KİRALIK ARAÇ BİLDİRİM SİSTEMİ (KABİS) VE ARAÇ KİRALAMA ŞİRKETLERİNİN YÜKÜMLÜLÜKLERİNİN KAPSAMI
28 Mart 2025
A. KİRALIK ARAÇ BİLDİRİM SİSTEMİ (KABİS)
Kiralık araç bildirim sistemi, araç kiralama hizmeti sağlayan şirketlerin, firmaların kiralanan aracın bilgileri (plaka-ruhsat) ve aracı kiralayan kişilerin kimlik bilgilerinin Emniyet Genel Müdürlüğü Kiralık Araç Bildirim Sistemi’ne bildirilmesi ile günümüzde gittikçe artan araç kiralama uygulamasında yaşanan birtakım sıkıntıları giderme amacıyla getirilen, kiralık aracın ve sürücüsünün takibini, tespitini kolaylaştıran ve genel güvenliği sağlamaya yardımcı olan bir sistemdir.
B. KABİS SİSTEMİNE BİLDİRİM YÜKÜMLÜLÜĞÜ
1774 sayılı Kimlik Bildirme Kanunu m.1’de “Bu Kanunda sayılan, özel veya resmi, her türlü konaklama, dinlenme bakım ve tedavi tesisleri ve işyerleri ile konutlarda geçici veya sürekli olarak kalanlar, oturanlar, çalışanlar ve ayrılanlar ile araç kiralayan gerçek ve tüzel kişilerin kimliklerinin tespiti ve bildirilmesi bu Kanunun hükümlerine göre yapılır.” denilmektedir. Bu çerçevede firmalar araçlarını kiraladıktan sonra gerekli bilgileri sisteme bildirmeleri gerekmektedir. Araç kiralaması yapan şirket veya firmalar bildirimi Emniyet Genel Müdürlüğü internet sitesi üzerinden yapabilmektedir.
Araç kiralama şirketlerinin bildirim yükümlülüğüne aykırılık teşkil eden faaliyetlerinin tespiti halinde 1774 sayılı Kimlik Bildirme Kanunu ile Kimlik Bildirme Kanununun Uygulanması ile İlgili Yönetmelik çerçevesinde para cezası ve işletme ruhsatlarının iptaline ilişkin yaptırımlar düzenlenmiştir.
Yasal işlemlere karşı araç kiralama firmalarının itiraz ve dava açma hakları bulunmakta olup, aleyhe işlemlere karşı yasal haklarını kullanabilecektir.
C. KİRALANAN ARAÇ İLE YAŞANAN TRAFİK İHLALLERİ
Günümüzde araç kiralama uygulamasının artmasıyla kiralanan araç ile yaşanan trafik ihlallerinin sorumluluğu kapsamında da birtakım sorunlar ortaya çıkmıştır. Düzenlenen kanun maddeleri ve 2015 yılından beri uygulanan Kabis sistemi düzenlemesiyle bu sorunların önüne geçilmeye çalışılmaktadır.
Kural olarak trafik idari para cezalarından sorumluluk ihlali gerçekleştiren kişiye aittir. Trafik ihlali gerçekleştiren ancak sürücüsü tespit edilemeyen araçlar için tescil plakalarına göre araç sahibinin verilecek cezadan sorumlu olacağı düzenlenmesi mevcuttur. Trafik İdari Para Cezası Karar Tutanaklarının Düzenlenmesinde, Tahsilinde ve Takibinde Uygulanacak Usul Ve Esaslar Hakkında Yönetmeliği 9’uncu maddesinde de görüleceği üzere araç kiralama firmaları, şirketleri, gerekli bildirimleri yapmaması ya da ihlali yapan kişilerin tespit edilememesi durumunda idari para cezasıyla karşı karşıya kalabilmektedirler. Ancak bünyesinde bulunan aracın kiraya verilmesi durumunda oluşabilecek muhtemelen trafik ihlalleri nedeniyle idari para cezalarından, KABİS sistemine bildirimini yaptığı kiracının sorumluluğu doğacaktır. Yaşanan ihlalden araç kiralama firmalarının sorumluluktan kurtulması için ihlalin gerçekleştiği tarihte aracın kiralık olduğu, Kabis sistemine bildirildiği yeterli olacaktır. Bu noktada yasal düzenlemeler şu şekildedir;
Trafik İdari Para Cezası Karar Tutanaklarının Düzenlenmesinde, Tahsilinde ve Takibinde Uygulanacak Usul Ve Esaslar Hakkında Yönetmeliği “Araçların tescil plakasına veya yükü gönderene tutanak düzenlenmesi” başlıklı m.9:
“(1) (Değişik:RG-25/12/2020-31345) Karayolları Trafik Kanunu gereğince yetkili kılınmış personel tarafından, Karayolları Trafik Kanununun ilgili maddelerinde belirtilen kural ihlallerinde bulunan araçların tescil plakaları üzerinden, araç veri tabanında bulunan bilgisayar kayıtları veya araç tescil dosyasındaki bilgiler esas alınarak sahiplerine cezai işlem uygulanır. Trafik kural ihlalinin yapıldığı aracın ihlal tarihinde kiralandığının, 26/6/1973 tarihli ve 1774 sayılı Kimlik Bildirme Kanununun Ek 3 üncü maddesi kapsamında genel kolluk kuvvetlerinin denetimine hazır bulundurulan veriler üzerinden tespit edilmesi halinde, cezai işlem kiralayana uygulanır.”
1774 sayılı Kimlik Bildirme Kanunu Ek Madde 3 - (Ek: 27/3/2015-6638/19 md.):
“(Değişik fıkra:21/11/2024-7533/16 md.) Araç, gemi/deniz aracı kiralama faaliyeti yürüten gerçek ve tüzel kişilere ait işletmenin sorumlu işletmecileri ve yöneticileri, kiralanan araç bilgileri ile aracı, gemi/deniz aracını kiralayanların kimlik bilgileri ve kira sözleşmesi ile buna ilişkin tüm bilgi, belge ve kayıtları usulüne uygun şekilde bilgisayarda tutmak, genel kolluk kuvvetlerinin her an incelemelerine hazır bulundurmak, bilgisayar terminallerini genel kolluk kuvvetlerinin bilgisayar terminallerine bağlamak ve kiralayan şahıs ile kiralanan araç bilgilerini araç teslimi esnasında genel kolluk kuvvetlerine sistem üzerinden anlık olarak bildirmek ve kiralanan araçlarda GPS cihazı (küresel uydu navigasyon sistemi) bulundurarak, araçlara ait konum bilgisine ilişkin kayıtları üç yıl saklamak zorundadırlar. Ancak araç kiralayanın kamu kurum veya kuruluşu olması hâlinde sadece kamu kurum veya kuruluşuyla yapılan sözleşme ile araç bilgileri sisteme kaydedilir.
(Ek fıkra:21/11/2024-7533/16 md.) Genel kolluk kuvvetleri tarafından tutulan verilerden şahısların devam eden aktif araç kiralamasının olup olmadığı bilgisi araç kiralama faaliyeti yürüten gerçek ve tüzel kişilere ait işletmelerle paylaşılır.
Araç, gemi/deniz aracı kiralama esnasında gerçeğe aykırı kimlik kullananlar ile birinci fıkra kapsamında elde edilen bilgi ve kayıtları, hukuka aykırı olarak kullanan, bir başkasına veren, yayan veya ele geçiren kişi, 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu hükümlerine göre cezalandırılır.[6]
(Değişik fıkra:21/11/2024-7533/16 md.) Birinci fıkrada belirtilen bilgi, belge ve kayıtları bilgisayarda tutmayanlara, bilgisayar terminallerini genel kolluk kuvvetlerinin bilgisayar terminallerine bağlamayanlara, gerçeğe aykırı kayıt tutan veya bilgi verenlere, kiralanan araçlarda GPS cihazı bulundurmayanlara ve araçlara ait konum bilgisine ilişkin kayıtları saklamayanlara doksan dokuz bin sekiz yüz doksan altı Türk Lirası, ilgili bilgi, belge ve kayıtları genel kolluk kuvvetlerinin incelemelerine hazır bulundurmayanlara, kiralayan şahıs ile kiralanan araç bilgilerini araç teslim edilmeden genel kolluk kuvvetlerine sistem üzerinden anlık olarak bildirmeyenlere kırk dokuz bin dokuz yüz otuz sekiz Türk Lirası idari para cezası, mülki idare amirlerince verilir. Bu maddede sayılan fiillerin işlendiği takvim yılı içinde tekrarı halinde en son kesilen para cezasının iki katı uygulanır. Ayrıca sayılan fiillerin işlendiği takvim yılı içinde dördüncü defa işlenmesi halinde işletme ruhsatları iptal edilir. Bu Kanuna göre verilen idari para cezaları tebliğinden itibaren bir ay içinde ödenir. İşlenen bir suçun gizlenmesi amacıyla bilgilerin yok edilmesi halinde işletme ruhsatı iptal edilir. Bu fıkraya göre idari yaptırımların uygulanması ceza soruşturması ve kovuşturması yapılmasına engel değildir.”
Araç kiralama şirketlerinin gerekli bildirimlerin yapılmaması ve madde içerisinde belirtilen hallerin bulunması durumunda idari para cezasıyla karşı karşıya kalacaklardır. 1774 sayılı Kimlik Bildirme Kanunu’nun Ek 3’üncü maddesinde belirtilmiştir. Araç kiralama şirketlerinin gerekli bildirimleri yerine getirmemesi, diğer eksikliklerinin bulunması veya bildirilen kiralık aracın trafik ihlali nedeniyle verilen idari para cezasıyla karşı karşıya kalınması durumunda sulh ceza mahkemesine itiraz için başvurulabilmektedir.
Trafik İdari Para Cezası Karar Tutanaklarının Düzenlenmesinde, Tahsilinde ve Takibinde Uygulanacak Usul ve Esaslar Hakkında Yönetmelik “Başvuru yolu” başlıklı m.16: “(1) Trafik İdari Para Cezası Karar Tutanağına karşı, kararın tebliği tarihinden itibaren en geç 15 (onbeş) gün içinde sulh ceza mahkemesine itiraz için başvurulabilir. Bu süre içinde başvurunun yapılmamış olması halinde idari para cezası kesinleşir.”
Bu noktada yargı kararlarına bakacak olursak;
Yargıtay 7. Ceza Dairesi E: 2021/29205 K: 2021/17749 Sayılı Kararı:
“ÖZET: Emniyet Genel Müdürlüğünün internet sitesi olan egm.gov.tr adresinden alınan ... araç kiralama geçmişini gösterir internet çıktısına göre Kiralık Araç Bildirim Sistemine (KABİS) kaydının girildiğinin anlaşılması karşısında, itirazın kabulü yerine yazılı şekilde reddine karar verilmesinde isabet görülmemiş ve 5271 sayılı Ceza Muhakemesi Kanununun ilgili maddesi uyarınca anılan kararın bozulması lüzumu kanun yararına bozmaya atfen ihbar olunmuş bulunmakla Türk Milleti adına gereği görüşülüp düşünüldü; Yargıtay Cumhuriyet Başsavcılığının kanun yararına bozma istemine dayanan ihbarname içeriğindeki hususlar yerinde görüldüğünden İstanbul Anadolu 7. Sulh Ceza Hakimliği'nin …/…/… tarihli ve 2020/… değişik iş sayılı kararının CMK'nun ilgili maddesi uyarınca bozulmasına karar verilmiştir.
(2709 S. K. m. 123) (2918 S. K. m. 46) (5271 S. K. m. 309)
Dava: 2918 sayılı Karayolları Trafik Kanunu'na aykırılıktan kabahatli ... hakkında İstanbul Emniyet Müdürlüğü Trafik Denetleme Şube Müdürlüğünün 08/09/2020 tarihli ve ... sıra nolu idarî para cezası karar tutanağı ile uygulanan 1.228,00 Türk lirası idarî para cezasına karşı yapılan başvurunun reddine ilişkin İstanbul Anadolu 7. Sulh Ceza Hâkimliğinin 11/12/2020 tarihli ve 2020/6108 değişik iş sayılı kararı aleyhine Yüksek Adalet Bakanlığından verilen 23.08.2021 tarihli kanun yararına bozma istemini içeren dava dosyası Yargıtay Cumhuriyet Başsavcılığının 29.09.2021 tarihli ve KYB. 2021-107241 sayılı ihbarnamesi ile daireye verilmekle okundu.
Mezkür ihbarnamede;
Karar: Her ne kadar ... isimli araç kiralama işletmesini işleten kabahatli hakkında 2918 sayılı Karayolları Trafik Kanunu’nun 46/2-f maddesi gereğince idari para cezası uygulanmış ise de;
Benzer bir olaya ilişkin Yargıtay 19. Ceza Dairesinin 18/09/2017 tarihli ve 2016/15686 esas, 2017/6937 karar sayılı ilâmında, “...Araç kiralama şirketlerinin, 1774 sayılı Kimlik Bildirme Kanunu kapsamında, araç kiralama tarihlerinden belli bir süre önce, belli tarihlerde kullanmak üzere araç kiralayan kişilerin açık kimlik bilgilerini, yasada yer alan bilişim sistemine usulüne uygun biçimde kayıt yapmaları halinde; kiralama tarihleri içinde meydana gelebilecek trafik kural ihlallerini, o tarihte işletmecilerden araç kiralayan kişilerin yaptıkları kabul edilmelidir. Keza, Anayasa'nın "İdarenin bütünlüğü ve kamu tüzel kişiliği" başlıklı 123. maddesi; ".. idare, kuruluş ve görevleriyle bir bütündür ve kanunla düzenlenir." hükmünü amirdir. Dolayısıyla, 1774 sayılı yasa gereği oluşturulan kiralık araç kimlik bildirme sistemini denetlemek ve takip etmekle yükümlü olan idarenin, trafik kural ihlalinin yapıldığı anda aracı süren ve varsa kiralayan kişinin kimliğini tespit etmekle ve bu sistem üzerinde usulüne uygun kaydedilen ve aracı kiralayan kişinin kimlik bilgisi esas alınarak idari para cezası tutanağı düzenlemekle de yükümlü olduğu değerlendirilmektedir. Dolayısıyla, itirazı değerlendiren mahkemece, aracı kiraya veren işletmecinin itiraz gerekçeleri ve elindeki kira sözleşmesi ile internet sistemi çıktısının bir örneği, cezayı düzenleyen idareye gönderilmek suretiyle, itiraz konusu kira sözleşmesi ve tutanağın, sistemde kayıtlı kiralık aracı kullanan kişinin kimlik bilgileri hakkında bir araştırma yapılarak düzenlenip düzenlenmediği sorulmaksızın itirazın reddine karar verilmesinde isabet bulunmadığı...” şeklinde belirtildiği üzere, usulsüz şekilde emniyet şeridi ve banket kullanmak eyleminden araç tescil plakasına istinaden idarî yaptırım kararı düzenlendiği, ancak ... plakalı aracın 09/03/2020-18/12/2020 tarihleri arasında ... isimli şahsa kiralandığı, dolayısıyla kabahat fiilinin işlendiği 08/09/2020 tarihi saat 08:34 sıralarında aracın ... isimli şahısta bulunduğu, muteriz tarafından anılan aracın dosya kapsamında bulunan İçişleri Bakanlığı Emniyet Genel Müdürlüğünün internet sitesi olan egm.gov.tr adresinden alınan ... araç kiralama geçmişini gösterir internet çıktısına göre Kiralık Araç Bildirim Sistemine (KABİS) kaydının girildiğinin anlaşılması karşısında, itirazın kabulü yerine yazılı şekilde reddine karar verilmesinde isabet görülmemiş ve 5271 sayılı Ceza Muhakemesi Kanununun 309. maddesi uyarınca anılan kararın bozulması lüzumu kanun yararına bozmaya atfen ihbar olunmuş bulunmakla Türk Milleti adına gereği görüşülüp düşünüldü;
Sonuç: Yargıtay Cumhuriyet Başsavcılığının kanun yararına bozma istemine dayanan ihbarname içeriğindeki hususlar yerinde görüldüğünden İstanbul Anadolu 7. Sulh Ceza Hakimliği'nin 11/12/2020 tarihli ve 2020/6108 değişik iş sayılı kararının CMK'nun 309/4-d maddesi uyarınca BOZULMASINA, muteriz hakkında uygulanan idari para cezasının kaldırılmasına ve idari para cezası karar tutanağının iptaline, 21.12.2021 tarihinde oybirliğiyle karar verildi.”
Yargıtay 7. Ceza Dairesi E: 2021/29269 K: 2021/17347 Sayılı Kararı:
“ÖZET: İtirazı değerlendiren mahkemece, aracı kiraya veren işletmecinin itiraz gerekçeleri ve elindeki kira sözleşmesi ile internet sistemi çıktısının bir örneği, cezayı düzenleyen idareye gönderilmek suretiyle, itiraz konusu kira sözleşmesi ve tutanağın, sistemde kayıtlı kiralık aracı kullanan kişinin kimlik bilgileri hakkında bir araştırma yapılarak düzenlenip düzenlenmediği sorulmaksızın itirazın reddine karar verilmesinde isabet bulunmadığı...” şeklinde belirtildiği üzere, motorlu aracın sürücü belgesi olmayan kişi tarafından sürülmesine izin vermekten araç tescil plakasına istinaden idarî yaptırım kararı düzenlendiği, ancak .... plakalı aracın …/…/…. tarih ve saat 16:15 ile …/…/…. tarih ve saat 18:15 arasındaki dönemde A… A… isimli şahsa kiralandığı, kabahat fiilinin işlendiği …/…/…. tarihinde saat 01:48 sıralarında aracın adı geçen kişi de kiralanmış bulunduğu, kaldı ki muterizin anılan aracın Kiralık Araç Bildirim Sistemine (KABİS) kaydının girildiğini belirtmesi karşısında, itirazın kabulü yerine yazılı şekilde reddine karar verilmesinde isabet görülmemiş ve 5271 sayılı Ceza Muhakemesi Kanununun ilgili maddesi uyarınca anılan kararın bozulması lüzumu kanun yararına bozmaya atfen ihbar olunmuş bulunmakla Türk Milleti adına gereği görüşülüp düşünüldü; Yargıtay Cumhuriyet Başsavcılığının kanun yararına bozma istemine dayanan ihbarnamesinin bozulmasına karar verilmiştir.
(2709 S. K. m. 123) (2918 S. K. m. 36) (5271 S. K. m. 309)
Dava ve Karar: 2918 sayılı Karayolları Trafik Kanunu'nun 36/3-b maddesine aykırılık eyleminden dolayı kabahatli ... hakkında ... Trafik Denetleme Şube Müdürlüğü C Bölgesi Trafik Ekipler Amirliğinin 28/07/2018 tarihli ve MA 30222304 sayılı idarî para cezası karar tutanağı ile uygulanan 2.018,00 Türk lirası idarî para cezasına yönelik başvurunun reddine dair ....Sulh Ceza Hâkimliğinin 01/11/2018 tarihli ve 2018/6483 değişik iş sayılı kararı aleyhine Yüksek Adalet Bakanlığından verilen 04.10.2021 tarihli kanun yararına bozma istemini içeren dava dosyası Yargıtay Cumhuriyet Başsavcılığının 21.10.2021 tarihli ve KYB. 2021-123752 sayılı ihbarnamesi ile daireye verilmekle okundu.
Mezkur ihbarnamede;
1- Dosya kapsamına göre, ... plakalı aracın 26/07/2018 - 08/08/2018 tarihleri arasında .... isimli şahsa kiralandığı, aracı kiralayan şahsın sürücü belgesi suretinin dosyada mevcut olduğu, ... Valiliği İl Emniyet Müdürlüğü'nün 13/09/2018 tarihli cevabî yazısında 28/07/2018 tarihinde ...plakalı aracın ... tarafından sürücü belgesiz olarak kullanılması nedeni ile muteriz hakkında da idari para cezası uygulandığının ve muterizin başvuru dilekçesinde aracın kabahat tarihinde kiraya verildiğini yapılan kiralama işlemine ilişkin kayıtların KABİS sisteminde mevcut bulunduğunu belirttiğinin anlaşılması karşısında, muterize ait ... plakalı aracın Kiralık Araç Bildirim Sistemi kapsamındaki kayıtları getirtilip deliller bir bütün halinde değerlendirildikten sonra muterizin hukuki durumunun tayin ve takdiri yerine eksik inceleme ile karar verilmesinde,
2- Kabule göre de, benzer bir olaya ilişkin Yargıtay ...Ceza Dairesinin 18/09/2017 tarihli ve 2016/15686 esas, 2017/6937 karar sayılı ilâmında, “...Araç kiralama şirketlerinin, 1774 sayılı Kimlik Bildirme Kanunu kapsamında, araç kiralama tarihlerinden belli bir süre önce, belli tarihlerde kullanmak üzere araç kiralayan kişilerin açık kimlik bilgilerini, yasada yer alan bilişim sistemine usulüne uygun biçimde kayıt yapmaları halinde; kiralama tarihleri içinde meydana gelebilecek trafik kural ihlallerini, o tarihte işletmecilerden araç kiralayan kişilerin yaptıkları kabul edilmelidir. Keza, Anayasa'nın "İdarenin bütünlüğü ve kamu tüzel kişiliği" başlıklı 123. maddesi; ".. idare, kuruluş ve görevleriyle bir bütündür ve kanunla düzenlenir." hükmünü amirdir. Dolayısıyla, 1774 sayılı yasa gereği oluşturulan kiralık araç kimlik bildirme sistemini denetlemek ve takip etmekle yükümlü olan idarenin, trafik kural ihlalinin yapıldığı anda aracı süren ve varsa kiralayan kişinin kimliğini tespit etmekle ve bu sistem üzerinde usulüne uygun kaydedilen ve aracı kiralayan kişinin kimlik bilgisi esas alınarak idari para cezası tutanağı düzenlemekle de yükümlü olduğu değerlendirilmektedir. Dolayısıyla, itirazı değerlendiren mahkemece, aracı kiraya veren işletmecinin itiraz gerekçeleri ve elindeki kira sözleşmesi ile internet sistemi çıktısının bir örneği, cezayı düzenleyen idareye gönderilmek suretiyle, itiraz konusu kira sözleşmesi ve tutanağın, sistemde kayıtlı kiralık aracı kullanan kişinin kimlik bilgileri hakkında bir araştırma yapılarak düzenlenip düzenlenmediği sorulmaksızın itirazın reddine karar verilmesinde isabet bulunmadığı...” şeklinde belirtildiği üzere, motorlu aracın sürücü belgesi olmayan kişi tarafından sürülmesine izin vermekten araç tescil plakasına istinaden idarî yaptırım kararı düzenlendiği, ancak .... plakalı aracın 26/07/2018 tarih ve saat 16:15 ile 08/08/2018 tarih ve saat 18:15 arasındaki dönemde A… A… isimli şahsa kiralandığı, kabahat fiilinin işlendiği 28/07/2018 tarihinde saat 01:48 sıralarında aracın adı geçen kişi de kiralanmış bulunduğu, kaldı ki muterizin anılan aracın Kiralık Araç Bildirim Sistemine (KABİS) kaydının girildiğini belirtmesi karşısında, itirazın kabulü yerine yazılı şekilde reddine karar verilmesinde isabet görülmemiş ve 5271 sayılı Ceza Muhakemesi Kanununun 309. maddesi uyarınca anılan kararın bozulması lüzumu kanun yararına bozmaya atfen ihbar olunmuş bulunmakla Türk Milleti adına gereği görüşülüp düşünüldü;
Sonuç: Yargıtay Cumhuriyet Başsavcılığının kanun yararına bozma istemine dayanan ihbarnamesinin (2) numaralı maddesi içeriğindeki hususlar yerinde görüldüğünden, ...Sulh Ceza Hakimliğinin 01.11.2018 tarih, 2018/6483 D.İş sayılı kararının 5271 sayılı CMK'nun 309/4-d maddesi uyarınca BOZULMASINA, kabahatli hakkında uygulanan idari para cezasının kaldırılmasına, bozma sebebine göre kanun yararına bozma ihbarnamesinin (1) numaralı maddesi hakkında karar verilmesine yer olmadığına, 15.12.2021 tarihinde oybirliğiyle karar verildi.”
C. ARAÇ KİRALAMA FİRMALARINA AİT ARAÇLARA GPS TAKTIRMA ZORUNLULUĞU
1774 sayılı Kimlik Bildirme Kanunu Ek Madde 3 kapsamında ise araç kiralama firmalarına ait araçlar GPS taktırma zorunluluğu da getirilmiştir. Bu noktada yasal düzenlemenin içeriği şu şekildedir:
“(Değişik fıkra:21/11/2024-7533/16 md.) Araç, gemi/deniz aracı kiralama faaliyeti yürüten gerçek ve tüzel kişilere ait işletmenin sorumlu işletmecileri ve yöneticileri, kiralanan araç bilgileri ile aracı, gemi/deniz aracını kiralayanların kimlik bilgileri ve kira sözleşmesi ile buna ilişkin tüm bilgi, belge ve kayıtları usulüne uygun şekilde bilgisayarda tutmak, genel kolluk kuvvetlerinin her an incelemelerine hazır bulundurmak, bilgisayar terminallerini genel kolluk kuvvetlerinin bilgisayar terminallerine bağlamak ve kiralayan şahıs ile kiralanan araç bilgilerini araç teslimi esnasında genel kolluk kuvvetlerine sistem üzerinden anlık olarak bildirmek ve kiralanan araçlarda GPS cihazı (küresel uydu navigasyon sistemi) bulundurarak, araçlara ait konum bilgisine ilişkin kayıtları üç yıl saklamak zorundadırlar. Ancak araç kiralayanın kamu kurum veya kuruluşu olması hâlinde sadece kamu kurum veya kuruluşuyla yapılan sözleşme ile araç bilgileri sisteme kaydedilir.”
D. KİŞİSEL VERİLERİNİN KORUNMASI KANUNU KAPSAMINDA ARAÇ KİRALAMA ŞİRKETLERİNİN VERİ SORUMLUSU OLARAK SORUMLULUĞU
İlgili GPS firmalarının ve araç kiralama şirketlerinin veri sorumlusu olarak kişisel verilerinin korunması kapsamındaki yasal mevzuat çerçevesinde birtakım yükümlülüklerinin bulunduğunu da belirtmek gerekir. Bu yükümlülüklerin çerçevesi Kişisel Verileri Koruma Kurulu kararları ile çizilmektedir.
Bu noktada Kişisel Verileri Koruma Kurulu kararlarına bakacak olursak;
“İlgili kişinin araç kiralama hizmeti alması esnasında kişisel verilerinin işlenmesine dair açık rıza vermemesi üzerine kiralama hizmetinden yararlandırılmaması”na ilişkin Kişisel Verileri Koruma Kurulu’nun 05/05/2020 tarihli ve 2020/335 sayılı karar:
“İlgili kişiden alınan 25/05/2018 tarihli şikâyet dilekçesinde özetle; veri sorumlusu araç kiralama şirketinin hizmet noktasında, yetkilisi olduğu şirket adına kısa süreli araç kiralamak istediği, araç kiralama sözleşmesi ve ilgili belgelerin yetkili tarafından imzalanmasının talep edildiği, imzalanması talep edilen evrakları incelendiğinde önceki kiralamalardan farklı olarak kişisel verilerinin işlenmesine dair açık rıza verdiğine ilişkin evrakın da içinde bulunduğunu tespit ettiği, bunun üzerine kişisel verilerinin işlenmesine rıza göstermek istemediğini, bu nedenle de ilgili evrakı imzalamayacağını çalışana beyan etmesi üzerine araç kiralama işleminin gerçekleştirilmediği, konuyla ilgili olarak veri sorumlusuna yetkilisi olduğu şirket tarafından 23/03/2018 tarihinde başvuruda bulunduğu, veri sorumlusu tarafından 29/03/2018 tarihinde cevap verildiği ancak taleplerine yönelik hiçbir cevap veya çözüm önerisi yer almadığı gerekçesiyle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Bununla birlikte, veri sorumlusuna yapılan başvuruların ilgili kişinin yetkilisi olduğu Şirket veya Şirket çalışanları tarafından yapıldığı, veri sorumlusunun da Şirketi muhatap alarak cevap verdiği görüldüğünden Kanunun ilgili maddeleri hakkında bilgi verilerek Kanun kapsamında mağduriyet yaşamış olan Şirket yetkilisinin Kanunda belirtilen usul çerçevesinde öncelikle kendi adına veri sorumlusuna başvuruda bulunması sonrasında ise ilgili kişinin başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde ise; Kişisel Verileri Koruma Kuruluna (Kurul) şikâyette bulunulması durumunda konunun incelemeye alınabileceği hususunda bilgi verilmiştir.
Bu minvalde ilgili kişi tarafından Kuruma iletilen 26/09/2018 tarihli şikayette, Kurumumuz yazısının ardından veri sorumlusuna ilgili kişi adına 03/08/2018 tarihinde başvuruda bulunulduğu ancak 30 günlük yasal süre içinde herhangi bir cevap verilmediği ifade edilerek daha önce Kuruma intikal eden 25/05/2018 tarihli şikayete konu aynı hususlara yer verilmiştir.
Söz konusu iddialara ilişkin olarak veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;
Şirketin araç kiralama sektöründe öncü konumda olmakla birlikte tekel niteliğinde olmadığı, müşterilerin serbest piyasa kapsamında dilediği başka araç kiralama şirketinden kiralama yapma olanağının bulunduğu,
İlgili kişinin veri sorumlusuna 23/03/2018 tarihinde yazılı başvuruda bulunduğu, tarafına derhal yazılı cevap verildiği, şikayete konu edilen 03/08/2018 tarihli yazının içeriği ile ilgili kişinin 23/03/2018 tarihinde gönderdiği ve veri sorumlusu tarafından cevaplanan yazının içeriğinin birebir aynı olduğu, bu nedenle ilgili kişinin tekraren aynı talepleri iletmesinin masraf açısından taraflarınca uygun olmadığının değerlendirilerek cevap verilmediği,
Araç kiralama sektörünün giderek büyümesi ve kiralık araç sayılarındaki artış ile birlikte özellikle uyuşturucuya ilişkin suçlar, gasp, hırsızlık ve terörle ilintili suçlarda kiralık araçların kullanımının yaygınlaşması üzerine kanun koyucunun yasal düzenlemeye giderek kiralanan tüm araçların Kiralık Araç Bildirim Sistemine (KABİS) girişini zorunlu hale getirdiği,
6638 sayılı Kanun ile değişik 1774 sayılı Kimlik Bildirme Kanununun ilgili hükümlerinin 04/04/2015 tarihinde yürürlüğe girdiği,
1174 sayılı Kimlik Bildirme Kanunu Ek Madde 3’te “Araç kiralama şirketlerinin sorumlu işleticileri ve yöneticileri, kiralanan araç bilgileri ile aracı kiralayanların kimlik bilgileri ve kira sözleşmesi kayıtlarını usulüne uygun şekilde günü gününe tutmak ve bu kapsamda mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerinin her an incelemelerine hazır bulundurmak zorundadırlar. Ancak araç kiralayanın kamu kurum veya kuruluşu olması hâlinde sadece kamu kurum veya kuruluşuyla yapılan sözleşme ile araç bilgileri sisteme kaydedilir. Araç kiralama esnasında gerçeğe aykırı kimlik kullananlar ile birinci fıkra kapsamında elde edilen bilgi ve kayıtları, hukuka aykırı olarak kullanan, bir başkasına veren, yayan veya ele geçiren kişi, 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu hükümlerine göre cezalandırılır. Birinci fıkrada belirtilen yükümlülüklere aykırı hareket edenlere beş bin Türk Lirası, gerçeğe aykırı kayıt tutan veya bilgi verenlere on bin Türk Lirası idari para cezası, mülki idare amirlerince verilir. Bu Kanuna göre verilen idari para cezaları tebliğinden itibaren 1 ay içinde ödenir. İşlenen bir suçun gizlenmesi amacıyla bilgilerin yok edilmesi hâlinde işletme ruhsatı iptal edilir. Bu fıkraya göre idari yaptırımların uygulanması ceza soruşturması ve kovuşturması yapılmasına engel değildir.” şeklinde düzenleme yapıldığı,
Bu düzenlemeye aykırı hareket eden, araç kiralamalarını sisteme girmeyen, istendiğinde bilgileri paylaşmayanlar hakkında cezai yaptırımlar öngörüldüğü, buna göre bu bilgilerin araç kiralama şirketi olarak alınmasının zorunlu olduğu, bu bilgilerin bilişim sisteminde arşivlenmesi maksadıyla yüklüce masraf ve gider yapıldığı, ayrıca bunlara veri paylaşım izni verilmediği takdirde fiilen araç kiralaması yapılmasının mümkün olmayacağı,
Şirketin müşteriler ile imzaladığı sözleşmelerden kaynaklanan ilişkilerden doğan kanuni zorunlulukları uyarınca bu evrakları saklama ve yargı makamlarınca celbi talep edildiğinde ibraz etme yükümlülüğünün bulunduğu,
Şirketin bu şekilde kanuni zorunlulukları bulunması nedeniyle şirketin veri işleyen sıfatını haiz olduğu kiralama hizmetine ilişkin kişisel verileri temin etmesi ve saklaması gerektiği,
Bu nedenle 6698 sayılı Kanununa aykırı olarak hareket etmemek saikiyle ilgili kişinin kiralama hizmetinden yararlandırılmadığı,
Taraflarının 6698 sayılı Kanuna uygun hareket ettiği ve bu hususta da ilgili kişinin 29/03/2018 tarihli dilekçesine istinaden bilgilendirildiği, açıklanan tüm bu sebeplerle araç kiralaması yapmak isteyip kanunen zorunlu kişisel verilerinin işlenmesine muvafakat etmeyen ilgili kişi bakımından bu tutumun fiili ve hukuki imkansızlıklar nedeniyle mesnedi bulunmadığı ifade edilmiştir.
Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun 05/05/2020 tarihli ve 2020/335 sayılı Kararı ile,
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) “Başvuru Usulü” başlıklı 5 inci maddesinde, ilgili kişinin Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna ileteceği ve Tebliğin 6 ncı maddesinde de veri sorumlusunun bu Tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğu, veri sorumlusunun başvuruyu kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabımı ilgili kişiye yazılı olarak veya elektronik ortamda bildireceğinin hüküm altına alındığı,
Veri sorumlusunun tarafından Kuruma verilen cevap yazısında şikayete konu edilen 03/08/2018 tarihli yazının içeriği ile ilgili kişinin 23/03/2018 tarihinde gönderdiği dilekçe içeriğinin birebir aynı olduğu, veri sorumlusu tarafından ilk dilekçeye verilen cevabın karşı tarafa iletilmesi konusunda ilgili masrafların taraflarınca karşılandığı, ilgili kişinin tekraren aynı talepleri iletmesinin masraf açısından taraflarınca uygun olmadığı değerlendirildiğinden cevap verilmediğinin ifade edildiği ancak, Tebliğin “Ücret” başlıklı 7 nci maddesinde, ilgili kişinin başvurusuna yazılı olarak cevap verilecekse on sayfaya kadar ücret alınmayacağı, on sayfanın üzerindeki her sayfa için ise 1 Türk Lirası işlem ücreti alınabileceğinin belirtildiği,
Bununla birlikte başvuruların içeriği benzer olsa da 23/03/2018 tarihli başvurunun ilgili kişinin yetkilisi olduğu tüzel kişilik adına, 03/08/2018 tarihli ikinci başvurunun ise ilgili kişinin kendisi adına yapılmış olduğu dikkate alındığında, içerik açısından aynı olsa dahi başvuran kişiler açısından farklı olması sebebiyle iki başvurunun aynı nitelikte olmadığı bu sebeple ayrı bir başvuru olarak veri sorumlusu tarafından cevaplanması gerekirken herhangi bir cevap verilmediğinden veri sorumlusunun Kanun kapsamında kendisine yapılan başvurulara Tebliğe uygun olarak hareket etmediği,
Diğer taraftan Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
Kanunun 5 inci maddesi çerçevesinde kişisel veri işleme şartları mevcut olsa dahi, kişisel verilerin işlenmesinde aynı zamanda, Kanunun 4 üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine de uygun hareket edilmesi gerektiği,
Şikayete konu somut olayla ilgili olarak 1174 sayılı Kimlik Bildirme Kanununun Ek 3 üncü maddesinin “Araç kiralama şirketlerinin sorumlu işleticileri ve yöneticileri, kiralanan araç bilgileri ile aracı kiralayanların kimlik bilgileri ve kira sözleşmesi kayıtlarını usulüne uygun şekilde günü gününe tutmak ve bu kapsamda mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerinin her an incelemelerine hazır bulundurmak zorundadır” hükmünü haiz olduğu, bu anlamda aracı kiralayan kişinin kişisel verilerinin ve kiralanan aracın bilgilerinin veri sorumlusu tarafından Emniyet Genel Müdürlüğü tarafından hazırlanan Kiralık Araç Bildirim Sistemine (KABİS) kaydının zorunlu olduğu, dolayısıyla Kanunun 5 inci maddesinin ikinci fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülmesi” hükmü ve verilen hizmetin ifası amacıyla aynı fıkranın (c) bendinde yer alan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü gereğince kişisel verilerinin işlendiğinin anlaşıldığı,
Ancak ilgili kişinin başvurusunun ekinde yer alan ve veri sorumlusu tarafından imzalatılmak istenen yazının;
“… olarak Kişisel verilerin korunması mevzuatına uygun hareket edebilmemizi teminen size hizmet sağlayabilme ve hizmetlerimizi geliştirebilme doğrultusunda yürüttüğümüz operasyonlarımız kapsamında mevzuatın istisna kıldığı haller haricinde kişisel verilerinizin işlenmesi ve aktarılması hususunda açık rızanızı almamız gerekmektedir.
… Kişisel verilerinizin yasa gereği sözleşmenin ifası için gerektiği ölçüde işlenmesi ve aktarılması halleri haricinde, işbu onayınız ile Şirketimize vereceğiniz kişisel verilerinizin yukarıda belirtilen bilgiler kapsamında işleneceğine, yurtiçi ve yurtdışındaki üçüncü kişilere aktarılacağına rıza göstermektesiniz.” şeklinde olduğu dikkate alındığında; Kanunun 5 inci maddesinin ikinci fıkrasının söz konusu olmadığı diğer hallerde açık rıza alınması yoluna gidilmesi yolunun seçildiği, şikayete konu olayda da açık rıza verilmemesi halinde hizmetten yararlandırılmadığı dolayısıyla hizmetin açık rıza şartına dayandırıldığının anlaşıldığı,
Kanunun 3 üncü maddesinde açık rızanın, “belirli bir konuya ilişkin”, “bilgilendirmeye dayanan” ve “özgür iradeyle açıklanan” rıza şeklinde tanımlandığı, kişinin irade beyanı olan rızanın, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacağından kişinin iradesini sakatlayacak her türlü fiilin, kişisel verilerin işlenmesi için verdiği açık rızayı da sakatlayacağı, bu anlamda açık rızanın özgür irade ile açıklanması gerektiğinden ilgili kişinin açık rızasının alınmasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemesi gerektiği, kişisel verilerin veri sorumlusu tarafından Kanunun 5 inci maddesinin ikinci fıkrası kapsamında işlendiği haller haricinde kişisel verilerin işlenmesi ve yurtdışına aktarımın sağlanması amacıyla açık rıza almasının ayrıca açık rızanın hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatılmasının söz konusu olduğunun görüldüğü bununla birlikte diğer kişisel veri işleme şartlarının varlığı söz konusu iken açık rıza alınmasının, ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına da geldiği değerlendirmelerinden hareketle;
Veri sorumlusuna başvuruların içeriği benzer olsa da 23/03/2018 tarihli başvurunun tüzel kişilik adına, 03/08/2018 tarihli ikinci başvurunun ise ilgili kişi adına yapıldığı dolayısıyla iki başvurunun aynı nitelikte olmadığı değerlendirildiğinden ve ilgili kişi tarafından ayrıca e-posta üzerinden başvurularının da mevcut olduğu göz önüne alındığında veri sorumlusunun Kanun kapsamında kendisine yapılan başvurulara Tebliğe uygun olarak cevap vermesi yönünde talimatlandırılmasına,
Araç kiralama hizmeti alımı esnasında veri sorumlusu tarafından Kanunun 5 maddesinin ikinci fıkrasında yer alan işleme şartları dışındaki haller kapsamında hizmetten faydalanmak isteyen kişilerin kişisel verilerinin işlenmesi amacıyla toptan bir şekilde açık rıza alımı yoluna gidildiği, hizmetin ifası için gerekli olmamasına rağmen kişisel verilerin talep edildiği ve açık rıza verilmemesi durumunda da kişilere hizmet verilmediği dikkate alındığında; hukuka aykırı veri işleme faaliyetinin söz konusu olduğu bu durumun ayrıca Kanunun 4 üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine de aykırılık teşkil etmesi nedeniyle, veri sorumlusunun Kanunun 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.”
“Araç kiralama programları yazılımcısı ve satıcısı firmalar tarafından, ilgili kişilerin verilerinin işlenmesi ve bu verilerin araç kiralama firmaları arasında paylaşılmasını sağlayan bir kara liste programı oluşturulması” hakkında Kişisel Verileri Koruma Kurulu’nun 23/12/2021 tarihli ve 2021/1303 sayılı kararı:
“Kuruma intikal eden ihbarda özetle;
İhbar edilen veri sorumlularının araba kiralama yazılımı üreticileri veya satıcıları olduğu,
Bu yazılımları kullanan araba kiralama şirketlerinin müşterileri hakkında elde ettikleri tüm verileri bu yazılımlar vasıtasıyla kayıt altında tuttuğu, bu kapsamda aynı yazılımları kullanan diğer şirketlerin de, rızaları olmaksızın ilgili müşterilerin kişisel verilerini uygulamadaki kara liste havuzundan görebildiği ve böylece bu yazılımı kullanan diğer kullanıcılara verilerin ifşa edildiği,
Bir araç kiralama firmasının kiraladığı aracına gelecek muhtemel zararlardan korunmak maksatlı bir takım önlemleri almasının ticaret hayatının olağan akışına uygun olduğu ancak müşterilerin rızası alınmaksızın bu yazılım vasıtasıyla kara listeye alındıkları ve böylece bu yazılımı kullanan diğer kullanıcılar ile kişisel verilerinin paylaşıldığıifade edilerek, yukarıda belirtilen hususların6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında incelenmesi ve gereğinin yapılması talep edilmiştir.
Söz konusu ihbara ilişkin olarak Kişisel Verileri Koruma Kurulu tarafından resen inceleme başlatılmasına karar verilmiş olup Kurum tarafından dilekçede belirtilen iddialar ile ilgili olarak gerekli incelemelerin yapılabilmesini teminen tespit edilebilen araç kiralama yazılımı üreticisi şirketleri muhatap bilgi, belge ve savunma talepli yazılar ile yukarıdaki iddialar çerçevesinde kişisel veri işleme faaliyetlerinin detayı ve iddia edildiği üzere bir kara liste uygulamasının mevcut olup olmadığı yönünde bilgi talep edilmiştir. Bu çerçevede araç kiralama yazılımı üreticisi şirketler tarafından Kuruma gönderilen yazılarda genel olarak Şirketlerin yazdığı yazılım programlarının araç kiralama firmalarının operasyonlarını yönetebilmesi için hazırlandığı, bu yazılım programlarında araç kiralama sözleşmesi için zorunlu olan bilgiler ile kamu kurum ve kuruluşlarının zorunlu olarak istediği kimlik ve ehliyet gibi bir takım kişisel verilerin kaydedildiği, araç kiralama firmalarına sundukları işletme faaliyetlerinin; sözleşme kurulduktan sonra bu şirketlere kullanıcı adı ve şifre verilmesi, kullanıma başlanılmasını takiben araç kayıtlarının tutulması, kira sözleşmelerinin, rezervasyonların ve bunlarla ilişkili muhasebe işlemlerinin kaydının tutulması olduğu bilgilerine yer verilmiştir.
Ek olarak bazı yazılım şirketleri tarafından;
Kişisel verilerin işlenmesinin amacının; üye araç kiralama firmalarının kendi müşterilerine kolay ulaşmak, onları kampanyalardan haberdar edebilmek, araç teslimi noktasında bilgilendirme amaçlı SMS gönderebilmek ve sorunlu olan müşteriler (aracı geç teslim eden, kendi kusurlarıyla kaza yapan, kiralama bedelini ödemeyen vb.) program üyesi başka araç kiralama firmalarından araç kiralamak istediğinde müşteri hakkında sorun arz eden uyarıyı ve yorumları ilgili araç kiralama firmasına iletmek olduğu; hukuki açıdan ise kişisel verilerin işlenmesindeki amaçlardan birinin aydınlatma metninde belirtilen müşteri memnuniyeti, firma zarar riski araç güvenirliliği sağlamak için müşteri hakkındaki iyi/kötü yorumların diğer program ortaklarıyla paylaşılabilmesi olduğu,
Bu anlamda programların amacının araç kiralama firmalarını tek çatı altında toplamak, kendi aralarında bilgi akışını sağlamak, sisteme kaydettikleri araçların takibini, trafik ceza durumlarını vb. birçok hususu anlık görebildikleri dijital ortam yaratmak olduğu,
Yazılım programlarının araç kiralama firmaları tarafından satın alınması ile kişisel veri sisteme işlendiğinden kişisel verilerin araç kiralama firmalarının müşterilerinin kendisi tarafından alenileştirildiği,
İmzalanan sözleşmelerde “… araç kiralama sözleşmesi vasıtasıyla ilettiğim ve sair yöntemlerle vermiş olduğum kişisel bilgilerimin tek başına ve/veya başka kişisel verilerle birleştirilerek ticari olarak kullanılmak üzere toplanmasına, işlenmesine, bunu hakkımdaki iyi/köyü yorumlarla birlikte diğer program ortakları ile paylaşılmasına ve aksini yazılı olarak belirtmediğim sürece bu firmaların benimle SMS, internet, mektup, telefon vb. kanallardan temasa geçmelerine aşağıya attığım imza ile açıkça rıza ve muvafakat ederim.” uyarısı ve müşteri rızası ile araç kiralama firmasının müşterisinin kişisel bilgilerinin üye araç kiralama firması tarafından program veri tabanına kaydedildiği,
Müşterileri olan araç kiralama firmalarının hukuka aykırı kullanımlarından şirketlerinin sorumlu olmadığı,
Program üyeleri ile yapılan üyelik sözleşmesinde veri sorumlularının sisteme ekledikleri veriler için muhakkak kişilerin açık rızasının alınması gerektiğinin düzenlendiği; yazılım şirketleri veri sorumlusu olmadığı için hangi verinin hukuka aykırı olarak eklendiğinin tespitinin mümkün olmadığı açıklamalarına yer verilirken; diğer yazılım şirketleri tarafından ise
Verilen kullanıcı adı ve şifrelerin her bir müşteri araç kiralama firmasına ayrı ayrı özgülendiği bu nedenle bir araç kiralama firması tarafından girilen araba kiralayan kişi veya kişilere ait verilere bir başka araç kiralama firması tarafından erişilmesinin mümkün olmadığı,
Aynı zamanda bu firmaların üçüncü kişilere ait verilere müdahale hakkının bulunmadığı ve bunun yanı sıra araç kiralama firmalarının müşteri havuzlarının kara liste sistemleriyle bağlantılı olmadığı,
Ürettikleri yazılım vasıtasıyla araç kiralama firmalarının müşteri bilgilerinin başka bir ortama aktarılmasının, başka firmalarca bu bilgilere ulaşılmasının veya şirketleri tarafından paylaşılmasının ya da ekran görüntüsü alınarak internet ortamlarında paylaşılmasının söz konusu olmadığı,
Müşteri araç kiralama firmaları tarafından sisteme işlenen veriler yönünden bu firmaların, verisini işlediği gerçek veya tüzel kişiden açık rıza alma şartının aranabileceği, fakat yazılımcı olan şirketlerinin sadece araç kiralama firmalarının müşterilerine ait verileri gizli tutma yükümlülüğü nedeniyle gizlilik politikası uyarınca sorumlu olduğu,
Araç kiralama firmalarının uygulama üzerinden kiralama bilgilerini doldurması ile programlar tarafından otomatik hazırlanan sözleşmeyi kendi müşterileriyle imza altına alarak kiralama işlemi gerçekleştirdiği,
Yazılım şirketlerinin veri sorumlusu olmadığı ve veri girişi yapmadığı; veri sorumlularının kendi müşterileri ile sözleşme yapan ve açık rızalarını alan araç kiralama firmaları olduğu; yazılım şirketlerinin ise eklenen verileri sadece saklamak ve diğer program üyeleri ile paylaşmakla yükümlü olduğu,
İlgili kişilerden elde edilen kimlik, adres ve telefon bilgilerinin ise Emniyet Genel Müdürlüğünün ve Kiralık Araç Bildirim Sisteminin (KABİS) oto kiralama firmalarına belirttiği şekilde saklandığı,
Kişisel verilerin toplanması, toplama yöntemleri, toplanacak kişisel veri türleri, toplanan verilerin hangi amaç ile kullanılacağı ve hangi bireylerin kişisel verilerinin toplanacağına araç kiralama firmalarınca karar verildiği; hizmet sözleşmeleri ile yükümlülüğün araç kiralama firmalarına bırakıldığı ifadelerinin yer aldığı görülmüştür.
Konuya ilişkin yapılan inceleme neticesinde Kurulun 23.12.2021 tarihli ve 2021/1303 sayılı Kararı aşağıdaki değerlendirmelere ulaşılmıştır.
- Araç Kiralama Programı Yazılım Şirketlerinin ve Araç Kiralama Firmalarının Veri Sorumluluğu Sıfatına İlişkin Değerlendirme
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişi, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesi, “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusu, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”, (ğ) bendinde veri işleyen, “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlanmıştır.
Kanun çerçevesinde bir işleme faaliyetinde veri sorumlusu veya veri işleyenin tespiti için işlenecek kişisel verileri, gerçekleşecek veri işleme faaliyetini, bu işlemenin amaçlarını ve şeklini kimin belirlediğinin göz önünde bulundurulması gerekmektedir. Bu çerçevede, veri işlemenin parçası olarak yalnızca veri sorumlusu tarafından:
İşleme faaliyetinin yasal dayanağı,
İşlenecek kişisel verilerin türleri,
Verilerin kullanılacağı amaç(lar),
İlgili kişilerin kimler olacağı (hedef kitle),
Verilerin aktarılıp aktarılmayacağı ve aktarılacak ise kime aktarılacağı;
Bireylerin hakları doğrultusunda veri sorumlusuna yapılan başvurulara nasıl cevap verileceği; verilerin ne kadar süreyle saklanacağı, değiştirileceği veya anonim hale getirileceği hususlarına karar verilebilecekken, veri işleyen tarafından ise ancak, veri sorumlusu ile yaptığı sözleşme şartları içinde sınırlı olarak;
Kişisel veri toplamak için bilgisayar teknolojisi sistemlerinin veya diğer hangi yöntemlerin kullanılacağı,
Kişisel verilerin nasıl depolanacağı,
Kişisel verileri korumak için alınacak güvenlik önlemlerinin ayrıntıları,
Kişisel verilerin bir kuruluştan diğerine nasıl aktarılacağı,
Belirli kişilerle ilgili kişisel verilerin nasıl elde edileceği (otomatik/otomatik olmayan yöntemler),
Saklama sürelerine uyulmasının nasıl sağlanacağı; verilerin nasıl silineceği veya imha edileceği, hususlarına karar verebilir.
Bu çerçevede ihbarda belirtilen iddialara ilişkin olarak öncelikle veri işleme faaliyetinin tayini ile veri sorumlusunun belirlenmesi gerekmektedir. Öyle ki kişisel verileri toplanan hedef kitle araç kiralama firmalarının müşterileri olup işleme faaliyetinin başlıca yasal dayanağı müşterilerle araç kiralama firmaları arasında imzalanan kira sözleşmesidir. Araç kiralama firmaları müşterilerine ait verileri toplamak için yazılım şirketlerine başvurarak özel bir yazılım geliştirilmesini talep etmiş yahut bu iş için kullanılmakta olan bir yazılımı satın almış olabilir. Diğer bir ifade ile araç kiralama firmaları ile bu yazılımları üreten şirketler arasındaki hukuki ilişki satış ya da hizmet sözleşmesi olarak adlandırılabilir. Her iki durumda da araç kiralama firmalarının müşterilerine ilişkin verileri kayıt altında tutacağı söz konusu yazılımların ‘yaşayan birer organizma’ olduğunu söylemek mümkündür. Öyle ki müşterilere ilişkin veri girişinin araç kiralama firmaları tarafından yapılıyor oluşu veri sorumlusu sıfatının tanımlanmasında tek başına yol gösterici bir belirteç değildir.
Veri sorumlusu olmanın belirleyicilerinden biri hangi verilerin işleneceğine sürecin başından itibaren kimin karar verdiğidir. Veri işleyen uhdesine bırakılacak işleme sürecinin teknik bilgi ve alanda uzmanlık gerektirmesi bu anlamda karar yetkisinin veri işleyende olduğu yanılgısını beraberinde getirmektedir. Oysaki veri işleyen, kendi adına bu verileri kullanmadan, veri sorumlusundan gelen talimat üzerine verileri toplayıp işlemektedir.
Bu anlamda, ortak bir amacın varlığı ve kişisel verilerin işlenmesindeki temel araçların birlikte belirlenmesi ortak veri sorumluluğunu beraberinde getirmekte olup ortak veri sorumlularından biri işlenmekte olan kişisel verilere erişemese dahi, bu erişememe durumu ortak veri sorumluluğunu etkilememektedir. İhbara konu yazılım şirketlerinin araç kiralama firmaları tarafından girilen verilere erişememesi bu anlamda tek başına veri sorumlusu olmayacağı anlamına gelmemektedir. Öyle ki bir araç kiralama firmasının kara listeye alarak kaydettiği bir müşterinin kişisel verilerinin bu yazılım şirketine ait internet sitesi/veri tabanı aracılığıyla bir bulutta toplanıyor olması durumunda, söz konusu yazılım şirketlerinin depoladıkları bu verilere doğrudan erişimleri olmadan da onları kendi amaçları doğrultusunda kullandığı yorumunu yapmak mümkün olabilecektir.
Ortak veri sorumlularının yükümlülüklerinin eşit olarak paylaşılması zorunlu değildir, araç kiralama hizmeti sunan yazılım şirketine ait internet sitesinin araç kiralama firmalarından, araç kiralanmasına yönelik aydınlatma metni sunması ve verinin aktarımına ilişkin açık rıza alması da mümkündür. Bu tarz bir ortaklıkta veri işlemenin esaslarının belirlenebilmesi adına iki veri sorumlusu arasında söz konusu sürece ilişkin bir sözleşme yapılması sorumlulukların belirlenmesi (müşterek sorumluluk) açısından önem taşımaktadır, aksi takdirde herkes kusuru oranında ortaya çıkacak ihlallerden sorumludur. Bununla birlikte, yazılım şirketlerinin “Araç kiralama firmaları tarafından uygulama içerisine kaydedilen verileri depoluyor ve güvenliği sağlıyoruz, bu verilerin içeriğine erişimimiz yok” açıklaması ve sözleşme içeriğine “Yazılım ürünlerinin yanlış kullanılmasından, müşteriler tarafından kendi müşterileriyle alakalı fişlemeye girebilecek bilgilerin saklanmasından ve kullanılmasından yazılım şirketimiz sorumlu değildir” vb. kayıtlar koyması ile söz konusu uygulamaya girilen bu tarz kişisel verileri başka kullanıcıların (araç kiralama firmalarının) erişimine açıyor olması, araç kiralama firması ile yazılım şirketi arasında sorumluluğun sözleşme ile paylaşıldığı anlamına gelmemektedir.
Öte yandan idari para cezaları için genel kanun niteliğinde olan 5326 sayılı Kabahatler Kanunu’nun genel hükümleri arasında yer alan “İdari Para Cezaları” başlıklı 17’nci maddesinin 2’nci fıkrasında, idari para cezasının, kanunda alt ve üst sınırı gösterilmek suretiyle de belirlenebileceği, bu durumda, idari para cezasının miktarı belirlenirken işlenen kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumunun birlikte göz önünde bulundurulacağı karara bağlanmıştır. Kurul tarafından idari para cezalarının miktarı belirlenirken de Kanunun 18’inci maddesi gereğince kabahat bazında bir ayrıma gidilmiştir. Ceza miktarının hesabında ihlalin niteliği, veri sorumlusunun niyeti, ilgili kişilere verilen zararı azaltmak için alınan önlemler, veri güvenliğine ilişkin alınan rutin önleyici tedbirler, inceleme faaliyeti sırasında veya ihlal sonrası Kurumla yapılan işbirliği ve ihlale konu veri türü gibi faktörler önemlidir.
Ortak veri sorumlularına ilişkin sorumluluk ve kusur miktarlarının belirlenmesi açısından her halükarda olay bazında veri işleme süreçlerinin incelenmesi; kusur ve söz konusu veri üzerindeki kontrolün kimde olduğunun tespiti gerekmektedir. Hukuka aykırı bir fiilin sorumluluk gerektirebilmesi için kişinin kusurlu olması gerekir. Kusur hem ceza hukukunda hem medenî hukukta hem de idare hukukunda ortak bir konudur. 6098 sayılı Borçlar Kanununda kusurun, sorumluluğun kurucu unsurlarından bir tanesi olduğu belirtilmiştir. Temelde ise söz konusu hukuka aykırı eylem bir haksız fiile vücut vermektedir. Kabahatler Kanununun 2’nci maddesine göre “Kabahat deyiminden; kanunun, karşılığında idarî yaptırım uygulanmasını öngördüğü haksızlık anlaşılır.” Kabahatler Kanununun 9’uncu maddesi gereğince kabahatin işlenebilmesi için kasıt ya da taksir şartı aranmaktadır. Kabahatler Kanununun 12’inci maddesinde ise aksine hüküm bulunmayan hallerde TCK’daki hukuka uygunluk nedenleri ile kusurluluğu ortadan kaldıran nedenlerin kabahatler bakımından da uygulanması gerektiği öngörülmektedir. Anayasa’nın 38’inci maddesinin 7’nci fıkrasında ve TCK’nın 20’nci maddesinin 1’inci fıkrasında cezaların şahsiliği ilkesine yer verilmiş ve suçun işlenmesine bizzat veya dolaylı olarak katılmadıkça kimsenin bir suçtan dolayı sorumlu tutulamayacağı ifade edilmiştir. Bu doğrultuda, veri sorumlusu sıfatına sahip olan her kişi 6698 sayılı Kanunun 12’nci maddesi gereğince hukuka aykırı eylemlerinden dolayı cezai müeyyideye tabi olabilecektir.
Ortak veri sorumluları arasında kusurluluk belirlenirken işlenen verinin ilk ve son kullanıcısının kim olduğu; veri girişini kimin yaptığı; hangi amaçla söz konusu verinin girildiği; verinin değiştirilmesine veya silinmesine yahut aktarılmasına kimin karar verdiği; veriyi toplayan dışında kalan veri sorumlularının bu veri ile hangi faaliyetleri gerçekleştirdiği vb. etkenlere dikkat edilmesi yerinde olacaktır. Örneğin araç kiralama firmalarına 2015 yılından beri Kiralık Araç Bildirim Sistemi (KABİS) kullanma zorunluluğu getirilmiştir. 1174 sayılı Kimlik Bildirme Kanunu Ek Madde 3’te “Araç kiralama firmalarının sorumlu işleticileri ve yöneticileri, kiralanan araç bilgileri ile aracı kiralayanların kimlik bilgileri ve kira sözleşmesi kayıtlarını usulüne uygun şekilde günü gününe tutmak ve bu kapsamda mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerinin her an incelemelerine hazır bulundurmak zorundadırlar. Ancak araç kiralayanın kamu kurum veya kuruluşu olması hâlinde sadece kamu kurum veya kuruluşuyla yapılan sözleşme ile araç bilgileri sisteme kaydedilir. Araç kiralama esnasında gerçeğe aykırı kimlik kullananlar ile birinci fıkra kapsamında elde edilen bilgi ve kayıtları, hukuka aykırı olarak kullanan, bir başkasına veren, yayan veya ele geçiren kişi, 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu hükümlerine göre cezalandırılır. Birinci fıkrada belirtilen yükümlülüklere aykırı hareket edenlere beş bin Türk Lirası, gerçeğe aykırı kayıt tutan veya bilgi verenlere on bin Türk Lirası idari para cezası, mülki idare amirlerince verilir. Bu Kanuna göre verilen idari para cezaları tebliğinden itibaren 1 ay içinde ödenir. İşlenen bir suçun gizlenmesi amacıyla bilgilerin yok edilmesi hâlinde işletme ruhsatı iptal edilir. Bu fıkraya göre idari yaptırımların uygulanması ceza soruşturması ve kovuşturması yapılmasına engel değildir.” şeklinde bir düzenleme mevcuttur. Bu durumda mevzuat gereğince araç kiralama firmalarının tutmakla yükümlü olduğu verilerin hatalı ve eksik girilmiş veya girilmemiş olmasından araç kiralama firmaları sorumlu olacaktır. Araç kiralama firmaları ile birlikte ortak veri sorumlusu kabul edilebilecek yazılım şirketlerinin bu süreçte veri işleme faaliyetinde bir sorumluluğu olmadığı değerlendirilmektedir. Kısacası belirtilen hal ve koşullar altında toplanan veri üzerinde, söz konusu veri ilk elden başka bir veri sorumlusu tarafından elde edilmiş olsa bile, ilerleyen süreçlerde söz konusu kişisel veriler ile ilgili veri sorumlusu gibi hareket eden herkes Kanun gereğince veri sorumlusunun yükümlülükleri ile bağlıdır.
- Yazılım Şirketlerinin Sundukları Hizmeti Bulut Teknoloji Altyapısı ile Gerçekleştirmelerine İlişkin Değerlendirme
İhbara konu olayda yazılım şirketleri çevrimiçi ağ (network) üzerinden bulut bilişim (BT) vasıtasıyla araç kiralama firmalarına hizmet sunmaktadır. Bulut bilişim, ağ tarayıcılarıyla erişilen siteler sayesinde uygulamaların internet üzerinden kullanılmasını sağlamaktadır. Bir şirket, bulut bilişim kullanmakta ise bu şirketin BT altyapısı şirket dışında bulut bilişim sağlayıcı tarafından muhafaza edilen bir veri merkezinde depolanmaktadır. Üç ana bulut servisi türü vardır: Yazılım Hizmetleri (SaaS), Platform Hizmetleri (PaaS) ve Altyapı Hizmetleri (IaaS).
Standart süreçlerde yazılım şirketleri tarafından sunulan hizmetin, SaaS (Software as a Service) şeklinde şirketler tarafından geliştirilen yazılım üzerinden araç kiralama firmalarına bir nevi platform olarak hizmet sunulması olduğu anlaşılmıştır. SaaS hizmetinin gereği olarak veri tabanı ve yazılımın yönetimi yazılım şirketlerinde olup müşterilerde (araç kiralama firmalarında) ve gerektiğinde teknik destek ve geliştirme sağlayabilmesi için yazılım şirketlerinde “admin” yetkisine sahip kullanıcıların atandığı görülmüştür. Sunulan hizmet türü hazır bir SaaS hizmeti olduğundan kaynak kod halinde sunulmadığı, müşterinin yazılım kodlarına müdahalesine izin verilmediği, bu sebeple müşterinin yönetim yetkilerinin içerikle sınırlı olduğu, sistemin düzgün işlemesi için gerekli fonksiyonları değiştirmeye yetkisinin ise bulunmadığı tespit edilen bir başka husustur.
- Veri İşleme Faaliyeti Sırasında İlgili Kişilerin Aleyhlerine Ortaya Çıkan Sonuçlara İtiraz Etme Haklarına ve Profillemeye İlişkin Değerlendirme
Uluslararası uygulamada bireyin davranışlarının analiz edilerek bunu izleyen davranışları hakkında tahminlerde bulunmak adına bireyin kişisel verilerinin otomatik olarak işlenmesi “profilleme” olarak adlandırılmaktadır. "Tahmin" kelimesinin kullanılması aslında profil oluşturmanın bir kişi hakkında bir tür değerlendirme veya yargı içerdiğini göstermektedir.
Profillemenin her zaman olumsuz bir eylem olduğunu söylemek doğru değildir. Bireylerin temel haklarını ve güvenliklerini tehdit etmeyecek şekilde bir noktaya kadar profillerinin oluşturulması makul görülmektedir. Bireyin profiline ilişkin kullanılan kıstaslar ve işleme süreci hangi noktaya kadar profillemeye izin verilebileceğinin olay bazında incelenmesi gereğini de birlikte getirmektedir. Söz konusu profil oluşturma sırasında istenmeyen/hedeflenmeyen sonuçların ortaya çıkması da muhtemeldir. Oluşturulan profil, ilgili kişiyi tek bir kategoriye sabitleyerek seçeneklerini kendisine önerilenlerle sınırlayabilir öyle ki hatalı tahminlere dayanan varsayımlar nedeniyle bir hizmetten kısmen veya tamamen yararlanamama sonucunda ilgili kişinin ayrımcılığa uğramasına ya da olumsuz bir sonuçla karşılaşmasına da sebebiyet verebilir.
6698 sayılı Kanun’un lafzında ilgili kişinin haklarının sayıldığı 11’inci maddeye bakıldığında ilgili kişilerin “işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme” hakkı olduğu görülmektedir. Yani mevzuatın, profilleme faaliyeti için gerekli olan otomatik veri işleme nedeniyle olumsuz bir sonuç doğacağı durumlarda ilgili kişilere bu işlemeye itiraz etme hakkı tanıdığını söylemek mümkündür.
Veri sorumluları genel ilkelere uygun hareket ettikleri ve kişisel verilerin işlenmesinde yasal bir temele sahip oldukları sürece profil oluşturma ve otomatik karar verme sistemleri kullanma hakkına sahiptir. Bu kapsamda, ilgili kişilerin, kara liste uygulaması amacıyla profillemeye tabi olduğu hallerde dahi olay özelinde bu durumu Kanunun 4’üncü maddesi gereğince genel ilkelere ve 5’inci maddesi gereğince belirtilen şartlara uygun veri işlendiği şeklinde yorumlamak mümkündür. Ancak 5’inci madde gereğince ilgili kişinin açık rızası dışında kalan hallerden olan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hali tespit edilirken veri sorumluları tarafından;
Kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması,
Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi,
Meşru menfaatin hali hazırda mevcut, belirli ve açık olması,
İlgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması,
Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması,
Bu açıdan ilgili kişinin başta kişisel verilerinin korunması olmak üzere temel hak ve hürriyetlerinin zarar görmesini engellemek amacıyla öngörülebilir, açık ve yakın her türlü tehlikeden uzak tutulması,
Kişisel verilerin bir veri kayıt sisteminde amaçla sınırlı olarak hukuka uygun işleyişinin temini ile zararı ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alınması,
Kişisel verilerin işlenmesinde genel ilkelere uygunluğun sağlanması,
Bu kapsamda, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılarak denge testinin yapılması hususlarının değerlendirilmesi gerekmektedir. Yapılacak değerlendirmede, ilgili kişinin temel hak ve özgürlükleri ile veri sorumlusunun söz konusu bilgiyi otomatik işleme tabi tutması ile sağlayacağı menfaatler arasında denge testi yapılırken yarışan menfaatlerden hangisinin ağır bastığı veri sorumlusunca tespit edilmelidir. Ancak bu konudaki şikâyetlerin değerlendirme sürecinde dikkate alınacak kriterlerin bunlarla sınırlı olmayacağı, her somut olay özelinde Kurulca ilave ölçütlerin de gündeme gelebileceği tabidir.
İhbar konusu kapsamında ise söz konusu inceleme sırasında bazı araç kiralama firmalarının internet sitelerinde, kiralanan araçların bu yazılım üzerinden takip edilebileceği hususunda otomatik veri işleme faaliyeti gerçekleştirildiği beyan edilmektedir. Araçlarının konum bilgilerinin takip edildiği durumlarda veri sorumluları tarafından ilgili kişilerin kişisel verileri işlenirken, konum verilerinin işlenmesinin özellikle ilgili kişilerin yaşam alışkanlıklarını ortaya çıkarabileceği akılda tutulmalıdır. Kullanılan uygulamaların, gerçekleştirilen yolculukların, iş yeri ve ikamet yeri ile sürücünün ziyaret ettiği diğer yerlerin konum bilgilerinin öğrenilmesine olanak sağlamasının kişi hakkında bir profil çıkarılmasına ve yaşam alışkanlıklarından hareketle ilgili kişinin özel nitelikli verilerini de ihtiva edebilecek (dini, inancı, cinsel hayatına ilişkin bilgiler vb.) pek çok verisinin ortaya çıkmasına sebebiyet vererek ilgili kişi açısından olumsuz bir sonuç meydana getirebilecektir. Buna göre, konum verilerinin toplanması yoluna gidilmesinin istisnai olarak uygulanan bir durum olması gerektiği değerlendirilmektedir.
Öte yandan konum bilgilerinin yanı sıra müşterilerin sözleşme ilişkisi boyunca kiraladığı araca verdiği zararın veya aracı teslim sürecinde yarattığı gecikmenin ya da ödeme konusunda yol açtığı sorunların veri sorumlusunca bir sisteme girilerek kaydediliyor oluşu, başlı başına konum izlemesinde olduğu gibi bir profilleme faaliyetini gündeme getirmeyecektir. Çünkü öncelikle veri sorumlusu tarafından girilen verilerin otomatik işleme tabi tutularak ilgili kişiler hakkında mekanik bir sonucun çıkması profillemeden beklenen sonuçtur. Burada ise “A kişisinin teslim ettiği aracın ön camının çatlamış olduğu görüldü/ koltuklarda sigaradan kaynaklı olduğu tespit edilen yanıkların olduğu görüldü vb.” gibi hususların veri sorumlusunca “kara liste” başlığı altında kayıt altına alınması ancak kısmen otomatik olan bir veri işlemedir. Ancak, kara liste kaydı sonucunda kişi hakkında otomatik bir karara varılması söz konusu ise (bu kişiye araç kiralanamaz uyarısı vb.) bu durumda uygulamanın otomatik bir işleme olduğunu söylemek mümkün olacaktır.
Kanunun 5’inci maddesi gereğince veri sorumlularının meşru menfaati gereği veri işlemesinin zorunlu olduğu durumlarda denge testi yapılması gerekmektedir. Araç kiralama firmalarının faaliyet alanları ile ilgili olarak, bu firmaların çalışanları ve akdi ilişkide oldukları gerçek ve tüzel kişilerce bilinen; işletmenin ticari başarısı ve verimliliği için önem arz eden; rakiplerine karşı kendisi için avantaj teşkil eden; gerek kamuya gerekse ilgisi olmayan şahıslara açıklanmaması gereken; firmanın iç işleyişi, mali ve iktisadi durumu, faaliyet hedef ve stratejisi, fiyatlandırma uygulaması bilgisi, pazarlama stratejisi ve taktikleri, müşteri potansiyeli ve ağ bilgisi, her türlü sözleşme, protokol bilgileri gibi bu türden tüm bilgi/belgeyi ifade eden ve kendisini zarara uğrattığını düşündüğü bu kişilere ilişkin oluşturduğu kayıtlar şirket ticari sırrı olarak kullanılabilir niteliktedir. TTK’nin 527’nci maddesi hükmü gereğince 404’üncü madde hükmü saklı kalmak üzere, görevi dolayısıyla incelemesine sunulan defter ve belgeleri inceleyenlerin, elde ettikleri veya verilen bilgilerden öğrendikleri iş ve işletme sırlarını açıklamaları yasaktır. Aksi hâlde bu kişiler şirketin maddi ve manevi zararını tazmin etmek zorundadır. TCK’nın 239’uncu maddesinde ise bu minvalden verileri yetkisiz kişilere verenler veya ifşa edenler hakkında cezai yaptırım uygulanacağı öngörülmüştür. Söz konusu ticari sırlar aynı zamanda müşterilere ilişkin kişisel veriler de içermektedir. Kanuni yükümlülükler gereğince de işletme faaliyetleriyle sınırlı olmak üzere kullanılabilecek bu verilerin sırf kişinin “kara liste”ye kaydedilmesine sebebiyet verecek bir davranışı olmasından bahisle kişinin özel hayatının gizliliğini ve kişisel verilerinin korunmasını isteme hakkını ihlal etmeyeceği değerlendirilmektedir. Ancak belirtilen alana girilecek verilerin sınırlı olmadığı düşünüldüğünde kişinin ayrımcılığa uğramasına sebebiyet verecek ve davranışsal durumlar haricinde kalan genel ve özel nitelikli verilere yer verilmesi durumunda artık bir ticari sırrın varlığından bahsetmek mümkün değildir (Örneğin; cinsel yönelimi sebebiyle kişinin kara listeye alınarak araç kiralama hizmetinden yararlandırılmaması). Elbette ilgili kişinin kara listeye alınması sebebi ne olursa olsun şunu belirtmekte fayda vardır ki bu sebebe erişim hakkı olan herkes kendi değerlendirme ve imtiyaz hakkına sahiptir, ilgili kişinin A firmasından hizmet alamıyor olması B firmasından da hizmet alamayacağı anlamına gelmemektedir. Bu kapsamda sisteme girilen verilerin mevzuata uygun edinilip işlendiği yönünde Kanun gereğince veri sorumlusu sıfatını haiz olan taraf araç kiralama firmalarıdır.
Araç kiralama firmalarının acentelerinde veya şubelerinde söz konusu listede yer alan ilgili kişiler hakkında yaptığı yorumun görünür kılınması ise bu ticari sırrın kullanımından öteye gitmediği sürece meşru menfaat kıstasına uygun bir işleme olarak kabul edilebilir. Ancak söz konusu ihbarda yer alan yazılım şirketlerinin araç kiralama firmalarının müşterileri hakkında yaptığı yorumlara dayanan “kara liste” uygulamasını yine aynı yazılımı kullanmakta olan diğer araç kiralama firmalarınca da görünür kılması ve hatta bu özelliği bir pazarlama stratejisi olarak öne sürmesi ne meşru menfaat kıstası ne de araç kiralama firmalarının talimatı doğrultusunda yapılan hukuka uygun bir veri işleme olarak değerlendirilebilir.
- Kişisel Verilerin Kara Liste Uygulaması ile Diğer Kullanıcıların Erişimine Açılmasına İlişkin Değerlendirme
Kanunun 8’inci maddesinde “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; 5’inci maddenin ikinci fıkrasında, yeterli önlemler alınmak kaydıyla, 6’ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmü düzenlenmiştir.
Kişisel verilerin "depolanması, muhafaza edilmesi ve aktarılması" eylemleri kişisel veriyle aracısız yapılan doğrudan işlemlerle ilgilidir. Veri sorumlusu aktarım için hizmet alabileceği gibi bu veriyi kendisi aktarmayı da seçebilir. Ancak veriyi aktaran kim olursa olsun (ister veri işleyen, ister veri sorumlusu) bu kişisel veriye erişebilir, onun ne olduğunu görebilir ve kullanabilir. Bu sebeple yapılacak nitelendirmeye göre veriyi aktarma yetkisi olan kişinin sorumluluğu belirlenmelidir.
Araç kiralama firmalarının müşterileri hakkında yaptıkları değerlendirmelerin ortak bir veri tabanına kaydedilerek diğer firmalarca yapılan yorumların da bu alana eklenebiliyor olması hem müşteri sırrının (ticari sır) ifşası hem de kişisel verilerin ifşası anlamına gelmektedir. Bu kapsamda artık yalnızca araç kiralama firmalarının veri sorumlusu olduğundan bahsetmek mümkün değildir. Yazılımın özelliği olarak sunulan bu veri aktarım faaliyeti artık araç kiralama firmalarınca girilen ilgili kişilere ait kişisel verilerin yazılım şirketleri tarafından kullanılması anlamına gelmektedir. İlgili kişilere ait bu tarz verilerin aktarılabilmesi için Kanun’un 5 ve 6’ncı maddelerine dayanan bir hukuka uygunluk sebebi bulunmalıdır. “Kara liste” uygulamasının doğası gereği ilgili kişilerin bu duruma rızası olması beklenemeyeceğinden 5’inci maddenin (2) numaralı ya da 6’ncı maddenin (3) numaralı fıkrasındaki şartların varlığı gerekmektedir. Yazılım şirketlerinin araç kiralama firmalarının müşterilerine ait verileri işleme noktasında bir yasal yükümlülüğü bulunduğunu söylemek mümkün olmadığından bu tarz verilerin ancak yukarıda açıklanan meşru menfaat kıstası çerçevesinde söz konusu araç kiralama firmasının “iş ortakları, şubeleri veya acenteleri” ile paylaşılmasının mevzuat uyarınca mümkün olacağı değerlendirilmektedir. Ancak burada aktarıma taraf olacak kişi ve kişi gruplarının veri sorumlusu sıfatıyla ilgili kişilere aydınlatma metni aracılığıyla aktarım öncesi bildirilmiş olması gerekmektedir. Oysaki görülen uygulamada söz konusu aktarım faaliyetinin araç kiralama firmalarınca direkt kendilerinden diğer firmalara değil öncelikli olarak yazılıma yapıldığı; bu durumun da araç kiralama firmalarınca paylaşıma açılan verilerin, hangi firmalarca görülebileceğinin öngörülememesine sebebiyet vermesinden ötürü başta veri işlemenin temel ilkelerine sonrasında da veri aktarımının genel prensiplerine aykırılık oluşmasına neden olduğu değerlendirilmektedir.
Yukarıda yer alan açıklamalar ışığında veri işleme süreçlerinin fiziksel olarak nasıl yürütüldüğünün söz konusu ihbarda yer alan iddialar, veri sorumlularından alınan bilgi, belgeler ve ilgili mevzuat hükümleri çerçevesinde değerlendirilmesi neticesinde;
Yazılım şirketlerinin sunduğu bulut tabanlı SaaS hizmetinin gereği olarak veri tabanını ve yazılımın yönetimini bünyesinde barındırması; müşterilerde (araç kiralama firmalarında) ve gerektiğinde teknik destek ve geliştirme sağlayabilmesi için kendi bünyesinde ‘admin’ yetkisine sahip kullanıcılar ataması; yazılım bakımı ve geliştirmesi için aylık olarak düzenli bir ücret alması ve sözleşmelerini belirli periyodlarla yenilemesi; söz konusu yazılımın telif haklarının bu Şirketlere ait olması ve kullanıcılarına lisans vererek ilgili programı kiralaması; sunulan hizmet türü hazır bir SaaS hizmeti olduğundan kaynak kod halinde sunulmaması, yazılım şirketlerinin müşteri olan araç kiralama firmalarının yazılım kodlarına müdahalesine izin verilmemesi, bu sebeple müşterinin yönetim yetkilerinin içerikle sınırlı olması, müşterinin sistemin düzgün işlemesi için gerekli fonksiyonları değiştirme yetkisinin ise bulunmaması ve elde edilen bulgulara göre şirketlerin uygulama içinde “kara kutu” bölümü oluşturarak araç kiralama firmalarınca girilen ilgili kişiler hakkındaki bu değerlendirmeleri uygulamalar vasıtasıyla diğer tüm kullanıcılara açılabilmesi; yazılım şirketleri her ne kadar araç kiralama firmalarıyla yaptığı sözleşmelerde olası kara liste uygulamaları için sorumsuzluk kaydı koymuşsa da, araç kiralama firmalarının uygulamaya girerek kaydettiği verileri, Kanunun 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın kendi ticari faaliyetleri kapsamında kişisel verilerin bir kuruluştan diğerine nasıl aktarılacağına karar vermesi hallerinde 6698 sayılı Kanunun 3’üncü maddesi gereğince yazılım şirketlerinin veri sorumlusu olarak hareket edeceği kanaatine varılmıştır. Araç kiralama firmalarının ise belirtilen veriler üzerinde sorumlulukları yazılım şirketi ile elbirliği halinde devam edecektir.
Kanunun 12’nci maddesi gereğince veri sorumlusu olarak hareket eden yazılım şirketlerinin müşterilere ilişkin araç kiralama firmalarınca ilk elden girilen verilere hukuka aykırı olarak erişilmesini önlemek; bu verilerin muhafazasını sağlamak yükümlülüklerine aykırı hareket ederek söz konusu verileri diğer müşterilerinin de erişimine açmış olacağı; aktarımın direkt veri sorumlusundan diğer araç kiralama firmalarına değil öncelikli olarak yazılıma yapıldığı; bu durumun da paylaşıma açılan verilerin hangi firmalarca görülebileceğinin bilinememesine yol açacağı; veri işleyenin veri sorumlusunun verdiği yetki dışında herhangi bir işlem yapma imkanı bulunmamasına rağmen yazılım şirketlerinin bu veriyi bilinmeyen sayıda ve nitelikte kullanıcıya açarak Kanunun 4’üncü maddesinin 2 numaralı fıkrası hükmü gereğince kişisel verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine ve Kanunun 8’inci maddesinde belirtilen ilgili kişinin açık rızası ya da 5’inci maddenin 2’nci fıkrasında düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere aktarılmak suretiyle hukuka aykırı olarak işlenmesine sebebiyet vereceği kanaatine varılmıştır.
Bu kapsamda;
Araç kiralayan gerçek kişi müşterilerin kişisel verilerinin de yer aldığı “kara liste” uygulamaları ile Kanunun 12’nci maddesinde düzenlenen müşterilere ilişkin araç kiralama firmalarınca ilk elden girilen kişisel verilere hukuka aykırı olarak erişilmesini önlemek, bu verilerin hukuka aykırı olarak işlenmesini önlemek ve muhafazasını sağlamak yükümlülüklerine aykırı olarak söz konusu verilerin yazılım şirketlerinin müşterileri olan başka araç kiralama firmalarının erişimine de açılması; fiili durumun araç kiralama firmalarınca da bilinmesi; aktarımın direkt bir araç kiralama firmasından diğer araç kiralama firmasına değil öncelikli olarak yazılıma yapılması; yazılım şirketlerinin bu veriyi bilinmeyen sayıda ve nitelikte kullanıcıya (diğer araç kiralama firmalarına) açması halinde hem veri sorumlusu haline geleceği, hem de Kanunun 4’üncü maddesinin 2 numaralı fıkrası hükmü gereğince kişisel verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine ve Kanunun 8’inci maddesinde belirtilen ilgili kişinin açık rızası ya da 5’inci maddenin (2) numaralı fıkrasında düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere aktarmak suretiyle hukuka aykırı olarak işlenmesine sebebiyet vereceği dikkate alındığında, ihbar konusu olayda araç kiralama yazılımı üreten ve satan şirketlerin araç kiralama firmaları ile birlikte ortak veri sorumlusu olarak hareket ettiğine,
Öte yandan bu minvalde işlenen kişisel verilerin Kanuna aykırılık doğuracağı dikkate alındığında bu yönde işlenmiş kişisel verilerin Kanunun 7’nci maddesinde düzenlenen hükümler ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun şekilde imha edilmesi hususunda ihbar kapsamında incelenen veri sorumlularının talimatlandırılmasına karar verilmiştir.”
Araç kiralama sektöründeki kara liste uygulamaları hakkında Kişisel Verileri Koruma Kurulu’nun 23/12/2021 tarihli ve 2021/1304 sayılı İlke Kararı:
“Araç kiralama sektöründeki kara liste uygulamaları hakkında İlke Kararı Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında Kanunun 15’inci maddesi çerçevesinde Kişisel Verileri Koruma Kurulu (Kurul) tarafından yürütülen incelemeler sonucunda araç kiralama sektöründe “kara liste” yazılımlarına/programlarına/ uygulamalarına başvurulduğu anlaşılmıştır. Araç kiralama sektöründe kullanılan bahse konu “kara liste” uygulamaları ile,
• Araç kiralama yazılımcısı ve satıcısı kişilerin araç kiralama firmalarına (veya araç kiralama işi yapan gerçek kişilere) “kara liste” özelliği de içeren araç kiralama yazılımları sundukları,
• Araç kiralama firmaları tarafından söz konusu yazılımlara kendi müşterileri olan araç kiralayan gerçek kişilerin kişisel verilerinin işlendiği; işlenen bu veriler arasında araçların kullanım sürecinde meydana gelen olumsuzlukları veya araç kiralama firmasının yorumlarını da içeren “kara liste” bilgilerinin yer aldığı,
• Bu bilgilerin araç kiralama firmaları tarafından sonraki kiralamalar için karar verirken kullanılmak üzere işlendiği,
• Öte yandan bahse konu yazılımların, bir araç kiralama firmasının kendi girdiği verileri diğer araç kiralama firmalarına da açmasına da olanak veren sistemler olarak tasarlandığı,
• Dolayısıyla araç kiralama firmasından yazılıma, yazılımdan ise söz konusu yazılımı kullanan diğer araç kiralama firmalarına kara listeye ilişkin veri akışı/paylaşımı sağlayan bir sistem oluşturulduğu, araç kiralayan ilgili kişilerin kişisel verilerinin de böylece karşılıklı olarak paylaşılmakta olduğu,
• Genel olarak yazılım şirketleri tarafından sunulan hizmetin, SaaS (Software as a Service) şeklinde olduğu, SaaS hizmetinin gereği olarak veri tabanı ve yazılımın yönetiminin yazılım şirketlerinde olup araç kiralama firmalarında ve gerektiğinde teknik destek ve geliştirme sağlayabilmesi için yazılım şirketlerinde admin yetkisine sahip kullanıcıların atandığı, sunulan hizmet türü hazır bir SaaS hizmeti olduğundan kaynak kod halinde sunulmadığı, araç kiralama firmalarının yazılım kodlarına müdahalesine izin verilmediği, bu sebeple araç kiralama firmalarının yetkilerinin içerik sağlamakla sınırlı olduğu,
• Araç kiralayan bir gerçek kişinin, müşterisi olduğu araç kiralama firmasına kiralama sözleşmesi kapsamında gerekli olan kişisel verilerini sağlarken, bu süreçte firmaya sağladığı verilerin, firma ile yaşadığı olumlu/olumsuz ilişkinin, araca verdiği zarar, ödeme sürecinde yaşanan sorunlar gibi kişisel verilerinin kara liste özelliği içeren yazılımlar vasıtasıyla müşterisi olduğu araç kiralama firması haricinde bilinmeyen sayıda kullanıcı ile paylaşıldığına dair bilgi sahibi olmadığı anlaşılmıştır.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinin 1 numaralı fıkrasının (ç) bendinde ilgili kişi, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesi, “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusu, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlanmıştır. “Kişisel Verilerin İşlenme Şartları” başlıklı Kanun’un 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir 35 sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükme bağlanmıştır. Kanunun 8’inci maddesinde “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; 5’inci maddenin ikinci fıkrasında, yeterli önlemler alınmak kaydıyla, 6’ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmü düzenlenmiştir. Öte yandan, Kanun’un 11’inci maddesi ilgili kişinin haklarını düzenlemekte olup maddenin 1 (g) bendi, “işlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme” hakkını içermektedir. 36 Kanunun 12 inci maddesinde ise, veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları hüküm altına alınmıştır. 1774 sayılı Kimlik Bildirme Kanununun ilgili maddeleri gereğince araç kiralama faaliyetinin kolluk kuvvetlerine bildirilme zorunluluğu bulunmaktadır. Dolayısıyla, araç kiralama firmalarının Kiralık Araç Bildirim Sistemine (KABİS) veri girişi yapmaları bağlamında kişisel veri işlemeleri, Kanunun 5’inci maddesinin 2 numaralı fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülmesi” işleme şartı ile (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” işleme şartları kapsamında değerlendirilebilecektir. Ayrıca, araç kiralama işi taraflar arasında akdedilen bir sözleşme kapsamında gerçekleştirilmekte olduğundan Kanunun 5’inci maddesinin 2 numaralı fıkrasının (c) bendinde yer alan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” işleme şartı kapsamında ilgili kişilerin kişisel verilerinin araç kiralama firmalarınca işlenmesi mümkündür. 37 Kara liste benzeri veri kayıtları bakımından ise kişisel verilerin işletme faaliyetleri ile sınırlı olmak üzere işlenmesi ile yazılım firmaları aracılığıyla diğer veri sorumlularına açılmasının farklılık arz edeceği değerlendirilmektedir. Kanun’un 5’inci maddesinin 2 numaralı fıkrasının (f) bendinde “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme şartı düzenlenmiş olup ilgili kişinin temel hak ve özgürlükleri ile veri sorumlusunun meşru menfaatleri arasında yapılacak denge testi sonucunda meşru menfaatin baskın gelmesi durumunda, işletme faaliyetleri ile sınırlı olmak kaydıyla, başka bir ifadeyle veri sorumlusu bünyesinde olmak üzere kara liste kaydı yapılmasının somut olaya göre ayrıca değerlendirilmek koşuluyla uygulanabilir olabileceği; ancak işlenen kişisel verilerin aynı yazılımı kullanan diğer veri sorumlularına (diğer araç kiralama firmalarına) açılması halinde ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmeme şartının karşılanamayacağı değerlendirilmektedir. Ayrıca bir araç kiralama firmasının işlediği kişisel verileri yazılım vasıtasıyla bilinmeyen sayıda araç kiralama firması ile paylaşmasının Kanunun 4’üncü maddesinde düzenlenen Genel İlkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme”, “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil edeceği değerlendirilmektedir. 38 Öte yandan, ihbara konu kara liste uygulamalarında araç kiralama firmaları, gerçek kişi müşterilerden kişisel verileri ilk elden toplayan veri sorumlularıdır. Ancak, kara liste kaydına erişimin bir firma ile sınırlı kalmadığı, yazılıma aktarılan kişisel verilere yazılımı kullanan diğer araç kiralama firmalarının da erişim sağlayabildiği ve veri üzerinde hâkimiyetleri olduğu dikkate alındığında, kara liste kaydını kendi menfaatleri doğrultusunda kullanan araç kiralama şirketleri ile yazılım şirketlerinin ortak veri sorumluluğunun ortaya çıkacağı değerlendirilmektedir. Ortak veri sorumlularına ilişkin sorumluluk ve kusur miktarlarının belirlenmesi açısından her halükarda olay bazında veri işleme süreçlerinin incelenmesi; kusurun ve söz konusu veri üzerindeki kontrolün kimde olduğunun tespiti gerekecektir. Ortak veri sorumluları arasında kusurluluk belirlenirken işlenen verinin ilk ve son kullanıcısının kim olduğu; veri girişini kimin yaptığı; hangi amaçla söz konusu verinin girildiği; verinin değiştirilmesine veya silinmesine yahut aktarılmasına kimin karar verdiği; veriyi toplayan dışında kalan veri sorumlularının bu veri ile hangi faaliyetleri gerçekleştirdiği vb. etkenlere dikkat edilecektir. 39 Araç kiralama sektöründe kara liste uygulamalarının ilgili kişinin hakları bakımından da değerlendirilmesi gerekmektedir. Kara liste kapsamında kişisel veri işlenmesi kişilerin Kanun’un 11’inci maddesinden kaynaklanan haklarını gereği gibi kullanabilmelerinin önünde engel teşkil edecektir. Şöyle ki, bu tür bir veri işleme kara liste uygulamalarının doğası gereği, kişi hakkında olumsuz bir sonuca ulaşılmasını, bu olumsuz sonucun kara listeye işlenmesini ve kişi hakkında bu olumsuz sonuca göre karar verilmesini içereceği için, yapılan profilleme neticesinde ilgili kişi hakkında olumsuz bir sonuç ortaya çıkacak; ancak araç kiralayan ilgili kişinin kişisel verilerinin paylaşıldığı diğer araç kiralama firmalarının kim olduğunu bilebilecek durumda olmaması nedeniyle, Kanunun 11’inci maddesinden kaynaklanan haklarını bu veri sorumluları nezdinde ileri sürebilmesi güçleşecektir.
Tüm bu değerlendirmeler ışığında;
- Kanunun 4’üncü maddesinde düzenlenen genel ilkelere, Kanun’un 5’inci maddesinde düzenlenen işleme şartlarına ve Kanunun 8’inci maddesinde düzenlenen aktarıma ilişkin hükümlere aykırı olarak araç kiralama sektöründe kara liste uygulamaları kapsamında kişisel verilerin işlenmesi halinde, söz konusu veriler üzerinde hâkimiyeti bulunan araç kiralama şirketlerinin yazılım şirketleri ile ortak veri sorumlusu olarak değerlendirileceklerine,
- Hukuka aykırı bu gibi uygulamalara son verilerek, araç kiralama sektöründe kişisel veri işleme süreçlerinin Kanuna uygun olmasını teminen Kanun’un 12’nci maddesinde düzenlenen gerekli teknik ve idari tedbirlerin veri sorumlularınca alınması gerektiğine,
- Söz konusu önlemleri almaksızın ve Kanun hükümlerine aykırı şekilde araç kiralama sektöründe kara liste uygulamasına başvuran veri sorumluları hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesine,
- 6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddesinin altıncı fıkrası hükmü uyarınca alınan bu İlke Kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına oybirliği ile karar verilmiştir.”