KVKK'nun Kara Liste Uygulamaları ve Ortak Veri Sorumlularına İlişkin İlke Kararı -

Kişisel Verileri Koruma Kurulu’nun 23.12.2021 tarihli ve 2021/1304 sayılı “Araç kiralama sektöründeki kara liste uygulamaları” hakkında ilke kararı (“İlke Kararı“) veri işleyen-veri sorumlusu arasındaki farklar ve müşterek veri sorumluları konsepti ile ilgili tartışmaları tekrar gündeme getirdi. Öncelikle İlke Kararına konu olan durum hakkında kısa bir bilgi verelim.

İlke Kararının konusu olan kara liste uygulamaları araç kiralama firmalarının kullandığı, içinde “kara liste” özelliği bulunan araç kiralama yazılımları olarak tanımlanabilir. Bu yazılımlar genel olarak SaaS (Software as a Service) olarak yani belli bir kullanıcı bedeli karşılığı bir hizmet olarak sunuluyor. İlke Kararında belirtildiği gibi “veri tabanı ve yazılımın yönetiminin yazılım şirketlerinde olup […] araç kiralama firmalarının yetkilerinin içerik sağlamakla sınırlı olduğu” hizmetler söz konusu. Bu hizmeti kullanan araç kiralama firmaları, kendilerinden araç kiralayan müşterilerin araca verdiği zarar, ödeme sürecindeki gecikmeler veya benzeri zorluklar gibi verilerle birlikte olumsuz yorumlarını bu kara listelere ekliyorlar. Bu liste sayesinde araç kiralama firması daha önce zorluk yaşadığı müşterilerini ileride tekrar araç kiralamak istediklerinde kolaylıkla tespit edebiliyor. Fakat kara liste uygulaması sadece bununla sınırlı kalmıyor. Bu hizmeti kullanan bir araç kiralama firması müşterileri ile ilgili kendi girdiği kişisel verileri diğer araç kiralama firmalarının erişimine de açabiliyor.

Kara liste uygulamaları ile ilgili yapılan ihbarlar üzerine Kurul bu uygulamaları Kişisel Verilerin Korunması Hakkında Kanun açısından değerlendirmiş. İlke Kararı’nda söz konusu uygulamalar ile ilgili birkaç hususta karar verilmiş ancak bu yazının konusu Kurul’un kara liste uygulamaları kapsamında kişisel veri işlenmesi halinde araç kiralama şirketleri ve yazılım şirketlerin ortak veri sorumlusu olarak değerlendireceklerine dair kararına ilişkindir.

Kara liste uygulamalarında müşterilere ilişkin kişisel veriler kiralama firması tarafından toplanıyor ve kiralama firmalarının veri sorumlusu oldukları konusunda herhangi bir şüphe bulunmuyor. Kara listeye eklenen kişisel veriler, verileri toplayan firmanın dışında diğer kiralama firmalarının da erişimine açıldığı ve bu firmalar da verileri kendi amaçları ve çıkarları için kullandıkları için bu firmaların da veri sorumlusu olarak değerlendirileceği şüphesiz.

Kararın dikkat çekici kısmı kişisel verilerin diğer firmaların erişimine açılmasına imkan tanıyan yazılım şirketlerinin de ortak veri sorumlusu olarak kabul edilmesi. İlke Kararının yazılım şirketlerinin ortak veri sorumlusu olarak değerlendirmesinin gerekçesinin zayıf ve eksik kaldığı görüşündeyiz.

Kurul’un İlke Kararında yazılım şirketlerinin ortak veri sorumlusu olarak değerlendirilmesi ile ilgili açıklaması “kara liste kaydına erişimin bir firma ile sınırlı kalmadığı, yazılıma aktarılan kişisel verilere yazılımı kullanan diğer araç kiralama firmalarının da erişim sağlayabildiği ve veri üzerinde hakimiyetleri olduğu dikkate alındığında, kara liste kaydını kendi menfaatleri doğrultusunda kullanan araç kiralama şirketleri ile yazılım şirketlerinin ortak veri sorumlululuğunun ortaya çıkacağı” şeklindedir. Bu açıklama ile yazılım şirketlerinin hangi menfaatleri doğrultusunda veri işledikleri açıkça ortaya koyulmamıştır.

Bu eksikleri doldurmak için Genel Veri Koruma Tüzüğü (“GDPR”) ve ilgili çalışma gruplarının görüşlerine başvurmayı faydalı buluyoruz.

Daha önce yayınladığımız “Veri Sorumlusu ve Veri İşleyeni Nasıl Ayırt Edebilirsiniz?” yazımızda bu konuyu detaylı olarak ele almıştık. O yazıda da değindiğimiz gibi, GDPR, Madde 26’daki tanıma göre iki veya daha fazla veri sorumlusu veri işlemenin amacını ve vasıtalarını beraber belirliyorsa, bu kişiler ortak veri sorumlusudurlar. Birden fazla tarafın veri işleme faaliyetinde iş birliği içinde olması, her durumda bu tarafların ortak veri sorumlusu olduğu anlamına gelmez. Bazı durumlarda birbirinden ayrı veri sorumluları arasındaki veri aktarımı da söz konusu olabilir.

Madde 29 Veri Güvenliği Çalışma Grubu’nun “Veri Sorumlusu Veri İşleyen Konseptleri Üzerine 1/2010 Sayılı Görüşü” ortak veri sorumluların olabileceği durumlara güzel örnekler vermiştir. Bu örneklerden iki tanesini bu yazımızda da hatırlatmak isteriz.

Örnek 1: Bir yetenek avcısı şirketi olan Headhunterz Ltd şirketi Enterprize şirketine yeni eleman işe alımı konusunda hizmet vermektedir. Aralarındaki sözleşme açıkça “Headhunterz Ltd’in Enterprize adına hareket edeceğini ve kişisel veri işleme açısından veri işleyen olacağını, Enterprize’ın tek veri sorumlusu olduğunu” düzenler. Ancak, Headhunterz Ltd muğlak bir pozisyondadır: bir taraftan iş arayanlara karşı veri sorumlusu pozisyonundayken, diğer taraftan, Enterprize ve eleman arayan diğer şirketler, yani veri sorumluları, adına hareket eden veri işleyen pozisyonundadır. Headhunterz Ltd, uygun adaylara bakmak için hem Enterprize’ın gönderdiği özgeçmişlere hem de kendisine ait “global eşleşme” hizmeti sayesinde kendi veri tabanında bulunan özgeçmişlere bakar. Headhunterz Ltd, sözleşme uyarınca sadece imzalanan sözleşmeler için ödeme aldığı için, iş arayanlar ve iş ilanlarını eşleştirerek, kendi gelirini artırmaktadır. Bu unsur göz önüne alınarak, sözleşmedeki tanımlamalara rağmen Headhunterz Ltd, veri sorumlusu ve Enterprize ile en azından Enterprize işe alımları açısından müşterek veri sorumlusu kabul edilmelidir.

Örnek 2: Bir seyahat acentesi, otel zinciri ve havayolu, seyahat rezervasyon yönetimi açısından iş birliklerini artırmak üzere internet bazlı ortak bir platform kurmaya karar verirler. Hangi verilerin saklanacağı, rezervasyonların nasıl ayrılacağı ve teyit edileceği ve saklanan bilgilere kimlerin erişiminin olacağı gibi kullanılacak metotların önemli unsurlarına beraber karar verirler. Ayrıca, entegre pazarlama eylemleri yürütebilmek için müşterilerinin verilerini paylaşmaya karar verirler. Bu durumda, seyahat acentesi, havayolu ve otel zincirinin kendi müşterilerinin kişisel verilerinin nasıl işleneceği konusunda müşterek kontrolleri olduğundan ortak internet bazlı platforma ilişkin yürütülen işleme faaliyetleri açısından ortak veri sorumlusu sayılırlar.

Yukarıdaki örneklerden de yola çıkararak yazılım şirketlerinin, bir araç kiralama firması tarafından müşterileri ile ilgili toplanan verilerin diğer kiralama firmalarının aktarılmasına izin vererek, hizmetlerine katma değer kazandırmaları ve bu şekilde gelirlerini arttırmayı hedefleyerek söz konusu müşteriye sunulan hizmetin dışında başka bir amaç için bu verileri işliyor olmalarından ötürü ortak veri sorumlusu olarak değerlendirilebileceği sonucuna varılabilir. Ancak İlke Kararının farklı yorumlara yol açmayı önlemek üzere yazılım şirketlerinin ortak veri sorumlusu kabul edilme kriterlerinin neler olduğunu açıkça belirtmesi gerekirdi diye düşünüyoruz. Aksi takdirde bu muğlaklık farklı farklı SaaS hizmetleri veren yazılım firmalarında bir endişeye yol açabilir.

Bize Yazın

Hizmetler

Önerilen Yazılar

TEKMER (Teknoloji Geliştirme Merkezi) Nasıl Kurulur ve Girişimcilere Hangi Destekleri Sunar?

Startup Yatırımları: Yatırımcı ve Girişimcinin El Kitabı

Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Yönetmelik Hakkında Bilmeniz Gerekenler

Ters Hak Ediş (Reverse Vesting) Nedir?

Sınırda Karbon Düzenleme Mekanizması (CBAM) ve Türkiye Üzerinde Etkileri

Köprüden Önce Son Çıkış: Önemli Olumsuz Değişiklik Maddesi (MAC Kloz)

Yatırım ve Pay Devri İşlemlerinde Ara Dönem ve Kapanış Şartları

Due Diligence ve Data Room Hakkında Bilmeniz Gereken Temel Unsurlar

Finansmana Hızlı Erişim Yöntemi Olarak Paya Dönüştürülebilir Borç (Convertible Debt)

Yatırımcının Ödediği Primli Pay Bedelinin Nominal (İtibari) Değerden Farkı Nedir ve Nasıl Hesaplanır?

İletişim

Bize Yazın

Footer

Hizmetler

Önerilen Yazılar

İletişim

LINKEDIN