Hollanda- Amsterdam Bölge Mahkemesi’nin Otomatik Karar Alma ve Profilleme Ekseninde Erişim Hakkının Kapsamını İncelediği Kararı- Uber vs Sürücüler

(RESMİ OLMAYAN ÇEVİRİ)

Karar
AMSTERDAM MAHKEMESİ

Otorite

Amsterdam Bölge Mahkemesi

Karar Tarihi

11-03-2021

Yayın Tarihi

11-03-2021

Dosya Numarası

C / 13/687315 / HA RK 20-207

Görev

Özel Hukuk

 

Özet

 GDPR temelinde Uber sürücülerinden gelen erişim talepleri. Altta yatan ticari menfaatlere (sendika) rağmen hakkın kötüye kullanımı değildir. Dava süresinden önce mi açılmıştır? Talep çok geneldir. Uber’in Rehber Notlarında değinilen farklı veri kategorilerine GDPR’ın uygulanması. Otomatik karar vermenin yasaklanmış bir biçimi mi vardır? Profil oluşturmak için kullanılan veriler. Taşınabilir veriler. Başvurucular tarafından istenen spesifik biçimde ifşa etme hakkı yok.  Uber, henüz yolcular tarafından verilen bireysel değerlendirmenin anonimleşmesini sağlamadı.

Dosya Numarası / Başvuru Numarası: C / 13/687315 / HA RK 20-207

1. [Başvurucu1], Birleşik Krallık’ta yerleşiktir.
2. [Başvurucu 2], Birleşik Krallık’ta yerleşiktir.
3. [Başvurucu 3], Birleşik Krallık’ta yerleşiktir.
4. [Başvurucu 4], Birleşik Krallık’ta yerleşiktir.
5. [Başvurucu 5], Birleşik Krallık’ta yerleşiktir.
6. [Başvurucu 6], Birleşik Krallık’ta yerleşiktir.
7. [Başvurucu 7], Birleşik Krallık’ta yerleşiktir.
8. [Başvurucu 8], Birleşik Krallık’ta yerleşiktir.
9. [Başvurucu 9], Birleşik Krallık’ta yerleşiktir..
10. [[Başvurucu 1]0], Birleşik Krallık’ta yerleşiktir.

Başvurucular adına Amsterdam’da yerleşik avukat Mr. AH Ekker

Karşısında

Amsterdam’da kurulmuş sınırlı Uber Limited Şirketi adına avukat Mr. GH Potjewijd

Başvurucular bundan böyle “Başvurucular” olarak ve Başvurucuların her biri “[Başvurucu 1]”, “[Başvurucu 2]”, “[Başvurucu 3]”, “[Başvurucu 4]”, “[Başvurucu 5]”, “[Başvurucu 6]”, “[Başvurucu 7]”, “[Başvurucu 8]”, “[Başvurucu 9]”, “[Başvurucu 1]0” olarak alınacaktır.  Davalı ise bundan sonra “Uber” olarak anılacaktır.

1. Prosedür
   1. Prosedürün ilerlemesi;

• 20 Temmuz 2020’de dilekçenin ekleri ile birlikte alınması
• Sözlü duruşmanın öngörüldüğü 24 Eylül 2020 tarihli ara karar,
• Ek/revize sözleşme ekleri ile birlikte 21 Ağustos 2020’de evrak kayıta alınması,

– Savunma dilekçesinin ekleri ile birlikte 4 Aralık 2020’de alınması

-16 Aralık 2020 tarihli sözlü duruşma tutanakları ve tutanaklarda atıfta bulunulan belgeler,

Şeklinde kaydedilmiştir.

1.2. Akabinde, inceleme sonrasında, bugün bir karar verilmiştir. Tarafların muvafakati ile birlikte, bu dava Uber’in ve bazı Başvurucuların taraf olduğu, başvuru numarası C/13/692003/HA RK 20-302 olan dava ile birleştirilerek görülmüştür. Bu durumda, mahkeme kararı bugün verilmektedir.

(RESMİ OLMAYAN ÇEVİRİ)

2. Olaylar

2.1. Uber, kendisine ait platform aracılığı ile ulaşım sektöründe online servisler sunan uluslararası bir işletmedir. Uber, San Francisco (ABD)’de kurulu Uber Teknoloji şirketine bağlı bir ortaklıktır.

2.2. Başvurucular, ma (a) k (t) ve Uber servislerini kullanarak Birleşik Krallık’ta “özel kiralık sürücüler” (bundan sonra “Sürücüler” olarak anılacaktır) olarak çalışmaktadır veya çalışmışlardır.

2.3. Uber, yolcular ile sürücüleri eşleştirmektedir. Yolcular genel Uber App’i (Bundan sonra “App” olarak anılacaktır), şoförler ise Uber Sürücü App’i (Bundan sonra “Sürücü App”i olarak anılacaktır) kullanmaktadır.

2.4. Başvurucular, “App Sürücüleri ve Kuryeler Birliği”ne (Bundan sonra: “ADCU”) üyedir. ADCU, Birleşik Krallık’taki özel kiralık sürücülerin ve kuryelerin çıkarlarını savunan bir sendikadır. ADCU, “Uluslararası App Temelli Ulaşım İşçileri Birliği”ne (International Alliance of App-Based Transport Workers) (Bundan sonra: “IAATW”) üyedir. İki organizasyon da platform çalışanlarının dijital haklarının korunmasını amaçlamaktadır. [Başvurucu 4], [Başvurucu 1] ve [Başvurucu 7], ayrı ayrı başkan, genel sekreter ve ADCU’nun yerel şubesidir.

2.5. ADCU, İşçi Bilgi Değişimi (Bundan sonra: “WIE”) tarafından desteklenmektedir. WIE, kar amacı gütmemektedir. Amacı, bilgi ekonomisindeki işçi veya serbest çalışan kişilerin çalışmaları esnasında kendileri hakkında toplanmış kişisel verilere ulaşmalarını sağlamaktır. [Başvurucu 1], WIE’nin kurucusu ve direktörüdür.

2.6. ADCU ve IAATW, WIE tarafından sürdürülecek bir veri tabanı kurmak niyetindedir. Sürücülerin kişisel verileri bu veritabanında yer alacaktır.

2.7.  Aralarında Birleşik Krallık ve Fransa’nın da yer aldığı bir çok ülkede, sürücüler ve Uber arasındaki ilişkinin işçi – işveren ilişkisi olup olmadığı hakkındaki davalar derdesttir.

 2.8. Başvurucular, Uber tarafından işlenen kişisel verilerine erişmek için e-posta veya App ve/veya Sürücü App yoluyla farklı zamanlarda ve ayrı ayrı olmak üzere talepte bulunmuşlardır. Bu taleplere yanıt olarak Uber, bir dizi başvuru sahibine dijital dosyalar sağlamıştır.

2.9. Uber, Uber veri işleme hakkında genel bilgi içeren bir “Gizlilik Beyanı” (Bundan sonra: “gizlilik beyanı”) hazırlamıştır. Uber, sürücülere kişisel veri sağlarken işlediği kişisel veri kategorilerinin listelendiği Rehber Notları adında bir açıklama da sunacaktır.

(RESMİ OLMAYAN ÇEVİRİ)

3. Uyuşmazlık

3.1. Talebin incelenmesinden ve incelemenin tamamlanmasından sonra, dilekçe sahipleri, Mahkemeden Uber’in;

1. Kararın tebliğinden itibaren bir ay içerisinde Başvuruculara, yaygın olarak kullanılan bir elektronik formatta;

(i) Rehber Notlarında “Sürücü Profili” olarak adı geçen tüm kişisel veriler, “etiket” ve “rapor” olmak üzere Uber çalışanları hakkındaki notlar dahil olmak üzere kendileri ile ilişkilendirilmiş işlenmiş tüm kişisel verilere,

(ii) Veri işleme amaçları, ilgili kişisel veri kategorileri, kişisel verilerin ifşa edildiği veya ifşa edileceği alıcı veya alıcı kategorileri, özellikle üçüncü ülkelerdeki veya uluslararası kuruluşlardaki alıcılar ve bu kişisel verilerin saklama süresine,

(iii) Üçüncü bir ülkeye veya uluslararası kuruluşlara aktarım var ise, GDPR’ın 46. maddesine göre Uber’in bu aktarıma ilişkin aldığı uygun güvenlik önlemlerine,

(iv) GDPR’ın 22 (1) ve (4) maddelerinde tanımlandığı gibi profil çıkarma da dahil olmak üzere, otomatik karar almanın varlığı ve en azından bu durumlarda, altında yatan mantık hakkında kullanışlı bilgi, bu işlemenin önemi ve başvurucular için beklenen sonuçlarına,

erişim sağlamasına hükmetmesini,

II. Kararın tebliğinden itibaren bir ay içerisinde kişisel verileri, doğrudan başka bir veri sorumlusuna iletilebileceği sekilde yapılandırılmış ve yaygın olarak kullanılan ve bilgisayarca okunabilir formda, yani bir CSV dosyası olarak veya APP Programı Arayüzü (Bundan sonra: “API”) şeklinde sağlamasını,

III. Uber’in yukarıda I ve II’de düzenlenen emirlerin birine veya birden fazlasına uymadığı her tam ya da kısmi gün için 10.000 € para cezası ödemesini

IV. Yargılama giderlerini ödemesini,

Talep etmektedir.

3.2. I- (i), (ii) ve (iii) de düzenlenen talepler GDPR’ın1 15. maddesinin 1. Paragrafına (erişim hakkı) dayanmaktadır. Başvuruculara göre, Uber, Başvurucuların taleplerini tam ve tutarlı şekilde yanıtlamamıştır. Uber tarafından sağlanan dijital dökümanlar başvurucuların almaya hakkı olan tüm bilgileri kapsamamaktadır. Rehber Notları göstermektedir ki Uber, 26 farklı kişisel veri kategorisi işlemektedir ancak Başvurucular kategorilerin çoğuna erişim sağlayamamıştır. Ayrıca, sağlanan kişisel veriler bir kaç ay ile sınırlıdır.

 3.3. I – (iv) da belirtilen talep GDPR’ın 22. maddesine ve 15. maddenin 1. bendinin (h) fıkrasına dayanmaktadır (otomatik karar verme ve profilleme). Başvuruculara göre, Uber’in otomatik karar verme ve profilleme uyguladığı Gizlilik Bildiriminden ve Sürücü APP’ınden anlaşılmaktadır. GDPR 71 No’lu Gerekçe gereğince, profilleme yaparken Uber’in ilgili kişi için adil ve şeffaf bir işleme faaliyeti gerçekleştirmeyi garanti altına alacak uygun prosedür ve tedbirleri sahip olmalıdırr. Ayrıca profilleme yapmanın ayrımcılık gözeten sonuçlarından kaçınılmalıdır. Başvurucular Uber’in profillemeyi kullanırken GDPR’ın 22. maddesi 3. paragrafı gereklerine uyup uymadığını belirleyebilmek için, otomatik karar verme ve profillemeye, bu işlemenin altında yatan mantık ile umulan sonuçlarına ilişkin bilgiye ulaşmakta bir menfaate sahiptir.

3.4. Başvurucular II No’lu talep altındaki taleplerini şu temellere dayandırmaktadır: GDPR’ın 20 (1) maddesine uygun olarak, (ilgili kişi olarak) verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta erişilebilir kılma hakkına (veri taşınabilirliği) sahiptirler. Uber, Başvuruculara kişisel verileri direkt olarak indirme veya başka bir veri sorumlusuna aktarma seçeneği sunmalıdır. Bunu elde etmek için Uber, Başvuruculara kişisel verileri bir CSV dosyasında vermelidir. Uber tarafından verilerin sadece küçük bir miktarı “bu formatta” verilmiştir. (Tırnak içine alınan kısım için özellikle 4.76 ff bakınız.).

 3.5. Başvurucular, para cezası taleplerini, Uber’in kişisel veriyi inceleme ve aktarma konusundaki başarısızlığına dayandırmıştır. Başvuruculara göre talep edilen para cezası miktarı Başvurucuların çıkarları ve Uber’in finansal gücüne göre makuldür.

3.6. Başvurucular aşağıdaki taleplerinde de menfaatleri olduğunu iddia etmektedir:

• Çeşitli yabancı davalar, Uber ile sürücüler arasında bir istihdam ilişkisi bulunup bulunmadığı konusuna cevap bulmak ile ilgilenmektedir. Burada önemli olan, diğer şeylerin yanı sıra algoritma ve otomatik karar verme vasıtası ile Uber’in sahip olduğu yönetim kontrolünün derecesidir,
• İngiliz Mahkemesi sürücülerin asgari ücret ve tatil ödeneğine hak kazandığına hükmetmiştir. Ücretlerini hesaplamak amacı ile Başvurucular kendi kişisel verilerine ulaşmaya ihtiyaç duymaktadır,
• Birleşik Krallık Mahkemesi, sürücülerin ayrımcılığa karşı korunma hakkına sahip olduğuna hükmetmiştir. Ayrımcılık olup olmadığını belirlemek için Başvurucular, Sürücü APP’de kendileri ile ilgili verilen “puanlamaya” ulaşmaları gerekmektedir.
• Talep edilen verilere, toplu iş sözleşmesi görüşmeleri ve hakların savunulması için ihtiyaç duyulmaktadır.
• Sürücü belgelerine karar verilirken sürücülerin uygunluğu dikkate alınmaktadır. Sonuç olarak Başvurucular kişisel verilerine ulaşmada bir menfaate sahiptir.
• Talep edilen veri, WIE erişimine sunulacaktır.

3.7. Uber bir savunma ortaya koymuştur. Uber öncelikle Başvurucuların haksız bulunmasını veya başvuruların reddedilmesini, Başvurucuların sonradan gelen masraflar ve kanuni faiz de dahil olmak üzere yargılama masraflarını ödemesine karar verilmesini talep etmiştir.

3.8. Tarafların iddiaları, ilgili oldukları ölçüde, aşağıda daha detaylı olarak tartışılmıştır.

(RESMİ OLMAYAN ÇEVİRİ)

4. Değerlendirme

 Yetki ve uygulanabilir hukuk

4.1. Mahkeme, Hollanda mahkemelerin yargı yetkisine sahip olup olmadığını ve eğer öyle ise, bu mahkemenin başvurucuların taleplerini dinlemeye yer bakımından yetkili olup olmadığını resen incelemelidir. Bu davanın sebebi Uber’in Amsterdam’da kurulu olmasıdır. (Brüksel I bis Tüzüğü 2 madde 4 ve Medeni Usul Kanunu’nun 262/giriş maddesi 3)

 4.2. Başvurucuların talepleri GDPR’a dayandığı sürece, bu bir Avrupa Tüzüğü olarak doğrudan uygulanabilirdir. Tarafların taleplerini (ek olarak) Hollanda hukukuna dayandırdığı gerçeğinden hareketle, Roma I Tüzüğü’nün4, 3. maddesi 1. paragraf gereğince mahkeme tarafların Hollanda hukukunun uygulanması için tarafların zımnen bir seçim yaptığı sonucunu çıkarmaktadır

4.3. Taraflar arasında Uber’in GDPR 4 (7) maddesi gereğince veri sorumlusu sayılacağı konusunda anlaşmazlık bulunmamaktadır.

Kabul edilebilirlik?
4.4. Öncelikle, Başvurucuların kabul edilebilir olup olmadığı sorusu cevaplanmalıdır.

4.5. Uber’e göre, bu bir dava değildir. [Başvurucu 7], Uber’in kimliğini doğrulayamaması ve taleplerini karşılayamamasının bir sonucu olarak kimliğini açıklamayı reddetmiştir. Uber’e göre, diğer Başvurucular ([Başvurucu 1], [Başvurucu 2], [Başvurucu 3], [Başvurucu 4], [Başvurucu 5], [Başvurucu 6], [Başvurucu 8], [Başvurucu 9] ve [Başvurucu 1]0), Uber onlara tam cevap vermeden dava açmıştır. Uber’e göre bu durum, ilgili kişinin sadece talebine cevap aldıktan sonra veya cevap verme zorunluluğuna ilişkin sürenin bitiminden sonra dava açabileceğine dair UAVG’nin5, 35. maddesinin 2. paragrafına aykırılık teşkil etmektedir.

4.6. Bu amaçla Uber, erişim taleplerinin cevaplanmasında aşamalı bir yaklaşımın kullanıldığını savunmaktadır. Uber, ilk olarak, son 30 günde işlemiş olduğu kişisel verilerden oluşan bir seçkiyi, erişim talebinin ayrıntıları ile belirlenmesi talebi ile ilgili kişiye iletmektedir. Erişim talebinin detaylandırılması ve spesifik bir şekilde ortaya konulmasının akabinde, ilgili kişinin talep ettiği tüm kişisel verileri sağlamaktadır. Uber, dilekçe sahiplerinin erişim taleplerinin tamamının, Temmuz, Eylül ve Ekim 2020’nin çeşitli tarihlerinde cevaplandığını ve bu tarihler dikkate alındığında (dava) dilekçelerin (dava açma) süresinden önce olduğunu ifade etmektedir. Bu şekilde yaparak, 20.07.2020 tarihli ilk dilekçenin tarihini Mahkemelere, Ticari İşlere İlişkin Bölümler / Takımlara dilekçe sunmaya dair ulusal usul yönetmeliğine göre (sürenin) başlangıç tarihi olarak almaktadır, ayrıca bunu yargılamaya taraf olarak eklenmiş 21 Ağustos 2020’de revize/ek dilekçe veren Başvuruculara da uygulamaktadır.

 4.7. Başvurucular, taleplerinin Uber tarafından cevaplandırılmadan dilekçe verdikleri iddialarına itiraz etmektedir. Başvuruculara göre, kabul edilebilirlik değerlendirmesinde, 20 Temmuz 2020’de ilk başvuruyu yapan [Başvurucu 1], [Başvurucu 7], [Başvurucu 8], ve [Başvurucu 10] ile 21 Ağustos 2020’de revize/ek dilekçeyi sunan [Başvurucu 2], [Başvurucu 3], Başvurucu, [Başvurucu 5], [Başvurucu 6] ve [Başvurucu 9] arasında bir ayrım yapılmalıdır. Daha sonraki Başvurucuların her biri, Uber’in 20 Temmuz ila 7 Ağustos arasında yanıtladığı, 20 Haziran ila 15 Temmuz arasındaki periyot için erişim talebinde bulunmuştur. Revize/ek dilekçenin verildiği tarih olan 21 Ağustos 2020 tarihi göz önünde bulundurulduğunda, bu başvurular kabul edilebilirdir. Dilekçe verildikten sonra Uber kendi inisiyatifi ile dilekçe sahiplerinin dilekçelerine cevap olarak mesaj göndermiştir. Başvuruculara göre, bu mesajlar, bir önceki erişim taleplerine cevap sayılamaz.

4.8. Başvurucuların taleplerinin kabul edilebilirliğinin değerlendirilmesinde aşağıdaki noktalar geçerlidir. Bu prosedürden önce, Başvurucular Uber’den, GDPR’ın 15. maddesinde belirtildiği üzere kişisel verileri denetlemesini ve GDPR’ın 20. maddesinde belirtildiği gibi bu kişisel verileri transfer etmesini talep etmişlerdir. GDPR’ın 12 (3) maddesine göre, Uber, bu talepleri aldıktan sonra bir ay içerisinde başvuru sahiplerini, bu talepler üzerine yapılan işlemler hakkında bilgilendirmelidir. Eğer gerekirse bu süre uzatılabilir. O halde Uber, talepleri almasından itibaren bir ay içerisinde Başvuruculara bilgilendirme yapmış olmalıydı. UAVG 35. maddesi Başvuruculara, mahkemeden Uber’in tüm talepleri yerine getirmesini talep etme hakkı vermektedir.  Bu madde, veri sorumlusunun cevabının alınmasından itibaren 6 hafta içerisinde (dava) dilekçenin verilmesini sağlar, eğer veri sorumlusu zamanında cevap vermezse, bu zaman sınırı uygulanmaz. Bu sistem, tarafların öncelikle talep ettikleri bilginin kendileri tarafından temin edilmesine ya da temin ettirilmesine çalışması ve kabul edilemezlik yaptırımı altında olumsuz bir cevap alınması durumunda, menfaati bulunan tarafın itirazlarını sunmak için sınırlı bir zamanı olması fikrine dayanmaktadır. Sistem ayrıca veri sorumlusunun talebi reddettikten çok kısa ya da uzun süre sonra çağrılmasını önlemeye hizmet eder (bkz. Amsterdam Temyiz Mahkemesi, 5 Kasım 2019, ECLI: NL: GHAMS: 2019: 3966).

 4.9. Mahkeme, Uber’in Başvurucu taleplerini iki e-posta ile yanıtladığını tespit etmiştir. ([Başvurucu 7] ve [Başvurucu 10]): Şifreli dijital doküman içeren bir e-posta ve dokümanı açmak için talimat ve şifreyi içeren bir e-posta. Uber’in gönderdiği dijital doküman şu standart metni içermektedir:

“(…) eğer bu cevap, sizin talebinizi karşılamıyorsa sizden talep etmiş olduğunuz veri ve ilgili olduğu zaman dilimi ile ilgili daha ayrıntılı bilgi vermenizi rica ederiz”

4.10. Bu metin, Uber’in daha sonra ikinci bir veri seti sağlayacağı veya Başvurucuların erişim taleplerini daha fazla açıklamasını istediğine dair bir duyuru olarak kabul edilemez. Başvurucular bu nedenle Uber’in cevabını, GDPR 12 (3) madde uyarınca taleplerine bir cevap olarak görme hakkına sahiptir. Bu, (dava) dilekçeyi sunmak için sürenin bu cevabın alınmasından sonra başlayacağı anlamına gelmektedir.

4.11. Uber’in iddiasının aksine 21 Ağustos 2020 tarihli revize/ek dilekçe, başvuranları, 20 Temmuz 2020 tarihli orijinal dilekçenin tarihi itibariyle bağlayamaz. 20 Temmuz 2020 tarihinde dilekçenin sunulmasından beri dilekçeler aşaması derdest olsa da bu Başvurucular henüz taleplerini Uber’in uygun bir şekilde cevaplayıp cevaplamadığını değerlendirebilecek durumda değildi. Neticeten onlar Uber’den henüz bir cevap da alamamıştı. Başvurucular ancak cevap aldıktan sonra sunulan kişisel veriler hakkında ve itirazlarını mahkemeye sunmak isteyip istemediklerine dair görüş oluşturabildiler.

 4.12. Mahkeme, her bir davacının kabul edilebilirliğini aşağıda tartışacaktır. Mahkeme, tarafların iddialarına, taraflarca ibraz edilen genel değerlendirmelere ve Başvurucular ile Uber arasındaki e-posta yazışmalarının kopyalarına dayanarak aşağıdaki hususları tespit etmiştir:

[Başvurucu 1] ve [Başvurucu 8]

4.13. 19 Temmuz 2020 tarihinde 20 adet talebe karşılık olarak [Başvurucu 1] ve [Başvurucu 8]’in, 4.9. madde altında belirtilen e-postaları; dijital dosyalar, talimatlar ve dosyaları açmak için gerekli olan şifreler ile birlikte aldıkları taraflar arasında tespit edilmiştir. Bu sebeple 20 Temmuz 2020 tarihli dilekçe (dava açma) süresinden önce ibraz edilmemiştir. Duyurulduğu üzere Uber’in 20 Temmuz 2020 tarihinde [Başvurucu 8] ile bağlantılı ilave bilgi göndermesi, bu davalarda kabul edilemez saymak için yeterli değildir.

[Başvurucu 2], [Başvurucu 3], [Başvurucu 4], [Başvurucu 5], [Başvurucu 6] ve [Başvurucu 9]

4.14. Uber, [Başvurucu 2]’nin 15 Temmuz 2020 tarihli başvurusuna 4 Eylül 2020’de bir yanıt verdiğini iddia etmektedir. Ancak, Başvurucular tarafından [Başvurucu 2] ile ilgili olarak sunulan eklerden, Uber’in 7 Ağustos 2020’de [Başvurucu 2]’nin başvurusuna cevaben dijital dosyalar, talimatlar ve şifre içeren e-postalar gönderdiği görülmektedir.

4.15. Uber, [Başvurucu 3]’ün 23 Haziran 2020 tarihli başvurusuna 30 Ekim 2020’de bir yanıt gönderdiğini iddia etmektedir. Ancak, Başvurucular tarafından [Başvurucu 3] ile ilgili olarak sunulan eklerden, 22 Temmuz 2020’de başvurusuna cevaben e-postalar aldığı görülmektedir.

4.16. Uber’in, [Başvurucu 4]’ün 22 Haziran 2020 tarihli başvurusuna cevaben 30 Temmuz 2020 tarihinde yukarıda 4.9’da bahsi geçen e-postaları gönderdiği hususunda taraflar arasında çekişme bulunmamaktadır.

4.17. Ayrıca, Uber’in, [Başvurucu 5]’in 20 Haziran 2020 tarihli başvurusuna cevaben 20 Temmuz 2020 tarihinde yukarıda 4.9’da bahsi geçen e-postaları gönderdiği hususunda taraflar arasında çekişme bulunmamaktadır.

4.18. Uber, [Başvurucu 6]’nin 10 Temmuz 2020 tarihli başvurusuna 30 Ekim 2020’de yanıt verdiğini iddia etmektedir. Ancak, Başvurucular tarafından [Başvurucu 6] ile ilgili olarak sunulan eklerden, Uber’in 7 Ağustos 2020’de [Başvurucu 6]’nin başvurusuna cevaben yukarıda 4.9’da bahsi geçen e-postaları gönderdiği görülmektedir.

4.19. Uber, [Başvurucu 9]’un 23 Haziran 2020 tarihli talebine 9 Ekim 2020’de bir yanıt verdiğini ileri sürmektedir. Ancak, Başvurucular tarafından [Başvurucu 9] ile ilgili olarak sunulan eklerden Uber’in [Başvurucu 9]’un başvurusuna cevaben 21 Temmuz 2020’de e-posta gönderdiği anlaşılmaktadır.

4.20. [Başvurucu 2], [Başvurucu 3], [Başvurucu 4], [Başvurucu 5], [Başvurucu 6] ve [Başvurucu 9]’un taleplerine yanıt aldıkları yukarıda belirtilen tarihler, revize/ek dilekçelerin sunulduğu tarih olan 21 Ağustos 2020 tarihinden öncedir. Bu, taleplerinin kabul edilebilir olduğu anlamına gelmektedir.

(RESMİ OLMAYAN ÇEVİRİ)

[Başvurucu 7] ve [Başvurucu 10]

4.21. Uber, [Başvurucu 7]’den 21 Haziran 2020 tarihli e-posta ile erişim talebi aldığını, ancak [Başvurucu 7]’nin kimlik doğrulama talebine yanıt vermediğini iddia etmektedir. GDPR’ın 64 No’lu gerekçe, veri sorumlusunun erişim talep eden bir ilgili kişinin kimliğini doğrulamak için tüm makul adımları atması gerektiğini belirtir. Kimlikten şüphe etmek için bir neden varsa, GDPR madde 12 (6)’ya göre ek bilgiler talep edilebilir. [Başvurucu 7], Uber’in talebine yanıt vermediğinden ve bu nedenle Uber’in kimliğini belirleyebileceği herhangi bir belge sunmadığından, Uber, erişim talebini yerine getirmek için yeterli veriye sahip olmadığı görüşündeydi. [Başvurucu 7]’nin erişim talebini gönderirken Uber hesabına giriş yaparak kendisini tanıtacağı iddiası da dinlenebilir nitelikte değildir, çünkü erişim talebini “Uber Veri Koruma Görevlisi”ne 21 Haziran 2020 tarihinde e-posta ile gönderdiği (dosyadaki) belgelerden anlaşılmaktadır. Ayrıca, [Başvurucu 7]’nin Uber hesabına giriş yaparak yaptığı erişim talebinin diğer verilerle ilgili olduğu aşağıda gösterilecektir.

4.22. Hem [Başvurucu 7], hem de [Başvurucu 10], Uber hesaplarındaki “verilerinizi indirin” işlevi aracılığıyla erişim talebinde bulunmuştur. Buna cevaben [Başvurucu 7], 21 Haziran 2020’de ve [Başvurucu 10] 5 Temmuz 2020’de Uber’den, yedi gün içerisinde “Uber verilerini” indirebilecekleri bir bağlantı içeren standart bir e-posta almıştır. Oturumda, Uber, bir yolcunun APP’teki “verilerinizi indirin” işlevini kullanarak kişisel verilerini indirebileceğini, ancak sürücüler için başka işlevlerin/süreçlerin mevcut olduğunu açıklamıştır. Başvurucular buna itiraz etmemişlerdir. Bu noktada, [Başvurucu 7] ve [Başvurucu 10] tarafından yapılan erişim talebinin ve Uber’in müteakip yanıtının bu yargılamadaki söz konusu verilerle, yani Uber tarafından Sürücü App’te işlenen verilerle ilgili olduğu saptanamamaktadır. Bu, [Başvurucu 7] ve [Başvurucu 10]’un GDPR madde 12 (3)’te belirtildiği gibi, dava açılmadan önce Uber’den bir yanıt almadığı anlamına gelmektedir. (dava) Dilekçenin sunulduğu tarihte (20 Temmuz 2020), henüz UAVG madde 35’e (yukarıda 4.8’e bakınız) dayanarak başvurularını mahkemeye sunma hakkına sahip değillerdi ve bu nedenle başvuruları kabul edilemez.

Sonuç

4.23. Yukarıda belirtilen hususlar, [Başvurucu 7] ve [Başvurucu 10]’un başvurularının kabul edilemez olduğu anlamına gelmektedir. [Başvurucu 1], [[Başvurucu 8], [Başvurucu 2], [Başvurucu 3], [Başvurucu 4], [[Başvurucu 5], [Başvurucu 6] ve [Başvurucu 9]’un talepleri aşağıda incelenecektir. Kalanlar birlikte “Başvurucu” olarak anılmaya devam edeceklerdir.

Hakkın kötüye kullanılması? Başvuruda menfaat?

4.24. İkinci olarak, Uber savunmasında, Başvurucuların erişim talepleri ile Hollanda Medeni Kanunu’nun6. Bölüm 3:13’e göre haklarını kötüye kullandıklarını ileri sürmektedir. Uber, başvuru sahiplerinin başvurularından, erişim hakkını kendilerine tanınan amaç dışında, yani Uber aleyhindeki davalarda ispat aracı olarak kullanmak ve sürücülerden gelen verilerle bir veritabanı kurmak suretiyle toplu pazarlık güçlerini artırmak için kullandıklarının anlaşıldığında dikkat çekmektedir. Uber’e göre, bu, [Başvurucu 1] ve [Başvurucu 4]’ün ADCU’da politika belirleyici pozisyonlarında olmaları ve sırasıyla 2017 ve 2015’ten beri Uber ve Sürücü App hizmetlerini kullanmadıkları halde tekrar tekrar erişim talebinde bulunmalarından da anlaşılmaktadır. Dilekçe, bu haliyle, ADCU, WIE ve IAATW’nin çıkarlarına hizmet etmektedir. Uber’e göre, bu amaçlar, erişim hakkının, söz konusu kişisel verilerin şeffaf ve hukuka uygun işlenmesini sağlamak olan temel mantığı ile de bağdaşmamaktadır.

4.25. Mahkeme, her şeyden önce, bir ilgili kişinin, prensip olarak, GDPR kapsamında neden erişim talebinde bulunduğunu belirtmesi veya kanıtlaması gerekmediğini belirtmektedir. İlgili kişinin erişim hakkını kullanırken özel bir menfaat veya erişimle ulaşmak istediği hedefi belirtmesi gerekmemektedir. İlgili kişi hakkında verinin işlenmesi, tek başına yeterlidir. Ancak bu, bir erişim talebinin hiçbir zaman Hollanda Medeni Kanunu’nun 3:13 maddesi (bkz Amsterdam Temyiz Mahkemesi, 10 Kasım 2005, ECLI: NL: GHAMS: 2005: AU8223 ve AG Drijber’in Yüksek Mahkeme önündeki kararı, 21 Aralık 2018;, 9 Kasım 2018, ECLI: NL: PHR: 2018: 1273) anlamında yetkilerin kötüye kullanılması olarak kabul edilmeyeceği anlamına da gelmez. Bu durum, erişim hakkının kişisel verinin doğru ve hukuka uygun bir şekilde işlenip işlenmediğinin kontrol edilmesi dışında bir amaçla kullanılması halinde söz konusu olabilir. Hakkın kötüye kullanıldığını göstermek veri sorumlusunun sorumluluğundadır.

4.26. Somut olayda, başvuru sahipleri, mahremiyete ilişkin haklarını kullanmak için, diğer şeylerin yanı sıra, kendi verilerinin doğruluğunu ve hukuka uygunluğunu kontrol etmek istediklerini beyan etmişlerdir. Bu kadarı yeterlidir. Başvuranların ve bağlı oldukları sendikanın da kişisel verileri elde etmede başka bir menfaatinin olması, yani bu verileri iş hukukundaki konumları hakkında netlik elde etmek veya Uber aleyhindeki yasal işlemlerde delil toplamak amacıyla kullanmaları, ilgili Başvurucuların haklarını kötüye kullandıkları anlamına gelmemektedir. Bu nedenle hakkın kötüye kullanıldığından bahisle yapılan itiraz reddedilmiştir.

Erişim talebi

4.27. Erişim talebi, GDPR madde 15(1)’e dayanmaktadır. Bu maddeye istinaden, kişisel verisi işlenen kişinin, veri sorumlusundan, kişisel verisinin işlenip işlenmediğini ve işlenmişse ne zaman işlendiğini öğrenme, bu kişisel verilere ve (diğer şeylerin yanı sıra) işleme amaçlarına, ilgili kişisel veri kategorilerine, kişisel verilerin açıklandığı veya açıklanacağı alıcılara veya alıcı kategorilerine ve kişisel verilerin saklanması için öngörülen süre veya saklama süresini belirlemede kullanılan ölçütlere erişim talep etme hakkı bulunmaktadır.

4.28. GDPR’ın 15. maddesinin amacı, ilgili kişinin kendisi hakkında toplanan kişisel verilerden haberdar olmasını sağlamak ve bu verilerin doğru olduğunu ve hukuka uygun olarak işlendiğini doğrulamaktır (bakınız GDPR 63 No’lu Gerekçe). GDPR, Wbp’de8 (Hollanda Kişisel Verileri Koruma Kanunu) uygulandığı şekliyle Kişisel Veri Direktifinin7 halefidir. Daha öncesinde erişim hakkı Kişisel Veri Direktifinin 12. maddesinde düzenlenmiştir. Kişisel Veri Direktifi ile karşılaştırıldığında GDPR’da erişim hakkının amaç ve kapsamının değiştiğine dair bir gösterge bulunmamaktadır. GDPR madde 15’te düzenlenen erişim hakkının yorumunda, mahkeme Avrupa Birliği Adalet Divanı (ABAD) ve Kişisel Veri Direktifi ve Wbp’de düzenlenen erişim hakkına dair Yüksek Mahkeme kararlarına uyum sağlamaya çalışacaktır.

4.29. Erişim hakkı kişisel veri ile sınırlıdır. Bu nedenle “kişisel veri” kavramının tanımı erişim hakkının kapsamını belirler. GDPR madde 4/1’e göre, kişisel veri “belirli ya da belirlenebilir bir gerçek kişi hakkındaki tüm bilgiler”dir. ABAD, “kişisel veri” kavramına geniş bir tanımlama getirmiştir. ABAD kişisel veri kavramının yalnızca hassas ya da kişisel bilgiler ile sınırlı olmadığını, ilgili kişiyi ilgilendirmesi kaydıyla görüşler, değerlendirmeler şeklinde hem objektif hem de subjektif her türlü veriyi kapsayabileceğini değerlendirmiştir. İkinci koşul bilginin içeriği, amacı ya da etkisi nedeniyle belirli bir kişiyle ilişkilendirilebildiğinde ve bu kişi makul bir şekilde diğer bir kişi tarafından belirlenebilir olduğunda gerçekleşir (ABAD 20 Aralık 2017, ECLI: EU: C: 2017: 994).

4.30. Dahası, ABAD’ın 17 Temmuz 2014 tarihli kararı da talebin değerlendirilmesi ile ilgilidir (ECLI: EU: C: 2014: 2081, IND). Bu dosyada ABAD, -kısaca- hukuki bir analizin kişisel veri içerebileceğini  ancak hukuki analizin kendisinin Kişisel Veri Direktifinin 3. maddesi anlamında kişisel veri olarak nitelendirilemeyeceğini değerlendirmiştir. Hukuki analiz için temel oluşturabilecek verinin aksine, analizin kendisinin tutarlılığı ilgili kişi tarafından kontrol edilemez ve doğrulanamaz. 16 Mart 2018 tarihli kararında (ECLI: NL: HR: 2018: 365) Yüksek Mahkeme – ABAD’ın bu kararındaki değerlendirmelerine atıfta bulunarak- Wbp’ye uyarlanan Kişisel Veri Direktifinin,  ilgili kişinin mahremiyetine saygı duyulması hakkını korumak için ilgili kişinin kişisel verisinin doğru olup olmadığı ve hukuka uygun şekilde işlenip işlenmediğini kontrol etmesine izin verdiğini değerlendirmiştir. Bu kontrol verinin düzeltilmesine, silinmesine ya da engellenmesine yol açabilecektir. Ek olarak, erişim hakkı veri sorumlusunun veya üçüncü kişilerin işçilerinin kişisel düşüncelerini ya da görüşlerini içeren ve yalnızca iç istişare ya da değerlendirmeye özel olan dahili notları  (kısmen ya da tamamen) kapsamaz (29 Haziran 2007 tarihli üç karar: ECLI : NL: HR: 2007: AZ4663, AZ4664 ve BA3529).

4.31. Veri sorumlusu (bu davada Uber), üçüncü kişilerin hak ve özgürlüklerinin korunması için gerekliyse erişimi reddedebilir (GDPR madde 15 (4) ve GVKTUK madde 41(1)-i9). Hukuk tarihine bakıldığında, veri sorumlusunun kendisinin de bu bağlamda “üçüncü kişi” olarak anlaşıldığı anlaşılmaktadır. Bu hüküm (düzenlemelerde) verilen haklara bir istisna içerir ve bu nedenle sınırlı bir şekilde yorumlanmalıdır. Spesifik bir durumda başvurunun sınırlandırılması ya da reddedilmesine yol açacak böyle bir gerekçenin bulunup bulunmadığına, dahil olan tüm menfaatleri tarttıktan sonra mahkeme tarafından karar verilmelidir. Bu istisna hükmü değerlendirilirken, bilgi sağlama yükümlülüğü kural olarak veri sorumlusuna (bu olayda Uber) aittir.

4.32. Kural olarak, GDPR kapsamında erişim hakkı koşulsuzdur. Belli şartlar altında, bir erişim hakkına başka koşullar getirilebilir (bkz. AG Wuisman’ın Yüksek Mahkemedeki görüşü, 25 Mart 2016, ECLI: NL: PHR: 2016: 1 ve  Yüksek Mahkeme 25 Mart 2016, ECLI: NL: HR: 2016: 508 ).  Bir veri sorumlusu, ilgili kişiyi ilgilendiren yüksek miktarda veri işlediğinde, erişim talebine cevaben bilgi sağlamadan önce, ilgili kişinin talebinin ilgili olduğu bilgi ya da işleme faaliyetinin ne olduğunu ilgili kişiden belirtmesini talep edebilmelidir (GDPR 63 No’lu Gerekçe).

4.33. Yukarıda bahsedilen ilkeleri uygulayan mahkeme başvurucuların erişim talebini aşağıdaki gibi değerlendirmiştir:

(RESMİ OLMAYAN ÇEVİRİ)

Talebin Genelliği

4.34. Erişim talebinde atıfta bulunulan kişisel veri kategorileri, Uber’in önceden sunduğu kişisel verilerle birlikte ilettiği Kılavuz Notlarına dayanmaktadır. Ancak erişim talebi bu (veri) kategorilerle sınırlı değildir. Başvuranlar, Uber’in kişisel verileri GDPR’ın 5(1)(a) maddesi temelinde tamamen şeffaf bir şekilde işlemesi gerektiğinden, erişim taleplerini daha fazla kanıtlamaları gerekmediği görüşündedir. Bu madde, kişisel verilerin ilgili kişi bakımından şeffaf bir şekilde işlenmesi gerektiğini düzenlemektedir. GDPR 39 No’lu Gerekçe’ye göre şeffaflık ilkesi, özellikle ilgili kişilerin veri sorumlusunun kimliği ve işleme amaçları hakkında bilgilendirilmesinin yanı sıra ilgili gerçek kişilere ilişkin olarak adil ve şeffaf veri işleme sağlanması ve ilgili kişinin işlenen kişisel verileri ile ilgili onay ve bildirim alma hakları hakkında daha detaylı bilgi verilmesi ile ilgilidir.

4.35. Belirtilen koşullarda, Başvurucular için şeffaflık ilkesine dayanmak yeterli değildir. Uber, GDPR 63 No’lu Gerekçe’ye uygun olarak, büyük miktarda veri işlediği için başvuranların almak istedikleri kişisel verileri özelleştirerek belirtilmesini isteyebilir. Ayrıca, Başvuranlar Uber’den hâlihazırda çok sayıda kişisel veri almıştır. Geçmişte birkaç başvuru sahibi erişim için birkaç talepte bulunmuştur. Örneğin, [Başvurucu 1] altı erişim talebinde, [Başvurucu 4] beş erişim talebinde ve [Başvurucu 7] dört erişim talebinde bulunmuştur. Her ne kadar bir ilgili kişinin erişim hakkını özgürce ve makul aralıklarla kullanabilme hakkı olsa (bkz. GDPR Gerekçe 63 No’lu Gerekçe) ve GDPR’ın 15. maddesi uyarınca erişim talebi herhangi bir zamanda ve tekrar tekrar yapılabilirse de (hakların kötüye kullanılmasına tabi olarak), Uber tarafından halihazırda sağlanan kişisel verilerin miktarı göz önüne alındığında, talebin hangi bilgi veya Uber’in hangi işleme faaliyetleriyle ilgili olduğunu dilekçede belirtmek Başvuruculara kalmıştır. Sonuç olarak, Başvurucuların, Uber’in işlediği tüm kişisel verilere erişim talebi, çok genel olduğu ve belirli olmadığı için reddedilmiştir.

Kılavuz Notları

4.38. Uber’in Kılavuz Notları, Uber’in işlediği 26 kategoride kişisel veriyi içermektedir. Başvuruculara göre, Başvurucular bu veri kategorilerinin çoğuna erişim sağlayamamışlardır, ancak hangi kategorilere erişemediklerini de açıklamamışlardır. Sonuç olarak, Başvurucuların, Kılavuz Notlarında atıfta bulunulan kişisel verilere erişim talebi yeterince belirlenebilir değildir. Bu nedenle bu talep reddedilmiştir.

Sürücü Profili

4.39. Başvuruculara göre Uber, Başvurucuların Sürücü Profiline tam erişimini sağlamamıştır. Başvurucular, Uber’in müşteri hizmetleri sistemi Zendesk’te bulunan Uber’in dahili notlarından Uber’in bir sürücü profili tuttuğu sonucuna varmışlardır. Başvurucular, ABAD’ın yukarıda belirtilen kararına atıfta bulunarak, Uber çalışanları tarafından profilde (kendileri ile ilgili) tutulan notların kişisel veri olarak nitelendirilebileceğini iddia etmektedirler. Başvurucular, Uber’in, çalışanların yalnızca şirket içi danışma ve müzakereye yönelik kişisel düşünceleriyle ilgili olan istisnaya başvuramayacağı görüşündedir. Başvuruculara göre, Uber, sürücüleri değerlendirmek ve müşteri hizmetlerinin raporlarını ele almak için bu notları kullanmaktadır.

4.40. Uber, Sürücü Profilinin, GDPR’ın 4. maddesi anlamında gerçekten bir profilleme olmadığını savunmaktadır (bkz. aşağıda 4.61). Uber’e göre, dahili notlarla müşteri hizmetleri temsilcileri, sürücü taleplerini ele alınması için diğer çalışanlara yönlendirilmektedir. Dahili notlar, kendi başlarına başvuru sahipleri hakkında bilgi içermediklerinden kişisel veri olarak nitelendirilemezler. Ayrıca notların doğruluğu kontrol edilemez veya düzeltilemez. Uber’e göre, dahili notlar kişisel veri olarak kabul edilecek olsa bile, erişim hakkı, çalışanların kişisel düşüncelerini içeren ve yalnızca şirket içi danışma ve müzakereye yönelik notları kapsamaz.

4.41. Başvurucular tarafından sunulan belgelerden Uber’in [Başvurucu 1] hakkında bir dizi dahili not düzenlediği anlaşılmaktadır. Mahkeme, bu dahili notlardan, bunların Uber müşteri hizmetleri çalışanlarına yapılan dahili yönlendirmeler veya raporlar olduğu sonucuna varmıştır. ABAD’ın yukarıda belirtilen kararındaki hukuki analiz gibi, Uber’in müşteri hizmetleri temsilcilerinden gelen bu notlar, İlgili kişi hakkında ilgili kişinin kendisi tarafından doğrulanabilecek herhangi bir bilgi içermemektedir. Bu, Uber’in dahili notları değil, yalnızca notların olgusal temelini oluşturan başvuru sahipleri hakkındaki verileri sağlamakla yükümlü olduğu anlamına gelmektedir. Ne de olsa, başvuru sahiplerinin erişim hakkı yalnızca kendilerini ilgilendiren kişisel verilerle ilgilidir ve ilgili notlarda yer alan diğer bilgileri kapsamamaktadır.

Ancak, Başvurucular, ilgili notlarda yer alan kişisel verilerin doğruluğunu ve hukuka uygunluğunu ne ölçüde kontrol etmek istediklerini somut olarak yeterince açıklamamışlardır. Bu nedenle talebin bu kısmı reddedilecektir.

(RESMİ OLMAYAN ÇEVİRİ)

Etiketler

4.42. Başvuruculara göre, Uber, müşteri hizmetleri sisteminde sürücünün davranışlarını değerlendiren, örneğin “uygunsuz davranış” veya “polis etiketi” gibi etiketler (“etiketler”) kullanmaktadır. Başvurucular, bu etiketlerin çok olumsuz nitelikler içerebileceğini ve bu nedenle sürücüler için önemli sonuçlar doğurabileceğini belirtmektedir.

4.43. Uber, bir etiketin, Müşteri Hizmetleri sistemindeki bildirimleri kategorize eden bir bildirime ek olduğunu ve böylece uygun deneyime sahip çalışanların bu bildirimleri ele alabileceğini savunmaktadır. Uber’e göre, etiketler de kişisel veri değil, söz konusu çalışanın kişisel düşüncelerini içeren ve yalnızca şirket içi danışma ve müzakere amaçlı dahili bir nottur.

4.44. Uber’in açıklamasından, etiketin bir raporun veya o raporun bulunduğu aşamanın bir göstergesi olduğu sonucu çıkmaktadır. Bu, aynı zamanda etiket kelimesinin gerçek anlamına da karşılık gelir. Oxford İngilizce Sözlüğü’ne göre etiket, “bir kişiyi veya bir şeyi bir şekilde tanımlamak için kullanılan bir isim veya deyim”dir. Burada da – yukarıda 4.41’de ele alındığı gibi – böyle bir göstergenin doğruluğu ilgili kişi tarafından kontrol edilemez. Bu nedenle etiketler inceleme hakkına tabi değildir ve erişim talebinin bu kısmı reddedilecektir.

Raporlar

4.45. Taraflar, “raporların”, diğer şeylerin yanı sıra, “navigasyon” ve “profesyonellik” ile ilgili olarak yolcuların ilgili sürücü hakkında verdiği geri bildirim raporlarına dayandığı konusunda hemfikirdir. Bir sürücüyle ilgili geri bildirim, GDPR’ın 4. maddesi anlamında kişisel veridir; çünkü bu, içeriği nedeniyle belirli bir kişiyle bağlantılı bilgilerdir ve bu nedenle, o kişi bir başkası tarafından makul şekilde tanımlanabilir. Bu da taraflar arasında ihtilaf konusu değildir. Başvurucuların erişim taleplerine yanıt olarak Uber, yolcuların sürücülerle ilgili geri bildirimlerinin anonimleştirildiği bir Excel taslağı sunmuştur. Başvuruculara göre, Uber raporlara tam erişim sağlamamıştır, zira Excel taslakları, hangi yolculuğa ilişkin olduğu anlaşılamayan, yolcuların genel yorumlarını içermektedir. Başvurucular, sürücü ve yolcu arasındaki sözleşme arasındaki ilişkiye dayalı olarak sürücünün buna hakkı olduğu için Uber’in de bu bilgileri sağlaması gerektiğini ileri sürmektedir. Başvuruculara göre, raporlara, puanlara ve yolculukların başlangıç ve bitiş konumlarına ilişkin veriler, sürücü tarafından sağlanan hizmetin doğrudan sonucudur.

4.46. Bu argümana itibar edilemez. Uber, başvuranların kişisel verilerini içeren bilgileri sağlarken, GDPR’ın 15(4). maddesi uyarınca başkalarının hak ve özgürlüklerine saygı göstermelidir. Uber, üçüncü kişilerin bu haklarını korumak için, sürücülerle ilgili beyanların, beyanları yapan kişiye kadar takip edilememesini sağlamak için raporları anonimleştirebilir. Sonuçta, yorumu kimin yaptığı, veri işlemenin hukuka uygunluğunun değerlendirilmesi ile ilgili değilken, yorumu yapan kişiye ilişkin bilgiler bu kişinin (gizlilik) haklarını ihlal edebilir. Bu nedenle, Uber’in raporlara daha ayrıntılı erişim sağlaması gerekmediği sonucuna varılmıştır. Başvuranların, yolcu ile olan sözleşme ilişkisine dayanarak söz konusu yolcu hakkında bilgi alma hakkına sahip oldukları iddiası dinlenebilir değildir (bkz. yukarıda 4.37).

Bir yolculuğun başlangıç ve bitiş konumu

4.47. Başvurucular, her bir yolculuğun başlangıç ve bitiş konumuna erişim talep etmektedir. Uber’in bu bilgiyi sağlamanın yolcuyu tanımlama konusunda çok büyük bir risk oluşturacağı görüşünde olmasının yanlış olduğunu iddia etmektedirler. Bu durumun, (yalnızca) yolcuları doğrudan tanımlayabilecekleri e-posta adresi ve telefon numarası gibi bilgilere sahip olmaları halinde iddia etmektedirler. Bu nedenle, Başvuruculara göre konum verileri bir seyahate bağlanabilirken, bireysel olarak izlenebilir bir kişiye bağlanamaz.

4.48. Başvurucular tarafından sunulan belgelere dayanarak, Uber’in sürücüler tarafından yapılan yolculuklar hakkında, yani yolculuğun talep edildiği saat, yolculuğun başladığı ve bittiği saat ve yolculuğun başlangıç ve bitiş yerinin koordinatları gibi bilgileri içeren genel bir taslak sunduğu mahkemece tespit edilmiştir. Bu kadarı yeterlidir. Burada da, hangi yolcunun taşındığının kişisel veri işleme faaliyetinin hukuka uygunluğunun değerlendirilmesiyle bir ilgisi bulunmamaktadır ki bu yolcunun (mahremiyet)  haklarını ihlal edebilir. Uber’in bu verilerin yolcuya kadar izlenebilir olmasını önlemek için yolcu verilerine erişim sağlaması gerekmemektedir.

Bireysel puanlama

4.49. Başvurucular ayrıca bireysel yolcular tarafından sağlanan “puanlama” verilerine erişmek istediklerini belirtmektedir. Sürücü APP’inde yalnızca puanların ortalaması verilmektedir. Başvurucular, düşük puan alan sürücülerin hesaplarının devre dışı bırakılıp bırakılmadığını kontrol etmek istemektedir. Ayrıca, birçok sürücü ayrımcılığa maruz kalmaktadır ve puanlamaya ilişkin ayrıntılar, ayrımcılığın ve eşit olmayan muamelenin varlığının anlaşılmasına yardımcı olabilir.

4.50. Uber, yolcuların mahremiyet haklarını korumak için bireysel yolcu puanlama verilerini sağlayamadığını savunmaktadır.

4.51. Uber’in “Kullanıcı geri bildirimi” adı altında bireysel puanlara ve bir yolcunun bir sürücüye (bir kısmına) verdiği geri bildirimlere erişim izni verdiği, başvuranlar tarafından sunulan belgelerden mahkeme tarafından anlaşılmıştır. Uber, bir yolcunun sürücüye verdiği yıldız sayısının, yolcunun yaptığı yoruma dahil edildiği bir genel taslakla bu erişime izin vermiştir. Uber tarafından sağlanan veriler anonimdir, yolculuğun tarihi, saati veya yeri anlaşılmamaktadır. Bireysel puanlara erişim hakkı, başvuru sahibine göre farklılık göstermektedir.

4.52. Daha önce tartışılan kategorilerde olduğu gibi, Uber, talep edilen verileri sağlarken yolcuların (mahremiyet) haklarına da gözetmelidir. Uber Kullanıcı geri bildirimi yoluyla mahremiyetin korunmasını, verilerin yıldızları ve/veya yorumu veren yolcuya kadar izlenememesinin sağlaması anlamında, bu verileri anonim bir biçimde sağlayarak yapabilir. Sonuçta değerlendirmeyi kimin yaptığı ve/veya yorum(lar)ı kimin yaptığı önemli değilken, açıklamayı yapan kişiye ilişkin bilgiler bu kişinin (mahremiyet) haklarını ihlal edebilir. Uber, tüm Başvuruculara, yukarıda açıklanan koşullara tabi olarak Başvurucuların bireysel puanlarına erişim sağlamakla yükümlüdür.

(RESMİ OLMAYAN ÇEVİRİ)

Sürüş davranışı, yolculuk sırasında telefon kullanımı ve kabul edilen yolculukların yüzdesi

4.53. Başvurucular, Uber yazılım mühendislerinin sunumlarının ve gizlilik bildiriminin, Uber’in GPS verileri, hızlanma ve frenleme davranışı hakkında bilgiler de dahil olmak üzere sürüş davranışı hakkında büyük miktarda veri işlediğini ortaya koyduğunu iddia etmektedir. Uber, bu verileri, diğer şeylerin yanı sıra, bir güvenlik olayının ardından sürücülere yaptırım uygulanıp uygulanmayacağını belirlemek için kullanmaktadır. Uber, bu bilgileri Başvuruculara tam olarak sağlamamıştır.

4.54. Uber, geçmişte sürüş davranışı ve yolculuk sırasında telefon kullanımı hakkında verileri topladığını savunmaktadır. Uber, bahsi geçen verileri “ayrıntılı cihaz verileri” ve “güvenlik hatırlatıcısı” başlığı altında sağlamıştır. Ayrıca Uber, onay raporu olarak adlandırılan sürücü tarafından kabul edilen ve reddedilen yolculukların toplamının hesaplandığı dayanak verileri de sağlamıştır. Uber’e göre, onay raporunun hesaplanması için girdi oluşturan kişisel veriler başvuru sahiplerine sağlanmıştır. Uber’e göre, bu bilgilerle başvuru sahipleri onay raporunu kendileri kolayca hesaplayabilirler.

4.55. Başvuranlar, bu bilgileri Uber’den aldıklarına itiraz etmekte ve o ana kadar aldıkları bilgilerin açıklama eksikliği nedeniyle tamamen anlaşılmaz olduğunu iddia etmektedirler.

4.56. Artık Uber, erişim talebine bir dereceye kadar uyduğuna göre, başvuranların hala hangi kişisel verileri incelemek istediklerini netleştirmesi gerekirdi. Sağlanan bilgilerin anlaşılmaz olduğunu belirtmek yeterli değildir (yukarıdaki 4.35’e bakınız). Talebin bu kısmı çok genel ve belirsizdir, bu nedenle de reddedilecektir.

Peşin Fiyatlandırma Sistemi

4.57. Son olarak, Başvurucular Uber’in 2020 yazında tanıttığı yeni peşin fiyatlandırma sistemine erişim talep etmektedir. Başvurular sistemin nasıl çalıştığına dair bir açıklamaya ihtiyaç duymakta ve algoritmanın fiyatı nasıl hesapladığını görmek istemektedirler.

4.58. Uber, peşin fiyatlandırma sistemiyle ilgili bilgilerin Uber’in web sitesinde bulunabileceğini, fiyatın, sürücüyle ilgili olmayan faktörler temelinde hesaplandığını savunmaktadır.

4.59. Genel olarak, tarife belirleme sistemi uygulanırken, amaç bir kişi hakkında karar vermek, yani oran belirlemek ise, kişisel verilerin işlendiği varsayılabilir. Şu anda yalnızca [Başvurucu 5] sürücü olarak Uber’in hizmetlerini kullanmaktadır (yukarıdaki 4.36’ya bakınız). Diğer Başvurucuların Uber’de aktif olmasının üzerinden geçen süre göz önüne alındığında, kişisel verileri peşin fiyatlandırma sistemi tarafından işlenemez. Ayrıca, Başvurucuların Uber tarafından işlenen kişisel verileri, bunların işlenmesinin doğruluğu ve hukuka uygunluğunu kontrol etmek için incelemek istemeleri makul değildir. Ayrıca, duruşmadaki açıklama ışığında mahkemeye arz edilen talebin bu kısmı, Başvurucuların Uber’in fiyatlandırmaya nasıl ve hangi algoritma ile ulaştığına dair bir fikir edinme arzusundan başka bir şey değildir. Bu, GDPR madde 15’te öngörülenden farklı bir amaçtır. Bu nedenle talebin bu kısmı reddedilecektir.

Otomatik karar verme ve profilleme hakkında bilgi

4.60. Başvurucular, GDPR madde 15(1)(h) temelinde otomatik karar verme ve profillemenin var olup olmadığına dair bilgiye erişimi talep etmektedir. Bu madde, ilgili kişinin, veri sorumlusundan, profilleme de dahil olmak üzere otomatik karar vermenin varlığı ve, en azından bu hallerde, yürütülen temel mantığa ilişkin anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin ilgili kişi açısından önemi ve öngörülen sonuçları hakkında bilgi alma hakkı vardır.

4.61. GDPR’ın 4. maddesinde, profilleme, ir gerçek kişinin işteki performansı, ekonomik durumu, sağlığı, kişisel tercihleri, ilgi alanları, güvenilirliği, davranışları, konumu veya hareketlerine ilişkin hususların analiz edilmesi veya tahmin edilmesi başta olmak üzere söz konusu gerçek kişiye ilişkin belirli kişisel özelliklerin değerlendirilmesi için kişisel verilerin kullanımını ihtiva eden her türlü otomatik kişisel veri işleme biçimi olarak tanımlanmıştır.

4.62. Bir ilgili kişi mutlaka profillemenin varlığı ve sonuçları hakkında bilgilendirilmelidir (GDPR 60 no’lu gerekçe). GDPR madde 15 ilgili kişiye, bir profil oluşturmak için kullanılan veri kategorileri dahil olmak üzere profilleme için kullanılan tüm kişisel veriler hakkında bilgi edinme hakkı vermiştir.

4.63. GDPR md 22 uyarınca, başvurucular, bir dizi istisnaya tabi olarak, kendileri için hukuki sonuçları olarak ya da kendilerini başka bir türlü önemli ölçüde etkileyen, yalnızca otomatik işlemeye ya da profilleme dayalı olarak alınan bir kararın konusu olmama hakkında sahiptirler. Şayet karar alma sürecinde anlamlı bir insan müdahalesi bulunmuyorsa bu karar, yalnızca otomatik işlemeye dayanıyor demektir.

4.64. Otomatik bireysel karar verme ve profilleme ile ilgili rehber9, “önemli ölçüde”nin eşiğinin ilgili kişinin yasal sonuçları olan bir karardan etkilenme derecesi ile karşılaştırılabilir olması gerektiğini belirtir. Rehbere göre, işlemenin etkileri büyük ya da dikkate değecek kadar önemli olduğunda bir kişiyi büyük ölçüde etkiler. Karar, ilgili kişilerin koşullarını, davranışlarını veya seçimini önemli ölçüde etkileme potansiyeline sahip olmalı, ilgili kişi üzerinde uzun vadeli veya kalıcı bir etkiye sahip olmalı, veya çok uç bir durumda kişilerin dışlanmasına veya ayrımcılığa uğramasına neden olmalıdır. GDPR 71 No’lu Gerekçede otomatik karar almanın örnekleri olarak şunlardan bahsedilir: Çevrimiçi olarak yapılan bir kredi başvurusunun otomatik olarak reddedilmesi veya başvuruların insan müdahalesi olmadan internet üzerinden işlenmesi.

4.65. Başvurucular, erişim talebi sonucunda otomatik karar verme ve/veya profillemenin varlığına ilişkin herhangi bir bilgi almadıklarını belirtmektedirler. Başvuruculara göre, Uber’in otomatik karar vermeyle ilgili gizlilik bildiriminde ve web sitesinde sağladığı bilgiler eksik ve bazı durumlarda yanlıştır. Bu konuda şunlara dikkat çekmektedirler:

• Sürücü APP’i, sürüş davranışı, yolculuk sırasında telefonun kullanımı ve kabul edilen yolculukların yüzdesi hakkında bilgi sağlar. Bu bilgi, mesleki performans, güvenilirlik, davranış, konum ve seyahat analizinin sonucudur ve profilleme olarak sınıflandırılmalıdır;
• Uber’in sahip olduğu Sürücü Profili, GDPR’ın 4. maddesi anlamında bir profildir, çünkü Uber bunu Başvurucuların “uygunsuz davranış” gibi çok olumsuz niteliklere yol açabilecek kişisel yönlerini değerlendirmek için kullanır;
• Çeşitli kaynaklardan, Uber’in, sürücüleri yolculara bağlarken, gizlilik bildiriminde belirtilenler dışında, sürücünün iptal geçmişi ve yüz tanıma gibi kişisel veri kategorileri kullandığı sonucu çıkar.

4.66. Uber, GDPR’ın 22. maddesi anlamında otomatik karar verme kullanmadığını ve her halükarda bunun  hiçbir durum yasaklanmış bir form olmadığını savunmaktadır. Uber, “toplu eşleştirme” (batched matching) sistemi aracılığıyla uygun yolculukları atamak için otomatik veri işlemeyi kullanmaktadır. Bu sistem, (birbirine) en yakın sürücü ve yolcuları bir toplu iş (bir grup) halinde gruplandırır ve bir sürücü ile bir yolcu arasında bu grup içindeki en uygun eşleşmeyi (bağlantıyı) belirler. Uber’e göre, konumu, seyahat yönünü, trafik hacmini, coğrafi faktörleri, yolcunun alınma noktasına tahmini varış süresini ve Sürücü APP’i aracılığıyla sürücüler tarafından belirtilen kişisel tercihleri kullanır. Eğer o yolcu, sürücüye geçmişte mevcut beş yıldızdan biri ile puan vermişse, sistem artık bu yolcuyu bu sürücüyle eşleştirmez. Sürücü gruptaki başka bir yolcu ile eşleştirilecektir. Uber’e göre, mevcut yolculukların otomatik olarak atanmasının hiçbir hukuki sonucu yoktur ve ilgili kişi bundan önemli ölçüde etkilenmez, böylece GDPR madde 22 kapsamında otomatik karar verme gerçekleşmez. Ayrıca GDPR’ın 4. maddesi kapsamında bir profil kullanmaz. Sürücü profili sadece müşteri hizmetleri sisteminde kullanılan bir isimdir. Ayrıca, sahtekarlıkla mücadele süreçlerinde insan müdahalesi bulunması nedeniyle otomatik karar verme söz konusu değildir.

4.67. Taraflar arasında, Uber’in otomatik kararlar almak için kişisel verileri kullandığı tespit edilmiştir. Bu kaynağını Gizlilik Bildiriminin 9. Bölümünde yer alan “Otomatik karar verme”den de almaktadır. Ancak bu, GDPR madde 22’de atıfta bulunulan otomatik bir karar verme süreci bulunduğu anlamına gelmez. Ne de olsa bu, hukuki sonuçların da olmasını veya ilgili kişinin başka şekilde önemli ölçüde etkilenmesini gerektirir. Talep bu noktada sadece kısaca açıklanmıştır. Başvurucular, Uber’in sahtekarlıkla mücadele süreçleri hakkında yeterli somut bilgi sağlamadığını ve herhangi bir anlamlı insan müdahalesi bulunduğunu ortaya koymadığını iddia etmektedir. C / 13/692003 / HA RK 20/302 esas sayılı davanın aksine – ki bugün bu davanın da karar verilmiştir-, Başvurucular, Uber’in kendilerinin sahtekarlıktan suçlu oldukları sonucuna vardığını beyan etmemiştirler. Bu nedenle Uber’in kendileriyle ilgili kararları otomatik karar vermeye dayalı olarak ne ölçüde aldığı yeterince açıklanmamıştır. Toplu eşleştirme sisteminin ve peşin fiyatlandırma sisteminin Uber ile sürücü arasındaki sözleşmenin ifası üzerinde bir miktar etkisi olacağı açık olsa da, Rehberde belirtildiği gibi herhangi bir hukuki sonuç veya başka bir önemli etkiye dair bir kanıt bulunmamaktadır. GDPR madde 15(1) yalnızca bu tür kararlar için geçerli olduğundan, I (iv) kapsamındaki talep reddedilecektir.

4.68. Başvurucular, taleplerini Uber’in GDPR’ın 4. maddesinin 4. bölümü kapsamında bir profilleme için kullandığından kişisel verilerine görmek istedikleri şeklinde yeterince spesifik bir şekilde belirtmemişlerdir. Bu nedenle talebin bu kısmı reddedilmelidir.

(RESMİ OLMAYAN ÇEVİRİ)

Ek bilgi talebi

4.69. Başvurucular, ayrıca kişisel verilerin işlenme amaçlarına, ilgili kişisel veri kategorilerine, kişisel verilerin aktarıldığı alıcılara, kişisel verilerin saklanma süresine ve şayet kişisel veriler yabancı ülkelerdeki üçüncü kişiler aktarılmışsa, GDPR’ın 46. maddesi uyarınca aldığı Uber’in uygun güvencelerin neler olduğu hususlarına dair erişim talebinde bulunmaktadır. (bkz. Madde 15, paragraf 1, açılış sözcükleri ve GDPR’ın a, b, c ve d altındaki ve 2. paragrafı)

4.70. Uber, savunmasında bu konular hakkında daha fazla bilgi vermiştir. Uber ayrıca Gizlilik Bildiriminin ilgili bölümlerinde yer alan bilgilere de atıfta bulunmaktadır. Başvurucular Uber’den gelen bu açıklamaya yanıt vermemiştir. Bu durumda mahkeme, erişim talebinin bu kısmının yeterli şekilde yanıtlandığını varsaymaktadır. I (ii) ve (iii) kapsamındaki talepler bu nedenle reddedilecektir.

CSV dosyasındaki verileri aktarma isteği

4.71. Son olarak, Başvucurular GDPR’ın 20. maddesi kapsamında, Uber’in kendileriyle ilgili verileri, kendilerine doğrudan gönderilebilecek veya başka bir veri sorumlusuna aktarılabilecek şekilde CSV dosyası biçiminde veya bir API aracılığıyla sağlamasını talep etmektedir.

4.72. GDPR madde 20(1) uyarınca, ilgili kişi veri sorumlusuna sağladığı kişisel verileri, herhangi bir engel olmaksızın başka bir veri sorumlusuna aktarmaya elverişli şekilde yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir biçimde elde etme hakkına sahiptir.

4.73. Veri taşınabilirliği hakkına ilişkin Rehber10, bu hakkın ilgili kişinin konumunu güçlendirmeyi ve ilgili kişiye verileri üzerinde daha fazla kontrol sağlamayı amaçladığını belirtmektedir. Hak, orijinal veri sorumlusuna “kilitlenmeyi” (lock-in) önleyerek ilgili kişiye esneklik sağlamayı ve ilgili kişiye sağlanan hizmetleri zenginleştirmeyi amaçlamaktadır.

4.74. Veri taşınabilirliği hakkı kapsamına giren veri işleme, ilgili kişinin rızasına veya ilgili kişinin taraf olduğu bir sözleşmeye dayanmalı ve otomatik olmalıdır. Dahil edilmesi gereken kişisel veriler, (i) ilgili kişi hakkındaki kişisel veriler ve (ii) ilgili kişi tarafından bir veri sorumlusuna sağlanan verilerdir. Veri taşınabilirliği hakkı, başkalarının hak ve özgürlüklerine halel getirmemelidir.

4.75. İlgili kişi tarafından sağlanan bilgiler, örneğin hesap bilgilerini (e-posta adresi, kullanıcı adı, yaş vb.) içerir. Rehbere göre, sağlanan bu bilgiler, örneğin arama geçmişi ve konum verileri (veri analizi) gibi, örneğin bir hizmet veya cihazın kullanımı yoluyla ilgili kişinin faaliyetlerini gözlemleyerek ilgili kişiye sunulan bilgileri de içermelidir. Ancak Avrupa Komiseri’nin [isim] Avrupa Veri Koruma Kurulu (EDPB) başkanına yazdığı bir mektup, EDPB’nin bu görüşünün tartışmalı olduğunu göstermektedir. Bu mektupta, EDPB’nin yasama sürecinde Komisyon, Konsey ve Parlamento tarafından kararlaştırılanın ötesine geçtiğini açıklamıştır11. Bu durumda mahkeme, veri sorumlusunun, ilgili kişi tarafından veri analizi yoluyla sağlanan verilerden türettiği verilerin GDPR madde 20 kapsamına girmediğini varsaymaktadır. Bu nedenle, ilgili kişiye belirli bir şekilde veri sağlama yükümlülüğünü getiren GDPR 20. maddesinde belirtilen yükümlülük, GDPR’nin 15. Maddesinde belirtilen yükümlülükten daha azı bir yükümlülük içermektedir.

4.76. GDPR 68 No’lu Gerekçe’den, verilerin sağlandığı formatın, verilerin birlikte çalışabilirliğine izin vermesi, yani bu verilerin farklı BİT sistemlerinde değiş tokuş edilebilir olması gerektiği sonucu çıkmaktadır.

Rehbere göre, format yorumlanabilir olmalı ve ilgili kişiye mümkün olan en yüksek veri taşınabilirliği seviyesini sağlamalıdır. Şayet belirli bir endüstride ortak olarak kullanılan bir format yoksa, XML, JSON ve CSV gibi yaygın kullanılan kamusal formatlar değerlendirilebilir. (Kamu sektörü bilgisinin yeniden kullanılması hakkındaki 12 ) 2013/37/AB Direktifi’nin 21 No’lu Gerekçesi’ndeki makine tarafından okunabilirlik, yazılım uygulamaları tarafından kolayca belirlenebilir, tanımlanabilir ve sübjektif olgusal beyanlar dahil belirli bilgi çıkartabilir şekilde yapılandırılmış bir dosya formatı anlamına gelmektedir.

4.77. Mahkeme, yukarıda belirtilen ilkeleri uygulayarak, bir CSV dosyasındaki veri aktarma talebini aşağıdaki şekilde değerlendirmiştir.

4.78. Başvuruculara göre, kendilerine ilişkin verilerin sadece küçük bir kısmı bu dosya formatında verilmiş iken, verilerin çoğunluğu yedi farklı formatta (PDF, Docx, JPEG, PNG, MP3, WAV) sağlanmıştır. Başvuruculara göre, PDF formatında sağlanan dosyalar makine tarafından okunamaz, çünkü veriler böyle bir dosyadan kolayca çekilemez.

4.79. Uber, GDPR’ın 20. maddesi kapsamına giren bilgileri, erişim taleplerine verilen yanıtla eş zamanlı olarak başvuru sahiplerine sağladığını savunmaktadır. Uber’e göre, kişisel verileri sağladığı CSV, XLS ve PDF formatı, GDPR madde 20 anlamında “yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir” olma gerekliliğini karşılamaktadır ve tüm kişisel verileri, Başvurucuların talep ettiği gibi CSV dosyasında veya bir API aracılığıyla tutmak zorunda değildir.

4.80. GDPR’ın 20. maddesinde, verilerin bir CSV dosyasında veya bir API aracılığıyla sağlanacağına dair otomatik bir yükümlülük bulunmamaktadır. Başvurucuların iddialarından anlaşılan PDF formatında sağlanan veriler haricinde, Uber, kişisel verileri, verilerin başka bir veri sorumlusuna iletilmesini mümkün kılacak şekilde sağlamıştır.

4.81. Uber’in sunduğu genel bakış açısından, Uber tarafından PDF formatında sağlanan kişisel verilerin “zendesk biletleri”, “faturalar”, “sürücü güvenliği şikayetleri” ve “sürücü belgeleri” ile ilgili olduğu anlaşılmaktadır. Ayrıca, Uber’in açıklamasından “sürücü belgelerinin” sürücünün kendisi tarafından sağlanan belgeler olduğu anlaşılmaktadır. Uber, Uber’in bu belgeleri aldığı formatta sağladığını ifade etmiştir. PDF formatına ilişkin Rehberde, bu formatın verilerin kolayca yeniden kullanılmasına izin verecek kadar yapılandırılmış veya açıklayıcı olmasının olası olmadığı belirtilmiştir. Bu nedenle soru, bir PDF formatının GDPR madde 20 kapsamında yapılandırılmış bir format olarak kabul edilip edilemeyeceğidir. Mahkemenin görüşüne göre, Uber’in başvuru sahiplerine PDF formatında sağlanan kişisel veri kategorilerini CSV formatında (veya karşılaştırılabilir formatta) sağlamasını hükmetmek için hiçbir sebep bulunmamaktadır. “Zendesk biletleri”, “sürücü şikayetleri” ve “faturalar” kategorileri GDPR madde 20 kapsamına girmemektedir, çünkü bu veriler Başvurucuların kendileri tarafından Uber’e sağlanmamıştır (yukarıda 4.72’ye bakınız).

Sürücü belgeleriyle ilgili olarak, mahkeme, Uber’in bu belgeleri PDF formatından başka bir formatta aktarmasını hükmetmek için hiçbir neden görmemektedir. Başvuranların açıklamasından, kişisel verileri bir CSV dosyasına aktarma talebinin, Başvurucuların platform çalışanlarının müzakere pozisyonunu iyileştirmek için kişisel verileri analiz için doğrudan bir veritabanına dahil etme isteğinden kaynaklandığı anlaşılmaktadır. Veri taşınabilirliği hakkının arka planı ve amacı esas olarak bir “kilitlenmeyi”(lock-in) önlemektir. Başvuranların durumunda, bu kolay olmayacaktır zira verileri kendi kullanımları ve analizleri için işlemek istemektedirler. Bu nedenle II kapsamındaki talep reddedilecektir.

(RESMİ OLMAYAN ÇEVİRİ)

Sonuç

4.82. Yukarıda belirtilenler, Uber’in yukarıda 4.52’de belirtilen (kişisel) verilere erişim sağlaması gerektiği anlamına gelmektedir. Uber’e bunun için yeterli süre vermek adına Uber’in bu bilgileri sağlaması gereken süre, bu kararın bildirilmesinden sonra iki ay olarak belirlenecektir. Geri kalanı için talepler reddedilecektir.

Ceza Toplamı

4.83. Talep edilen ceza reddedilecektir. Şimdilik, Uber’in erişim sağlama emrine gönüllü olarak uyacağına ve ilgili kişisel verileri sağlamaya çalışacağına dair güven makul bulunmuştur. Sonuçta, Uber daha önce kişisel verilere kısmi erişim sağlamıştır.

Uygulanabilirlik

4.84. Uber, Başvurucuların taleplerine uyulması halinde Uber’in ticari sırlarının ve üçüncü kişilerin gizlilik haklarının ciddi şekilde zarar görme riskinin olduğu ve bunun geri döndürülemez sonuçları olacağı sebebiyle kararın uygulanamaz ilan edilmesini talep etmiştir. Mahkeme, talebin bir takım somut kısımlarını kabul edeceğinden ve Uber, erişimin sağlanmasının ticari sırları ve üçüncü kişilerin gizlilik haklarıyla nasıl çelişeceğini daha fazla açıklamadığından, mahkeme, Uber’in iddiasını reddetmemek için hiçbir neden görmemektedir.

Dava Masrafları

4.85. Tarafların her biri hakkında çeşitli kararlar verilmiştir. Bu nedenle dava masrafları denkleştirilecektir.

5 Karar

Mahkeme:

5.1. [Başvurucu 7] ve [[Başvurucu 10]’un başvurularının kabul edilemez olduğuna,

5.2. Uber tarafından, [Başvurucu 1], [Başvurucu 2], [Başvurucu 3], [Başvurucu 4], [Başvurucu 5], [Başvurucu 6], [Başvurucu 8] ve [Başvurucu 9]’a  -yukarıda 4.36 kapsamında değerlendirilen hususlara uymak kaydıyla yukarıda 4.52’de atıfta bulunulan kişisel verilere burada belirtilen şekilde, bu kararın tebliğinden itibaren iki ay içinde erişim hakkı verilmesine,

5.3. Bu kararın şimdiye kadar geçici olarak uygulanabilir olduğuna,

5.4. Her bir tarafın kendi masraflarını üstlenecek şekilde yasal masrafların taraflar arasında denkleştirilmesine,

5.5. Sair taleplerin reddine,

Karar verilmiştir.

Bu karar yargıçlar Sn. OJ van Leeuwen, Mr. MCH Broesterhuizen ve Mr. MLS Kalff tarafından verilmiş olup, kayıt memuru Mr. ZS Lintvelt tarafından kayıt altına alınarak 11 Mart 2021’de kamuoyuna açıklanmıştır.

 

Teşekkür Notu:

Karar çevirisi, Gamze Dilekci ve Gülay Aydın tarafından gerçekleştirilmiştir.