Araç kiralama sektörü, kiraya verilen aracın değeri ve kira bedeli arasında yer alan uçurumdan dolayı araçların iade edilmemesi noktasında önemli bir riskle karşı karşıya kalmaktadır. Bu nedenle sektör paydaşları, ekonomik çıkarlarını korumaya yönelik çözüm yolları aramaktadır. Ülkemizde araç kiralama sektörünün çatı derneği konumundaki TOKKDER de “araç kiralama şirketlerinden kiralanarak, iade yükümlülüğü doğmasına rağmen iade edilmeyen, hukuki dayanaktan yoksun olarak kullanılmaya devam edilen ve / veya suça konu edilen araçlar” sorununa çözüm üretmek adına ilgili devlet kurumları nezdinde girişimlerini sürdürmektedir.

Şirketler, bu doğrultuda ortaya konulan çözüm yollarının hukuki altyapısına dikkat etmelidir. Nitekim söz konusu riski bertaraf etmek için gündeme gelen çözüm yolları, bazen hukuka aykırılık teşkil edebilmektedir. Bu yazımın devamında, olası bir kara liste uygulamasını hukuka uygunluk açısından tartışacağız.

Sözlük anlamıyla kara liste; sakıncalı sayılan veya cezalandırılması düşünülen kimse, grup, ülke vb.nin listesi anlamına gelmektedir. Sektör özelinde değerlendirecek olursak kara liste uygulaması, araç kiralama şirketlerinin daha önce yapmış oldukları kiralama işlemlerinde ortaya çıkan sorunları, soruna neden olan müşterilerin bilgisini birbirleriyle paylaştıkları entegre bir sistem kullanması durumunda ortaya çıkabilecektir. Bir müşterinin ücretleri ödememesi, geciktirmesi, arabanın bir bölümüne zarar vermesi, kiralama süresi sonunda aracı iade etmemesi sorunlara örnek olarak gösterilebilecektir. Sonuç olarak entegre sistem içerisinde bulunan diğer kiralama şirketleri, bu listede bulunan kişilere araç kiralamaktan kaçınabilecektir. Şimdi aşağıda bu varsayımın hukuka uygunluğunu inceleyeceğiz.

Kişisel veri işleme faaliyeti, veriler üzerinde gerçekleştirilen tüm işlemleri ifade etmektedir[1]. Müşterilere ait kişisel verilerin kara liste uygulaması amacıyla şirketler tarafından işlenmesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında hukuka uygunluk şartlarını taşıyıp taşımadığı yönünden incelenmelidir.

Bu noktada ele alınması gereken KVKK md.5’tir. Nitekim maddeye göre kişisel veri işleme faaliyeti yalnızca belirli şartlar altında gerçekleşebilmektedir.

KVKK m.5/2/f uyarınca, kişisel verinin işlenebilmesi için ilgili kişinin temel hak ve özgürlüklerine zarar verilmemeli, veri sorumlusunun meşru menfaatleri için ise söz konusu faaliyetin zorunlu olması gerekmektedir. Bu şartta zorunlu ifadesi kullanıldığından, şart dar bir şekilde yorumlanmalıdır. Bu nedenle, kara liste uygulamasının kiralama şirketleri için zorunluluk unsuru taşıyıp taşımadığı değerlendirilmelidir. Bizim görüşümüze göre, Kurul[2] tarafından yapılacak olası bir denge testinde bu veri işleme faaliyetinin zorunlu olarak nitelendirilmesi oldukça güçtür. Bu nedenle, hukuka uygun veri işlemenin diğer şartları (Genel ilkeler, aydınlatma yükümlülüğü, vb.) bu aşamada incelenmeyecektir.

Diğer hukuka uygunluk şartı olarak ise açık rızayı inceleyeceğiz. KVKK md.3/1’de açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmıştır. Kara liste uygulaması için açık rızası alındığı takdirde müşterinin kişisel verileri işlenebilecektir. Ancak açık rızanın hukuka uygun olarak değerlendirilebilmesi için bazı şartları barındırması gerekmektedir.

Buna göre; (i) açık rızanın belirli bir konuya ilişkin olması, (ii) bilgilendirmeye dayanması ve (iii) özgür iradeyle açıklanması koşullarını bir arada bulundurması gerekmektedir.

Açık rızanın belirli bir konuya ilişkin olması koşulu, rızanın sınırsız işleme faaliyetleri için değil yalnızca özelleştirilen somut duruma ilişkin olması anlamına gelmektedir. Nitekim belirli bir konuya ilişkin olmayan ve genel nitelikte olan açık rızalar “battaniye rıza” şeklinde tanımlanmakta ve hukuka uygun olarak kabul edilmemektedir.

Açık rızanın bilgilendirmeye dayalı olması koşulu, rızanın konusunun ve sonuçlarının da ilgili kişiye belirtilmesi gerekliliğini ifade etmektedir. Aynı zamanda bilgilendirme, işleme faaliyetinin kapsamını ilgili kişiye net biçimde açıklamalıdır.

Açık rızanın özgür iradeyle açıklanması koşulu ise, ilgili kişinin rızasını açıklarken davranışının bilincinde olması ve kararının özgür bir biçimde açıklanması gerekliliğini belirtmektedir. Kara liste uygulaması amacıyla ilgili kişilerden açık rıza alınması, rızanın verilmediği durumlarda ise araç kiralamaktan kaçınılması açık rızanın özgür irade ile açıklanması kuralına aykırılık teşkil edecektir[3].

Açık rıza gösterdiği takdirde daha sonra kendisine araç kiralanmama riski bulunacak olan müşterilerin, bu koşullar altında açık rıza göstermelerinin pratikte pek mümkün olmayacağı görüşündeyiz. Açık rıza gösteren müşteriler bakımından ise bu rızaların özgür iradeye dayanıp dayanmadığının tekrar değerlendirilmesi gerekecektir.

Bununla birlikte yalnızca açık rızanın alınmış olması KVKK’da düzenlenen diğer yükümlülükleri bertaraf etmeyecektir. Nitekim veri işleme faaliyeti gerçekleştirilecekken genel ilkelere uyulmalı, veri sorumlusunun aydınlatma yükümlülüğü de dikkate alınmalıdır.

Araç kiralama şirketlerinin dikkat etmesi gereken bir diğer konu ise, araç kiralamak isteyen kişilerin, bir başka kişinin kredi/banka kartlarıyla işlem yapmasıdır. Zira müşteri tarafından, bir başka kişiye ait kart kullanılarak kiralama işlemi yapıldığı takdirde şirketler, istemsizce de olsa kiralama sözleşmesinin tarafı olmayan üçüncü bir kişinin kişisel verilerini işleme riskini göze almış olmaktadır.

Sözleşmenin tarafı olan müşteriye ait kişisel verilerin işlenmesi KVKK md.5 kapsamında hukuka uygunluk sınırları içerisinde değerlendirilebilecekken, üçüncü kişinin bilgisi dışında şirket tarafından işlenen bu veriler hukuka uygun olarak değerlendirilemeyecektir.

Ayrıca söz konusu durumda müşteri, banka veya kredi kartının kötüye kullanılması suçu konusunda bilgilendirilmelidir. Şöyle ki;

“Başkasına ait bir banka veya kredi kartını, her ne suretle olursa olsun ele geçiren veya elinde bulunduran kimse, kart sahibinin veya kartın kendisine verilmesi gereken kişinin rızası olmaksızın bunu kullanarak veya kullandırtarak kendisine veya başkasına yarar sağlarsa, üç yıldan altı yıla kadar hapis ve beş bin güne kadar adlî para cezası ile cezalandırılır.”

Hem suç unsuru taşıyan hem de kişisel verilerin korunması mevzuatına aykırılık teşkil eden bu uygulamayla mücadele edilebilmesi adına şirketler, kiralamayı gerçekleştirecek olan kişilerin kartlarıyla işlem yapılmasına özen göstermelidir.

Yukarıda kısaca değerlendirilen uygulamaların hukuki altyapısı oluşmadığı müddetçe, şirketler tarafından bu uygulamaların hayata geçirilmesi veya devam ettirilmesi durumunda hukuka aykırılığın söz konusu olacağına dikkat edilmeli ve Kişisel Verileri Koruma Kurulu tarafından yapılacak bir soruşturma sonucunda muhtemel idari para cezaları ile karşılaşılabileceği göz önünde bulundurmalıdır.

[1]TBMM 117 sayılı Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu s.7
[2]Kişisel Verileri Koruma Kurulu
[3]Kişisel Verileri Koruma Kurulu, 08/07/2019 tarih ve 2019/206 sayılı karar özeti