Kişisel Verileri Koruma Kurumu’nun 23.12.2021 tarihli ilke kararı: Ortak Veri Sorumlusu ve Kara Listeler

20.01.2022 tarihli, 31725 sayılı Resmi Gazete’de Kişisel Verileri Koruma Kurumu’nun (“Kurum”) 23.12.2021 tarihli ilke kararı (“Karar”) yayımlamıştır.

Karar, farklı sektörlerde de sıkça uygulama alanı bulan kara liste uygulamalarını, araç kiralama sektörü özelinde ele almakta olup, Kurum yaptığı incelemede;

·        Araç kiralama firmaları tarafından “kara liste” özelliği içeren yazılım kullanıldığının ve bu yolla müşterilerin kişisel verilerinin (araç kullanımı sırasında meydana gelen olumsuzluklar ve/veya araç kiralama firmalarının müşteriler hakkında yaptığı yorumlar gibi) işlendiğinin,

·        Bu bilgilerin, sonraki kiralamalarda, müşterilere araç kiralamaya dair karar süreçlerinde kullanıldığının,

·        Söz konusu yazılımların, bir araç kiralama firması tarafından girilen bu bilgilere, diğer araç kiralama firmaları tarafından da erişilebilecek şekilde tasarlandığının, dolayısıyla aynı yazılımı kullanan araç kiralama firmaları arasında kara listeye ilişkin veri akışı/paylaşımı olduğunun,

·        Yazılıma girilen bilgilerin, yazılımı sunan firmanın veri tabanında tutulduğunun; araç firmalarının ise yalnızca içerik sağladığının,

·        Söz konusu yazılımı kullanan araç kiralama firmalarından araç kiralayan müşterilerin, sundukları kişisel verilerinin, araç kiralama firması ile yaşadığı olumlu/olumsuz ilişki, araca verdiği zarar, ödeme sürecinde yaşanan sorunlar gibi kişisel verilerinin yazılımı kullanan ve sayısı bilinmeyen üçüncü kişilerle paylaşılacağı konusunda bilgilendirilmediğinin

Anlaşıldığını ifade ederek, müşteri ile muhatap olan ve aracın kiralamasını gerçekleştiren araç kiralama firmalarının 1774 Sayılı Kimlik bildirme Kanunu gereğince bildirim zorunluluklarını yerine getirebilmeleri ve sunulan hizmete ilişkin olarak taraflar arasında sözleşme akdedilebilmesi için, araç kiralayan müşterilerin kişisel verilerini işlemelerinin gerekli olduğunu ortaya koyduktan sonra, somut olaya göre değerlendirilmesi gerekmekle birlikte, kara liste benzeri veri kayıtları bakımından araç kiralayan firmaların, Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 5/2(f) maddesi gereğince meşru menfaatlerine dayanarak kendi müşterilerinin kişisel verilerini sonraki kiralama süreçlerinde alacakları kararlara esas olmak üzere de işleyebileceklerine karar vermiştir.

Öte yandan Kurum, aynı yazılımı kullanan diğer araç kiralama firmalarının ise, kara liste yazılımı vasıtasıyla müşterisi olmayan kişilerin kişisel verilerini, Kanun’un 5/2(f) maddesi gereğince meşru menfaate dayanarak işleyemeyeceğine karar vermiştir. Ayrıca, söz konusu yazılım vasıtasıyla kişisel verilerin, sayısı bilinmeyen diğer araç kiralama firmaları ile yazılım üzerinden paylaşılmasını, Kanun’un 4’üncü maddesinde düzenlenen ve kişisel veri işlerken dikkate alınması gereken genel ilkelere de aykırı bulunmuştur.

Kurum kararında, kişisel verisi işlenen ilgili kişi, kişisel verilerine kimlerin erişebildiğini bilemediğinden ilgili kişinin, Kanun’un 11’nci maddesinde belirtilen haklarını (örneğin, kişisel verilerinin profilleme amacıyla işlenmesi nedeniyle aleyhinde ortaya çıkan olumsuz karara itiraz etme), bu veri sorumluları nezdinde ileri sürmekte zorlanacağına da dikkat çekmiştir.

Netice olarak Kurum, söz konusu uygulamayı hukuka aykırı bulmuş, bu uygulamanın belirtilen şekilde sürdürülmesine son verilerek uygulamanın Kanun’a uygun hale getirilmesi için veri sorumluları tarafından gerekli idari ve teknik tedbirlerin alınması gerektiğine karar vermiştir.

İlke kararın uygulama açısından bir diğer önemli yansıması ise, Kurum’un kararında, ilk defa “ortak veri sorumlusu” kavramına değinmiş olmasıdır. Kurum, yukarıda kısaca özetlenen kişisel veri işleme faaliyetinde, aynı kişisel veri işleme faaliyetine katılan ve kişisel verileri kendi menfaatleri doğrultusunda işleyen her bir veri sorumlusu yönünden ortak veri sorumluluğunun ortaya çıkacağını ifade etmiştir.

Kurum, ortak veri sorumlularına ilişkin sorumluluk ve kusur miktarlarının belirlenmesi açısından, olay bazında inceleme yapılması gerektiğini; ortak veri sorumluluğunun ortaya çıktığı hallerde tarafların kusur durumunun, örnek olarak saydığı aşağıdaki kriterler dikkate alınarak tespit edileceğini ifade etmiştir:

·        Kişisel verinin ilk ve son kullanıcısının kim olduğu,

·        Kişisel veri girişinin kimin yaptığı,

·        Hangi amaçla söz konusu kişisel verinin girildiği,

·        Kişisel verinin değiştirilmesine veya silinmesine kimin karar verdiği,

·        Kişisel veriyi toplayan dışında kalan veri sorumlularının bu kişisel veri ile hangi faaliyetleri gerçekleştirdiği vb.

Karar’ın tamamına şu linkten ulaşılabilir:

https://www.resmigazete.gov.tr/eskiler/2022/01/20220120-10.pdf