Kişisel Verileri Koruma Kurulu İlke Kararının Sektöre Yansıması – Av. Kerim ÇETİN
Filo ve Rent a Car dergisinin Kasım-Aralık 2021 tarihli sayısında yayımlanan yazımızda araç kiralama şirketlerinin KVKK kapsamında dikkatli olması gereken konulara değinmiştik. Bu kapsamda, kara liste uygulamasının sakıncalı olabileceği görüşüne yer vermiştik. Yazının üzerinden çok fazla zaman geçmeden Kişisel Verileri Koruma Kurulu “Araç kiralama sektöründeki kara liste uygulamaları hakkında İlke Kararı” 20.01.2022 tarih ve 31725 sayılı Resmi Gazete’de yayımlanmıştır.
Kurul’un ilke kararları doğrudan bir veri sorumlusuna yönelmemekte, ilke kararda belirtilen eylemleri gerçekleştiren ya da gerçekleştirme ihtimali bulunan tüm ilgililere yönelmektedir. İlke karar doğrudan cezalandırma amacı taşımamakta hukuka aykırı davranışın sonlandırılmasına yönelik yönlendirmeler içermektedir. Belirtilen karar da doğrudan bir ceza içermemektedir.
Kararda değinilen bazı konular araç kiralama firmaları tarafından soru işaretleriyle karşılanmıştır. İşbu yazının kaleme alınma nedeni de yazıda net olarak belirtilmeyen noktaların değerlendirilmesi ve karara ilişkin kanaatlerimizin paylaşılmasıdır.
Kararda özellikle ismi açıklanmayan araç kiralama firmaları ile yazılım firmaları arasındaki ilişkinin detaylarından bahsedilmekte, yazılım firmaları tarafından sunulan programların kullanım detayları açıklanmaktadır.
- Araç kiralama şirketleri tarafından, araç kiralayan kişilere ilişkin görüşlerin sisteme eklendiği ve daha sonraki kiralamalarda bu bilgilerin işlendiği,
- Yazılımın farklı araç kiralama şirketlerinin birbirlerine veri aktaracağı şekilde tasarlandığı,
- Araç kiralama şirketlerinin yazılımı yönetmediği yalnızca içerik sağladığı, bilgileri verilmektedir.
Kararda araç kiralama şirketlerinin bazı kişisel verilerin işlenmesine yönelik hukuki dayanakların bulunduğu, bazı veri işleme faaliyetlerinin hukuka uygun olduğu belirtilmiştir. Özellikle “veri sorumlusu bünyesinde olmak kaydıyla kara liste kaydı yapılmasının somut olaya göre ayrıca değerlendirmek koşuluyla uygulanabilir olabileceği” konusunda tarafımıza birçok soru yöneltilmiştir. Nitekim ilgili kısım veri sorumlularının kendi içerisinde kara listeye dair kayıtları tutabileceğini gösterir şekilde yorumlanabilmektedir.
Kanaatimizce, ilgili kısım KVKK 5.maddesinin lafzından bir ayrılma içermemekte yalnızca yol gösterme amacı taşımaktadır. Nitekim Kişisel Verilerin Korunması Kanunu’nun 5.maddesi de belirtilen şekilde yorumlanabilir. Dikkat edilmesi gereken nokta şirketlerin verileri kendi içinde tutmasının doğrudan hukuka uygunluk yaratmayacağıdır. Kurul bu noktada denge testi yapacağını belirtmiştir.
Daha net bir ifade ile ilgili kısım veri sorumlusunun doğrudan ilgili verileri işleyebileceğini belirtmemektedir. Nitekim Kurul da ilgili kısmı kaleme alırken hem somut olaya göre değerlendirme yapılacağını dile getirmiş hem de “uygulanır” değil “uygulanabilir” kelimesini tercih ederek kesin bir ifade kullanmaktan kaçınmıştır. Nitekim ilgili kısmın geniş yorumlanması kişisel veri ihlallerine neden olabilecektir. İlgili kısma ilişkin kanaatimizi belirtmek gerekirse; araçların çalınması ya da alkollü araç kullanılması gibi ciddi olaylar karşısında müşterilerin verilerinin saklanması, Kurul tarafından yapılacak denge testinde mutlaka araç kiralama şirketi lehine yorumlanmalıdır. Buna karşılık, müşterilere ilişkin kişisel verilerin kara liste uygulaması altında saklanmasını gerektirecek ciddi gerekçelerin bulunmadığı varsayımında, Kurul tarafından yapılacak bir denge testi araç kiralama şirketinin aleyhine sonuç doğurabilecektir.
Karardan net olarak anlaşılabilecek noktalardan birisi, ilgili verilerin diğer araç kiralama şirketleriyle paylaşımının doğrudan hukuka aykırı olacağıdır. Nitekim araç kiralama firmaları tarafından ilgili verilerin paylaşılması, Kişisel Verilerin Korunması Kanunu’nun 4.maddesinde sayılan genel ilkelere de aykırılık yaratacağı ifade edilmiştir.
Karar, Kanun ve ilgili mevzuatta henüz tanımlanmamış olan “Ortak veri sorumlusu” ifadesini kullanmıştır. Buna göre, kara liste kaydını kendi menfaatine tutan araç kiralama firmaları ve yazılım şirketleri ortak veri sorumlusu olarak tanımlanmıştır.
İlke karar uyarınca ortak veri sorumluları arasındaki kusur dağılımı; işlenen verinin ilk ve son kullanıcısının kim olduğu, veri girişinin kim tarafından yapıldığı, ilgili verinin hangi amaçlarla sisteme girildiği, veri aktarımı, silinmesi ya da değiştirilmesi gibi durumlara kimin karar verdiği, veri toplayan veri sorumlusu dışında yer alanların ilgili verileri hangi amaçlarla kullandığı gibi sorulara cevap verilerek belirlenir.
Kararda son olarak, hangi araç kiralama şirketlerine ya da yazılım şirketlerine veri aktarımı yapıldığının ilgili kişi tarafından bilinmediği, dolayısıyla ortaya çıkan durumun ilgili kişinin Kişisel Verilerin Korunması Kanunu m.11 kapsamında sayılan haklarını kullanmasına da engel olduğu belirtilmiştir.
Kararda belirtilen başlıkların açıklanmasından sonra araç kiralama şirketlerine bazı önerilerimiz bulunmaktadır. Kanaatimizce; kara liste programının kullanımı (eğer varsa) derhal sonlandırılmalı, şirketin kendi içerisinde ilgili verileri saklamaya karar verdiği durumlarda KVKK danışmanı ile detaylı değerlendirmeler gerçekleştirilmelidir. Bu değerlendirmeler esnasında Kanun ve ilgili mevzuat lafzı geniş olarak yorumlanmamalıdır. Bu yüzden ilgili kişiler ve veri sorumlularının korunan hakları arasındaki denge testi önemlidir. Veri sorumluları tarafından kişisel verilerin korunması doğrultusunda gerekli teknik ve idari tedbirler sağlanmalıdır. Bu doğrultuda şirketlerin hem idari hem de teknik tedbirler noktasında dikkatli davranması gerekmekte bu doğrultuda IT departmanlarına da iş düşmektedir.
İşbu bilgi notunun yazıldığı tarihlerde ülkemizde kişisel veri ihlali bildirimleri artış göstermiş, bu konuda Kişisel Verileri Koruma Kurumu tarafından “Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen Teknik ve İdari Tedbirlere İlişkin Kamuoyu Duyurusu” yayımlanmıştır. Araç kiralama şirketlerinin özellikle internet üzerinden araç kiralama hizmetlerini de devreye aldığı düşünüldüğünde Kurum tavsiyelerinin dikkatle incelenerek şirket sistemlerine entegre edilmesi gerektiği kanaatindeyiz.