TR
  2. Anasayfa
  3. Mevzuat
  4. Kurul Kararları ve Duyurular
  5. Kişisel Verileri Koruma Kurulunun 20/07/2023 tarihli ve 2023/1234 sayılı Karar Özeti

Kişisel Verileri Koruma Kurulunun 20/07/2023 tarihli ve 2023/1234 sayılı Karar Özeti

"Bir Araç kiralama şirketi tarafından ilgili kişiden Findeks raporu talep edilmesi suretiyle kişisel verilerinin işlenmesi" hakkında Kişisel Verileri Koruma Kurulunun 20/07/2023 tarihli ve 2023/1234 sayılı Karar Özeti

 

Karar Tarihi : 20/07/2023
Karar No : 2023/1234
Konu Özeti : Bir araç kiralama şirketi tarafından ilgili kişiden Findeks Raporu talep edilmesi suretiyle kişisel verilerinin işlenmesi

 

Kuruma intikal eden şikayette özetle; 

  • Kullanıcılara çevrimiçi otobüs, uçak, kiralık araç ve konaklayacak yer arama hizmetleri sunan; otobüs, feribot ve uçak firmalarının seyahat biletlerini kullanıcılara yönelik satışa açan Platform’un (Platform) resmi internet sitesi üzerinden bir araç kiralama şirketinden 7 günlük bir süre için araç kiralandığı, kiralama hizmetini almak için aynı gün ilgili kişinin adına kayıtlı kredi kartından ödeme yapıldığı,
  • İlgili kişi aracı teslim almak üzere araç kiralama şirketinin yetkili acentesine gittiğinde rezervasyonunu yaptığı ve bedelini ödediği aracın teslim edilmesi için depozito ödemek üzere yetkililere kredi kartını tekrar verdiği, depozito bedelinin ödenmesi amacıyla kredi kartının ibraz edilmesine karşın acente çalışanları tarafından ilgili kişinin ayrıca Findeks raporuna erişilmek istendiğine ilişkin SMS’in kendisinin cep telefonuna iletildiği,
  • İlgili kişiye Findeks raporunun iletilmesi gerektiği, rapordaki verilerin işlenmesi konusunda açık rıza vermesi gerektiği, aksi halde araç kiralama hizmetinden faydalanamayacağının belirtildiği, aracın bu sebeple ilgili kişiye tesliminin yapılmadığı, Findeks raporunun ve açık rıza beyanının verilmemiş olması sebebi ile hizmetin ifasının araç kiralama şirketi tarafından gerçekleştirilmediği, aynı gün ilgili kişiye “firmamızın prosedürlerini kabul etmediğinizden rezervasyonunuz iptal edilmiştir.” şeklinde bildirim yapıldığı 

bildirilerek, araç kiralama şirketi bünyesinde tutulan ve işlenen tüm kişisel verilerin imha edilmesi ve imha işlemine dair kaydın verilmesi, kişisel verilerin aktarıldığı 3. kişiler var ise imha işleminin bu 3. kişiler nezdinde de yerine getirilmesi, hukuka aykırı uygulamaya son verilmesi, araç kiralama şirketi sistemlerinde ve/veya kayıtlarda ilgili kişiye ait herhangi bir kişisel veri bulunuyorsa derhal imha edilmesi talep edilmiştir.  

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu araç kiralama şirketinden savunması talep edilmiş olup cevabî yazıda özetle;

  • İlgili kişi tarafından belirtilen, Findeks sorgusu yapıldığı ve bu sebeple araç tesliminin yapılmayarak rezervasyonun iptal edildiği iddialarının gerçeği yansıtmadığı, araç kiralama şirketi tarafından VERBİS kaydının usulüne uygun şekilde yapıldığı ve kayıt altına alınan kişisel veriler ile alınma sebeplerinin detaylı şekilde belirtildiği, Şirket tarafından Findeks sorgusu yapılmadığı,
  • İlgili kişinin verilerinin aracı Platform tarafından işlendiği, dolayısıyla şikâyet ve taleplerinin de Platform’a iletilmesi gerektiği, araç kiralama şirketinin sadece aracın teslimi esnasında müşteri ile muhatap olduğu, rezervasyonu yapıp müşterinin verilerini işleyenin Platform olduğu, Platform ile araç kiralama şirketi arasında gizlilik sözleşmesi mevcut olduğu ve veri aktarımı için gerekli teknik önlemlerin alındığı, 
  • Araç kiralama şirketi tarafından Findeks sorgusu yapılmasının söz konusu olmadığı, ilgili kişiden talep edilenin, Findeks raporu talep edildiği iddiasının aksine depozito ödemesi olduğu, bu hususun da Platform tarafından bilinmekte ve müşterilerine iletilmesi gerekmekte olduğu, araç tesliminde yaşanan sıkıntının ilgili kişinin depozito ödemesini yapmak istememesinden kaynaklanmış olduğu, kendisi bu ödemeyi yapmayı kabul etmediği için araç kiralama şirketi prosedürlerini kabul etmemesi nedeniyle rezervasyonun iptal edildiği bilgisinin iletildiği, burada sorumluluğun tamamen Platform’a ait olduğu, Findeks raporundaki kişisel verilerin işlenmesi ile ilgili açık rıza vermeye zorlanması iddiasının gerçeği yansıtmadığı, ilgili kişinin talebi üzerine araç kiralama şirketi sistemine kayıtlı tüm kişisel verilerin imha edildiği, müşterilerin kişisel verilerinin yurt içi veya yurt dışına aktarılmadığı 

hususları belirtilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde ayrıca aracı Platform’dan savunması talep edilmiş alınan cevabî yazıda özetle;

  • Tüm hakları kendisine ait olan internet sitesi ve aynı isimli mobil uygulaması üzerinden, kullanıcılara çevrimiçi otobüs, uçak, feribot bileti, kiralık araç ve konaklayacak yer arama portali hizmetleri sunulduğu; otobüs, feribot ve uçak firmalarının seyahat biletlerinin kullanıcılara yönelik olarak satışa sunulması amacıyla Platform üzerinden ilgili taşıyıcı firmaların biletlerinin satın alınmasına olanak sunulduğu; Platform tarafından aracı hizmet sağlayıcı olarak sunulan diğer hizmetlerin ise kullanıcıların Platform üzerinden ödeme yapmak suretiyle konaklama rezervasyonu ve yine kullanıcılara hizmet sağlayıcı konumundaki çeşitli araç kiralama firmaları tarafından sunulan araç kiralama hizmetlerine ilişkin rezervasyon yapma imkanının sunulması olduğu, sağlanan araç kiralama ve konaklama rezervasyonu hizmetlerinin “aracı hizmet sağlayıcı” sıfatıyla verildiği,
  • Platform’un “başkalarına ait iktisadi ve ticari faaliyetlerin yapılmasına elektronik ticaret ortamı” sağlayan bir ticaret şirketi olmakla Platform üzerinden ticaret mevkiine sunulan hizmetleri bizzat vermediği ve yalnızca söz konusu hizmetlerin satışına aracılık ettiği, bu kapsamda Platform’un gerek kullanıcılarla gerekse hizmet sağlayıcılarla olan sözleşme ilişkisinin kullanıcıların Platform üzerinden hizmet sağlayıcıların hizmetlerinin satışa sunulması ve hizmetlerin satın alınması halinde söz konusu satışın ilgili hizmet sağlayıcıya bildirilmesini kapsadığı,
  • Bu çerçevede, aracı hizmet sağlayıcı sıfatını haiz Platform’un hizmet sağlayıcı tarafından sunulan içerik ve içeriğe konu mal veya hizmetle ilgili hukuka aykırı hususlardan sorumlu olmadığı, bu hususun Yargıtay kararları ile de sabit olduğu, Yargıtay 3. Hukuk Dairesi 15.11.2021 tarih, 2021/4000 E. ve 2021/11403 K. sayılı Kararında; “Somut olayda, yukarıda açıklanan mevzuat hükümleri birlikte değerlendirildiğinde internet ağı üzerinden elektronik ticarete imkan sağlayan davacı şirketin aracı hizmet sağlayıcısı konumunda olduğu ve taraflar arasında mesafeli satış sözleşmesi ön bilgilendirme formuna göre satıcı tarafın “...” olduğu, bu durumda davacı aracı hizmet sağlayıcının hizmet sunduğu elektronik ortamı kullanan gerçek ve tüzel kişiler tarafından sağlanan içeriği kontrol etmek, bu içerik ve içeriğe konu mal veya hizmetle ilgili hukuka aykırı bir faaliyetin ya da durumun söz konusu olup olmadığını araştırmakla yükümlü olmadığı anlaşılmaktadır. Hal böyle olunca, mahkemece; 6563 sayılı Kanun’un 9. Maddesi ve yine Elektronik Ticarette Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcılar Hakkında Yönetmeliğin 6. Maddesine göre aracı hizmet sağlayıcı olan davacının malın ayıplı olmasından kaynaklı sorumluluğunun bulunmadığı gözetilerek davanın kabulüne dair hüküm kurulması gerekirken, yanılgılı değerlendirme ile davanın reddine, karar verilmiş olması doğru görülmediğinden, Adalet Bakanlığının bu yöne ilişen kanun yararına temyiz talebinin kabulü gerekir.” ifadelerine yer verilmek suretiyle hizmet sağlayıcı tarafından sunulan hizmet ve/veya ürün nedeniyle meydana gelen hukuka aykırı durumdan, aracı hizmet sağlayıcının sorumlu olmadığını ortaya koymuş olduğu,
  • Platform tarafından, 26.08.2022 tarihinde Platform üzerinden araç kiralama hizmetleri bakımından araç kiralama şirketi ile çalışılmaya başlandığı, araç kiralama şirketi ile Platform’un, verilecek hizmete ilişkin yapılan görüşmeler kapsamında hizmetin sunulmasına ilişkin şartlar hususunda karşılıklı olarak mutabık kaldığı ve taraflar arasında ticari güven ilişkisine dayanan bir sözleşme ilişkisi kurularak araç kiralama şirketinin Platform’a dahil edildiği, 
  • Platform’un yalnızca ve sadece araç kiralama şirketi tarafından kendisine Uygulama Programlama Arabirimi (“API – Application Programming Interface”) üzerinden kod ile çevrimiçi olarak bildirilen tarih, araç, araç uygunluğu gibi bilgileri Platform üzerinden bu hizmeti arayan kullanıcılara adeta bir arama motoru gibi hizmet vererek sunmakta, kullanıcılar tarafından araç kiralama şirketince verilen araç kiralama hizmetinin tercih edilmesi halinde talebin Platform üzerinden alınmakta ve yine araç kiralamaya ilişkin ücretin Platform üzerinden tahsil edilerek araç kiralama şirketine gönderilmekte olduğu, taraflar arasındaki anlaşma doğrultusunda araç kiralamaya ilişkin ücretin tamamının araç kiralama şirketine iletilmekte, yapılan mutabakata uygun olarak Platform tarafından araç kiralama şirketine tarafların mutabık kaldığı komisyon oranına uygun şekilde komisyon faturası kesilmekte ve ilgili komisyon bedelinin araç kiralama şirketi tarafından Platform’a ayrıca ödenmekte olduğu

belirtilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 20/07/2023 tarihli ve 2023/1234 sayılı Kararı ile;

  • Platform (işlem yapılan internet sitesi ya da mobil hizmet) üzerinden kullanıcıların araç kiralama başvurularının veya rezervasyon taleplerinin alındığı, araç kiralama şirketleri tarafından belirlenen ücretlerin ise kullanıcılardan tahsil edilmekte, bu noktada Platform’un araç kiralama hizmeti vermemekte yalnızca rezervasyon taleplerini almakta olduğu, dolayısıyla Platform’un veri sorumlusu sıfatıyla sorumluluğunun Platform hizmetleri bakımından (bilet listeleme, sefer görüntüleme, bilet satış araç kiralama, araç listeleme, otel listeleme, otel rezervasyonu yapma ve benzeri hizmetler) olacağı, araç kiralama hizmetleri ile ilgili kişisel verilerin işleme amaçlarının ve vasıtalarının belirlenmesi durumu söz konusu olmadığından bu hizmetler bakımından Platform’un veri sorumlusu sıfatını haiz olmadığı, bu sebeple somut olaya ilişkin inceleme kapsamında Platform’un veri sorumlusu olarak ele alınmadığı,
  • 1174 sayılı Kimlik Bildirme Kanunu’nun Ek Madde 3 başlıklı maddesinin birinci fıkrasının “Araç kiralama şirketlerinin sorumlu işleticileri ve yöneticileri, kiralanan araç bilgileri ile aracı kiralayanların kimlik bilgileri ve kira sözleşmesi kayıtlarını usulüne uygun şekilde günü gününe tutmak ve bu kapsamda mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerinin her an incelemelerine hazır bulundurmak zorundadırlar. Ancak araç kiralayanın kamu kurum veya kuruluşu olması hâlinde sadece kamu kurum veya kuruluşuyla yapılan sözleşme ile araç bilgileri sisteme kaydedilir.” hükmünü haiz olduğu, bu kapsamda araç kiralama şirketlerinin, kiralamayı talep eden ilgili kişilerin başta kimlik bilgileri olmak üzere kişisel verilerini işlemekte olduğu, bu işlemlerin Platform üzerinden yapan araç kiralama şirketlerinin Kanunun 3’üncü maddesinin (ı) bendinde belirtilen “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleme, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüzel kişi” olma şartının sağlanması sebebiyle veri sorumlusu olduğu,
  • Şikâyete konu edilen somut olay kapsamında; ilgili kişinin Platform’un resmi internet sitesi üzerinden veri sorumlusu olan araç kiralama şirketinden 7 günlük bir süre için araç kiraladığı, söz konusu kiralama hizmetini almak için aynı gün ilgili kişi adına kayıtlı kredi kartından ödeme yapıldığı, ilgili kişi veri sorumlusunun acentesine gittiğinde rezervasyonunu yaptığı ve bedelini ödediği aracın teslim edilmesi için depozito ödemek üzere yetkililere kredi kartını tekrar verdiği, Kuruma sunulan belgelerden de anlaşıldığı üzere (ilgili kişi tarafından sunulan SMS görüntüsü) Findeks raporuna erişilmek istendiğine ilişkin SMS’in ilgili kişinin cep telefonuna iletildiği, akabinde ilgili kişinin rezervasyonun iptal edildiği ve kendisine buna ilişkin bildirim yapıldığı, bununla birlikte aynı gün ilgili kişi tarafından gönderilen e-postada yer alan Kanunun 11’inci maddesi kapsamındaki taleplerin yerine getirilmediği, bununla ilgili Kuruma da herhangi bir bildirimde bulunulmadığı,
  • Kanun’da açık rızanın “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmasına binaen açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi, bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, açık rıza beyanının genel nitelikte olmaması, belirli bir konuya özgülenmiş ve o konu ile sınırlı olması gerekmekte olup açık uçlu veri işleme faaliyetlerine ilişkin rıza alınamayacağı, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerektiği, ayrıca kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olmasının beklenildiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden önce yapılmasının önem arz ettiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olması gerektiği, bu çerçevede açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir ürün ve/veya hizmetin sunumunun da (ya da herhangi bir üründen ve/veya hizmetten yararlandırılması) ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği,
  • Her ne kadar veri sorumlusu tarafından “Findeks sorgusu yapılmasının söz konusu olmadığı, müşteriden talep edilenin kendisinin iddiasının aksine depozito ödemesi olduğu, araç tesliminde yaşanan sıkıntının müşterinin depozito ödemesini yapmak istememesinden kaynaklanmış olduğu” ifade edilmiş olsa da veri sorumlusunun internet sitesinde yer alan “Kiralama Koşulları” sekmesinde “Findekse dayalı Karar Destek Skoru Sorgulaması” başlığı altında; 24. “Gerekli durumlarda, firmamızdan ilk kez araç kiralayacak müşterilerimiz için geçerli olacak şekilde kiralama esnasında Findekse dayalı Karar Destek Skoru sorgulaması ve provizyon işlemi yapılabilir. Araç sınıfına göre provizyon tutarına web sitemizden ulaşabilirsiniz. Provizyon iade süresi, aracın teslim alındığı andan itibaren 24 gündür. Firmamızdan ilk defa araç kiralama talebi ya da rezervasyonu bulunan yurt içi müşterilerimize Karar Destek Skoru adını verdiğimiz bir algoritma ile oluşan skor üzerinden kiralama işlemi yapılıp yapılmayacağına karar verilmektedir. Bu sistem müşterilerimizin; - Findeks Puanını - Yakın Tarihli kredi kartı ve/veya kredi başvurularını - Ödeme Performansını - Limit- Borç oranını - İkamet Adresini (Mahalle) ve bu adresin sosyo-ekonomik yapısını göz önünde tutan bir algoritma ile çalışmaktadır. Karar Destek Skoru findeks puanından farklıdır ve yukarıdaki maddeler sebebiyle, bazı müşterilerde findeks puanına göre aşağıda ya da yukarıda yer alabilir. Findekse dayalı Karar Destek Skoru verilerinizin uygun olması ve yaş kriterini karşılıyor olmanız, araç kiralama işleminin kesinlikle yapılacağı anlamı taşımaz. Araç kiralama işleminin yapılıp yapılmayacağı konusundaki son karar her durumda firmamıza aittir.” ifadelerinin yer aldığı,
  • Kanunun 4’üncü maddesinde yer alan Genel İlkelerden “hukuka ve dürüstlük kuralına uygun olma” ilkesinin, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade ettiği, dürüstlük kuralına uygun olma ilkesi uyarınca veri sorumlusunun, veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate alması gerektiği, ilgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket etmesi gerektiği, ilke uyarınca ayrıca ilgili kişi için söz konusu veri işleme faaliyetinin şeffaf olması ve veri sorumlusunun bilgilendirme ve uyarı yükümlülüklerine uygun hareket etmesi gerektiği, 
  • Kişisel verilerin korunması açısından ise dürüstlük kuralının, kişilerin kendilerine veri işleme konusunda izin ya da emir veren hukuk kurallarına dayanarak gerçekleştirdikleri fiillerde, bu hukuk kuralının amacına göre mümkün olan en az miktarda veri işlemeleri, ilgili kişilerin öngöremeyeceği biçimde hareket etmemeleri gibi davranışları gerektirdiği, veri sorumlularının, ilgili kişilerin çıkarlarını ve makul beklentilerini göz önüne almalarının dürüstlük kuralının gereği olduğu, 
  • Şikâyete konu olayda ilgili kişinin araç kiralama hizmetinden faydalandırılmasının, Findeks raporuna erişilmesine ilişkin açık rıza şartına bağlandığının, ilgili kişi tarafından açık rıza verilmemesi üzerine rezervasyonun iptal edildiğinin anlaşıldığı, Findeks raporuna erişilmek suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin, Kanunda yer alan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı oysa somut olayda Findeks raporu bilgileri sorgulanması suretiyle kişisel verilerin işlenmesinin ancak Kanun’un 5’inci maddesinin (1) numaralı fıkrası kapsamında açık rıza ile gerçekleştirebileceği, bu kapsamda veri sorumlusu tarafından Findeks raporu temin edilmeksizin kiralama işlemi yapılmaması suretiyle açık rızanın hizmet şartına bağlandığı dikkate alındığında Kanunun 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerin yerine getirilmediği,
  • İlgili kişinin, tutulan ve işlenen tüm kişisel verilerinin imha edilmesi ve imha işlemine dair kaydın kendisine verilmesi, kişisel verilerin aktarıldığı 3. kişiler var ise silme işleminin bu 3. kişiler nezdinde de yerine getirilmesi, hukuka aykırı uygulamaya son verilmesi, veri sorumlusunun sistemlerinde ve/veya kayıtlarında ilgili kişiye ait herhangi bir kişisel veri bulunuyorsa derhal imha edilmesi taleplerinin bulunduğu ancak veri sorumlusunca Kanunun 11’inci maddesi kapsamında ilgili kişinin başvurularına verilen cevapta ilgili kişiye yeterli ve açıklayıcı, taleplerini karşılar nitelikte bir yanıt verilmediği 

değerlendirmelerinden hareketle;

  • Findeks raporu bilgileri sorgulanması suretiyle kişisel verilerin işlenmesinin ancak Kanun’un 5’inci maddesinin (1) numaralı fıkrası kapsamında açık rıza ile gerçekleştirebileceği, bu kapsamda veri sorumlusu tarafından Findeks raporu temin edilmeksizin kiralama işlemi yapılmaması suretiyle açık rızanın hizmet şartına bağlandığı dikkate alındığında Kanunun 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusunun Kanun’un 13’üncü maddesi kapsamında kendisine yapılan başvuruya eksik cevap vermesinin Tebliğ’in 6’ncı maddesinde yer alan başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırma yükümlülüğüne aykırı olduğu değerlendirildiğinden; ilgili kişiler tarafından Kanun kapsamında yapılacak başvuruların Kanun’un 13’üncü maddesi hükmü ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi hükmü uyarınca etkin, hukuka ve dürüstlük kuralına uygun şekilde, gerekçe belirterek ve süresi içinde sonuçlandırılması gerektiği hususunun veri sorumlusuna hatırlatılmasına,
  • İlgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması ile birlikte, Kanun ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri kapsamında imha edilmesi gerektiği hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.