“Araç kiralama programları yazılımcısı ve satıcısı firmalar tarafından, ilgili kişilerin verilerinin işlenmesi ve bu verilerin araç kiralama firmaları arasında paylaşılmasını sağlayan bir kara liste programı oluşturulması” hakkında Kişisel Verileri Koruma Kurulunun 23/12/2021 tarihli ve 2021/1303 sayılı Karar Özeti
Karar Tarihi | : | 23/12/2021 |
Karar No | : | 2021/1303 |
Konu Özeti | : | Araç kiralama programları yazılımcısı ve satıcısı firmalar tarafından, ilgili kişilerin verilerinin işlenmesi ve bu verilerin araç kiralama firmaları arasında paylaşılmasını sağlayan bir kara liste programı oluşturulması |
Kuruma intikal eden ihbarda özetle;
- İhbar edilen veri sorumlularının araba kiralama yazılımı üreticileri veya satıcıları olduğu,
- Bu yazılımları kullanan araba kiralama şirketlerinin müşterileri hakkında elde ettikleri tüm verileri bu yazılımlar vasıtasıyla kayıt altında tuttuğu, bu kapsamda aynı yazılımları kullanan diğer şirketlerin de, rızaları olmaksızın ilgili müşterilerin kişisel verilerini uygulamadaki kara liste havuzundan görebildiği ve böylece bu yazılımı kullanan diğer kullanıcılara verilerin ifşa edildiği,
- Bir araç kiralama firmasının kiraladığı aracına gelecek muhtemel zararlardan korunmak maksatlı bir takım önlemleri almasının ticaret hayatının olağan akışına uygun olduğu ancak müşterilerin rızası alınmaksızın bu yazılım vasıtasıyla kara listeye alındıkları ve böylece bu yazılımı kullanan diğer kullanıcılar ile kişisel verilerinin paylaşıldığı
ifade edilerek, yukarıda belirtilen hususların6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında incelenmesi ve gereğinin yapılması talep edilmiştir.
Söz konusu ihbara ilişkin olarak Kişisel Verileri Koruma Kurulu tarafından resen inceleme başlatılmasına karar verilmiş olup Kurum tarafından dilekçede belirtilen iddialar ile ilgili olarak gerekli incelemelerin yapılabilmesini teminen tespit edilebilen araç kiralama yazılımı üreticisi şirketleri muhatap bilgi, belge ve savunma talepli yazılar ile yukarıdaki iddialar çerçevesinde kişisel veri işleme faaliyetlerinin detayı ve iddia edildiği üzere bir kara liste uygulamasının mevcut olup olmadığı yönünde bilgi talep edilmiştir. Bu çerçevede araç kiralama yazılımı üreticisi şirketler tarafından Kuruma gönderilen yazılarda genel olarak Şirketlerin yazdığı yazılım programlarının araç kiralama firmalarının operasyonlarını yönetebilmesi için hazırlandığı, bu yazılım programlarında araç kiralama sözleşmesi için zorunlu olan bilgiler ile kamu kurum ve kuruluşlarının zorunlu olarak istediği kimlik ve ehliyet gibi bir takım kişisel verilerin kaydedildiği, araç kiralama firmalarına sundukları işletme faaliyetlerinin; sözleşme kurulduktan sonra bu şirketlere kullanıcı adı ve şifre verilmesi, kullanıma başlanılmasını takiben araç kayıtlarının tutulması, kira sözleşmelerinin, rezervasyonların ve bunlarla ilişkili muhasebe işlemlerinin kaydının tutulması olduğu bilgilerine yer verilmiştir.
Ek olarak bazı yazılım şirketleri tarafından;
- Kişisel verilerin işlenmesinin amacının; üye araç kiralama firmalarının kendi müşterilerine kolay ulaşmak, onları kampanyalardan haberdar edebilmek, araç teslimi noktasında bilgilendirme amaçlı SMS gönderebilmek ve sorunlu olan müşteriler (aracı geç teslim eden, kendi kusurlarıyla kaza yapan, kiralama bedelini ödemeyen vb.) program üyesi başka araç kiralama firmalarından araç kiralamak istediğinde müşteri hakkında sorun arz eden uyarıyı ve yorumları ilgili araç kiralama firmasına iletmek olduğu; hukuki açıdan ise kişisel verilerin işlenmesindeki amaçlardan birinin aydınlatma metninde belirtilen müşteri memnuniyeti, firma zarar riski araç güvenirliliği sağlamak için müşteri hakkındaki iyi/kötü yorumların diğer program ortaklarıyla paylaşılabilmesi olduğu,
- Bu anlamda programların amacının araç kiralama firmalarını tek çatı altında toplamak, kendi aralarında bilgi akışını sağlamak, sisteme kaydettikleri araçların takibini, trafik ceza durumlarını vb. birçok hususu anlık görebildikleri dijital ortam yaratmak olduğu,
- Yazılım programlarının araç kiralama firmaları tarafından satın alınması ile kişisel veri sisteme işlendiğinden kişisel verilerin araç kiralama firmalarının müşterilerinin kendisi tarafından alenileştirildiği,
- İmzalanan sözleşmelerde “… araç kiralama sözleşmesi vasıtasıyla ilettiğim ve sair yöntemlerle vermiş olduğum kişisel bilgilerimin tek başına ve/veya başka kişisel verilerle birleştirilerek ticari olarak kullanılmak üzere toplanmasına, işlenmesine, bunu hakkımdaki iyi/köyü yorumlarla birlikte diğer program ortakları ile paylaşılmasına ve aksini yazılı olarak belirtmediğim sürece bu firmaların benimle SMS, internet, mektup, telefon vb. kanallardan temasa geçmelerine aşağıya attığım imza ile açıkça rıza ve muvafakat ederim.” uyarısı ve müşteri rızası ile araç kiralama firmasının müşterisinin kişisel bilgilerinin üye araç kiralama firması tarafından program veri tabanına kaydedildiği,
- Müşterileri olan araç kiralama firmalarının hukuka aykırı kullanımlarından şirketlerinin sorumlu olmadığı,
- Program üyeleri ile yapılan üyelik sözleşmesinde veri sorumlularının sisteme ekledikleri veriler için muhakkak kişilerin açık rızasının alınması gerektiğinin düzenlendiği; yazılım şirketleri veri sorumlusu olmadığı için hangi verinin hukuka aykırı olarak eklendiğinin tespitinin mümkün olmadığı
açıklamalarına yer verilirken; diğer yazılım şirketleri tarafından ise
- Verilen kullanıcı adı ve şifrelerin her bir müşteri araç kiralama firmasına ayrı ayrı özgülendiği bu nedenle bir araç kiralama firması tarafından girilen araba kiralayan kişi veya kişilere ait verilere bir başka araç kiralama firması tarafından erişilmesinin mümkün olmadığı,
- Aynı zamanda bu firmaların üçüncü kişilere ait verilere müdahale hakkının bulunmadığı ve bunun yanı sıra araç kiralama firmalarının müşteri havuzlarının kara liste sistemleriyle bağlantılı olmadığı,
- Ürettikleri yazılım vasıtasıyla araç kiralama firmalarının müşteri bilgilerinin başka bir ortama aktarılmasının, başka firmalarca bu bilgilere ulaşılmasının veya şirketleri tarafından paylaşılmasının ya da ekran görüntüsü alınarak internet ortamlarında paylaşılmasının söz konusu olmadığı,
- Müşteri araç kiralama firmaları tarafından sisteme işlenen veriler yönünden bu firmaların, verisini işlediği gerçek veya tüzel kişiden açık rıza alma şartının aranabileceği, fakat yazılımcı olan şirketlerinin sadece araç kiralama firmalarının müşterilerine ait verileri gizli tutma yükümlülüğü nedeniyle gizlilik politikası uyarınca sorumlu olduğu,
- Araç kiralama firmalarının uygulama üzerinden kiralama bilgilerini doldurması ile programlar tarafından otomatik hazırlanan sözleşmeyi kendi müşterileriyle imza altına alarak kiralama işlemi gerçekleştirdiği,
- Yazılım şirketlerinin veri sorumlusu olmadığı ve veri girişi yapmadığı; veri sorumlularının kendi müşterileri ile sözleşme yapan ve açık rızalarını alan araç kiralama firmaları olduğu; yazılım şirketlerinin ise eklenen verileri sadece saklamak ve diğer program üyeleri ile paylaşmakla yükümlü olduğu,
- İlgili kişilerden elde edilen kimlik, adres ve telefon bilgilerinin ise Emniyet Genel Müdürlüğünün ve Kiralık Araç Bildirim Sisteminin (KABİS) oto kiralama firmalarına belirttiği şekilde saklandığı,
- Kişisel verilerin toplanması, toplama yöntemleri, toplanacak kişisel veri türleri, toplanan verilerin hangi amaç ile kullanılacağı ve hangi bireylerin kişisel verilerinin toplanacağına araç kiralama firmalarınca karar verildiği; hizmet sözleşmeleri ile yükümlülüğün araç kiralama firmalarına bırakıldığı
ifadelerinin yer aldığı görülmüştür.
Konuya ilişkin yapılan inceleme neticesinde Kurulun 23.12.2021 tarihli ve 2021/1303 sayılı Kararı aşağıdaki değerlendirmelere ulaşılmıştır.
1. Araç Kiralama Programı Yazılım Şirketlerinin ve Araç Kiralama Firmalarının Veri Sorumluluğu Sıfatına İlişkin Değerlendirme
- 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişi, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesi, “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusu, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”, (ğ) bendinde veri işleyen, “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlanmıştır.
- Kanun çerçevesinde bir işleme faaliyetinde veri sorumlusu veya veri işleyenin tespiti için işlenecek kişisel verileri, gerçekleşecek veri işleme faaliyetini, bu işlemenin amaçlarını ve şeklini kimin belirlediğinin göz önünde bulundurulması gerekmektedir. Bu çerçevede, veri işlemenin parçası olarak yalnızca veri sorumlusu tarafından:
- İşleme faaliyetinin yasal dayanağı,
- İşlenecek kişisel verilerin türleri,
- Verilerin kullanılacağı amaç(lar),
- İlgili kişilerin kimler olacağı (hedef kitle),
- Verilerin aktarılıp aktarılmayacağı ve aktarılacak ise kime aktarılacağı;
- Bireylerin hakları doğrultusunda veri sorumlusuna yapılan başvurulara nasıl cevap verileceği; verilerin ne kadar süreyle saklanacağı, değiştirileceği veya anonim hale getirileceği
hususlarına karar verilebilecekken, veri işleyen tarafından ise ancak, veri sorumlusu ile yaptığı sözleşme şartları içinde sınırlı olarak;
- Kişisel veri toplamak için bilgisayar teknolojisi sistemlerinin veya diğer hangi yöntemlerin kullanılacağı,
- Kişisel verilerin nasıl depolanacağı,
- Kişisel verileri korumak için alınacak güvenlik önlemlerinin ayrıntıları,
- Kişisel verilerin bir kuruluştan diğerine nasıl aktarılacağı,
- Belirli kişilerle ilgili kişisel verilerin nasıl elde edileceği (otomatik/otomatik olmayan yöntemler),
- Saklama sürelerine uyulmasının nasıl sağlanacağı; verilerin nasıl silineceği veya imha edileceği
hususlarına karar verebilir.
- Bu çerçevede ihbarda belirtilen iddialara ilişkin olarak öncelikle veri işleme faaliyetinin tayini ile veri sorumlusunun belirlenmesi gerekmektedir. Öyle ki kişisel verileri toplanan hedef kitle araç kiralama firmalarının müşterileri olup işleme faaliyetinin başlıca yasal dayanağı müşterilerle araç kiralama firmaları arasında imzalanan kira sözleşmesidir. Araç kiralama firmaları müşterilerine ait verileri toplamak için yazılım şirketlerine başvurarak özel bir yazılım geliştirilmesini talep etmiş yahut bu iş için kullanılmakta olan bir yazılımı satın almış olabilir. Diğer bir ifade ile araç kiralama firmaları ile bu yazılımları üreten şirketler arasındaki hukuki ilişki satış ya da hizmet sözleşmesi olarak adlandırılabilir. Her iki durumda da araç kiralama firmalarının müşterilerine ilişkin verileri kayıt altında tutacağı söz konusu yazılımların ‘yaşayan birer organizma’ olduğunu söylemek mümkündür. Öyle ki müşterilere ilişkin veri girişinin araç kiralama firmaları tarafından yapılıyor oluşu veri sorumlusu sıfatının tanımlanmasında tek başına yol gösterici bir belirteç değildir.
- Veri sorumlusu olmanın belirleyicilerinden biri hangi verilerin işleneceğine sürecin başından itibaren kimin karar verdiğidir. Veri işleyen uhdesine bırakılacak işleme sürecinin teknik bilgi ve alanda uzmanlık gerektirmesi bu anlamda karar yetkisinin veri işleyende olduğu yanılgısını beraberinde getirmektedir. Oysaki veri işleyen, kendi adına bu verileri kullanmadan, veri sorumlusundan gelen talimat üzerine verileri toplayıp işlemektedir.
- Bu anlamda, ortak bir amacın varlığı ve kişisel verilerin işlenmesindeki temel araçların birlikte belirlenmesi ortak veri sorumluluğunu beraberinde getirmekte olup ortak veri sorumlularından biri işlenmekte olan kişisel verilere erişemese dahi, bu erişememe durumu ortak veri sorumluluğunu etkilememektedir. İhbara konu yazılım şirketlerinin araç kiralama firmaları tarafından girilen verilere erişememesi bu anlamda tek başına veri sorumlusu olmayacağı anlamına gelmemektedir. Öyle ki bir araç kiralama firmasının kara listeye alarak kaydettiği bir müşterinin kişisel verilerinin bu yazılım şirketine ait internet sitesi/veri tabanı aracılığıyla bir bulutta toplanıyor olması durumunda, söz konusu yazılım şirketlerinin depoladıkları bu verilere doğrudan erişimleri olmadan da onları kendi amaçları doğrultusunda kullandığı yorumunu yapmak mümkün olabilecektir.
- Ortak veri sorumlularının yükümlülüklerinin eşit olarak paylaşılması zorunlu değildir, araç kiralama hizmeti sunan yazılım şirketine ait internet sitesinin araç kiralama firmalarından, araç kiralanmasına yönelik aydınlatma metni sunması ve verinin aktarımına ilişkin açık rıza alması da mümkündür. Bu tarz bir ortaklıkta veri işlemenin esaslarının belirlenebilmesi adına iki veri sorumlusu arasında söz konusu sürece ilişkin bir sözleşme yapılması sorumlulukların belirlenmesi (müşterek sorumluluk) açısından önem taşımaktadır, aksi takdirde herkes kusuru oranında ortaya çıkacak ihlallerden sorumludur. Bununla birlikte, yazılım şirketlerinin “Araç kiralama firmaları tarafından uygulama içerisine kaydedilen verileri depoluyor ve güvenliği sağlıyoruz, bu verilerin içeriğine erişimimiz yok” açıklaması ve sözleşme içeriğine “Yazılım ürünlerinin yanlış kullanılmasından, müşteriler tarafından kendi müşterileriyle alakalı fişlemeye girebilecek bilgilerin saklanmasından ve kullanılmasından yazılım şirketimiz sorumlu değildir” vb. kayıtlar koyması ile söz konusu uygulamaya girilen bu tarz kişisel verileri başka kullanıcıların (araç kiralama firmalarının) erişimine açıyor olması, araç kiralama firması ile yazılım şirketi arasında sorumluluğun sözleşme ile paylaşıldığı anlamına gelmemektedir.
- Öte yandan idari para cezaları için genel kanun niteliğinde olan 5326 sayılı Kabahatler Kanunu’nun genel hükümleri arasında yer alan “İdari Para Cezaları” başlıklı 17’nci maddesinin 2’nci fıkrasında, idari para cezasının, kanunda alt ve üst sınırı gösterilmek suretiyle de belirlenebileceği, bu durumda, idari para cezasının miktarı belirlenirken işlenen kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumunun birlikte göz önünde bulundurulacağı karara bağlanmıştır. Kurul tarafından idari para cezalarının miktarı belirlenirken de Kanunun 18’inci maddesi gereğince kabahat bazında bir ayrıma gidilmiştir. Ceza miktarının hesabında ihlalin niteliği, veri sorumlusunun niyeti, ilgili kişilere verilen zararı azaltmak için alınan önlemler, veri güvenliğine ilişkin alınan rutin önleyici tedbirler, inceleme faaliyeti sırasında veya ihlal sonrası Kurumla yapılan işbirliği ve ihlale konu veri türü gibi faktörler önemlidir.
- Ortak veri sorumlularına ilişkin sorumluluk ve kusur miktarlarının belirlenmesi açısından her halükarda olay bazında veri işleme süreçlerinin incelenmesi; kusur ve söz konusu veri üzerindeki kontrolün kimde olduğunun tespiti gerekmektedir. Hukuka aykırı bir fiilin sorumluluk gerektirebilmesi için kişinin kusurlu olması gerekir. Kusur hem ceza hukukunda hem medenî hukukta hem de idare hukukunda ortak bir konudur. 6098 sayılı Borçlar Kanununda kusurun, sorumluluğun kurucu unsurlarından bir tanesi olduğu belirtilmiştir. Temelde ise söz konusu hukuka aykırı eylem bir haksız fiile vücut vermektedir. Kabahatler Kanununun 2’nci maddesine göre “Kabahat deyiminden; kanunun, karşılığında idarî yaptırım uygulanmasını öngördüğü haksızlık anlaşılır.” Kabahatler Kanununun 9’uncu maddesi gereğince kabahatin işlenebilmesi için kasıt ya da taksir şartı aranmaktadır. Kabahatler Kanununun 12’inci maddesinde ise aksine hüküm bulunmayan hallerde TCK’daki hukuka uygunluk nedenleri ile kusurluluğu ortadan kaldıran nedenlerin kabahatler bakımından da uygulanması gerektiği öngörülmektedir. Anayasa’nın 38’inci maddesinin 7’nci fıkrasında ve TCK’nın 20’nci maddesinin 1’inci fıkrasında cezaların şahsiliği ilkesine yer verilmiş ve suçun işlenmesine bizzat veya dolaylı olarak katılmadıkça kimsenin bir suçtan dolayı sorumlu tutulamayacağı ifade edilmiştir. Bu doğrultuda, veri sorumlusu sıfatına sahip olan her kişi 6698 sayılı Kanunun 12’nci maddesi gereğince hukuka aykırı eylemlerinden dolayı cezai müeyyideye tabi olabilecektir.
- Ortak veri sorumluları arasında kusurluluk belirlenirken işlenen verinin ilk ve son kullanıcısının kim olduğu; veri girişini kimin yaptığı; hangi amaçla söz konusu verinin girildiği; verinin değiştirilmesine veya silinmesine yahut aktarılmasına kimin karar verdiği; veriyi toplayan dışında kalan veri sorumlularının bu veri ile hangi faaliyetleri gerçekleştirdiği vb. etkenlere dikkat edilmesi yerinde olacaktır. Örneğin araç kiralama firmalarına 2015 yılından beri Kiralık Araç Bildirim Sistemi (KABİS) kullanma zorunluluğu getirilmiştir. 1174 sayılı Kimlik Bildirme Kanunu Ek Madde 3’te “Araç kiralama firmalarının sorumlu işleticileri ve yöneticileri, kiralanan araç bilgileri ile aracı kiralayanların kimlik bilgileri ve kira sözleşmesi kayıtlarını usulüne uygun şekilde günü gününe tutmak ve bu kapsamda mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerinin her an incelemelerine hazır bulundurmak zorundadırlar. Ancak araç kiralayanın kamu kurum veya kuruluşu olması hâlinde sadece kamu kurum veya kuruluşuyla yapılan sözleşme ile araç bilgileri sisteme kaydedilir. Araç kiralama esnasında gerçeğe aykırı kimlik kullananlar ile birinci fıkra kapsamında elde edilen bilgi ve kayıtları, hukuka aykırı olarak kullanan, bir başkasına veren, yayan veya ele geçiren kişi, 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu hükümlerine göre cezalandırılır. Birinci fıkrada belirtilen yükümlülüklere aykırı hareket edenlere beş bin Türk Lirası, gerçeğe aykırı kayıt tutan veya bilgi verenlere on bin Türk Lirası idari para cezası, mülki idare amirlerince verilir. Bu Kanuna göre verilen idari para cezaları tebliğinden itibaren 1 ay içinde ödenir. İşlenen bir suçun gizlenmesi amacıyla bilgilerin yok edilmesi hâlinde işletme ruhsatı iptal edilir. Bu fıkraya göre idari yaptırımların uygulanması ceza soruşturması ve kovuşturması yapılmasına engel değildir.” şeklinde bir düzenleme mevcuttur. Bu durumda mevzuat gereğince araç kiralama firmalarının tutmakla yükümlü olduğu verilerin hatalı ve eksik girilmiş veya girilmemiş olmasından araç kiralama firmaları sorumlu olacaktır. Araç kiralama firmaları ile birlikte ortak veri sorumlusu kabul edilebilecek yazılım şirketlerinin bu süreçte veri işleme faaliyetinde bir sorumluluğu olmadığı değerlendirilmektedir. Kısacası belirtilen hal ve koşullar altında toplanan veri üzerinde, söz konusu veri ilk elden başka bir veri sorumlusu tarafından elde edilmiş olsa bile, ilerleyen süreçlerde söz konusu kişisel veriler ile ilgili veri sorumlusu gibi hareket eden herkes Kanun gereğince veri sorumlusunun yükümlülükleri ile bağlıdır.
2. Yazılım Şirketlerinin Sundukları Hizmeti Bulut Teknoloji Altyapısı ile Gerçekleştirmelerine İlişkin Değerlendirme
- İhbara konu olayda yazılım şirketleri çevrimiçi ağ (network) üzerinden bulut bilişim (BT) vasıtasıyla araç kiralama firmalarına hizmet sunmaktadır. Bulut bilişim, ağ tarayıcılarıyla erişilen siteler sayesinde uygulamaların internet üzerinden kullanılmasını sağlamaktadır. Bir şirket, bulut bilişim kullanmakta ise bu şirketin BT altyapısı şirket dışında bulut bilişim sağlayıcı tarafından muhafaza edilen bir veri merkezinde depolanmaktadır. Üç ana bulut servisi türü vardır: Yazılım Hizmetleri (SaaS), Platform Hizmetleri (PaaS) ve Altyapı Hizmetleri (IaaS).
- Standart süreçlerde yazılım şirketleri tarafından sunulan hizmetin, SaaS (Software as a Service) şeklinde şirketler tarafından geliştirilen yazılım üzerinden araç kiralama firmalarına bir nevi platform olarak hizmet sunulması olduğu anlaşılmıştır. SaaS hizmetinin gereği olarak veri tabanı ve yazılımın yönetimi yazılım şirketlerinde olup müşterilerde (araç kiralama firmalarında) ve gerektiğinde teknik destek ve geliştirme sağlayabilmesi için yazılım şirketlerinde “admin” yetkisine sahip kullanıcıların atandığı görülmüştür. Sunulan hizmet türü hazır bir SaaS hizmeti olduğundan kaynak kod halinde sunulmadığı, müşterinin yazılım kodlarına müdahalesine izin verilmediği, bu sebeple müşterinin yönetim yetkilerinin içerikle sınırlı olduğu, sistemin düzgün işlemesi için gerekli fonksiyonları değiştirmeye yetkisinin ise bulunmadığı tespit edilen bir başka husustur.
3. Veri İşleme Faaliyeti Sırasında İlgili Kişilerin Aleyhlerine Ortaya Çıkan Sonuçlara İtiraz Etme Haklarına ve Profillemeye İlişkin Değerlendirme
- Uluslararası uygulamada bireyin davranışlarının analiz edilerek bunu izleyen davranışları hakkında tahminlerde bulunmak adına bireyin kişisel verilerinin otomatik olarak işlenmesi “profilleme” olarak adlandırılmaktadır. "Tahmin" kelimesinin kullanılması aslında profil oluşturmanın bir kişi hakkında bir tür değerlendirme veya yargı içerdiğini göstermektedir.
- Profillemenin her zaman olumsuz bir eylem olduğunu söylemek doğru değildir. Bireylerin temel haklarını ve güvenliklerini tehdit etmeyecek şekilde bir noktaya kadar profillerinin oluşturulması makul görülmektedir. Bireyin profiline ilişkin kullanılan kıstaslar ve işleme süreci hangi noktaya kadar profillemeye izin verilebileceğinin olay bazında incelenmesi gereğini de birlikte getirmektedir. Söz konusu profil oluşturma sırasında istenmeyen/hedeflenmeyen sonuçların ortaya çıkması da muhtemeldir. Oluşturulan profil, ilgili kişiyi tek bir kategoriye sabitleyerek seçeneklerini kendisine önerilenlerle sınırlayabilir öyle ki hatalı tahminlere dayanan varsayımlar nedeniyle bir hizmetten kısmen veya tamamen yararlanamama sonucunda ilgili kişinin ayrımcılığa uğramasına ya da olumsuz bir sonuçla karşılaşmasına da sebebiyet verebilir.
- 6698 sayılı Kanun’un lafzında ilgili kişinin haklarının sayıldığı 11’inci maddeye bakıldığında ilgili kişilerin “işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme” hakkı olduğu görülmektedir. Yani mevzuatın, profilleme faaliyeti için gerekli olan otomatik veri işleme nedeniyle olumsuz bir sonuç doğacağı durumlarda ilgili kişilere bu işlemeye itiraz etme hakkı tanıdığını söylemek mümkündür.
- Veri sorumluları genel ilkelere uygun hareket ettikleri ve kişisel verilerin işlenmesinde yasal bir temele sahip oldukları sürece profil oluşturma ve otomatik karar verme sistemleri kullanma hakkına sahiptir. Bu kapsamda, ilgili kişilerin, kara liste uygulaması amacıyla profillemeye tabi olduğu hallerde dahi olay özelinde bu durumu Kanunun 4’üncü maddesi gereğince genel ilkelere ve 5’inci maddesi gereğince belirtilen şartlara uygun veri işlendiği şeklinde yorumlamak mümkündür. Ancak 5’inci madde gereğince ilgili kişinin açık rızası dışında kalan hallerden olan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hali tespit edilirken veri sorumluları tarafından;
- Kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması,
- Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi,
- Meşru menfaatin hali hazırda mevcut, belirli ve açık olması,
- İlgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması,
- Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması,
- Bu açıdan ilgili kişinin başta kişisel verilerinin korunması olmak üzere temel hak ve hürriyetlerinin zarar görmesini engellemek amacıyla öngörülebilir, açık ve yakın her türlü tehlikeden uzak tutulması,
- Kişisel verilerin bir veri kayıt sisteminde amaçla sınırlı olarak hukuka uygun işleyişinin temini ile zararı ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alınması,
- Kişisel verilerin işlenmesinde genel ilkelere uygunluğun sağlanması,
- Bu kapsamda, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılarak denge testinin yapılması
hususlarının değerlendirilmesi gerekmektedir. Yapılacak değerlendirmede, ilgili kişinin temel hak ve özgürlükleri ile veri sorumlusunun söz konusu bilgiyi otomatik işleme tabi tutması ile sağlayacağı menfaatler arasında denge testi yapılırken yarışan menfaatlerden hangisinin ağır bastığı veri sorumlusunca tespit edilmelidir. Ancak bu konudaki şikâyetlerin değerlendirme sürecinde dikkate alınacak kriterlerin bunlarla sınırlı olmayacağı, her somut olay özelinde Kurulca ilave ölçütlerin de gündeme gelebileceği tabidir.
- İhbar konusu kapsamında ise söz konusu inceleme sırasında bazı araç kiralama firmalarının internet sitelerinde, kiralanan araçların bu yazılım üzerinden takip edilebileceği hususunda otomatik veri işleme faaliyeti gerçekleştirildiği beyan edilmektedir. Araçlarının konum bilgilerinin takip edildiği durumlarda veri sorumluları tarafından ilgili kişilerin kişisel verileri işlenirken, konum verilerinin işlenmesinin özellikle ilgili kişilerin yaşam alışkanlıklarını ortaya çıkarabileceği akılda tutulmalıdır. Kullanılan uygulamaların, gerçekleştirilen yolculukların, iş yeri ve ikamet yeri ile sürücünün ziyaret ettiği diğer yerlerin konum bilgilerinin öğrenilmesine olanak sağlamasının kişi hakkında bir profil çıkarılmasına ve yaşam alışkanlıklarından hareketle ilgili kişinin özel nitelikli verilerini de ihtiva edebilecek (dini, inancı, cinsel hayatına ilişkin bilgiler vb.) pek çok verisinin ortaya çıkmasına sebebiyet vererek ilgili kişi açısından olumsuz bir sonuç meydana getirebilecektir. Buna göre, konum verilerinin toplanması yoluna gidilmesinin istisnai olarak uygulanan bir durum olması gerektiği değerlendirilmektedir.
- Öte yandan konum bilgilerinin yanı sıra müşterilerin sözleşme ilişkisi boyunca kiraladığı araca verdiği zararın veya aracı teslim sürecinde yarattığı gecikmenin ya da ödeme konusunda yol açtığı sorunların veri sorumlusunca bir sisteme girilerek kaydediliyor oluşu, başlı başına konum izlemesinde olduğu gibi bir profilleme faaliyetini gündeme getirmeyecektir. Çünkü öncelikle veri sorumlusu tarafından girilen verilerin otomatik işleme tabi tutularak ilgili kişiler hakkında mekanik bir sonucun çıkması profillemeden beklenen sonuçtur. Burada ise “A kişisinin teslim ettiği aracın ön camının çatlamış olduğu görüldü/ koltuklarda sigaradan kaynaklı olduğu tespit edilen yanıkların olduğu görüldü vb.” gibi hususların veri sorumlusunca “kara liste” başlığı altında kayıt altına alınması ancak kısmen otomatik olan bir veri işlemedir. Ancak, kara liste kaydı sonucunda kişi hakkında otomatik bir karara varılması söz konusu ise (bu kişiye araç kiralanamaz uyarısı vb.) bu durumda uygulamanın otomatik bir işleme olduğunu söylemek mümkün olacaktır.
- Kanunun 5’inci maddesi gereğince veri sorumlularının meşru menfaati gereği veri işlemesinin zorunlu olduğu durumlarda denge testi yapılması gerekmektedir. Araç kiralama firmalarının faaliyet alanları ile ilgili olarak, bu firmaların çalışanları ve akdi ilişkide oldukları gerçek ve tüzel kişilerce bilinen; işletmenin ticari başarısı ve verimliliği için önem arz eden; rakiplerine karşı kendisi için avantaj teşkil eden; gerek kamuya gerekse ilgisi olmayan şahıslara açıklanmaması gereken; firmanın iç işleyişi, mali ve iktisadi durumu, faaliyet hedef ve stratejisi, fiyatlandırma uygulaması bilgisi, pazarlama stratejisi ve taktikleri, müşteri potansiyeli ve ağ bilgisi, her türlü sözleşme, protokol bilgileri gibi bu türden tüm bilgi/belgeyi ifade eden ve kendisini zarara uğrattığını düşündüğü bu kişilere ilişkin oluşturduğu kayıtlar şirket ticari sırrı olarak kullanılabilir niteliktedir. TTK’nin 527’nci maddesi hükmü gereğince 404’üncü madde hükmü saklı kalmak üzere, görevi dolayısıyla incelemesine sunulan defter ve belgeleri inceleyenlerin, elde ettikleri veya verilen bilgilerden öğrendikleri iş ve işletme sırlarını açıklamaları yasaktır. Aksi hâlde bu kişiler şirketin maddi ve manevi zararını tazmin etmek zorundadır. TCK’nın 239’uncu maddesinde ise bu minvalden verileri yetkisiz kişilere verenler veya ifşa edenler hakkında cezai yaptırım uygulanacağı öngörülmüştür. Söz konusu ticari sırlar aynı zamanda müşterilere ilişkin kişisel veriler de içermektedir. Kanuni yükümlülükler gereğince de işletme faaliyetleriyle sınırlı olmak üzere kullanılabilecek bu verilerin sırf kişinin “kara liste”ye kaydedilmesine sebebiyet verecek bir davranışı olmasından bahisle kişinin özel hayatının gizliliğini ve kişisel verilerinin korunmasını isteme hakkını ihlal etmeyeceği değerlendirilmektedir. Ancak belirtilen alana girilecek verilerin sınırlı olmadığı düşünüldüğünde kişinin ayrımcılığa uğramasına sebebiyet verecek ve davranışsal durumlar haricinde kalan genel ve özel nitelikli verilere yer verilmesi durumunda artık bir ticari sırrın varlığından bahsetmek mümkün değildir (Örneğin; cinsel yönelimi sebebiyle kişinin kara listeye alınarak araç kiralama hizmetinden yararlandırılmaması). Elbette ilgili kişinin kara listeye alınması sebebi ne olursa olsun şunu belirtmekte fayda vardır ki bu sebebe erişim hakkı olan herkes kendi değerlendirme ve imtiyaz hakkına sahiptir, ilgili kişinin A firmasından hizmet alamıyor olması B firmasından da hizmet alamayacağı anlamına gelmemektedir. Bu kapsamda sisteme girilen verilerin mevzuata uygun edinilip işlendiği yönünde Kanun gereğince veri sorumlusu sıfatını haiz olan taraf araç kiralama firmalarıdır.
- Araç kiralama firmalarının acentelerinde veya şubelerinde söz konusu listede yer alan ilgili kişiler hakkında yaptığı yorumun görünür kılınması ise bu ticari sırrın kullanımından öteye gitmediği sürece meşru menfaat kıstasına uygun bir işleme olarak kabul edilebilir. Ancak söz konusu ihbarda yer alan yazılım şirketlerinin araç kiralama firmalarının müşterileri hakkında yaptığı yorumlara dayanan “kara liste” uygulamasını yine aynı yazılımı kullanmakta olan diğer araç kiralama firmalarınca da görünür kılması ve hatta bu özelliği bir pazarlama stratejisi olarak öne sürmesi ne meşru menfaat kıstası ne de araç kiralama firmalarının talimatı doğrultusunda yapılan hukuka uygun bir veri işleme olarak değerlendirilebilir.
4. Kişisel Verilerin Kara Liste Uygulaması ile Diğer Kullanıcıların Erişimine Açılmasına İlişkin Değerlendirme
- Kanunun 8’inci maddesinde “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; 5’inci maddenin ikinci fıkrasında, yeterli önlemler alınmak kaydıyla, 6’ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmü düzenlenmiştir.
- Kişisel verilerin "depolanması, muhafaza edilmesi ve aktarılması" eylemleri kişisel veriyle aracısız yapılan doğrudan işlemlerle ilgilidir. Veri sorumlusu aktarım için hizmet alabileceği gibi bu veriyi kendisi aktarmayı da seçebilir. Ancak veriyi aktaran kim olursa olsun (ister veri işleyen, ister veri sorumlusu) bu kişisel veriye erişebilir, onun ne olduğunu görebilir ve kullanabilir. Bu sebeple yapılacak nitelendirmeye göre veriyi aktarma yetkisi olan kişinin sorumluluğu belirlenmelidir.
- Araç kiralama firmalarının müşterileri hakkında yaptıkları değerlendirmelerin ortak bir veri tabanına kaydedilerek diğer firmalarca yapılan yorumların da bu alana eklenebiliyor olması hem müşteri sırrının (ticari sır) ifşası hem de kişisel verilerin ifşası anlamına gelmektedir. Bu kapsamda artık yalnızca araç kiralama firmalarının veri sorumlusu olduğundan bahsetmek mümkün değildir. Yazılımın özelliği olarak sunulan bu veri aktarım faaliyeti artık araç kiralama firmalarınca girilen ilgili kişilere ait kişisel verilerin yazılım şirketleri tarafından kullanılması anlamına gelmektedir. İlgili kişilere ait bu tarz verilerin aktarılabilmesi için Kanun’un 5 ve 6’ncı maddelerine dayanan bir hukuka uygunluk sebebi bulunmalıdır. “Kara liste” uygulamasının doğası gereği ilgili kişilerin bu duruma rızası olması beklenemeyeceğinden 5’inci maddenin (2) numaralı ya da 6’ncı maddenin (3) numaralı fıkrasındaki şartların varlığı gerekmektedir. Yazılım şirketlerinin araç kiralama firmalarının müşterilerine ait verileri işleme noktasında bir yasal yükümlülüğü bulunduğunu söylemek mümkün olmadığından bu tarz verilerin ancak yukarıda açıklanan meşru menfaat kıstası çerçevesinde söz konusu araç kiralama firmasının “iş ortakları, şubeleri veya acenteleri” ile paylaşılmasının mevzuat uyarınca mümkün olacağı değerlendirilmektedir. Ancak burada aktarıma taraf olacak kişi ve kişi gruplarının veri sorumlusu sıfatıyla ilgili kişilere aydınlatma metni aracılığıyla aktarım öncesi bildirilmiş olması gerekmektedir. Oysaki görülen uygulamada söz konusu aktarım faaliyetinin araç kiralama firmalarınca direkt kendilerinden diğer firmalara değil öncelikli olarak yazılıma yapıldığı; bu durumun da araç kiralama firmalarınca paylaşıma açılan verilerin, hangi firmalarca görülebileceğinin öngörülememesine sebebiyet vermesinden ötürü başta veri işlemenin temel ilkelerine sonrasında da veri aktarımının genel prensiplerine aykırılık oluşmasına neden olduğu değerlendirilmektedir.
Yukarıda yer alan açıklamalar ışığında veri işleme süreçlerinin fiziksel olarak nasıl yürütüldüğünün söz konusu ihbarda yer alan iddialar, veri sorumlularından alınan bilgi, belgeler ve ilgili mevzuat hükümleri çerçevesinde değerlendirilmesi neticesinde;
- Yazılım şirketlerinin sunduğu bulut tabanlı SaaS hizmetinin gereği olarak veri tabanını ve yazılımın yönetimini bünyesinde barındırması; müşterilerde (araç kiralama firmalarında) ve gerektiğinde teknik destek ve geliştirme sağlayabilmesi için kendi bünyesinde ‘admin’ yetkisine sahip kullanıcılar ataması; yazılım bakımı ve geliştirmesi için aylık olarak düzenli bir ücret alması ve sözleşmelerini belirli periyodlarla yenilemesi; söz konusu yazılımın telif haklarının bu Şirketlere ait olması ve kullanıcılarına lisans vererek ilgili programı kiralaması; sunulan hizmet türü hazır bir SaaS hizmeti olduğundan kaynak kod halinde sunulmaması, yazılım şirketlerinin müşteri olan araç kiralama firmalarının yazılım kodlarına müdahalesine izin verilmemesi, bu sebeple müşterinin yönetim yetkilerinin içerikle sınırlı olması, müşterinin sistemin düzgün işlemesi için gerekli fonksiyonları değiştirme yetkisinin ise bulunmaması ve elde edilen bulgulara göre şirketlerin uygulama içinde “kara kutu” bölümü oluşturarak araç kiralama firmalarınca girilen ilgili kişiler hakkındaki bu değerlendirmeleri uygulamalar vasıtasıyla diğer tüm kullanıcılara açılabilmesi; yazılım şirketleri her ne kadar araç kiralama firmalarıyla yaptığı sözleşmelerde olası kara liste uygulamaları için sorumsuzluk kaydı koymuşsa da, araç kiralama firmalarının uygulamaya girerek kaydettiği verileri, Kanunun 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın kendi ticari faaliyetleri kapsamında kişisel verilerin bir kuruluştan diğerine nasıl aktarılacağına karar vermesi hallerinde 6698 sayılı Kanunun 3’üncü maddesi gereğince yazılım şirketlerinin veri sorumlusu olarak hareket edeceği kanaatine varılmıştır. Araç kiralama firmalarının ise belirtilen veriler üzerinde sorumlulukları yazılım şirketi ile elbirliği halinde devam edecektir.
- Kanunun 12’nci maddesi gereğince veri sorumlusu olarak hareket eden yazılım şirketlerinin müşterilere ilişkin araç kiralama firmalarınca ilk elden girilen verilere hukuka aykırı olarak erişilmesini önlemek; bu verilerin muhafazasını sağlamak yükümlülüklerine aykırı hareket ederek söz konusu verileri diğer müşterilerinin de erişimine açmış olacağı; aktarımın direkt veri sorumlusundan diğer araç kiralama firmalarına değil öncelikli olarak yazılıma yapıldığı; bu durumun da paylaşıma açılan verilerin hangi firmalarca görülebileceğinin bilinememesine yol açacağı; veri işleyenin veri sorumlusunun verdiği yetki dışında herhangi bir işlem yapma imkanı bulunmamasına rağmen yazılım şirketlerinin bu veriyi bilinmeyen sayıda ve nitelikte kullanıcıya açarak Kanunun 4’üncü maddesinin 2 numaralı fıkrası hükmü gereğince kişisel verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine ve Kanunun 8’inci maddesinde belirtilen ilgili kişinin açık rızası ya da 5’inci maddenin 2’nci fıkrasında düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere aktarılmak suretiyle hukuka aykırı olarak işlenmesine sebebiyet vereceği kanaatine varılmıştır.
Bu kapsamda;
- Araç kiralayan gerçek kişi müşterilerin kişisel verilerinin de yer aldığı “kara liste” uygulamaları ile Kanunun 12’nci maddesinde düzenlenen müşterilere ilişkin araç kiralama firmalarınca ilk elden girilen kişisel verilere hukuka aykırı olarak erişilmesini önlemek, bu verilerin hukuka aykırı olarak işlenmesini önlemek ve muhafazasını sağlamak yükümlülüklerine aykırı olarak söz konusu verilerin yazılım şirketlerinin müşterileri olan başka araç kiralama firmalarının erişimine de açılması; fiili durumun araç kiralama firmalarınca da bilinmesi; aktarımın direkt bir araç kiralama firmasından diğer araç kiralama firmasına değil öncelikli olarak yazılıma yapılması; yazılım şirketlerinin bu veriyi bilinmeyen sayıda ve nitelikte kullanıcıya (diğer araç kiralama firmalarına) açması halinde hem veri sorumlusu haline geleceği, hem de Kanunun 4’üncü maddesinin 2 numaralı fıkrası hükmü gereğince kişisel verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine ve Kanunun 8’inci maddesinde belirtilen ilgili kişinin açık rızası ya da 5’inci maddenin (2) numaralı fıkrasında düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere aktarmak suretiyle hukuka aykırı olarak işlenmesine sebebiyet vereceği dikkate alındığında, ihbar konusu olayda araç kiralama yazılımı üreten ve satan şirketlerin araç kiralama firmaları ile birlikte ortak veri sorumlusu olarak hareket ettiğine,
- Öte yandan bu minvalde işlenen kişisel verilerin Kanuna aykırılık doğuracağı dikkate alındığında bu yönde işlenmiş kişisel verilerin Kanunun 7’nci maddesinde düzenlenen hükümler ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun şekilde imha edilmesi hususunda ihbar kapsamında incelenen veri sorumlularının talimatlandırılmasına
karar verilmiştir.