KVK Kurumundan Araç Kiralama Sektörü Hakkında İlke Kararı
Kurum, kendisine intikal eden ihbarlara dayanarak yaptığı incelemeler sonucunda araç kiralamalarında, birtakım yazılımlar aracılığı ile müşterilerle araç kullanımı süresince yaşanan olumsuzluklar ve araç kiralayan firmanın yorumlarının yer aldığı "kara liste"ler tutulduğunu; kara listeye eklenen bilgilerin kişinin ilgili firmadan bir sonraki araç kiralaması sırasında ve diğer firmalardan araç kiralayacağı durumlarda diğer araç kiralama firmaları tarafından da görüntülenebildiğini, kiralayanın ise bu bilgilerin işlendiğinden haberdar olmadığını tespit etmiştir.
Karar'da, kişinin temel hak ve özgürlükleri ile veri sorumlusunun meşru menfaati arasında somut olaya göre değerlendirme yapıldığında, veri sorumlusu firma bünyesinde kara liste uygulamasının uygulanabilir olduğunu ancak işlenen kişisel verilerin diğer firmalar ile paylaşılması hâlinde ilgili kişinin temel hak ve özgürlüklerinin ihlal edileceği ve amaçla bağlılık, sınırlılık ve ölçülülük ilkeleri ile bağdaşmayacağı değerlendirilmiştir. Ayrıca Karar'da kara liste kapsamında kişisel verilerin işlenmesinin, ilgili kişilerin, kişisel verilerinin paylaşıldığı diğer araç kiralama firmalarının kim olduğunu bilebilecek durumda olmaması nedeni ile kanunda sayılan haklarını kullanmalarına engel teşkil edeceği de vurgulanmıştır.
Bu Kararla Birlikte Veri Sorumlularının Dikkat Etmesi Gereken Hususlar Nelerdir?
Kurum tarafından Kişisel Verilerin Korunması Kanunu'na aykırı olarak araç kiralama sektöründe kara liste uygulaması kapsamında kişisel verilerin işlenmesi hâlinde, söz konusu veriler üzerinde hakimiyeti bulunan araç kiralama şirketinin yazılım şirketleri ile "ortak veri sorumlusu" olarak değerlendirileceği ve araç kiralama firmaların hukuka aykırı uygulamalara son vermesinin, gerekli idari ve teknik tedbirler veri sorumlularınca alınmaması hâlinde kara liste uygulamasına başvuran veri sorumluları hakkında idari para cezasına hükmedileceği ayrıca belirtilmiştir.
Ortak Veri Sorumlusu Kavramı
Karar'da ilk defa 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda tanımlanmayan ve Avrupa Genel Veri Koruma Tüzüğü'nde (GDPR) yer alan ortak veri sorumlusu kavramına yer verilerek, yazılımı sağlayan şirketler ortak veri sorumlusu olarak belirtilmiş ve yazılım şirketlerinin de bu veri işleme faaliyetinden sorumlu olduğu açıkça ifade edilmiştir.
Konu ile ilgili daha ayrıntılı bilgi sahibi olmak için VeriSistem® web sitemizi ziyaret edebilir veya bağlantıdan müşteri temsilcilerimize ulaşabilirsiniz.
-
-
Bilgilendirme Metni!