Araç Kiralama Sektöründe “Kara Liste” Uygulamalarına KVKK Engeli: 2021/1304 Sayılı İlke Kararı
Araç kiralama sektöründe işletmelerin kendi aralarında oluşturduğu ve müşterilerin olumsuz deneyimlerini paylaştığı “kara liste” yazılımları, Kişisel Verileri Koruma Kurulu’nun radarına girdi. 20 Ocak 2022 tarihli Resmî Gazete’de yayımlanan 2021/1304 sayılı ilke kararı, bu dijital fişleme yönteminin sınırlarını ve hukuki yaptırımları net bir şekilde çiziyor.
“Kara Liste” Yazılımları Nasıl Çalışıyor?
Kurul tarafından yapılan incelemeler, araç kiralama yazılımı üreten firmaların, sistemlerine “kara liste” özelliği eklediğini ortaya koymuştur. Bu sistemde süreç şöyle işlemektedir:
- Veri Girişi: Araç kiralama firmaları, araç kullanımı sırasında yaşanan hasar, ödeme sorunu veya diğer olumsuzlukları müşterinin kişisel verileriyle birlikte sisteme işlemektedir.
- Veri Paylaşımı: Bu yazılımlar, bir firmanın girdiği “kara liste” bilgilerini yazılımı kullanan diğer tüm araç kiralama firmalarının erişimine açmaktadır.
- Bilgi Eksikliği: Araç kiralayan gerçek kişilerin, verilerinin bu şekilde bilinmeyen sayıda kullanıcıyla paylaşıldığından haberdar olmadığı tespit edilmiştir.
Hukuki Değerlendirme ve Ortak Veri Sorumluluğu
Araç kiralama firmalarının yasal yükümlülükleri (KABİS bildirimi) veya sözleşme ifası için veri işlemesi mümkündür. Ancak kara liste kayıtlarının diğer firmalara açılması durumunda hukuk değişmektedir:
Kurulun Görüşü: “İşlenen kişisel verilerin aynı yazılımı kullanan diğer araç kiralama firmalarına açılması halinde ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmeme şartı karşılanamaz.”
Bu tür uygulamalarda, veriyi toplayan araç kiralama şirketi ile bu sistem altyapısını sağlayan yazılım şirketi, veriler üzerindeki hakimiyetleri nedeniyle “Ortak Veri Sorumlusu” olarak kabul edilmektedir. Ortak sorumluluk belirlenirken veriyi kimin girdiği, kimin değiştirdiği ve hangi amaçla kullanıldığı gibi kriterler esas alınacaktır.
İlgili Kişilerin Hakları ve Profilleme Riski
Kara liste uygulamaları, kişilerin Kanun’un 11. maddesinde yer alan haklarını kullanmalarını engellemektedir. Kişi hakkında yapılan olumsuz profilleme neticesinde kiralama talebi reddedilmekte, ancak kişi verilerinin kimlerle paylaşıldığını bilemediği için bu duruma itiraz edememektedir. Bu durum KVKK’nın “hukuka ve dürüstlük kurallarına uygun olma” ve “ölçülülük” ilkelerine aykırıdır.
Özgür Eralp Perspektifi: “Dijital Fişleme İnovasyon Değildir”
25 yıllık bilişim hukuku tecrübemizde, sektörlerin verimlilik adına başvurduğu pek çok yöntemin aslında kişisel hakların ihlali üzerine kurulduğunu görüyoruz. “Kara liste” gibi merkezi veri havuzları oluşturmak, bir işletme için risk yönetimi gibi görünse de, hukuki altyapısı kurulmamış bir paylaşım sistemi sizi ağır tazminatlarla karşı karşıya bırakabilir. Teknoloji yatırımcıları ve işletmeciler, SaaS çözümleri seçerken “ortak veri sorumluluğu” riskini mutlaka göz önünde bulundurmalıdır.
Sıkça Sorulan Sorular
1. Bir araç kiralama firmasının kendi içinde “kara liste” tutması yasak mı? İşletme faaliyetleri ile sınırlı kalmak ve denge testi sonucunda meşru menfaatin ağır basması kaydıyla, sadece kendi bünyesinde tutulan kayıtlar somut olaya göre değerlendirilebilir; ancak bunun dışa açılması hukuka aykırıdır.
2. Araç kiralarken verdiğim bilgilerin başka firmalarla paylaşılmasına rıza gösterirsem ne olur? Kişisel veriler rıza ile aktarılabilir; ancak bu rızanın “açık rıza” olması, yani belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanmış olması gerekir. Yine de genel ilkelerdeki “ölçülülük” kuralı her zaman gözetilmelidir.
3. Kara liste uygulamasına devam eden firmalara ne ceza verilir? KVKK’nın 12. maddesindeki güvenlik tedbirlerini almayan ve hukuka aykırı veri işleyen veri sorumluları hakkında Kanun’un 18. maddesi çerçevesinde idari para cezası uygulanır.
4. Yazılım şirketi sadece altyapı sağlıyorsa neden sorumlu tutuluyor? Yazılım şirketleri SaaS modeliyle veri tabanı yönetimini ellerinde tuttukları ve admin yetkileriyle sisteme müdahale edebildikleri için veri üzerinde hakimiyet sahibi kabul edilerek ortak veri sorumlusu sayılmaktadırlar.
5. Hakkımda haksız bir kara liste kaydı olduğunu düşünüyorsam ne yapabilirim? Kanun’un 11. maddesi uyarınca veri sorumlusuna başvurarak verilerinizin analiz edilmesi suretiyle aleyhinize ortaya çıkan sonuca itiraz etme hakkınızı kullanabilirsiniz.
Kaynaklar
- KVKK Kurumu – 2021/1304 Sayılı İlke Kararı
- Resmî Gazete – 20 Ocak 2022 (Sayı: 31725)
- 6698 Sayılı Kişisel Verilerin Korunması Kanunu
- 1774 Sayılı Kimlik Bildirme Kanunu
- mevzuat.gov.tr
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),