Otopark Borç Sorgulama ve İspat Fotoğrafları: 2023/924 Sayılı Karar Analizi
Kişisel Verileri Koruma Kurulu (Kurul), 01/06/2023 tarihli ve 2023/924 sayılı kararı ile otopark işletmecilerinin alacaklarını tahsil etmek amacıyla yürüttükleri veri işleme süreçlerini ve borç sorgulama ekranlarının güvenliğini mercek altına almıştır. Karar, “hak arama özgürlüğü” ile “kişisel verilerin korunması” arasındaki dengeyi belirlerken, internet sitelerindeki güvenlik zafiyetlerine karşı önemli bir standart getirmiştir.
Olayın Özeti: İcra Takibi ve Herkese Açık Borç Sorgulama
İlgili kişi (araç sahibi); otopark işletmecisinin kendisine icra takibi başlattığını, bu süreçte ruhsat bilgilerinin ele geçirildiğini, aracının fotoğraflarının çekildiğini ve internet sitesinde sadece plaka yazılarak borç bilgilerinin herkesçe görülebildiğini belirterek şikayetçi olmuştur.
Kurulun Hukuki Değerlendirmesi
Kurul, şikayete konu üç farklı veri işleme faaliyetini ayrı ayrı incelemiştir:
1. Kimlik Bilgilerine Ulaşılması ve Fotoğraf Çekilmesi (Hukuka Uygun)
- İşleme Şartı: Veri sorumlusunun, otopark ücretini ödemeyen kişiye karşı yasal takip başlatabilmek için plakadan kimlik bilgilerine ulaşması ve aracın otoparkta kaldığını ispatlamak amacıyla fotoğraflarını çekip mahkemeye sunması; KVKK Md. 5/2-e kapsamında “Bir hakkın tesisi, kullanılması veya korunması” için zorunlu görülmüş ve hukuka uygun bulunmuştur.
2. Sadece Plaka ile Borç Sorgulama Sistemi (Hukuka Aykırı)
Kurul, internet sitesindeki sistemi bir “veri güvenliği zafiyeti” olarak nitelendirmiştir:
- Tek Kademeli Doğrulama Yetersizdir: Sadece plaka ve bir güvenlik kodu (captcha) ile borç tutarına ulaşılması, araç sahibinin mali durumunun (borç yükünün) üçüncü kişilerce kolayca öğrenilmesine yol açar.
- Çift Faktörlü Doğrulama Zorunluluğu: Borç sorgulama gibi mali veri içeren ekranlarda iki kademeli doğrulama (örneğin; plaka + SMS kodu veya plaka + TCKN/Üyelik) kontrolünün uygulanması gerektiği vurgulanmıştır.
3. Aydınlatma Yükümlülüğünün İhmali
Veri sorumlusu “plaka zaten alenidir” savunması yapsa da Kurul bunu reddetmiştir. Verinin alenileşmiş olması veya diğer işleme şartlarına dayanılması, Aydınlatma Yükümlülüğünü (Md. 10) ortadan kaldırmaz.
Karar Sonucu: Para Cezası ve Sistem Revizyonu
Kurul inceleme neticesinde;
- Aydınlatma yükümlülüğünü yerine getirmeyen otopark işletmecisine 75.000 TL idari para cezası uygulamıştır.
- İnternet sitesindeki borç sorgulama sisteminin çift faktörlü doğrulamaya geçirilmesi, bu yapılamıyorsa sorgulama hizmetinin durdurulması talimatını vermiştir.
- Kullanıcılar için mevzuata uygun bir Aydınlatma Metni hazırlanmasını istemiştir.
Özgür Eralp Perspektifi: “Hukuki Alacak, Veri Güvenliğini Askıya Almaz”
Bilişim hukuku alanındaki 25 yıllık tecrübemizde, kurumların “alacağımı ispatlamalıyım” motivasyonuyla veri güvenliği standartlarını ihmal ettiğini görüyoruz. Kurul bu kararla; “Mahkemede delil sunabilirsin ancak bu borç bilgisini internette korumasızca açamazsın” demiştir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Sadece plaka ile borç sorgulanan her ekran, bugün 75.000 TL olan yarın milyonlara varabilecek bir yaptırım riskidir. İşletmeler, dijital sorgulama ekranlarına acilen ikinci bir doğrulama faktörü eklemelidir. Ayrıca, otopark alanlarında görülebilir yerlere asılacak bir tabela veya QR kod ile aydınlatma yapılması, bu tür yüksek cezaların önüne geçecek en pratik önlemdir.
Sıkça Sorulan Sorular
1. Otopark borcumun internetten başkaları tarafından görülmesi ihlal midir?
Evet. Kurul’un bu kararına göre, sadece plaka ile ek bir doğrulama olmaksızın borç bilgilerine ulaşılması bir veri güvenliği ihlalidir.
2. Arabamın otoparkta fotoğrafının çekilmesi yasak değil mi?
Hayır. İşletmeci, alacağını ispatlamak (hangi aracın, hangi tarihte ve ne kadar süre kaldığını belgelemek) amacıyla fotoğraf çekebilir. Bu işlem “bir hakkın tesisi” kapsamında hukuka uygundur.
3. “Plaka alenidir” savunması neden kabul edilmedi?
Plaka dışarıdan görünse de, o plaka üzerinden kişinin borç bilgisine veya kimlik verisine ulaşılması bir veri işleme faaliyetidir. Veri sorumlusu, bu işlemin amacı ve hukuki sebebi hakkında kişiyi bilgilendirmek (aydınlatmak) zorundadır.
4. Çift faktörlü doğrulama (2FA) neden zorunlu tutuldu?
Kişisel Veri Güvenliği Rehberi uyarınca, kişisel verilere uzaktan erişilen sistemlerde güvenliğin sağlanması için SMS kodu veya şifre gibi ikincil bir doğrulama yöntemi kullanılması elzemdir.
5. Otopark işletmecisi TCKN bilgilerimi nereden bulabilir?
İşletmeciler, ödenmeyen borçlar için yasal takip başlatabilmek adına ilgili emniyet birimleri veya Noterler Birliği üzerinden (hukuki yetkileri dahilinde) araç sahibinin bilgilerine ulaşabilirler.
Kaynaklar
- KVKK Kurumu – 2023/924 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 5, 10, 12, 18)
- Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)
- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),