A V U K A T L A R
A T T O R N E Y S A T L A W
Aşağıda özetlenmiş şekilde incelemenize sunulan karardaki önemli hususlardan biri Kurul’ca yerel mevzuatımızda düzenlenmesi bulunmamakla birlikte; GDPR düzenlemesinde ‘joint controllers’ olarak geçen ‘ortak veri sorumlusu’ kavramına yer verilmiş olmasıdır.
Ortak veri sorumlusu değerlendirilmesine gidilme gerekliliği ise karar konusu kara listeye başka araç kiralama şirketlerince de erişim sağlanması ve bu firmaların da veriler üzerinde kendi başına kontrolü bulunmasıyla haiz oldukları veri hakimiyeti olmuştur.
Kurul işbu kararla, ortak veri sorumluluğu halinin olay bazında değerlendirilmesi ve bu değerlendirmede;
(i) verilerin ilk ve son kullanıcısı,
(ii) veri girişini yapan veri sorumlusu,
(iii) verilerin işlenme amacı,
(iv) verilerin değiştirilmesi, silinmesi ve aktarılmasına karar veren veri sorumlusu ve
(v) veriyi toplayan veri sorumlusu dışındaki veri sorumlularının veri işleme faaliyetlerinin dikkate alınması gerektiğini karara bağlamıştır.
Bu ilkin dışında kararda, araç kiralayan müşterilerin; “firma ile paylaştığı kişisel verilerinin, firma ile yaşadığı olumlu/olumsuz ilişkinin, araca verdiği zararın, ödeme sırasında yaşadığı sorunların” kara liste uygulamasını kullanan diğer araç kiralama firmalarına aktarılması hususunda tespitlerde bulunulmuş olup; buna göre kanun, sunulan hizmet ve sözleşmenin ifası gereği verileri işleyen ve yazılımı kullanan firmanın dışında, diğer araç kiralama firmalarının da bu kişisel verilere erişmesinin, Kanun’un genel ilkelerinde düzenlenen “hukuka ve dürüstlük kuralına uygun olma, belirli, açık ve meşru amaçlar için işleme, amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine ve Kanun’un 8’inci maddesinde yer alan aktarım kurallarına aykırı olduğu belirtilmiştir.
Kurul’ca, tartışılan unsur işbu kara liste verilerinin, bizzatihi kişinin araç kiraladığı firma tarafından işlenmesi hali değildir. Buradaki meşru menfaat izahtan vareste olup, hukuka aykırılık faktörü bu verilerin diğer firmalarca görülmesi ile artık meşru menfaatin söz konusu olmadığı ve ilgili kişinin temel hak ve özgürlüklerine zarar verilmesiyle, Kanun’un 5’nci maddesinde yer alan hukuka uygunluk nedenlerinin olmadığını vurgusudur.
Öte yandan söz konusu olayda, ilgili kişilerin, kişisel verilerinin kimlerde olduğu bilgisine sahip olmaması da, Kurul’ ca Kanun 11’inci maddesinde düzenlenen ilgilinin haklarının muhatabı olarak hangi veri sorumlusuna başvuracağını bilmesi düzenlemesine aykırı olmakla, ilgilinin Kanun’dan doğan haklarını kullanmayı engellediği tespit olunmuştur.
Neticeten Kurul, ‘kara liste’ uygulamasıyla kişisel verilerin işlenmesi halinde araç kiralama şirketleri ve yazılım şirketlerinin ortak veri sorumluluğuna dikkat çekerek, verilerin hukuka aykırılığı tespit olunan şekilde işlenmesine son verilmesini, araç kiralama firmalarının Kanun’nun 12. maddesi gereği gerekli teknik ve idari tedbirleri almasını, aksi halde 18. madde gereği yaptırımların uygulanacağını karar bağlanmıştır.