Araç Kiralama Sektöründe Kara Liste Uygulamalarına Kvkk’dan İlke Kararı
Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 20 Ocak 2021 tarihinde araç kiralama sektörü özelinde yürütülen kara liste uygulamalarını konu alan ve veri sorumluları arasındaki ortak sorumluluğa değinen İlke Kararı yayınlanmıştır. Kurul, karar ile kara liste uygulamalarının Kişisel Verileri Koruma Kanunu’na (“Kanun”) aykırı olduğuna değinmiştir.
Kurul’un Kara Liste Uygulamasını İçeren Yazılım Hakkındaki Tespitleri:
Araç kiralama sektöründe faaliyet gösteren firmaların müşterilerine ait kişisel verileri kullandıkları yazılım/uygulama/programlara işledikleri ve işlenen verilerin arasında “araç kullanım sürecinde meydana gelen olumsuzlukların veya araç kiralama firmasının yorumlarını içeren” kara listenin tutulduğu tespit edilmiştir.
Bu uygulamaya girilen kişisel veriler, uygulamayı kullanan diğer araç kiralama firmaları tarafından da görüntülenebilmektedir. Dolayısıyla araç kiralayan müşterinin kişisel verileri, sadece araç kiraladığı firma ve yazılım sahibi firma tarafından değil, uygulamayı kullanan diğer firmalar tarafından da görüntülendiğinden firmalar arasında kişisel veri aktarımı olmaktadır.
Kanun’a Aykırılık Gerekçeleri:
Kurul, araç kiralayan müşterilerin; “firma ile paylaştığı kişisel verilerinin, firma ile yaşadığı olumlu/olumsuz ilişkinin, araca verdiği zararın, ödeme sırasında yaşadığı sorunların” kara liste uygulamasını kullanan diğer araç kiralama firmalarına aktarılması hususunda aşağıdaki tespitlerde bulunmuştur:
- Bilinmeyen sayıdaki diğer araç kiralama firmalarının da bu kişisel verilere erişmesinin, Kanun’un genel ilkelerinde düzenlenen “hukuka ve dürüstlük kuralına uygun olma, belirli, açık ve meşru amaçlar için işleme, amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine ve Kanun’un 8’inci maddesinde yer alan aktarım kurallarına aykırı olduğunu belirtmiştir.
- Kurul, kara liste verilerinin, kişinin sadece araç kiraladığı firma tarafından işlenmesi halinde, araç kiralama firmasının meşru menfaati için gerekli olduğunu kabul etmektedir. Ancak uygulamaya/yazılıma işlenen kara liste verilerinin diğer araç kiralama firmaları tarafından görülmesinin ilgili kişinin temel hak ve özgürlüklerine zarar verdiğini, dolayısıyla meşru menfaatin söz konusu olmayacağını belirterek; bu verileri işlemek için Kanun’un 5’nci maddesinde yer alan hukuka uygunluk nedenlerinin olmadığını vurgulamıştır.
- Araç kiralayan kişilerin, kişisel verilerinin kimlerde olduğu bilgisine sahip olmaması nedeniyle, Kanun 11’inci maddesinde düzenlenen haklarının muhatabı olarak hangi veri sorumlusuna başvuracağını bilemeyeceğini; bunun da Kanun’dan doğan haklarını kullanmasını engellediğini belirtmiştir.
Ayrıca bu karar ile birlikte mevzuatımıza yeni bir terim olarak “ortak veri sorumlusu” tabiri girmiş bulunmakta. Kara listeye, yazılımı kullanan birden fazla araç kiralama şirketi erişim sağladığı ve bu firmaların veriler üzerinde kendi başlarına kontrolü olduğu için; söz konusu araç kiralama firmaları ile yazılımın sahibi firma ortak veri sorumlusu olarak kabul edilmiştir.
Sonuç:
- Kurul kara liste uygulaması/yazılımının kullanılmasına son verilerek, araç kiralama firmalarının Kanun’un 12’nci maddesinde yer alan idari ve teknik tedbirleri alması gerektiğini,
- Bu uygulamayı kullanmaya devam edenler hakkında Kanun’un 18’inci maddesi uyarınca yaptırımların uygulanacağını belirtmiştir.