarımı konusunda bilgilendirilmemektedir.
Kurum, söz konusu veri işleme ve aktarma faaliyetlerini KVKK’nın hukuki sebeplere, genel ilkelere, aktarıma ve ilgili kişi taleplerine ilişkin maddeleri kapsamında değerlendirmiştir. Kurum, hukuki sebeplere ilişkin yaptığı değerlendirmede söz konusu kara liste verilerinin ancak ilgili kişilerin aracı kiraladığı şirket tarafından işlendiği takdirde olay bazında “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaati” kapsamında kabul edilebileceğini belirtmiştir. Söz konusu verilerin diğer araç kiralama şirketlerine açılmasının ise veri sorumlusunun meşru menfaati kapsamında değerlendirilemeyeceğine karar vermiştir. İlaveten, Kurum söz konusu verilerin bilinmeyen sayıda araç kiralama şirketi ile paylaşılmasının Kanun’un 4. maddesindeki genel ilkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme”, “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine de aykırı olduğuna karar vermiştir. Kurum, ayrıca ilgili kişilerin hangi araç kiralama şirketleri ile verilerin paylaşıldığını bilmediği için KVKK’nın 11. maddesi uyarınca haklarını hangi veri sorumlularına karşı ileri sürebileceğinin belli olmadığını ve bunun da hakların kullanılmasını güçleştireceğini değerlendirmiştir.
Kurum, Karar’ında ayrıca ortak veri sorumlusu kavramını tanıtmıştır. Kara listeye farklı araç kiralama şirketleri erişim sağladığı için bu şirketlerin de veriler üzerinde hakimiyeti bulunduğu ve bu nedenle söz konusu şirketlerin yazılım firmaları ile birlikte ortak veri sorumlusu olduğunu değerlendirmiştir. Ortak veri sorumlularının sorumluluklarının belirlenmesinde olay bazında değerlendirme yapılması gerektiğini belirtmiştir. Bu değerlendirmelerde (i) verilerin ilk ve son kullanıcısı, (ii) veri girişini yapan veri sorumlusu, (iii) verilerin işlenme amacı, (iv) verilerin değiştirilmesi, silinmesi ve aktarılmasına karar veren veri sorumlusu ve (v) veriyi toplayan veri sorumlusu dışındaki veri sorumlularının veri işleme faaliyetleri dikkate alınmalıdır.
Bu değerlendirmeler ışığında Kurum, ilgili veri sorumlularının KVKK kapsamında gerekli teknik ve idari tedbirleri alması gerektiğine karar vermiş ve gerekli tedbirlerin alınmadan kara liste uygulamasına devam edilmesinin idari para cezalarına neden olabileceğini belirtmiştir.
Sonuç
Karar ile araç kiralama şirketlerinin kara liste uygulamasındaki KVKK ihlalleri tespit edilmiştir. Bu kapsamda araç kiralama şirketlerinin bundan sonraki uygulamalarında Karar’daki değerlendirmeleri dikkate almaları gerekmektedir. İlaveten, ortak veri sorumlusu kavramına ilişkin Kurum’un değerlendirmeleri de tüm veri sorumluları için önem arz etmektedir.