Araç kiralama sektöründeki kara liste uygulamaları hakkında Kişisel Verileri Koruma Kurulu tarafından 2021 yılında 59 nolu toplantıda bir ilke karar çıkmış olup, bu yazımızda detaylarına değinilecektir.
Bir vatandaş düşünün ki, daha önce hiç tanımadığı, araç kiralama işi çerçevesinde hukuki ilişkiye girmediği bir ‘rent a car’ firmasına gidiyor, hizmet talebinde bulunuyor. Ancak şirket ‘size hizmet veremeyiz’ veya ‘Size hizmet veririz ancak siz risk oluşturan müşteri grubunda yer aldığınız için şu kadar daha fazla ön ödeme vermelisiniz.’ Gibi yorumlarla karşılaşabiliyorlar. Peki bu firma, daha önce hiç onunla çalışmamış olmanıza rağmen bu kanıya nereden ulaşmış olabilir? Kişisel Verileri Koruma Kurulu’na yapılan tahdidi şikayetler neticesinde inceleme yapılıyor ki bu şirketler ortak bir yazılım uygulaması hizmet alımı yaparak bir veri havuzu oluşturmuşlardır.
Sizin daha önce çalışmış olduğunuz X araç kiralama şirketi, Kişisel Verileri Koruma Kanunu madde 5 kapsamında kişisel verilerinizi amacına uygun olmak şartıyla, işleyebilir, düzenleyebilir, kaydedebilir. Bu noktada bir beis olmaz iken, bu X firmasının sizden almış olduğu verileri yazılım hizmeti alarak kendi bünyesinde de yine işleyebilir ve kaydedebilir. Bu firmanın müdürü veya muhasebe personeli gibi yine X firması kapsamında görev icra eden herkes, amacına uygun şekilde veri inceleme yapabilecektir. X firması sizin ilk hizmet alımınızda edindiği sonuç verilerini yine daha sonra yine X firmasından alacağınız hizmetlerde eski verilere ulaşıp, sizinle ilgili değerlendirme yapabilir ve de buna binaen size hizmet verip vermeme veya ne şekilde ücret tahakkuk ettirme noktasında karar yetkisine haizdir. Kanuna aykırılık bu müşteri ilişkisine dair verilerin başkaca Y firması ile de paylaşıldığı noktada oluşmaktadır.
Kişisel Verileri Koruma Kanunu’na aykırılık hangi noktada oluşmuş olacak ki Kurul bu alanda bir ilke karar yayınlamış olsun? Kanunun 15. Maddesi kapsamında bir veya birkaç şikayet üzerine kurul yaptığı değerlendirmede bir Saas (Software as a Service) şeklinde bir program üzerinden toplanan verilerin bilinmeyen sayıda başka firma ile paylaşması durumu, kişisel verileri üzerinde asıl söz hakkına sahip olan gerçek kişinin kontrol gücünü aşarak başka bir noktaya taşımıştır. Kurul aldığı kararda bu firmalara öncelikle bu yazılım programını KVKK kapsamına uyacak şekilde düzenlemelerini, önlemlerin alınmaması halinde ise m. 18 uyarınca idari para cezalarının uygulanacağını belirtmiştir. Bu yaptırımlar neticesinde, ısrarlı eylemlerine devam eden rent a car şirketlerine karşı özel hukuk hükümleri çerçevesinde kişisel verileri ihlal edilen gerçek kişilere de tazminat istemi de dava konusu olabilecektir.
Yazılarımız yalnızca bilgilendirme amacı taşımaktadır. Hukuki uyuşmazlıklarınız konusunda bir avukata danışmanız gerekmektedir.