Kurul’un kişisel verilerin veri sorumlusu araç kiralama programları yazılımcısı ve satıcısı firmalar tarafından işlenmesi ve bu verilerin araç kiralama firmaları arasında paylaşılmasını sağlayan bir kara liste programı oluşturulması hakkında Kişisel Verileri Koruma Kurulunun 23.12.2021 tarihli ve 2021/1303 sayılı kararı
Karara konu olan ihbarda özetle;
- Araba kiralama şirketlerinin müşterileri hakkında elde ettikleri tüm verileri bu yazılımlar vasıtasıyla kayıt altında tuttuğu,
- Aynı yazılımları kullanan diğer şirketlerin de ilgili müşterilerin rızası olmaksızın kişisel verilerini uygulamadaki kara liste havuzundan görebildiği ve böylece bu yazılımı kullanan diğer kullanıcılara verilerin ifşa edildiği,
hususlarından bahsedilmiştir. Bu sebepler doğrultusunda Kurul tarafından gereğinin yapılması talep edilmiştir. Gerekli incelemelerin yapılabilmesi adına araç kiralama yazılımı üreticisi şirketlerden bilgi talebinde bulunulmuştur. Talep üzerine veri sorumlusunun ve diğer şirketlerin Kurul’a ilettiği yazılarda;
- Şirketlerin yazdığı yazılım programlarının araç kiralama firmalarının operasyonlarını yönetebilmesi için hazırlandığı,
- Bu yazılım programlarında araç kiralama sözleşmesi için zorunlu olan bilgiler ile kamu kurum ve kuruluşlarının zorunlu olarak istediği kişisel verilerin kaydedildiği, Emniyet Genel Müdürlüğünün ve Kiralık Araç Bildirim Sisteminin (KABİS) oto kiralama firmalarına belirttiği şekilde saklandığı,
- Kişisel verilerin işlenmesinin amacının; üye araç kiralama firmalarının kendi müşterilerine kolay ulaşmak, onları kampanyalardan haberdar edebilmek, müşteri hakkında sorun arz eden uyarıyı ve yorumları ilgili araç kiralama firmasına iletmek, araç kiralama firmalarını tek çatı altında toplamak, kendi aralarında bilgi akışını sağlamak vb. birçok hususu anlık görebildikleri dijital ortam yaratmak olduğu,
- Hukuki açıdan buradaki amacın; aydınlatma metninde belirtilen müşteri memnuniyeti, zarar riski, araç güvenilirliği sağlamak için müşteri hakkındaki iyi/kötü yorumların diğer program ortaklarıyla paylaşılabilmesi olduğu,
- İmzalanan sözleşmelerde belirtilen uyarı ve müşteri rızası ile araç kiralama firmasının müşterisinin kişisel bilgilerinin üye araç kiralama firması tarafından program veri tabanına kaydedildiği,
- Müşterileri olan araç kiralama firmalarının hukuka aykırı kullanımlarından şirketlerinin sorumlu olmadığı,
- Üyelik sözleşmesinde veri sorumlularının sisteme ekledikleri veriler için muhakkak kişilerin açık rızasının alınması gerektiğinin düzenlendiği,
- Yazılım şirketleri veri sorumlusu olmadığı ve veri girişi yapmadığı, bu nedenle hangi verinin hukuka aykırı olarak eklendiğinin tespitinin mümkün olmadığı, eklenen verileri sadece saklamak ve diğer program üyeleri ile paylaşmakla yükümlü olduğu,
- Verilen kullanıcı adı ve şifrelerin her bir müşteri araç kiralama firmasına ayrı ayrı özgülendiği, bu verilere bir başka araç kiralama firması tarafından erişilmesinin mümkün olmadığı,
- Bu firmaların üçüncü kişilere ait verilere müdahale hakkının bulunmadığı ve araç kiralama firmalarının müşteri havuzlarının kara liste sistemleriyle bağlantılı olmadığı,
hususlarına değinilmiştir.
Konuya ilişkin yürütülen inceleme sonucunda Kurul, kararında; bir araç kiralama firmasının kara listeye alarak kaydettiği bir müşterinin kişisel verilerinin bu yazılım şirketine ait bulutta toplanıyor olması durumunda, söz konusu yazılım şirketlerinin depoladıkları bu verilere doğrudan erişimleri olmadan da onları kendi amaçları doğrultusunda kullanabileceklerinin mümkün olduğuna değinmiştir.
Ticari sırların aynı zamanda müşterilere ilişkin kişisel verileri de içerdiğine değinilerek, araç kiralama firmalarının acentelerinde veya şubelerinde söz konusu listede yer alan ilgili kişiler hakkında yaptığı yorumun görünür kılınmasının bu ticari sırrın kullanımından öteye gitmediği sürece meşru menfaat kıstasına uygun bir işlem olarak kabul edilebileceği ifade edilmiştir. Ancak diğer araç kiralama firmalarınca da görünür kılması ve hatta bu özelliği bir pazarlama stratejisi olarak öne sürmesi hem müşteri sırrının (ticari sır) ifşası hem de kişisel verilerin ifşası anlamına geleceğinden, araç kiralama firmalarının talimatı doğrultusunda yapılan meşru menfaat kıstasına ve hukuka uygun bir veri işleme olarak değerlendirilemeyeceğine karar verilmiştir. Kurul, bu veri aktarım faaliyetinin artık ilgili kişilere ait kişisel verilerin yazılım şirketleri tarafından kullanılması anlamına geldiğini ifade etmiştir.
Görülen uygulamada söz konusu aktarım faaliyetinin araç kiralama firmalarınca direkt kendilerinden diğer firmalara değil öncelikli olarak yazılıma yapıldığı; bu durumun da araç kiralama firmalarınca paylaşıma açılan verilerin, hangi firmalarca görülebileceğinin öngörülememesine sebebiyet vermesinden ötürü başta veri işlemenin temel ilkelerine sonrasında da veri aktarımının genel prensiplerine aykırılık oluşmasına neden olduğu değerlendirilmiştir. Yazılım şirketlerinin bu veriyi bilinmeyen sayıda ve nitelikte kullanıcıya (diğer araç kiralama firmalarına) açması halinde veri sorumlusu haline gelecekleri Kurul tarafından ifade edilmiştir. Bu durum kişisel verilerin işlenmesindeki önemli olan ilkelere (“hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma”) aykırılık teşkil edecektir.
Ek olarak bu durum, verileri işlenen kişinin açık rızası olmadan ya da Kanun’da düzenlenen işleme şartlarından birinin sağlanmadığı halde verileri üçüncü kişilere aktarmak suretiyle hukuka aykırı olarak verilerin işlenmesine sebebiyet vereceği belirtilmiştir. Bütün bunlara dayanarak, ihbar konusu olayda araç kiralama yazılımı üreten ve satan şirketlerin araç kiralama firmaları ile birlikte ortak veri sorumlusu olarak hareket ettiğine, işlenen verilerin uygun şekilde imha edilmesi konusunda veri sorumlularının talimatlandırılmasına karar verilmiştir.
Karara bu linkten ulaşabilirsiniz.