Otopark Borç Sorgulama ve Delil Fotoğrafları: 2023/924 Sayılı Kurul Karar Analizi

Kişisel Verileri Koruma Kurulu (Kurul), 01/06/2023 tarihli ve 2023/924 sayılı kararı ile otopark işletmecilerinin alacaklarını tahsil etmek amacıyla yürüttükleri veri işleme süreçlerini denetlemiştir. Karar, “hak arama özgürlüğü” ile “kişisel verilerin korunması” arasındaki hassas dengeyi kurarken, internet üzerindeki sorgulama sistemlerine yönelik çok önemli teknik standartlar getirmiştir.

Olayın Özeti: İcra Takibi ve İnternetten Borç Sorgulama

İlgili kişi; otopark işletmecisinin kendisine icra takibi başlattığını, bu süreçte araç ruhsat bilgilerinin hukuka aykırı ele geçirildiğini, aracının fotoğraflarının çekildiğini ve en önemlisi, internet sitesinde sadece plaka yazılarak borç bilgilerinin herkes tarafından görülebildiğini belirterek şikayetçi olmuştur.

Kurulun Hukuki Değerlendirmesi

Kurul, şikayete konu edilen üç farklı veri işleme faaliyetini ayrı ayrı incelemiştir:

1. Kimlik Bilgilerine Ulaşılması ve Fotoğraf Çekilmesi (Hukuka Uygun)

• İşleme Şartı: Veri sorumlusunun, otopark ücretini ödemeyen kişiye karşı icra takibi ve dava açabilmesi için araç plakasından kimlik bilgilerine ulaşması “Bir hakkın tesisi, kullanılması veya korunması” (KVKK Md. 5/2-e) kapsamında zorunlu bulunmuştur.
• Delil Sunma: Aracın otoparkta kaldığını ispat etmek için çekilen fotoğrafların mahkemeye sunulması, Hukuk Muhakemeleri Kanunu uyarınca ispat yükümlülüğünün bir parçasıdır ve hukuka uygundur.

2. İnternet Sitesinde Sadece Plaka ile Borç Sorgulama (Hukuka Aykırı)

Kurul, internet sitesindeki sistemi “veri güvenliği zafiyeti” olarak nitelendirmiştir:

• Tek Kademeli Doğrulama Yetersizdir: Sadece araç plakası ve ekrandaki güvenlik kodu (captcha) ile borç tutarına ulaşılması, araç sahibinin mali bilgilerinin (borç yükünün) üçüncü kişilerce kolayca öğrenilmesine yol açar.
• Çift Faktörlü Doğrulama Zorunluluğu: Kurul, borç sorgulama gibi mali veri içeren sistemlerde iki kademeli doğrulama (örneğin; plaka + SMS kodu veya plaka + TCKN/Üyelik) kontrolünün uygulanması gerektiğini belirtmiştir.

3. Aydınlatma Yükümlülüğünün İhmali

Veri sorumlusu “plaka zaten alenidir, aydınlatmaya gerek yok” savunması yapsa da Kurul bunu reddetmiştir. Kanun uyarınca verinin “alenileşmiş” olması veya diğer işleme şartlarına dayanılması, aydınlatma yükümlülüğünü ortadan kaldırmaz.

Karar Sonucu: 75.000 TL Ceza ve Sistem Revizyonu

Kurul inceleme neticesinde;

1. Aydınlatma yükümlülüğünü yerine getirmeyen otopark işletmecisine 75.000 TL idari para cezası uygulamıştır.
2. İnternet sitesindeki borç sorgulama sisteminin çift faktörlü doğrulamaya geçirilmesi, bu yapılamıyorsa sorgulama hizmetinin durdurulması talimatını vermiştir.
3. Otopark kullanıcıları için Kanun ve Tebliğ’e uygun bir Aydınlatma Metni hazırlanmasını istemiştir.

Özgür Eralp Perspektifi: “Hukuki Alacak, Keyfi Veri İşleme Hakkı Vermez”

Bilişim hukuku alanındaki 25 yıllık tecrübemizde, kurumların “alacağım var” motivasyonuyla veri güvenliği kurallarını göz ardı ettiğini sıkça görüyoruz. Kurul bu kararla; “Alacağını mahkemede ispatlamak için fotoğraf çekebilirsin ancak bu borç bilgisini internette herkesin erişimine savunmasızca açamazsın” demiştir.

Bir yatırımcı avukat vizyonuyla uyarım şudur: Otopark işletmeleri, belediye iştirakleri veya özel şirketler, internet tabanlı sorgulama ekranlarını acilen gözden geçirmelidir. İkinci bir doğrulama faktörü (SMS, şifre vb.) eklenmeyen her “plaka ile sorgula” ekranı, bugün 75.000 TL olan yarın milyonlara varabilecek bir “veri ihlali” riskidir. Ayrıca otopark girişlerine veya ödeme noktalarına asılacak bir QR kod veya tabela ile aydınlatma yükümlülüğünün yerine getirilmesi, bu tür yüksek cezaların önüne geçecek en basit ve etkili idari tedbirdir.

---

Sıkça Sorulan Sorular

1. Arabamın otoparkta fotoğrafının çekilmesi suç mu?

Hayır, kişisel verilerin korunması hukuku açısından; işletmeci alacağını ispatlamak ve hangi aracın ne kadar süre kaldığını belgelemek amacıyla fotoğraf çekebilir. Ancak bu fotoğraflar sadece bu amaçla (mahremiyete saldırı içermeden) kullanılmalıdır.

2. Plakamı bilen herkes borcumu internetten görebilir mi?

Kurul kararına göre bu durum bir veri ihlalidir. Sorgulama sisteminin, sadece araç sahibinin veya yetkili kişinin ulaşabileceği ek bir güvenlik aşaması (SMS kodu gibi) içermesi zorunludur.

3. “Plaka alenidir” savunması neden geçersizdir?

Plaka, aracın dışarıdan görünen bir bilgisi olsa da, o plaka üzerinden kişinin borç bilgisine, kimlik bilgilerine veya konum geçmişine ulaşılması birer veri işleme faaliyetidir ve aydınlatma yapılmasını gerektirir.

4. Otopark işletmecisi TCKN bilgimi nereden buluyor?

İşletmeciler, ödenmeyen borçlar için yasal takip başlatabilmek adına ilgili emniyet birimleri veya Noterler Birliği üzerinden (hukuki yetkileri dahilinde) araç sahibinin bilgilerine ulaşabilirler. Bu işlem “bir hakkın tesisi” kapsamında hukuka uygundur.

5. Çift faktörlü doğrulama (2FA) her sorgulama sitesinde zorunlu mu?

KVKK Kişisel Veri Güvenliği Rehberi uyarınca, kişisel verilere (borç bilgisi, adres vb.) uzaktan erişim sağlanan sistemlerde güvenliğin temini için çift faktörlü doğrulama uygulanması tavsiye edilen ve Kurul tarafından zorunlu tutulan bir tedbirdir.

---

Kaynaklar

• KVKK Kurumu – 2023/924 Sayılı Karar Özeti
• 6698 Sayılı KVKK (Madde 5, 10, 12, 18)
• Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)
• Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ