Kişisel Verileri Koruma Kurumu (“Kurum”) ilk kez kavramsal olarak müşterek veri sorumluluğunun yer aldığı, araç kiralama firmalarının kara liste uygulamaları hakkında ilke kararını 20 Ocak 2022 tarihli ve 31725 sayılı Resmî Gazete’de yayımladı.
Kurum’a son dönemde yapılan ihbarlar değerlendirildiğinde; (a) araç kiralamada “kara liste” adı verilen birtakım yazılım, program ve uygulamaların kullanılarak kişisel verilerin işlendiği, (b) bu yazılımların araçların kullanım sürecinde meydana gelen olumsuzlukları veya araç kiralama firmasının yorumlarını içerdiği ve (c) bu verilerin söz konusu araç kiralama firması tarafından sonraki araç kiralama süreçlerinde kullanılarak diğer araç kiralama şirketlerinin de erişimine sunulduğu tespit edilmiştir.
Kararda, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 5. maddesi uyarınca istisnai hâller dışında kişisel verilerin açık rıza olmaksızın işlenemeyeceği ve veri sorumlularının kişisel verileri hukuka uygun işlemek ve kişisel verilerin güvenliğini sağlamak üzere uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almaları gerektiği belirtilmiştir.
Verilen kararda;
- Söz konusu veriler üzerinde hakimiyeti bulunan araç kiralama şirketlerinin yazılım şirketleri ile ortak veri sorumlusu olarak değerIendirileceklerine,
- Hukuka aykırı uygulamalara son verilerek, araç kiralama sektöründeki veri işleme süreçlerinde Kanun’da öngörülen gerekli teknik ve idari tedbirlerin alınması gerektiğine,
- Kara liste uygulamasını kullanmaya devam eden veri sorumluları hakkında, Kanun uyarınca gerekli işlemlerin uygulanacağı belirtilmiştir.
İlke kararın tam metnine bu bağlantıdan ulaşabilirsiniz.
