İnternet Yayınlarına Getİrİlen Erİşİm Engelİ Kararlarına İlİşkİn AYM Pİlot Kararı
11 February 2022
Beledİyelerİn Ödeme ve Borç Sorgulama Hİzmetlerİne İlİşkİn KVK Kurulu İlke Kararı
9 May 2022
Kişisel Verileri Koruma Kurulu’nun (Kurul) araç kiralama sektöründe kullanılan “kara liste” uygulamaları hakkındaki 23 Aralık 2021 tarih ve 2021/1304 numaralı ilke kararı, 20 Ocak 2022 tarihli Resmî Gazetede yayınlanmıştır. Karar metnine buradan ulaşabilirsiniz.
Kararın Konusu
Yapılan ihbarlar sonrasında Kurul tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında yürütülen incelemeler sonucunda, araç kiralama sektöründeki şirketlerin “kara liste” olarak bilinen yazılım/uygulamalara başvurduğu tespit edilmiştir.
Kara liste uygulamaları, kiralanan aracın kullanımı esnasında meydana gelen olumsuzlukların kayıt altına alınmasına yarayan sistemlerdir. Araç kiralama firmaları, kiralanan araçlarda hasar meydana gelmesi veya ödemede gecikme yaşanması gibi olumsuz durumlarda ilgili müşterilere ait kişisel verileri kara liste yazılımlarına işlemektedir.
Bir firma tarafından bu uygulamalar yoluyla işlenen veriler, uygulamayı kullanan diğer araç kiralama firmaları ile de paylaşılabilmektedir. Bu sayede, bir firmanın müşterisine ait kişisel veriler, müşterisi olmadığı başkaca araç kiralama firmalarına da aktarılmış olmaktadır.
Kurul tarafından yürütülen incelemede, kara liste yazılımları yoluyla işlenen kişisel verilerin, müşterisi oldukları araç kiralama firması haricinde diğer firmalar ile de paylaşıldığına dair müşterilerin herhangi bir bilgi sahibi olmadığı anlaşılmıştır.
Kurulun Değerlendirmesi
Bu kararında Kurul, kara liste ve benzeri veri işleme faaliyetleri bakımından, kişisel verilerin bir veri sorumlusunun meşru menfaatleri çerçevesinde işlenmesi ile kara liste yazılımları gibi yöntemlerle diğer veri sorumlularının erişimine açılmasının arasındaki farkın altını çizmiştir.
Kurula göre, KVKK’da belirtilen veri işleme dayanakları ile sınırlı olmak ve veri sorumlusu bünyesinde olmak üzere, müşteri kişisel verilerinin kara liste yazılımları yoluyla işlenmesi mümkündür. Ancak, işlenen kişisel verilerin aynı yazılımı kullanan diğer veri sorumlularıyla, yani müşterinin herhangi bir iş ilişkisi kurmadığı diğer araç kiralama firmalarıyla paylaşılması durumunda, veri sorumlusunun meşru menfaatleri iel ilgili kişinin temel hak ve özgürlükleri arasındaki denge, ilgili kişiler aleyhine ihlal edilmiş olacaktır.
Bu çerçevede Kurul;
• Kara liste kaydına erişimin bir firma ile sınırlı kalmadığına, yazılıma aktarılan kişisel verilere yazılımı kullanan diğer araç kiralama firmalarının da erişim sağlayabildiğine ve veri üzerinde hakimiyetleri olduğuna, bunlar göz önünde bulundurulduğunda, kara liste kaydını kendi menfaatleri doğrultusunda kullanan araç kiralama şirketleri ile yazılım şirketlerinin ortak veri sorumlusu olarak değerlendirileceklerine,
• Bu ve benzeri uygulamalara son verilerek, araç kiralama sektöründeki veri işleme süreçlerinde kanunun 12.maddesinde öngörülen; kişisel verilere hukuka aykırı olarak erişilmesini önlemeye, kişisel verilerin muhafazasını sağlamaya, bu amaçla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınması gerektiğine,
• Söz konusu önlemleri almaksızın ve KVKK hükümlerine aykırı şekilde araç kiralama sektöründe kara liste uygulamasına başvuran veri sorumluları hakkında KVKK’nın 18. maddesi uyarınca işlem tesis edileceğine, karar vermiştir.
Ortak Veri Sorumlusu Nedir?
Kurulun kararında atıfta bulunduğu “Ortak Veri Sorumlusu” kavramı, KVKK’da yer almamakla birlikte 2018 itibariyle AB’de yürürlüğe giren Genel Veri Koruma Tüzüğü’nde (General Data Protection Regulation, “GDPR”) tanımlanmış bir terimdir.
GDPR’ın 26(1) maddesine göre; “İki ya da daha fazla sayıda veri sorumlusunun işleme amaçları ve yöntemlerini ortak bir şekilde belirlediği hallerde, bu sorumlular ortak veri sorumlusudur.”
Ortak veri sorumluları, özellikle veri sahibinin haklarının kullanımı ve bilgi sağlama görevleri ile ilgili olarak bu GDPR kapsamındaki yükümlülüklere uygunluğa ilişkin sorumluluklarını aralarındaki bir düzenleme vasıtasıyla şeffaf bir şekilde belirler.
Kararın Önemi
Kurul, bu ilke kararında KVKK’da yer almayan ancak AB’de yürürlükte olan GDPR’da tanımlanan “ortak veri sorumlusu” (joint controller) terimine ilk defa atıfta bulunmuştur.
Karar, Kurul’un KVKK’yı AB’de yürürlükte olan GDPR ile paralel yorumlama eğiliminin yeni bir örneği olması bakımından önemlidir. Kurul, daha önceki kararlarında da KVKK’da yer almayan ancak GDPR’da tanımlanan bazı kavramlara yer vermiş (örneğin, “Bağlayıcı Şirket Kuralları”) ve mümkün oldukça KVKK’yı GDPR’a uyumlu şekilde yorumlayacağını açıkça belirtmiştir.
