Hollanda- Amsterdam Bölge Mahkemesi’nin Otomatik Karar Alma ve Profilleme Ekseninde Erişim Hakkının Kapsamını İncelediği Kararı- Ola Cabs vs Sürücüler

 

Karar

(RESMİ OLMAYAN ÇEVİRİ)

AMSTERDAM BÖLGE MAHKEMESİ

 

Yetkili

Amsterdam Bölge Mahkemesi

Karar Tarihi

11-03-2021

Yayımlanma Tarihi

11-03-2021

Dosya Numarası

C / 13/689705 / HA RK 20-258

Görev Alanı

Medeni Hukuk

Özel Durumlar

İlk Derece – Çoklu

Özet: Taksi sürücülerinin GDPR’a dayalı erişim talepleri. Diğer temel menfaatlere (sendika) rağmen hakların kötüye kullanılması söz konusu değildir. Çok genel talep. GDPR’ın, gizlilik beyanına (politika) dayalı olarak farklı kişisel veri kategorilere uygulanması. Burada otomatik karar vermenin yasaklanmış bir şekli var mıdır? Veri taşınabilirliği. Platform işleticisi, yolcular tarafından sağlanan değerlendirmelerin yanı sıra dolandırıcılık ihtimali skoru ve kazanç profili ile profilleme şekillerine dayalı veriler ve usulsüzlük raporlama sisteminde işlenen veriler ile mali yaptırım kararlarına yol açan verilere anonim olarak erişim sağlamak durumundadır. Başvuru sahiplerinin belirli bir formatı sunmayı talep etme hakkı yoktur.

Dosya Numarası/ Başvuru Numarası: C / 13/689705 / HA RK 20-258

11 Mart 2021 tarihli karar

Başvurucular

1. [başvurucu 1], Birleşik Krallık’ta ikamet eder,
2. [başvurucu 2], Birleşik Krallık’ta ikamet eder,
3. [başvurucu 3], Birleşik Krallık’ta ikamet eder,

Amsterdam’dan avukat bay AH Ekker tarafından temsil edilmiştir.

Karşı taraf

OLA NETHERLANDS BV, sınırlı sorumlu özel hukuk şirketi.

Amsterdam’da kurulu olup Amsterdam’dan avukat JG Reus tarafından savunulmuştur.

Buradan sonra başvurucular hep birlikte “[başvurucular]” ve her biri ayrı ayrı [başvurucu 1], [başvurucu 2] ve [başvuru 3] olarak anılacaktır. Davalı da “Ola” olarak anılacaktır.

1 Yargılama Usulü
1.1 Yargılama süreci şu şekilde gerçekleşmiştir:

–   Ekleri ile birlikte dava dilekçesi 9 Eylül 2020 tarihinde kayda alınmıştır,

–   Tarafların katılacağı ilk duruşmaya toplantısına dair 22 Ekim 2020 tarihli ara karar,

–   Revize edilmiş dilekçe ekleri ile birlikte 20 Ekim 2020 tarihinde kayda alınmıştır,

–   Cevap dilekçesi bir adet eki ile birlikte 10 Aralık 2020 tarihinde kayda alınmıştır,

–  16 Aralık 2020 tarihli sözlü duruşma tutanakları ve belgeler ile burada bahsedilen belgeler.

1.2. Son olarak incelemenin ardından bugün bir karar verildi.
(RESMİ OLMAYAN ÇEVİRİ)

2 Olaylar
2.1. Ola Bangolor’da (Hindistan) yerleşik bir ana şirkettir. “Ola Cabs” (Ola Taksi) bölümü 2010 yılında kurulmuştur. Ola taksi bir uygulama aracılığıyla, yolcular ve (taksi) sürücülerini bir araya getiren dijital bir platformdur.

2.2. Başvurucular, Birleşik Krallık’ta “kiralık özel sürücüler” (buradan sonra: “sürücüler”) olarak çalışmaktadırlar, Ola Sürücü Uygulaması aracılığıyla Ola hizmetlerini kullanmaktadır. Taşıdıkları yolcular, Ola Taksi Uygulamasını kullanmaktadırlar.

2.3. Başvurucular, Uygulama Sürücüleri ve Kuryeleri Sendikası (buradan sonra: [App Drivers & Couriers Union] ADCU) üyesidirler. ADCU Birleşik Krallık’ta kiralık özel sürücü ve kuryelerin menfaatlerini savunan bir sendikadır. ADCU, Uluslararası Uygulama Taşıma İşçileri Birliği’nin (buradan sonra: [the International Alliance of App Transport Workers] IAATW) üyesidir. Her iki kuruluş da kendisini platform işçilerinin dijital haklarına adamıştır.

2.4. ADCU, İşçi Bilgi Değişimi (Buradan sonra [Worker Info Exchange] WIE) tarafından desteklenmektedir. WIE, amacı ekonomi işçilerine çalıştıkları süre içerisinde haklarında toplanan kişisel verilere erişim sağlamak olan, kar odaklı olmayan bir kuruluştur. ADCI ve WIE birlikte, diğer amaçlarının yanı sıra, kişisel verileri analiz amaçları için toplanan Ola sürücüleri için bir “veri tröstü” oluşturmayı amaçlamaktadır.

2.5. Birçok ülkede, dijital platformlar aracılığıyla hizmet sunan şirketler ile sürücüler arasında bir istihdam ilişkisi olup olmadığı yönündeki yargılamalar beklenmektedir.

2.6. 23 Haziran 2020 tarihli ayrı bir talepte, [Başvurucu 1] ve [Başvurucu 2] Ola tarafından işlenen verilerin incelenmesini ve bir CSV dosyası olarak kendilerine sunulmasını talep etmiştir. [Başvurucu 3], 5 Ağustos 2020 tarihinde bir erişim talebi iletmiştir. Bu taleplere cevap olarak Ola başvuruculara bir dizi dijital dosya ve belgelerin kopyalarını sağlamıştır.

2.7. Ola, veri işleme ile ilgili genel bilgileri içeren bir “Gizlilik Politikası1 (Buradan sonra: Gizlilik Beyanı) hazırlamıştır. Ayrıca Ola’nın işlediği kişisel veri kategorilerine genel bir bakış içeren “Verinizi nasıl işliyoruz” adlı bir belge de kullanmaktadır.

3. Uyuşmazlık
   3.1.Başvurucuların talebi incelendikten ve tamamlandıktan sonra, mahkeme -özetle- bir ihtiyadi tedbir kararı vermiştir. Buna göre:

I     Ola, kararın tebliğinden itibaren bir ay içerisinde, tüm olası maliyetler kendisine ait olmak üzere, başvuruculara genel olarak elektronik formatta kullanılan şu belgeleri sağlamalıdır:

i) Gizlilik beyanında ve buna eşlik eden belgelerde bahsedilen kişisel veriler dahil, başvuranlarla ilişkili olarak işlenen tüm kişisel veriler,

ii) İşleme amaçları, ilgili kişisel veri kategorileri, özellikle üçüncü ülkelerde bulunan alıcılar ve uluslararası kuruluşlar olmak üzere alıcılar ya da kişisel verinin aktarıldığı ya da aktarılacağı alıcı kategorileri, bu verilerin saklama süresi

iii) GDPR madde 22/1 ve 4. fıkralarında bahsedilen profilleme dahil otomatik karar almanın varlığı ve başvurular için bu işlemenin başvurucular üzerindeki beklenen ve önemli sonuçları nın yanı sıra en azından altında yatan mantıkla ilgili kullanışlı bilgi.

iv) Üçüncü bir ülkeye ya da bir uluslararası kuruluşa aktarım yapılması durumunda, Ola tarafından aktarımlarda GDPR madde 46’ya göre alınan uygun güvenlik önlemleri.

II   Kararın tebliğinden itibaren bir ay içerisinde Ola,  yapılandırılmış, genel kullanıma sahip ve makine tarafından okunabilir bir formda, yani CSV dosyası olarak bilinen bir formatta ya da bir Uygulama Programlama Arayüzü (API) aracıyla bu verilerin doğrudan bir başka veri sorumlusuna aktarılabileceği bir şekilde kişisel verileri başvuruculara sunmalıdır.

III   Madde I ve II’de belirtilen kararlardan biri ya da daha fazlasını yerine getirmekte geciktiği her gün için Ola, 2.000€ para cezası ile cezalandırılacaktır.

IV   Yargılama masraflarının ödenmesi.

3.2. I- (i), (ii) ve (iv)’de yer alan talepler GDPR1 madde 15/1’e (inceleme hakkı) dayanmaktadır. Başvuruculara göre Ola, erişim taleplerine cevaben kişisel verilerine tam bir erişim sağlamamıştır. Gizlilik beyanı ve beraberindeki belgeler, Ola’nın büyük miktarlarda kişisel veri kategorisini işlediğini göstermektedir ancak başvurucular birçok veri kategorisine erişim elde edememiştir. Daha da ötesi, başvuruculara iletilen veri setleri tutarsız ve eksik veri sağlandığını göstermektedir.

3.3.I- (iii) ‘de yer alan talep GDPR madde 15/1- h ve 22’ye (otomatik karar alma ve profilleme) dayanmaktadır. Başvuruculara göre Ola, başvurucular ile akdettiği sözleşmeyi yerine getirmek için otomatik karar verme ve profilleme kullanmaktadır. Buna dair açıklama gizlilik beyannamesi ve “Verinizi nasıl işliyoruz” belgesinde tam olarak verilmemektedir. GDPR’ın 71 nolu açıklamasına göre, profilleme uygularken Ola uygun prosedürleri uygulamalı ve ilgili kişi için adil ve şeffaf işlemeyi sağlayan önlemleri almalıdır. Profillemenin ayrımcılığa yol açan sonuçlarından kaçınılmalıdır. Ola’nın GDPR madde 22/3’te yer alan gerekliliklere uyum sağlayıp sağlamadığını değerlendirebilmek adına, başvurucuların otomatik karar verme ve profillemeye (var olup olmadığına), altında yatan bilgiye ve işlemenin beklenen sonuçlarına erişmelerinde menfaatleri vardır.

3.4. II numarada yer alan talep GDPR madde 20/1’e (veri taşınabilirliği) dayanmaktadır. Başvuruculara göre Ola, başvuruculara kişisel verilerini doğrudan indirebilme ve başka bir veri sorumlusuna iletebilme seçeneği sunmalıdır. Bu Uygulama Programlama Arayüzü (bundan sonra: API) veya güvenilir bir üçüncü kişi (bundan sonra: TTP) kullanılarak başarılabilir. Başvurucular kişisel verinin Ola tarafından bir CSV dosyasında sunulmasını talep etmiştir, fakat Ola kişisel verilerin yalnızca küçük bir kısmını bu dosya “format”ında sunmuştur (Tırnak işaretleri aşağıda atlanmıştır).

3.5. Başvuruculara göre, III numaralı madde uyarınca talep edilen cezanın uygulanması, başvurucuların kendi kişisel verilerine erişme ve aktarmalarındaki yüksek menfaati ve Ola’nın finansal gücü karşısında makuldür.

3.6. Başvurucular taleplerinde şu menfaatlerinin bulunduğunu beyan ederler:

Çeşitli ülkelerde, “Araç Çağırma Uygulamaları” ve sürücüler arasında istihdam ilişkisi bulunup bulunmadığı sorusuna yönelik yargılamalar yürütülmektedir. Burada önemli olan,  bu tür sağlayıcıların, diğer şeylerin yanı sıra, algoritma ve otomatik karar alma araçlarıyla gerçekleştirdikleri yönetim kontrolüne ne ölçüde sahip olduklarıdır;

• Birleşik Krallık mahkemesi bu sürücülerin “Araç Çağırma Platformuna” girdikleri her saat için asgari bir maaşa ve tatil hakkına sahip olduklarına hükmetmiştir. Dolayısıyla aylık ücretlerini hesaplayabilmeleri için, başvurucuların verilerine erişmeleri gerekmektedir:
• Talep edilen veri, sürücülerin toplu pazarlık gücünü organize ve inşa etmeleri için gereklidir.
• Veri işleme hakkında şeffaflık platform sağlayıcılar karşısındaki sürücülerin menfaatlerinin temsil edilebilmesi için gereklidir.
• Bir sürücü olarak lisanslanmasına karar verilirken, sürücüler uygunluklarına göre değerlendirilmektedir, bu nedenle geçmiş kayıtları ve davranışları önemlidir. Bu bağlamda, başvurucuların kişisel verilerine erişimlerinin sınırlandırılmamış olmasında menfaat vardır.
• Birleşik Krallık Mahkemesi, sürücülerin ayrımcılığa karşı korunmaya hakları olduğuna karar vermiştir. Bir ayrımcılık ya da eşit olmayan muamele olup olmadığına karar verebilmek için, sürücüler Ola Sürücü Uygulamasındaki “puanlama” hesaplarına erişmelidirler;
  Talep edilen veri WIE için de erişilebilir olacaktır.

3.7. Ola bir savunma ileri sürer. [Başvurucu 3]’ün veri aktarımı talebinin kabul edilemez olduğunun açıklanmasını ve başvurucuların diğer taleplerinin, Ola tarafından bahsedilen sonuçlar ve garantiler dikkate alınarak reddedilmesini yahut (kısmen) kabul edilebilir olduğunun deklare edilmesini, başvurucuların yasal faizi ile birlikte yasal masrafları (sonraki masraflar dahil) ödemeye mahkum edilmesini talep eder

3.8. Tarafların iddiaları, ilgili oldukları ölçüde, aşağıda daha detaylı olarak tartışılmıştır.

(RESMİ OLMAYAN ÇEVİRİ)

4 Değerlendirme

 Yetki ve uygulanabilir hukuk

4.1.Mahkeme, Hollanda mahkemelerin yargı yetkisine sahip olup olmadığını ve eğer öyle ise, bu mahkemenin başvurucuların taleplerini dinlemeye yer bakımından yetkili olup olmadığını resen incelemelidir. Ola, Amsterdam bölgesinde yerleşik olduğundan bu mahkeme yetkili ve görevlidir (Brüksel I NIS Tüzüğü2 Madde 4 ve Medeni Usul Kanunu’nun 262/giriş maddesi 3)

4.2. Başvurucuların talepleri GDPR’a dayandığı sürece, bu bir Avrupa Tüzüğü olarak doğrudan uygulanabilirdir. Tarafların taleplerini (ek olarak) Hollanda hukukuna dayandırdığı gerçeğinden hareketle, Roma I Tüzüğü’nün4 3/1 maddesinde belirtildiği üzere mahkeme tarafların Hollanda hukukunun uygulanması için zımni bir hukuk seçimi yaptıkları sonucuna varılmaktadır.

4.3. Ola’nın GDPR’ın 4 ve 7. maddeleri gereğince veri sorumlusu olduğu konusunda taraflar arasında bir uyuşmazlık bulunmamaktadır.

Menfaatin Bulunmaması, Hakların Kötüye Kullanılması?

4.4. Ola , başvurucuların bu davadaki taleplerinde Madde 3: 303 BW 5 anlamında şahsi menfaatlerinin bulunmadığını, zira bu davanın yalnızca ADCU’nun çıkarlarına veya platform hizmetlerini kullanan sürücülerin genel çıkarlarına hizmet ettiğini ileri sürmektedir.

4.5. Ayrıca Ola, başvurucuların taleplerinin Hollanda Medeni Kanunu’nun 3:13 Bölümü anlamında yasanın kötüye kullanılması olduğunu ileri sürmüştür. Ola’ya göre başvuranlar erişim hakkı ve veri taşınabilirliği hakkını öngörülenden başka bir amaçla, yani bir veri tröstü kurmak ve Ola ile diğer platformlara karşı sürücülerin yasal konumlarını iyileştirmek için bilgi toplamak amacıyla kullanmaktadırlar.

4.6.Her şeyden önce mahkeme, bir ilgili kişinin, kural olarak, GDPR’a göre neden erişim talebinde bulunduğunu ortaya koymak ya da kanıtlamak zorunda olmadığını belirtir. Erişim hakkının kullanılmasında ilgili kişi, erişimle ulaşmak istediği özel bir menfaat ortaya koymak ya da hedef göstermek zorunda değildir. İlgili kişi hakkında verinin işlenmesi, tek başına yeterlidir. Ancak bu, bir erişim talebinin hiçbir zaman Hollanda Medeni Kanunu’nun 3:13 maddesi (bkz 9 Kasım 2018, ECLI: NL: PHR: 2018: 1273) anlamında yetkilerin kötüye kullanılması olarak kabul edilmeyeceği anlamına da gelmez. Bu durum, erişim hakkının kişisel verinin doğru ve hukuka uygun bir şekilde işlenip işlenmediğinin kontrol edilmesi dışında bir amaçla kullanılması halinde söz konusu olabilir. Bu da veri sorumlusunun, yetkilerin kötüye kullanıldığını ortaya koymasına kalmıştır.

4.7. Bu davada, başvurucular kendi verilerinin doğruluğunu ve hukuka uygunluğunu kontrol etmek istediklerini ve bunun diğer gizlilik haklarını kullanmaları için bir koşul olduğunu ifade etmiştirler ki bu yeterlidir. Ola’nın iddia ettiğinin aksine, başvurucuların ve üyesi oldukları sendikanın farklı bir menfaate sahip olması gerçeği yani iş hukukundaki konumlarını netleştirmek ve platformlara karşı (yürütülen/başlatılacak olan) hukuki süreçler için delil elde etme amacıyla kişisel veri toplamak, başvurucuların haklarını kötüye kullanması değildir. Netice olarak, başvurucuların erişim haklarını kişisel verilerinin doğru ve hukuka uygun bir şekilde kullanılıp kullanılmadığını kontrol etmek dışında özel bir amaçla kullanma arzusunda oldukları tespit edilmemiştir. Bu nedenle erişim hakkının kötüye kullanılmasına dair itiraz reddedilmiştir.

4.8. Başvurucuların kişisel verinin belli bir formatta (kendilerine) iletilmesi talebi, bu verinin platform işçilerinin pazarlık pozisyonunun geliştirmesi için analiz edilmesi amacıyla doğrudan WIE veri tabanına aktarılması isteğinden kaynaklanmaktadır. GDPR  78 nolu açıklama, veri taşınabilirliğinin ilgili kişinin kendi verisi üzerindeki kontrolünü güçlendirmeye hizmet ettiğini belirtir. Veri taşınabilirliği hakkı rehberi 6, bu hakkın amacının ilgili kişinin kendi verileri ile ilgili konumunu güçlendirmek ve ilgili kişinin kendi verisi üzerindeki kontrolünü  arttırmak olduğunu öngörmektedir. Bu hak sistemin, ilgili kişinin kendi sistemi, güvenilir üçüncü tarafların sistemleri ya da yeni veri sorumlusunun sistemi olup olmadığına bakılmaksızın ve engellenmeksizin, ilgili kişinin kişisel verilerinin bir bilişim ortamından bir diğerine kolaylıkla taşınmasına, kopyalanmasına veya aktarılmasına izin verir. Ola haklı olarak, bu hakkın önemli bir amacının başka bir hizmet sağlayıcıya geçişi sağlamak ve orijinal veri sorumlusunda “kullanıcının kilitli kalmasını” (user-lock-in) önlemek olduğunu ileri sürmektedir. Ancak bu, başvurucuların hedefledikleri amacın – kendi kişisel verilerini analiz etmek ya da kendi amaçları için kullanmak- veri taşınabilirliği hakkının dışında kaldığı anlamına gelmez. Tarihi gelişimine bakıldığında GDPR’ın kendi değerlendirmelerinde ya da rehberlerinde buna dair bir dayanak bulunmamaktadır. Veri taşınabilirliği hakkının kötüye kullanıldığı iddiası bu nedenle reddedilmiştir.

(RESMİ OLMAYAN ÇEVİRİ)

Kişisel veriye erişim talebi

4.9. Erişim talebi, GDPR madde 15/1’e dayanmaktadır. Bu maddeye istinaden, kişisel verisi işlenen kişi, veri sorumlusundan kişisel verisinin işlenip işlenmediğini öğrenme ve işleniyorsa, bu kişisel verilerin ve işleme amaçlarının, ilgili kişisel veri kategorilerinin, alıcıların ya da kişisel verinin açıklandığı ya da açıklanacağı alıcı kategorilerinin neler olduğu ve kişisel verilerin ne süreyle saklanmasının beklendiğini ya da saklama sürelerinin belirlenmesine esas kriterlerin neler olduğunu denetleme hakkına sahiptir.

4.10. GDPR’ın 15. maddesinin amacı ilgili kişinin kendisi hakkında toplanan kişisel verilerin farkında olmasını ve bu verinin doğru olduğu ile hukuka uygun (bakınız GPDR 63 no’lu açıklama) şekilde işlendiğini teyit etmesini sağlamaktır. GDPR, Wbp’de8 (Hollanda Kişisel Verileri Koruma Kanunu) uygulandığı gibi Kişisel Veri Direktifinin7 halefidir. Daha öncesinde erişim hakkı Kişisel Veri Direktifinin 12. maddesinde düzenlenmiştir. Kişisel Veri Direktifi ile karşılaştırıldığında GDPR’da erişim hakkının amaç ve kapsamının değiştiğine dair bir gösterge bulunmamaktadır. GDPR madde 15’te düzenlenen erişim hakkının yorumunda, mahkeme Avrupa Birliği Adalet Divanı (ABAD) ve Kişisel Veri Direktifi ve Wbp’de düzenlenen erişim hakkına dair Yüksek Mahkeme kararlarına uyum sağlamaya çalışacaktır.

4.11. Erişim hakkı kişisel veri ile sınırlıdır. Bu nedenle “kişisel veri” kavramının tanımı erişim hakkının kapsamını belirler. GDPR madde 4/1’e göre, kişisel veri “belirli ya da belirlenebilir bir gerçek kişi hakkındaki tüm bilgiler”dir. ABAD, “kişisel veri” kavramına geniş bir tanımlama getirmiştir. ABAD kişisel veri kavramının yalnızca hassas ya da kişisel bilgiler ile sınırlı olmadığını, ilgili kişiyi ilgilendirmesi kaydıyla görüşler, değerlendirmeler şeklinde hem objektif hem de subjektif her türlü veriyi kapsayabileceğini değerlendirmiştir. İkinci koşul bilginin içeriği, amacı ya da etkisi nedeniyle belirli bir kişiyle ilişkilendirilebildiğinde ve bu kişi makul bir şekilde diğer bir kişi tarafından belirlenebilir olduğunda gerçekleşir (ABAD 20 Aralık 2017, ECLI: EU: C: 2017: 994).

4.12. Dahası, ABAD’ın 17 Temmuz 2014 tarihli kararı da talebin değerlendirilmesi ile ilgilidir (ECLI: EU: C: 2014: 2081, IND). Bu dosyada ABAD, -kısaca- hukuki bir analizin kişisel veri içerebileceğini  ancak hukuki analizin kendisinin Kişisel Veri Direktifinin 3. maddesi anlamında kişisel veri olarak nitelendirilemeyeceğini değerlendirmiştir. Hukuki analiz için temel oluşturabilecek verinin aksine, analizin kendisinin tutarlılığı ilgili kişi tarafından kontrol edilemez ve doğrulanamaz. 16 Mart 2018 tarihli kararında (ECLI: NL: HR: 2018: 365) Yüksek Mahkeme – ABAD’ın bu kararındaki değerlendirmelerine atıfta bulunarak- Wbp’ye uyarlanan Kişisel Veri Direktifinin,  ilgili kişinin mahremiyetine saygı duyulması hakkını korumak için ilgili kişinin kişisel verisinin doğru olup olmadığı ve hukuka uygun şekilde işlenip işlenmediğini kontrol etmesine izin verdiğini değerlendirmiştir. Bu kontrol verinin düzeltilmesine, silinmesine ya da engellenmesine yol açabilecektir.

Ek olarak, erişim hakkı veri sorumlusunun veya üçüncü kişilerin işçilerinin kişisel düşüncelerini ya da görüşlerini içeren ve yalnızca iç istişare ya da değerlendirmeye özel olan dahili notları  (kısmen ya da tamamen) kapsamaz (29 Haziran 2007 tarihli üç karar: ECLI : NL: HR: 2007: AZ4663, AZ4664 ve BA3529).

4.13. Veri sorumlusu (bu davada Ola) başkalarının hak ve özgürlüklerini korumak için gerekli ise erişim talebini reddedebilir (GDPR madde 15/4 ve GVKTUK madde 41/1-i9). Hukuki geçmişe bakıldığında, veri sorumlusunun kendisinin de bu kapsamda “başkaları” olarak kabul edildiği anlaşılmaktadır. Bu hüküm (düzenlemelerde) verilen haklara bir istisna içerir ve bu nedenle sınırlı bir şekilde yorumlanmalıdır. Spesifik bir durumda başvurunun sınırlandırılması ya da reddedilmesine yol açacak böyle bir gerekçenin bulunup bulunmadığına,  dahil olan tüm menfaatleri tarttıktan sonra mahkeme tarafından karar verilmelidir. Bu istisna hükmü değerlendirilirken, bilgi sağlama yükümlülüğü kural olarak veri sorumlusuna (bu olayda Ola) aittir.

4.14. Kural olarak, GDPR’a göre inceleme hakkı koşulsuzdur. Belli şartlar altında, bir erişim hakkına başka koşullar getirilebilir (bkz. AG Wuisman’ın Yüksek Mahkemedeki görüşü, 25 Mart 2016, ECLI: NL: PHR: 2016: 1 ve  Yüksek Mahkeme 25 Mart 2016, ECLI: NL: HR: 2016: 508 ). Bir veri sorumlusu, ilgili kişiyi ilgilendiren yüksek miktarda veri işlediğinde, erişim talebine cevaben bilgi sağlamadan önce, ilgili kişinin talebinin ilgili olduğu bilgi ya da işleme faaliyetinin ne olduğunu ilgili kişiden belirtmesini talep edebilmelidir (GDPR 63. Açıklama).

4.15. Yukarıda bahsedilen ilkeleri uygulayan mahkeme başvurucuların erişim talebini aşağıdaki gibi değerlendirmiştir.

(RESMİ OLMAYAN ÇEVİRİ)

Talebin Genelliği
4.16. Başvurucular Ola’nın kendileri hakkında işlediği tüm kişisel verileri incelemek istemektedirler. Başvurucuların kendisi bu talebi daha detaylı olarak açıklamalarına gerek olmayan bir konumdadırlar, çünkü Ola GDPR Madde 5/1-a temelinde işlediği kişisel verilere ilişkin olarak tam bir şeffaflık sunmalıdır.

4.17. Bu madde, ilgili kişilere karşı şeffaf bir yaklaşımla kişisel verilerin işlenmesi gerektiğini belirtir. GDPR 39 no’lu açıklama, şeffaflık ilkesinin özellikle ilgili kişilerin, veri sorumlusunun kimliği ve işleme amaçları hakkında bilgilendirmenin yanı sıra gerçek kişiler ve haklarıyla ilgili olarak adil ve şeffaf işlediğinin temin edilmesine ilişkin olarak bilgilendirilmesi ile ilgili olduğunu belirtir. Belirtilen koşullarda, başvurucular için şeffaflık ilkesine dayanmak yeterli değildir. Çok miktarda veri işlemesi nedeniyle Ola GDPR 63 No’lu açıklamaya dayalı olarak başvurucuların elde etmeyi talep ettikleri kişisel verilerin belirtilmesini talep edebilir. Bu açıdan, talebin halihazırda hangi bilgiler ve veri işleme faaliyetleri ile ilgili olduğu hakkında daha detaylı bilgi vermek başvurucuların inisiyatifindedir. Başvurucular bunu yeterli şekilde yapmamıştır. Sonuç olarak, başvurucuların Ola tarafından kendileri hakkında işlenen tüm verilere erişim talebi, çok genel ve belirsiz olduğundan yetersizlik sebebiyle reddedilmiştir.

4.18. Başvurucuların sözlü duruşma için konuşma notlarında erişim talep ettikleri bir dizi veriyi içeren bir tablo yer almaktadır. Ancak bu verinin açıklaması yer almamaktadır. Bu nedenle, mahkeme bunların (tabloda yer alan verilerin) GDPR madde 4/1 anlamında kişisel veri olup olmadığına karar verememektedir. Dahası,  Ola bu veriler yönünden erişim talebi ile ilgili olarak kendisini yeterince savunamamaktadır ki bu yasal sürece aykırıdır. Bu nedenle mahkeme bahsedilen bu tabloda yer alan verileri dikkate almayacaktır.

4.19. Bundan sonrasında, erişim talebi özellikle belirtilen kişisel veri kategorileri yönünden değerlendirecektir. Bu kategoriler Ola’nın gizlilik beyanında ve “verinizi nasıl işliyoruz” belgesinde bahsedilen kategorilerdir. Her bir kategori için Ola’nın talep edilen veriye erişimi, yolcuların ya da Ola’nın temel hak ve özgürlüklerinin korunması için gerekli olduğu (GDPR madde 15/4 ve UAVG madde 41/1 -i) gerekçesiyle reddetmekte haklı olup olmadığı (noktasından) değerlendirilecektir. Başvurucuların iddialarının aksine, yolcu ve sürücü arasındaki sözleşmesel ilişki nedeniyle (başvurucuların) genel olarak tüm yolcu verisine erişim hakları bulunduğu söylenemez.  Bir yolcunun bir sürücüye karşı olan herhangi bir sözleşmesel yükümlülüğünün Ola’ya karşı ileri sürülemeyeceği gerçeğinden ayrı olarak, Ola başvuruculara bilgi sunarken yolcuların gizlilik haklarına da saygı göstermelidir.

Müşteri işlemleri, rezervasyon iptal geçmişi ve rezervasyon kabul geçmişi
4.20. Başvuruculara göre Ola, “sürücünün kimliği, eşsiz yolculuk kimliği, (yolculuk) başlama ve sonlanma için zaman damgası, başlangıç ve bitiş için GPS” ve “ön fiyatlandırma” bilgilerinin eksik olması nedeniyle “müşteri işlemleri, rezervasyon iptal geçmişi ve rezervasyon kabul tarihi” kategorilerine yeterli bir erişim sağlamamıştır.

Dahası, başvuruculara iletilen veri setleri farklıdır. Başvurucular en azından şu verilere erişmek istemektedirler: “sevk kaydı, önerilen iş, zaman teklifi, sürücünün kabul ya da ret zamanı, yolcu iptali, sürücü iptali, (yolculuğun) tamamlanma, teklifin sona erme zamanı”.

4.21. Ola, talep edilen verilerin sürücü tarafından Ola Sürücü Uygulaması’ndan görüntülenebileceğini iddia etmiştir. Müşteri işlemleriyle ilgili olarak sürücü, Ola Sürücü Uygulamasında finansal bilgiyi görüntüleyebilir ancak müşteri detayları, müşterinin gizlilik haklarının korunması amacıyla (sürücülere) sunulmamaktadır.

4.22. Başvurucular, talep edilen kişisel verilerin Ola Sürücü Uygulamasından görüntülenip indirilebileceğine yeterince itiraz etmemiştirler. Bu nedenle, mahkeme başvurucuların talep edilen kişisel verilere erişimi olduğunu varsaymaktadır. Ola, sürücü ile işlem yapan yolcuların detaylarını başvuruculara sunmak zorunda değildir. Bu veri, işlemi gerçekleştiren kişi hakkındaki bilgi, bu kişinin (gizlilik) haklarını olumsuz şekilde etkileyebileceğinden, işlemenin hukuka uygunluğunun başvurucular tarafından değerlendirilmesi ile ilgili değildir. Bu nedenle talebin bu kısmı reddedilecektir.
4.23.Başvurucular “puanlama geçmişi” ve bireysel yolcular tarafından verilen puanlamayı incelemek istemektedirler. Başvuruculara göre, bu veriler, kendilerine sunulan seyahatlerin sayısına ve kalitesine karar vermekte ve düşük puanlamalar sürücülerin hesaplarının kapatılmasına (deaktive edilmesine) yol açabilmektedir. Başvurucular, doğrudan yolcuları tanımlayan bilgilere sahip olmadıklarından, bu veriler sunulduğunda yolcuların kimliklerinin tespit edilmesi riskinin minimum olduğunu iddia etmektedir. Sonuç olarak, başvuruculara göre bu puanlama verileri takip edilebilir (belirlenebilir) bireylere bağlanamaz.

4.24. Ola, sürücülerin Ola Sürücü Uygulaması aracılığıyla yolcular tarafından kendilerine verilen puanlamaya dayalı mevcut puanına ulaşabildiklerini iddia etmektedir. Ayrıca, yolcuların (gizlilik) haklarını korumak amacıyla yolcular tarafından verilen bireysel puanların sunulamayacağını ileri sürmektedir. Ek olarak, Ola’ya göre, bu puanlama düzeltme için uygun değildir, bu nedenle bu puanlar inceleme hakkı kapsamına girmemektedir.

4.25. Ola’nın iddia ettiğinin aksine, bir sürücünün puanlaması ya da değerlendirilmesi GDPR’ın 4/1 maddesi anlamında kişisel veridir, zira bu bilgi içeriği nedeniyle belirli bir insanla ilgilidir ve bu nedenle bu kişi, başkaları için makul şekilde belirlenebilir durumdadır.  Bu da, bu veriler Ola Sürücü Uygulamasında görüntülenemediği sürece, Ola’nın talep edilen puanlama verisine erişim sağlaması gerektiği anlamına gelmektedir. Ola,  bu veriden hareketle, örneğin bu veriyi anonim bir şekilde sunarak, puanlamayı yapan yolcuya ulaşılamayacağından emin olmalıdır. Sonuçta, puanlamayı yapan kişi hakkındaki bilgi, bu kişinin (gizlilik) haklarını ihlal edebileceğinden puanlamayı kimin yaptığı ilgisizdir. Ola, yukarıda bahsedilen koşulları gözeterek puanlama verilerine erişim sağlamakla yükümlüdür.

GPS verisi
4.26. Başvurucular her seyahatin tam GPS verisine erişim talep etmektedirler. Yalnızca belli bir zaman aralığında gerçekleştirdikleri yolculukların başlangıç ve bitiş GPS verisini aldıklarını ifade etmektedirler. Dahası, GPS verisinde tarih ve saat bilgisi yer almamaktadır, bu nedenle sağlanan veriler başvurucular için anlaşılabilir değildir. GPS verisine erişim başvurucular için, yolculukta ne kadar süre harcadıkları ve ödenmeyen kilometrelerin analiz edilebilmesi için gereklidir. Puan ayrıca GPS verisi temelinde de belirlenmektedir.

4.27. Ola, veri işlemenin doğru olup olmadığını kontrol edebilmek için her bir yolculuğun GPS verilerinin tamamına erişmek gerekmediğini iddia etmektedir. Lokasyon verisi ile diğer ilgili yolculuk bilgilerini içeren bir tabloyu, başvuruculara sunmuştur. Bunu yapmakla, Ola işlenen verilerin anlaşılabilir bir formuna genel bir bakış sağlama yükümlülüğünü yerine getirmiştir. Sağlanan bilgi ile başvurucular işlemenin hukuka uygunluğunu teyit edebilmelidirler. Dahası, (ham) GPS verisi IND kararında belirtildiği gibi bir düzeltme için uygun değildir. Ek olarak, başvurucuların Ola Sürücü Uygulamasında yer alan kendi sürüş geçmişlerine erişimleri bulunmaktadır ve Ola, başvuruculara, başvurucuların kendilerini  “görev başında” veya “görevde başında değil” olarak raporladıkları zamanlara erişim sağlamıştır. Elde edilen bilgiler temelinde, başvurucular yolculuklarında ne kadar zaman harcadıklarını ve ödenmeyen kilometreleri analiz edebilirler. Ola’ya göre, şayet Ola daha fazla bilgi sağlarsa, başkalarının menfaatleri riske girebilir.

4.28. Lokasyon verisi kişisel veri olarak kabul edilebilir (bkz. GDPR md 4/1). Akabinde bu veriler, özellikle de diğer veriler ile birleştirilirse, (belirli/belirlenebilir) bir kişiye kadar takip edilebilir. Bu husus, taraflar arasında ayrıca bir uyuşmazlık konusu değildir. Daha önce puanlama verisi kategorisinde tartışıldığı gibi yolcu hakkındaki bilgi bu kişinin (gizlilik) haklarını ihlal edebileceğinden, hangi yolcunun taşındığı bilgisinin veri işlemenin hukuka uygunluğunun değerlendirilmesi ile ilgili olmayışı burada da geçerlidir. Bu nedenle Ola, yolcunun takip edilebilir olmasını engellemek için yolcuların lokasyon ve hareket verilerine erişim sağlamak zorunda değildir. Ayrıca, Ola’nın başvuruculara, verdiği bilgilerden başvurucuların, yolculuğun tarih ve saatine, yolculuğun başlangıç ​​ve bitiş konumuna, yolculuğun mesafesine ve yolculuğun fiyatına erişim elde ettikleri anlaşılmaktadır. Başvurucuların, Ola Sürücü Uygulaması aracılığıyla sürüş geçmişlerine kısmen erişimleri olduğu gerçeği göz önüne alındığında, başvurucular incelemek istedikleri diğer bilgileri yeterince ayrıntılı olarak açıklamamışlardır. Ek olarak, Ola’nın GPS verilerinin düzeltmeye uygun olmadığı yönündeki iddiasını da kanıtlamamıştırlar. Bu nedenle talebin bu kısmı reddedilecektir.

Cihaz verisi
4.29.Başvurucular Ola’nın “cihaz verisine” tam erişim sağlamadığını ileri sürmektedir. Bu veri, “uygulama için mesajları” ve lokasyon verisi içermesi nedeniyle önemlidir.

4.30. Ola (4.27’de görülebilir) halihazırda lokasyon verisine erişim verdiğini iddia etmektedir. Ayrıca başvurucuların mobil cihazları ve diğer çevresel ekipmanları tarafından işlenen verileri de sunmuştur. Hizmeti sağlamak için sürücülerin mobil telefon ve batarya durumu hakkında teknik bilgiyi de işlemektedir. Ola’ya göre, bu bilgi yalnızca cihazlar için geçerlidir (cihaza ait veriyi içermektedir) ve bu nedenle de kişisel veri olarak sınıflandırılamaz ve bu bilgiyi sunmak zorunda değildir.

4.31. Madde 4.28’de zaten Ola’nın lokasyon verisine daha fazla erişim sağlamasına gerek olmadığı değerlendirilmiştir. Başvurucular “uygulama için mesajlar” ile neyi kastettiklerini açıklamamıştırlar. Şimdi ise başvurucular “cihaz verisi” hakkındaki verinin eksik olduğunu iddia ettiklerine göre, eksik bilgiyi daha detaylı olarak belirtmenin yöntemi bu olabilirdi (bkz 4.17). Bunu yapmamak talebin bu kısmını çok genel hale getirmektedir ve bu nedenle de talep reddedilecektir.

(RESMİ OLMAYAN ÇEVİRİ)

Otomatik karar alma ve profilleme hakkında bilgi talebi
4.32. Başvurucular, GDPR madde 15/1’ın açılış satırları ve h fıkrası gereğince otomatik karar alma ve profilleme olup olmadığı bilgisine erişmek istemektedirler. Bu madde ilgili kişiye, profilleme dahil olmak üzere otomatik karar almanın varlığını ve bu durumlarda en azından işlemin altında yatan mantık hakkında yararlı bilgilerin yanı sıra ilgili kişi için bu işlemenin önemi ve beklenen sonuçları hakkında bilgi sahibi olma hakkını sağlar.

4.33. Otomatik karar alma ve profillemeye göre erişim hakkının kapsamında taraflar farklılaşır. GDPR’da yer alan haklar ve yükümlülükler kişisel verilerin otomatik işlenmesinin farklı kategorilerini ilgilendirir. Otomatik bireysel karar alma ve profilleme rehberinde10 aşağıdaki kategorilerden bahsedilmektedir:

• Karar verme olmadan genel profilleme;
• Tamamen otomatik olmayan profillemeye dayalı karar verme;
•  İlgili kişiler üzerinde hukuki sonuçları olan ya da başka bir şekilde bireyleri önemli ölçüde etkileyen, profilleme dahil tamamen otomatik olarak karar alma.

4.34. GDPR madde 12/1’e göre tüm durumlarda, veri sorumlusu ilgili kişilere işlenen kişisel verilerine dair öz, şeffaf, anlaşılabilir ve kolayca erişilebilir bilgi sunmalıdır.

Profilleme
4.35. GDPR md 4/4’te profilleme, bir gerçek kişinin işteki performansı, ekonomik durumu, sağlığı, kişisel tercihleri, ilgi alanları, güvenilirliği, davranışları, konumu veya hareketlerine ilişkin hususların analiz edilmesi veya tahmin edilmesi başta olmak üzere söz konusu gerçek kişiye ilişkin belirli kişisel özelliklerin değerlendirilmesi için kişisel verilerin kullanımını ihtiva eden her türlü otomatik kişisel veri işleme biçimi olarak tanımlanmıştır.

4.36. Bir ilgili kişi mutlaka profillemenin varlığı ve sonuçları hakkında bilgilendirilmelidir (GDPR 60 no’lu açıklama). GDPR madde 15 ilgili kişiye, bir profil oluşturmak için kullanılan veri kategorileri dahil olmak üzere profilleme için kullanılan tüm kişisel veriler hakkında bilgi edinme hakkı vermiştir. GDPR md 15/4’e göre, veri sorumlusu profil oluşturmak için girdi olarak kullandığı veriyi sağlamakla yükümlüdür. Ek olarak, profil hakkındaki bilgilere ve ilgili kişinin sınıflandırıldığı bölümler hakkındaki verilere de erişim sağlamalıdır. Bu hak, diğer kişilerin hak ve özgürlüklerine halel getiremez (GDPR md 15/4). Bu husus ticari sırları ve fikri mülkiyeti ve özellikle temelde kullanılan yazılımın telif haklarını içerir (GDPR açıklama 63)

Otomatik karar alma
4.37. GDPR md 22 uyarınca, başvurucular, bir dizi istisnaya tabi olarak, kendileri için hukuki sonuçları olarak ya da kendilerini başka bir türlü önemli ölçüde etkileyen, yalnızca otomatik işlemeye ya da profilleme dayalı olarak alınan bir kararın konusu olmama hakkında sahiptirler. Şayet karar alma sürecinde anlamlı bir insan müdahalesi bulunmuyorsa bu karar, yalnızca otomatik işlemeye dayanıyor demektir.

4.38. Rehber, “önemli ölçüde”nin eşiğinin ilgili kişinin hukuki etkiye sahip bir karar tarafından etkilenmesi ölçüsünde olduğunu belirtmektedir. Rehbere göre, işlemenin etkileri büyük ya da dikkate değecek kadar önemli olduğunda bir kişiyi büyük ölçüde etkiler. Karar, dahil olan bireylerin koşullarını, hareketleri ya da seçimleri önemli ölçüde etkileme potansiyeline sahip olmalıdır; uzun vadede ya da kalıcı olarak ilgili kişi üzerinde etkisi bulunmalıdır; veya çok uç bir durumda, kişilerin dışlanmasına ya da ayrımcılığa uğramasına yol açmalıdır. GDPR 71 no’lu açıklamada otomatik karar almanın örnekleri olarak şunlardan bahsedilir: Çevrimiçi olarak yapılan bir kredi başvurusunun otomatik olarak reddedilmesi veya başvuruların insan müdahalesi olmadan internet üzerinden işlenmesi.

4.39. Diğer hususların ötesinde, şayet söz konusu karar ilgili kişi ile bir veri sorumlusu arasındaki sözleşmenin ifası ya da sonuçlandırılması için gerekli ise ya da ilgili kişinin açık rızasına dayanıyorsa (GDPR md 22/2 açılış kelimeleri ile a ve c fıkraları) otomatik karar almaya izin verilmektedir. Bu durumda, veri sorumlusu yine de, en azından insan müdahalesi hakkı, veri sorumlusunun bakış açısını bilme hakkı ve karara itiraz etme hakkını içerecek şekilde gerekli önlemleri almalıdır (GDPR md 22/3 ve 71 no’lu açıklama).

4.40. Bir sözleşme kapsamında ya da rıza temelinde otomatik karar alma, sözleşmenin uygulanmasında otomatik karar almanın oynadığı rolün kapsamı hakkında şeffaflıkla ilgilidir. İlgili kişi, bir sözleşmeye girerken otomatik karar alma ve profillemenin olası kullanımınlarının farkında olmalıdır11.

4.41. GDPR madde 15/ 1 – açılış kelimeleri ve h fıkrası, veri sorumlusuna “işlemenin önemi ve beklenen sonuçlarının yanı sıra temel mantığı hakkında kullanışlı bilgi” sağlama yükümlülüğü yüklemektedir. Bu terimler GDPR’da tanımlanmamıştır. Rehber, asıl amacın ilgili kişinin kararın altında yatan mantığı veya kararın hangi kriterler temelinde alındığını anlayabilmesi olduğunu vurgulamaktadır. “Menfaat” ve “beklenen sonuçlar” kavramları hedeflenen ya da gelecek işlemeler ile otomatik karar almanın ilgili kişiyi nasıl etkileyeceği hakkında bilgi verilmesi gerektiğini belirtir. Rehberdeki açıklamanın dikkate alınmasıyla, mahkeme “altta yatan mantık hakkındaki kullanışlı bilgi”den en önemli değerlendirme kriterleri ve bu kriterlerin otomatik kararda ilgili kişiyle iletişimindeki rolünü anlamaktadır, böylece ilgili kişi kararın hangi kriterler temelinde alındığını anlayabilir ve veri işlemenin doğruluğu ile hukuka uygunluğunu teyit edebilir olur.

4.42. Yukarıdaki ilkelerin uygulanması ile mahkeme başvurucuların taleplerini aşağıdaki gibi değerlendirmiştir:

4.43. Taraflar arasında (haklı olarak) Ola’nın, Ola ve başvurucular arasındaki sözleşmenin uygulanması için gerekli olduğu sürece otomatik karar alma ve profillemeyi kullanma hakkına sahip olduğu hususunda uyuşmazlık bulunmamaktadır. Dahası, Ola’nın otomatik kararlar almak için kişisel veri kullandığı da tartışmasızdır. “Verinizi nasıl işliyoruz” belgesinde, Ola hangi kararlarda otomatik karar alma ve profillemeyi kullandığını ve bunun için hangi (kişisel) verileri kullandığını açıklamıştır. Başvurucular Ola’nın sunduğu bilgilerin tam olmadığını iddia etmektedirler. Başvuruculara göre, Ola’nın aşağıda bahsedilen işleme süreçlerinde kullandığı otomatik karar alma ve profilleme hakkında bilgiler eksiktir:

Sahtekarlık olasılık skoru
4.44. Başvurucular, “sahtekarlık olasılık skorunun” GPDR’ın 4/4 maddesi anlamında bir profilleme şekli olduğu görüşündedirler. Ola “sahtekarlık olasılık skorunun”, kuralları ve sözleşmelerin uygulanmasını sağlamak için kullandığı, erişim sağlaması gerekmeyen dahili veriler olduğunu iddia etmektedir. Skor, bir ilgili kişinin sahtekarca davranma olasılığının bir tahminidir. Ola’ya göre, skor bilgisi IND kararının gerekçelerine göre erişim hakkının kapsamı dışındadır. Talep edilen bilgi inceleme hakkının kapsamında girdiği ölçüde Ola, hizmetlerini (bütünlüğü) ve uygulama politikasını korumak için GDPR’ın 4. maddesi ve UAVG’nin 41/1-i maddesindeki istisnanın uygulanmasını talep etmektedir.

4.45.”Sahtekarlık olasılık skoru” uygulandığında bu, GDPR madde 4/4 anlamında profilleme meydana getirmektedir. Sonuç olarak başvurucuların kişisel verisinin otomatik işlenmesi başvurucuların davranışları ve güvenilirliği hakkında bir tahminin yapıldığı bir risk profili açığa çıkarmaktadır. Ancak, başvurucular bu risk profiline dayalı olarak kendileriyle ilgili  otomatik bir karar alındığını ileri sürmemiş ya da bunu ortaya koymamıştır.  Bu nedenle mahkeme burada GDPR madde 22 anlamında alınmış otomatik bir karar bulunmadığını varsaymaktadır. Bu, Ola’nın risk profili oluşturmak için kullandığı, başvuruculara ait kişisel verilere erişim sağlaması ve başvuruların sınıflandırıldığı bölümlerin neler olduğu hakkındaki bilgiyi sunması gerektiği gerçeğini değiştirmez, zira böylece başvurucular verilerinin doğru olup olmadığını kontrol edebilirler. (bkz aşağıda 4.36)

4.46. Ola’nın GDPR md 15/4’teki istisna yönünden itirazı başarısız olmuştur. Ola hangi önemli menfaat temelinde kişisel veriye erişimi reddettiğini ve bu menfaatin neden başvurucuların talep edilen veriye erişim hakkına ağır geldiğini ileri sürmüş olmalıydı. Ola bunu yeterince yapamamıştır. İşlenen kişisel verilere erişim sağlamanın, başvuruculara çalışma yöntemi ve yaptırım politikası ile Ola’nın bu amaçla kullandığı sistem hakkında, başvurucuların belirli güvenlik önlemlerini atlatmasına izin verecek şekilde (nasıl ve) ne ölçüde bir içgörü sağlayacağı açıklığa kavuşturulmamıştır.

(RESMİ OLMAYAN ÇEVİRİ)

Kazanç profili
4.47. Ola’ya göre, “kazanç profili”, ciro, katılım, bir sürücünün günlük çevrimiçi olduğu saat miktarı ve skor gibi farklı parametrelerin bileşimine dayanan bir profildir (görünüştür). Buna dayalı olarak Ola, belli sürücülere bonus verebilmektedir.

4.47. Bir bonus alma olasılığının sürücünün davranışları üzerine biraz etkisi olsa da, rehberde belirtildiği gibi hukuki ya da büyük etkileri olduğu ortaya konulamamıştır. GDPR madde 22/1 bu nedenle uygulanamaz. Ancak genel olarak, bir bonus sisteminin uygulanması bir kişi hakkında karar almayı, yani bonus verilmesi ya da verilmemesini, amaçlıyorsa kişisel veri işlemeyi içerdiği varsayılmalıdır. Dahası, burada GDPR md 4/4 anlamında bir profilleme vardır, zira sürücünün mesleki performansı değerlendirilmektedir. Bu Ola’nın,  profil oluşturmak için kullandığı, başvuruculara ait kişisel verilere erişime izin vermesi ve başvuruların sınıflandırıldığı bölümlere ait bilgileri sağlaması gerektiği anlamına gelir, böylece başvurucular bu verilerin doğru olduğunu teyit edebilirler (Bakınız yukarıda 4.36).

Gözetmen
4.48. Ola usulsüzlükleri tespit etmek için bir gözetim sistemi kullanmaktadır. Bu sistemle, Ola sürücü ve yolcuların güvenliğini arttırmak için yolculukları gözetlemektedir. Ola bu sistemin işleyişini şu şekilde açıklamıştır: Şayet bir yolcu araçtan erken indirilirse ya da önceden bildirilmeyen ara durak varsa, bir çalışan yolcu ile iletişim kurar ve bazen de her şeyin yolunda olduğunu teyit etmek için sürücü ile iletişim kurar. Şayet sistem bir usulsüzlük tespit ederse herhangi bir otomatik karar alınmaz ve bu kararın hukuki ya da diğer önemli sonuçları bulunmamaktadır. Bu nedenle Ola’ya göre, burada GDPR md 22/1 anlamında bir otomatik karar verme söz konusu değildir.

4.49. Başvurucular, Ola tarafından açıklanan sistem açıklamasına karşı çıkmaktadırlar. Başvuruculara göre, bir basın açıklamasından sistemin yapay zeka ve makine öğrenmesine dayandığı sonucu çıkmaktadır. Mahkemenin görüşüne göre ise henüz burada, GDPR md 22/1’te belirtildiği gibi bir otomatik karar alma süreci olduğu anlamına gelmez. Dahası, bu madde otomatik kararların ayrıca hukuki sonuçlarının da olmasını ya da başvurucuların otomatik karardan başkaca önemli bir şekilde etkilenmesini gerektirmektedir. Bu noktada başka bir açıklama bulunmamaktadır. Bu nedenle mahkeme GDPR md 22/1 anlamında bir otomatik karar verme olmadığını varsaymaktadır. GDPR’ın 15/1-h maddesi yalnızca bu türden kararlara uygulandığından talebin bu kısmı reddedilmektedir. Ancak Ola, gözetim sistemi tarafından işlenen başvurulara ait kişisel verilere erişim sağlamalıdır.

Yolculuk atama
4.50. Taraflar arasındaki bir sürücüye bir sürüş ataması yapılması kararının, Ola’nın eşleştirme sistemi aracılığıyla otomatik olarak alındığı tespit edilmiştir. Haklı olarak Ola, bu türden bir kararın GDPR madde 22 kapsamında düşmediğini ileri sürmektedir. Bu kararın Ola ve sürücü arasındaki sözleşmenin uygulanmasında bazı etkileri olacağı açık olmasına rağmen, rehberde belirtildiği şekli ile bir hukuki sonuç ya da önemli ölçüde bir etkisi olduğu sonucuna ulaşılmamıştır. GDPR’ın 15/1- açılış kelimeleri ve h fıkrası yalnızca bu türden kararlara uygulandığından talebin bu kısmı reddedilmiştir. Ola eşleştirme sisteminde işlenen kişisel veriler hakkında “verinizi nasıl işliyoruz” belgesinde bilgi sağlamıştır. Bu bilgi yeterlidir. Ola’yı bu sistem hakkında daha fazla ya da farklı bilgi sunmakla yükümlü kılmak için bir neden bulunmamaktadır.

İndirim ve ceza uygulanması
4.51. Yukarıda bahsedilenler, Ola’nın yolculukların geçerli olmadığı ve bu nedenle sonuç olarak indirim ya da ceza (“cezalar ve kesintiler”) uygulamaya karar verdiği otomatik karar alma süreçlerinden farklıdır. Ola’nın açıklamalarından bu karar alma sürecinde, bir karar almadan önce insan müdahalesi olmadığı anlaşılmaktadır. Ola’nın iddia ettiğini aksine, bir indirim ya da para cezası uygulama kararı dikkati hak edecek kadar önemlidir ve rehberde belirtildiği gibi kişinin davranışı ve tercihleri önemli ölçüde etkiler. Sonuç olarak, bu tür bir karar, başvurucuların Ola ile akdedilen sözleşmedeki haklarını etkileyen bir yaptırıma yol açar. Bu da Ola’nın, Ola ile başvurucular arasındaki sözleşmenin uygulanması için gerekli olmadığı ya da Ola başvuruculardan bunun için açık rıza almadığı sürece başvurucuları bu türden karar almaya konu etmekten yasaklandığı anlamına gelir. Ancak, Ola bu koşulları gerçekleştirdiğini ne ileri sürmüş ne de göstermiştir. Bu nedenle mahkeme, (bu olayda) GDPR md 22/2’de belirtildiği gibi yasağın bir istisnasının bulunmadığını varsaymaktadır. Sonuç olarak, Ola’nın GDPR md 22/2’teki anlamıyla uygun önlemleri alıp olmadığı sorusuna cevap vermek mümkün değildir.

4.52. Yukarıda bahsedilenler Ola’nın, başvuruculara yapılan seçimleri, kullanılan verileri ve otomatik karar alma temelindeki tahminlerin şeffaf ve doğrulanabilir olarak alınmasını sağlayan bilgileri sağlaması gerektiği anlamına gelir. Ola, esas değerlendirme kriterlerini ve bunların otomatik karar almadaki rolünü başvuruculara iletmelidir, böylece başvurucular, alınan kararların temelindeki kriterleri anlayabilirler ve veri işlemenin doğruluğu ile hukuka uygunluğunu kontrol edebilir olurlar (bkz aşağıda 4.41).

İşleme Amaçları ve Avrupa Birliği dışındaki üçüncü bir ülkeye aktarım
4.53. Öte yandan, başvurucular kişisel verilerin işlenme amaçlarına, ilgili kişisel veri kategorilerine, kişisel verinin açıklanacağı alıcılara, kişisel verinin saklanma süresine ve kişisel veriler üçüncü kişilere aktarılıyor ise GDPR md 46 (GDPR md 15/1 açılış kelimeleri ve a,b,c ve d ve 15/2) gereğince Ola’nın aldığı uygun önlemlere erişim talep etmektedirler.

4.54. Ola bu bilgiler hakkında gizlilik beyanında, başvurucuların erişim talebine cevabında ve savunmasında detaylı bilgiler sunmuştur. Başvurucular, buna daha fazla yanıt vermemiştir. Bu nedenle mahkeme talebin bu kısmının yeterli şekilde cevaplandığını varsaymıştır.

Verinin aktarılması talebi
4.55. Son olarak başvurucular, GDPR md 20 kapsamında kaldıkları ölçüde kendileri ile ilgili veriyi CSV dosya formatında ya da veriyi WIE veritabanına aktarabilecekleri bir API veya TTP aracıyla sağlamalarına için talimat verilmesini talep etmiştir.

4.56. Ola bu talebin reddedilmesi gerektiğini ileri sürmektedir zira bu talep yeterince detaylandırılmamıştır ve bu nedenle DCCP md 278’in gereklerini taşımamaktadır. Ayrıca GDPR md 20’nin, verinin bir CSV ya da API araçlarıyla değil yalnızca “makine tarafından okunabilir” bir formatta  sunulması gerektiğini öngördüğü de ileri sürmüştür. Ek olarak, başvurucuların veri taşınabilirliği hakkının sınırlı kapsamına giren verinin de halihazırda sunulması nedeniyle bu talebin reddedilmesi gerektiğini iddia etmektedir. Son olarak, (Ola) diğer yolcular ve Ola’nın kendisi de dahil olmak üzere başkalarının hak ve özgürlüklerinin korunmasına da dayanmaktadır (GDPR md 20/4).

4.57. GDPR md 20’ye göre, ilgili kişi, veri sorumlusuna sağladığı kişisel verileri, veri sorumlusundan yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta alma ve bunları herhangi bir engel olmadan transfer etme hakkına sahiptir. Veri taşınabilirliği hakkı kapsamına giren veri işleme mutlaka ilgili kişinin rızasına ya da ilgili kişinin tarafı olduğu bir sözleşmeye dayanmalıdır ve otomatik olmalıdır. Dahil edilecek kişisel veriler, (i) ilgili kişi hakkındaki kişisel veri ve (ii) ilgili kişi tarafından bir veri sorumlusuna sağlanmış verilerdir. Veri taşınabilirliği hakkı, başkalarının hak ve özgürlüklerine halel getirmemelidir.

4.58. GDPR 68 no’lı açıklamadan verinin sağlanacağı formatın verinin birlikte çalışabilirliğine, yani bu verilerin farklı ICT sistemleri arasında değiş tokuş edilebilmesine, imkan tanıyan bir formatta olması gerektiği sonucu çıkmaktadır. Rehbere göre, format yorumlanabilir olmalı ve ilgili kişiye mümkün olan en yüksek veri taşınabilirliği seviyesini sağlamalıdır. Şayet belirli bir endüstride ortak olarak kullanılan bir format yoksa, XML, JSON ve CSV gibi yaygın kullanılan kamusal formatlar değerlendirilebilir. 2013/37/EU12 21 no’lu açıklamaya göre makine tarafından okunabilirlik, yazılım uygulamaları tarafından, bireysel olgusal beyanlar dahil, kolaylıkla tanımlanabilir, tanınabilir ve belli bir veriyi çıkartabilir bir şekilde yapılandırılmış bir dosya formatıdır.

4.59. Mahkeme, yukarıdaki değerlendirmelerden hareketle, GDPR md 20’nin otomatik olarak kişisel verinin bir CSV ya da API araçlarıyla sunulması şeklinde bir yükümlülüğü ima etmediği sonucuna varmıştır. Başvurucuların iddialarını, Ola’nın sağladığı başvuruculara dair kişisel verileri başka bir veri sorumlusuna aktarmasını imkansız kılan bir formatta sunduğu iddiası takip etmemektedir.

4.60. Öte yandan, tıpkı daha önce tartışılan erişim talebinde olduğu gibi (bakınız 4.17), burada da Ola’nın zaten kişisel verileri sunması ve başvurucuların talebin ilgili olduğu diğer kişisel verileri detaylandırmakta yetersiz kalması burada da geçerlidir. Ola’nın GDPR md 20 kapsamında kalan tüm kişisel verileri sunmasına karar verilmesi talebi çok geniştir ve (talep edilen bilgiler) yeterli şekilde belirlenmediği için reddedilmesi gerekecek kadar belirli değildir.

4.61.Ola’nın kişisel veri transferi talebine karşı diğer savunmalarının, yargılamadan önce böyle bir talepte bulunmadığı için [Başvurucu 3]’ün talebinin kabul edilemez olduğu dahil, artık tartışılmasına gerek bulunmamaktadır.

Sonuç
4.62. Yukarıda bahsi geçenler Ola’nın 4.25, 4.45, 4.47, 4.49 ve 4.52.’te bahsedilen (kişisel) veriye erişim sağlaması gerektiği anlamına gelmektedir. Bunun için Ola’ya yeterli zamanı tanımak adına, Ola’nın bu veriyi sunması için gereken süre bu kararın bildiriminden itibaren 2 ay olarak belirlenmiştir. Diğer talepler reddedilecektir.

Ceza ödemesi
4.63.Talep edilen ceza reddedilecektir. Şu an için, Ola’nın gönüllü olarak soruşturma kararına uyacağı ve ilgili kişisel verileri sağlamaya çalışacağı yönündeki güven makuldür . Neticede, Ola öncesinde kişisel verilere kısmen erişim sağlamıştır.

Yargılama masrafları
4.64. Her bir taraf, bir noktada haklı(haksız) çıkmıştır. Bu nedenle yargılama masrafları tazmin edilecektir.

(RESMİ OLMAYAN ÇEVİRİ)

 5 Karar

Mahkeme,

5.1. Ola bu kararın tebliğinden itibaren iki ay içerisinde başvuruculara, yukarıda belirtilen biçimde, 4.25, 4.45, 4.47, 4.49 ve 4.52 ‘te belirtilen (kişisel) verilerin bir kopyasını ya da incelenmesini sağlayacaktır

5.2.  Bu kararın geçici olarak uygulanabilir olduğunu ilan eder,

5.3.  Her bir tarafın kendi masraflarına katlanacağı düşüncesiyle yasal masrafları taraflar arasında tazmin eder,

5.4.  Diğer talepleri reddeder.

Bu karar, hakimler bay OJ van Leeuwen, bay MCH Broesterhuizen ve bay  MLS Kalff tarafından verilmiş, katip bay ZS Lintve tarafından asiste edilmiş, 11 Mart 2011 tarihinde kaydedilmiş ve kamuya açıklanmıştır.

 

1 Genel Veri Koruma Tüzüğü (GDPR)

2 Brüksel I bisTüzüğü

3 Medeni Usul Kanunu  (Rv).

4 Sözleşmeden doğan yükümlülüklere uygulanacak hukuka ilişkin 17 Haziran 2008 tarih ve 593/2008 sayılı Avrupa Parlamentosu ve Konseyi Tüzüğü (Roma I (https://www.navigator.nl/document/openCitation/ id5aba9745150ee0c2ddda46a806a77ad5)), PbEG 2008, L 177/6.

5 Medeni Kanun

6 Veri Koruma Çalışma Grubunun veri taşınabilirliği hakkına ilişkin rehberi, Madde 29, 5 Nisan 2017, WP 242 rev. 01 (bundan sonra: Rehber). Artık Avrupa Veri Koruma Kurulu olarak adlandırılan bu grup, ulusal veri koruma düzenleyicilerinin temsilcilerinden oluşur

7 Kişisel verilerin işlenmesine ilişkin gerçek kişilerin korunması ve bu tür verilerin serbest dolaşımı hakkındaki 24 Ekim 1995 tarihli Avrupa Parlamentosu ve Konseyi’nin 95/46 / EC sayılı Direktifi, Gizlilik Direktifi olarak da bilinir.

8 Kişisel Veri Koruma Kanunu (Wbp).

9 Genel Veri Koruma Tüzüğü Uygulama Kanunu.

10 En son 6 Şubat 2018’de değiştirilen 3 Ekim 2017 tarihli Veri Koruma ile ilgili 29. Madde’nin 2016/679 sayılı Tüzüğü (AB) amaçları için otomatik bireysel karar alma ve profil oluşturmaya ilişkin kılavuz ilkeler (bundan böyle: Rehber olarak anılacaktır).

11  UAVG Açıklayıcı Memorandum, TK 2017-2018, 34 851, no. 3, p. 46.

12 Avrupa Parlamentosu ve Konseyinin 26 Haziran 2013 tarihli 2013/37 / EU Direktifi, kamu sektörü bilgilerinin yeniden kullanımına ilişkin 2003/98 / EC Direktifini değiştirmiştir.

(RESMİ OLMAYAN ÇEVİRİ)