Ulaşım Uygulamalarında “Gizli Puanlama” Skandalı: 110.000 TL Ceza (Karar: 2020/65)

Kişisel Verileri Koruma Kurulu (Kurul), 27/01/2020 tarihli bu kararıyla, mobil uygulamaların kullanıcıları hakkında yaptığı “puanlama” sistemlerini mercek altına almıştır. Karar, şoförlerin yolculara puan vermesinin bir “sözleşme gereği” sayılamayacağını ve bu durumun kullanıcıdan gizlenmesinin ağır bir şeffaflık ihlali olduğunu tescil etmektedir.

---

1. Olayın Özeti: “Şoförler Bana Kaç Puan Verdi?”

Olay: Bir ulaşım uygulaması kullanıcısı, yaptığı yolculukların şoförler tarafından puanlandığını (yolcu puanı) tesadüfen öğrenmiştir. Kendi profilinde bu puanı göremeyen ve aydınlatma metninde bu işleme dair hiçbir bilgi bulamayan kullanıcı, uygulama yönetimine başvurarak bilgi talep etmiştir. Başvurusu cevapsız kalınca konuyu Kurul’a taşımıştır.

Savunma: Veri sorumlusu uygulama, verilerin “sözleşmenin ifası” (hizmetin sunulması) gereği işlendiğini iddia etmiş; ilgili kişinin başvurusuna cevap verilmemesini ise “sehven” (hata sonucu) olarak açıklamıştır.

---

2. Kurulun Hukuki Değerlendirmesi: “Sözleşme İfası Değil, Şeffaflık İhlali”

Kurul, mobil uygulamanın hem veri işleme dayanağını hem de aydınlatma sürecini kusurlu bulmuştur:

A. Puanlama Sözleşme Şartı Değildir (Md. 5/2-c)

Uygulama, yolcuların puanlanmasını “sözleşmenin kurulması veya ifası” kapsamında savunmuştur.

• Karar: Yolculuğun gerçekleşmesi için yolcunun şoför tarafından puanlanması “ana kurucu öğe” değildir. Yani bu işlem olmadan da ulaşım hizmeti verilebilir. Dolayısıyla bu faaliyet “sözleşmenin ifası” istisnasına girmez ve hukuka aykırı bir veri işleme faaliyetidir.

B. Aydınlatma Yükümlülüğünün İhlali (Md. 10)

Kurul, uygulamanın aydınlatma metnini ve kullanım koşullarını incelemiştir:

• Eksik Bilgi: Metinlerde “sürücünün yolcuya ulaşması”, “destek sağlanması” gibi amaçlar sayılmış; ancak yolcuların şoförler tarafından puanlanacağına ve bu puanın şoförler tarafından görülebileceğine dair tek bir ibareye dahi yer verilmemiştir.
• Dürüstlük Kuralı: Kullanıcıdan gizli şekilde profil oluşturulması ve puanlama yapılması, “Hukuka ve Dürüstlük Kurallarına Uygun Olma” ilkesine aykırıdır.

C. Başvuru Süreci İhmali

İlgili kişinin bilgi edinme talebinin yasal süre olan 30 gün içinde cevaplanmaması, Kanun’un 13. maddesine aykırılık teşkil etmektedir.

---

3. Karar Sonucu: Toplam 110.000 TL Ceza

Kurul inceleme neticesinde şu yaptırımları uygulamıştır:

1. Hukuka Aykırı Veri İşleme (Md. 12/1): Puanlama faaliyetinin bir işleme şartına dayanmaması nedeniyle 100.000 TL,
2. Aydınlatma Yükümlülüğü (Md. 10): Kullanıcının puanlama hakkında bilgilendirilmemesi nedeniyle 10.000 TL,olmak üzere toplam 110.000 TL (2020 yılı değeri) idari para cezası uygulanmasına karar vermiştir.

Ayrıca uygulamaya, puanlamaya devam edebilmesi için hukuki bir dayanak belirlemesi ve aydınlatma metnini güncellemesi talep edilmiştir.

---

4. Özgür Eralp Perspektifi: “Profilleme Gizli Yapılamaz”

Bilişim hukuku alanındaki tecrübemizde, platformların “verimlilik” veya “güvenlik” adı altında kullanıcıları hakkında gizli veri setleri (skorlar, puanlar, risk analizleri) oluşturduğunu sıkça görüyoruz. Ancak bu karar gösteriyor ki; bir kullanıcıyı “puanlıyorsanız”, bu puanı kimlerin görebildiğini ve ne amaçla kullanıldığını kullanıcıya söylemek zorundasınız.

Bir yatırımcı avukat vizyonuyla uyarım şudur: Mobil uygulama geliştiricileri, şoförün yolcuyu, yolcunun şoförü puanladığı “çift taraflı feedback” mekanizmalarını KVKK uyum dosyasında mutlaka belirtmelidir. Gizli puanlama yapmak, sadece idari para cezası değil, aynı zamanda kullanıcı nezdinde ciddi bir güven kaybı ve “fişleme” algısı yaratır. Eğer bu puanlama sistemini kullanacaksanız, ya açık rıza almalı ya da meşru menfaatinizi ispatlayarak kullanıcıyı en başta aydınlatmalısınız.

---

Sıkça Sorulan Sorular

1. Kullandığım uygulamalarda şoförlerin bana puan verdiğini nasıl anlarım?

Uygulamanın ayarlar veya profil bölümünde “Yolcu Puanım” gibi bir alan yoksa ve aydınlatma metninde bu konudan bahsedilmiyorsa, gizli puanlama yapılıyor olabilir.

2. Şirket neden 100 bin TL gibi yüksek bir ceza aldı?

Çünkü puanlama bir kez yapılan bir hata değil, uygulamanın mimarisine yerleştirilmiş sürekli bir veri işleme faaliyetidir. Kurul, binlerce kişiyi etkileyen bu sistematik ihlale karşı caydırıcı bir ceza vermiştir.

3. “Sözleşmenin ifası” her şeyi yapma yetkisi verir mi?

Hayır. Sadece o hizmetin verilmesi için zorunlu olan veriler (Örn: Konum bilgisi) bu kapsama girer. Yolcuya puan vermek, ulaşım hizmetinin zorunlu bir parçası değildir.

4. Başvuruma 30 gün içinde cevap gelmezse ne yapmalıyım?

Şikayet hakkınız doğar. Veri sorumlusuna yaptığınız başvurunun tarihini belgeleyerek (e-posta ekran görüntüsü vb.) doğrudan KVKK Kurumu’na şikayette bulunabilirsiniz.

5. 110.000 TL ceza 2026’da ne kadar olur?

Yeniden değerleme oranları ile 2020’deki bu tutar, günümüzde (2026) milyon TL sınırlarını zorlayan bir maliyete karşılık gelmektedir.

---

Kaynaklar

• KVKK Kurumu – 2020/65 Sayılı Karar Özeti
• 6698 Sayılı KVKK (Madde 4, 5, 10, 12 ve 18)
• Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ