Kişisel Verileri Koruma Kurulu’nun Hizmet Ön Koşulu Olarak Findeks Raporu Talep Eden Araç Kiralama Şirketine Vermiş Olduğu İdari Para Cezası Kararının Türk Hukukuna Göre Değerlendirilmesi

1. GİRİŞ

Hizmet sunumuna yönelik ön koşulların kişisel veri işleme faaliyetleri ile ilişkilendirilmesi, özellikle özel nitelikli ya da finansal mahremiyete dair veriler söz konusu olduğunda, Kişisel Verileri Koruma Kurulu’nun (“Kurul”) giderek daha sık gündemine aldığı bir tartışma alanı haline gelmiştir. Kurul’un kararında, bir araç kiralama şirketinin müşterisinden, kiralamanın ön şartı olarak Findeks raporu talep etmesi ve bu talebin karşılanmaması hâlinde rezervasyonu iptal etmesi üzerine, hizmetin kişisel veri teminine bağlanmasının hukuka aykırı olduğu yönünde değerlendirme yapılmış ve şirkete idari para cezası uygulanmıştır.

Karar, kişisel verilerin korunmasına ilişkin temel ilkeler olan ölçülülük, gereklilik ve meşru menfaat dengesinin yeniden tartışılmasını zorunlu kılmaktadır. Zira araç kiralama faaliyeti, günümüz ekonomik koşullarında yüksek maddi risk içeren bir hizmet niteliğine bürünmüş; bu durum, şirketlerin müşterilerinin finansal güvenilirliğini ölçme ihtiyacını artırmıştır.

Bu çalışmada; (i) Findeks raporunun hukuki altyapısı ve içeriği, (ii) ilgili Kurul kararının bankacılık ve kişisel verilerin korunması hukuku açısından karşılığı ve (iii) kararın ölçülülük ve meşru menfaat dengesi açısından Türk hukuku çerçevesinde nasıl değerlendirilebileceği ele alınacaktır.

2. KARARIN ÖZETİ

Türkiye’de faaliyet gösteren bir araç kiralama şirketi, otobüs, uçak, kiralık araç ve konaklayacak yer arama ve satış hizmetleri sunan aracı bir çevrimiçi platform üzerinden müşterisine (“Müşteri” veya “Şikayetçi”) araç kiralamış, aynı gün kredi kartı ile ödeme yapmıştır.

Müşteri, aracı teslim almak üzere araç kiralama şirketinin yetkili acentesine gittiğinde kendisinden depozito ödemesi istenmiştir. Müşteri, depozito ödemek için yetkililere kredi kartını vermiştir.

Bunun üzerine Müşteri’ye Findeks’ten iki adımlı doğrulama SMS’i ile bir parola gönderilmiştir. Acente de Findeks raporuna erişim için doğrulama gereklilikleri yerine getirilmez ve rapordaki verilerin işlenmesi için açık rıza verilmez ise Müşteri’ye teslim edilmeyeceğinin bilgisi vermiştir.

Findeks raporunun ve açık rızanın Şikayetçi tarafından verilmemesi akabinde aynı gün Şikayetçi’ye firma prosedürlerini kabul etmediği gerekçesi ile rezervasyonun iptal bildirimi yapılmıştır.

Nihayetinde Şikayetçi verilerinin imhası ile hukuka aykırı uygulamanın sona ermesi talebi ile Kurul’a şikâyette bulunmuştur.

Kurul, aşağıda detaylı açıklandığı üzere hizmet şartına bağlı açık rızanın Anayasa’nın 20. maddesine (özel hayatın gizliliği) ve Kişisel Verilerin Korunması Hakkındaki Kanun’un (“KVKK” veya “Kanun”) 12. maddesine (veri sorumlusunun yükümlülüklerine aykırılık) aykırılıktan para cezası vermiştir.

Söz konusu Karar, kanaatimizce aşağıdaki hukuki çerçevelerde değerlendirilmeye ve ileriye dönük Türk hukukuna etkilerinin analiz edilmesinde fayda vardır:

(i) Findeks raporunun hukuki alt yapısı ve içerdiği kişisel verilerin değerlendirilmesi

(ii) Kararın Bankacılık Kanunu bağlamında değerlendirilmesi

(iii) Kararın Türk mevzuatı çerçevesinde kişisel verileri koruma hukuku bağlamında ve özellikle ölçülülük ve menfaat dengeleri açılarından değerlendirilmesi.

3. FİNDEKS RAPORU NEDİR?

3.1. FİNDEKSİN HUKUKİ ALT YAPISI

Bankacılık Kanunu Ek Madde 1 uyarınca Türkiye Bankalar Birliği (“TBB”) nezdinde, kredi kuruluşları ile BDDK tarafından uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile üçüncü gerçek kişiler ile hukuk düzeni çerçevesinde paylaşılmasını sağlamak üzere Risk Merkezi kurulmuştur.

Risk Merkezi yönetimi, Risk Merkezinin kuruluş amaçları doğrultusunda özel hukuk tüzel kişileri ile Kurulun uygun görüşüne istinaden bilgi alışverişine yönelik sözleşmeler imzalamaya yetkilidir.

BDDK, 3 Temmuz 2008 tarih ve 2685 sayılı Kararı ile KKB’ye bilgi alışverişi kuruluşu olarak faaliyette izni vermiştir. Ülkemizde bilgi alışverişi kuruluşu olarak sadece KKB ve Risk Merkezi faaliyet göstermektedir. KKB ise Risk Merkezi’ne vekaleten hizmet vermektedir^[2]. Dolayısıyla bugün itibariyle bankacılık bilgi alışverişi konusunda devlet tekeline sahiptir.

Findeks ise devlet tekeline sahip Kredi Kayıt Bürosu A.Ş.’nin (“KKB”) bir markasıdır^[3].

3.2. FİNDEKS RAPORU HANGİ VERİLERİ İÇERİR?

Findeks raporu, Bankacılık Kanunu’nun (“BK”) Ek Madde 1’e (“Ek Madde 1”) dayanarak hazırlanan; kişilerin bankalardaki kredi, kredi kartı ve kredili mevduat hesaplarının borç ve limit bilgilerini, ödemelerini vb. finansal verilerini gösteren rapordur.

Türkiye Bankalar Birliği Risk Merkezi Üyelerinin Müşterilerinin Risk Merkezi Nezdindeki Bilgilerinin Kendilerine ya da Onay Vermeleri Koşuluyla Belirledikleri Gerçek veya Tüzel Kişilere Verilmesine İlişkin Esas ve Usuller Hakkında Yönetmeliği’nin^[4] (“Risk Merkezi Yönetmeliği”) 3. maddesinin (1) fıkrasının (g) bendi uyarınca Findeks raporunun içeriği Risk Merkezi yönetimi tarafından belirlenmektedir.

Rapor, (i) kredi notu, (ii) ticari/bireysel kredilere ilişkin vaktinde ödenip ödenmediğine dair ay bazlı bilgiler, (iii) takibe alınmış ticari/bireysel kredilerin tutarı, (iv) varlık yönetim şirketlerine devredilen borçlar ve (v) kredi limitleri gibi finans verileri işlemektedir.

Örnek rapordan kimi görüntüler, bir sonraki sayfada sunulmuştur:

Görüleceği üzere Findeks raporunun içeriği, oldukça detaylı veriler içermektedir. Bu detayda bir veri paylaşımının araç kiralama açısından ölçülü addedilmesi, kanaatimizce son derece zordur.

Anayasa’nın 20. maddesi (özel hayatin gizliliği) çerçevesinde vatandaşların 6698 sayılı Kişiler Verilerin Korunması Hakkında Kanun’dan doğan haklarının korunmasını teminen kurulmuş Kişisel Verileri Koruma Kurulu, bu detayda bir veri işlemesini tespit ettiğinde ve mevcut içtihat birliği çerçevesinde verinin edinilme amacını kişiler lehine yorumlanmaya oldukça müsait olduğu kanaatindeyiz.

Buna alternatif olarak, Risk Merkezi Yönetmeliği’ne göre raporun içeriğinin Risk Merkezi yönetimi tarafından belirlenme konusundaki hukuki güce binaen, Risk Merkezi ve/veya vekili KKB, bir karar ile daha sade bir rapor hazırlayarak paylaşım yapabilir. Paylaşım için BDDK yönetmeliği seviyesinde bir hukuki düzenleme değişikliğine ihtiyacının öne sürülmesi, olasılık dahilindedir.

Örnek olarak sadece Findeks Kredi Notu’nun paylaşılması dahi araç kiralama uygulamaları için ciddi bir emare olup olmayacağı, firma bazında ticari değerlendirmeye tabi olunabilir:

4. KARARIN TÜRK MEVZUATI ÇERÇEVESİNDE DEĞERLENDİRİLMESİ

4.1. BANKACILIK MEVZUATI AÇISINDAN DEĞERLENDİRME

BK’nın 73. maddesinin ile bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait verilerin müşteri sırrı hâline geleceği düzenlenmiştir.

Ek Madde 1 ile risk bilgilerinin toplanması ve söz konusu bilgilerin gerçek veya özel hukuk tüzel kişileri ile paylaşılması, ilgili kişilerin onay vermeleri koşuluna bağlanmıştır.

Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik^[5] ile gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla müşteri sırrı niteliğindeki bilgilerin bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla her türlü bilgi ve belge alışverişinde bulunulmasının sır saklama yükümlülüğünün istisnası olduğu düzenlenmiştir.

Her ne kadar yukarıda anılan mevzuat kapsamında Findeks raporu temini için müşteriden KKB tarafından SMS aracılığıyla onay alınmasının BK’ya uygun olduğu kanaatinde olsak da Findeks raporunun içeriğinde sunulan müşteri verilerinin araç kiralama faaliyeti özelinde gerekliliği firmaların alacağı ticari karar çerçevesinde tartışılmalıdır.

4.2. KVKK AÇISINDAN DEĞERLENDİRME

4.2.1. ÖLÇÜLÜLÜK İLKESİ BAKIMINDAN DEĞERLENDİRME

KVKK’nın 4. maddesi ile kişisel verilerin işlenmesinde uyulması zorunlu ilkeler sayılmıştır.

Bu ilkelerden bir tanesi de işlenecek kişisel verilerin işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olmasıdır. Kişisel Verileri Koruma Kurumu’nun rehberleri uyarınca ölçülülük ilkesi, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması anlamına gelmektedir.

Günümüz ekonomik şartları, döviz kuru artışı ve enflasyonun etkisi ile yedek parça fiyatları ve sıfır/ikinci el araç fiyatları olağanüstü şekilde artmıştır. Araç almak mali açıdan oldukça yüksek bir külfet gerektiren bir yatırımdır.

Kiralamaya konu araçların maddi değeri ve bir zarar meydana geldiğinde maruz kalınacak olası kayıplar göz önüne alındığında araç kiralama şirketlerinin kiralama hizmeti sırasında, bu hizmete ilişkin müşterinin finansal riskini gösterir Findeks raporunu talep etmesinin ölçülü olduğu kanaatindeyiz.

4.2.2. VERİ SORUMLUSUNUN MEŞRU MENFAATİ BAKIMINDAN DEĞERLENDİRME

Kurul'un yerleşmiş içtihatları^[6] uyarınca ilgili kişinin temel hak ve özgürlükleri ile araç kiralama şirketlerinin söz konusu bilgiyi edinmesinden sağlayacağı menfaatler arasında bir denge testi yapılmasına, yarışan menfaatlerden hangisinin ağır bastığının gözetilmesine ve bunun sonucunda ilgili kişisel verilerin işlenmesine karar verilmesi gerekmektedir.

Araç kiralama firmaları, kiralanan araçların konusu suç teşkil eden olaya karışması neticesinde (i) adli makamlarca verilen güvenlik tedbirleri sebebiyle uzun yıllar aracı kullanamama, (ii) aracın kiraya verilememesi, (iii) aracın satılamaması gibi maddi riskler ile karşı karşıyadır.

Buna örnek olarak piyasa rayici 900.000 TL^[7] olan araçlar ortalama 500 TL üzerinden günlük kira bedeli ile kiralanmakta ve aracın fiili hakimiyeti bir başkasına teslim edilmektedir. Başka bir deyişle aracın değerinin 1/1800 oranına araç üzerindeki zilyetlik, günlük olarak el değiştirmektedir.

Bu kapsamda bir değerlendirme yapıldığında; araçların maddi değeri ve kiralama firmalarının taşıdığı risk ile bir kişisel veri niteliğinde olan araç kiralayanların mevcut rapordan çok daha sınırlı bir kredi notu öğrenilmesi arasındaki menfaat karşılaştırıldığında, menfaat dengesinin kurulduğu ve hatta araç kiralama firmalarının menfaatinin daha ağır basacağı kanaatindeyiz. Fakat bunun için, mevcut raporun çok daha sınırlandırılması için çalışmalar yapılmasında fayda vardır.

Sonuç olarak sadece kredi notunun işlenmesinin söz konusu menfaat kapsamında yeterli bir parametre olacağına inanmaktayız. Dolayısıyla Findeks kredi notu bilgisinin edinilmesinin KVKK’nın 5. maddesi ile sayılan kişisel veri işleme şartları kapsamında açık rıza alınmaksızın işlenebileceği kanaatindeyiz. Ancak bunun için, BDDK yönetmeliği seviyesinde bir hukuki düzenleme değişikliğine ihtiyacının öne sürülmesi, olasılık dahilindedir.

4.2.3. AÇIK RIZANIN HİZMET ŞARTINA BAĞLANMASI BAKIMINDAN DEĞERLENDİRME

KVKK’nın 3. maddesi uyarınca açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür irade ile açıklanan rızadır.

Kanunda yer verilen tanım ve Kurul’un yerleşmiş kararları^[8] çerçevesinde açık rızanın hizmet şartına bağlanması özgür iradeyi zedeler niteliktedir.

Bu konuda içtihat birliği mevcuttur.

Gereç ölçülülük ilkesi gerek meşru menfaat gerek ise hizmet ön koşuluna bağlılık açısından mevcut aleyhe içtihat birliği çerçevesinde hukuki görüşümüz, çok daha sınırlı bir Findeks raporu alınması durumunda kişinin açık rızasına gerek olmayacağı yönündedir.

5. SONUÇ VE ÇÖZÜM ÖNERİLERİ

Çağdaş medeniyetlerin birçoğunda banka kredi notunun malvarlığı edinimleri, kredi tahsisi, konut kiralama, hesap açılışları gibi temel ihtiyaçlara erişim açısından esas alındığı bilinen bir gerçektir.

KKB'nin ve dolayısıyla Findeks'in temel varlık amacı, kişilerin kredi risklerine ilişkin bilgilerin hukuk düzeni çerçevesinde paylaşılmasıdır.

AİHS Ek Protokol No. 1 md. 1 ve Anayasa md. 35 teminat altına alınmış, ediniminde alın teri olması nedeniyle kutsal hak kategorisindeki anayasal mülkiyet hakkına sahip araç kiralama şirketinin bilgi alışverişi konusunda devlet tekelindeki KKB’den sınırlı bir kredi notu verisini almasının, günümüz ekonomik koşullarında meşru menfaat ile uyumlu ve ölçülü bir uygulama olacağı kanaatindeyiz.

Tam olarak BDDK’nın mevduat bankalarına düzenlediği tebliğler çerçevesinde teminatsız bireysel tüketici kredilerinin takriben azami 500.000 TL ile sınırlandırılması ve fakat bu tutarın çok daha üzerindeki malvarlığı değerine sahip araçların fiili hakimiyetinin sadece depozito tutarında kredi kartı blokaj teminatı ile müşterilere tesliminin yarattığı paradoks ortadadır. 500.000 TL kredi tahsisinde (a) bordro, (b) taşınır/taşınmaz mal bilgileri, (c) kimi durumlarda kefalet vb. teminatlar, (d) kredi risk incelemesi talep edildiği bir ekonomik düzende çok daha kıymetli araçların adeta teminatsız kiralanması sırasında müşterilerden sınırlı kredi notunun talebinin hukuka aykırı bulunması, günümüz gerçeklikleri ile örtüşmemektedir.

Kurul'un Kararı'na sadece açık rızanın ön koşul olarak alınmaması gerektiği ve mevcut raporun çok detaylı olduğu noktasına katılmak ile birlikte raporun hizmet ettiği ihtiyaç noktasında açık rızaya ihtiyaç olmayan bir durum ile karşı karşıya olunduğu açıktır. Ayrıca Karar'da ölçülülük başta olmak üzere birçok kritik hususa değinilmemiştir.

Sonuç olarak sınırlı bir Findeks raporu ile kredi notu bilgisinin araç kiralama firmalarınca meşru menfaat kapsamında işlenebileceği kanaatindeyiz. Keza Türkiye ekonomisinin temel taşlarından birisi olan araç kiralama sektörüne kısmen de olsa güvence sağlanması gerekliliği bellidir. Bu doğrultuda Findeks raporunun nasıl daha sınırlı bir çerçevede temin edilebileceği konusunda çalışma yapılmasının faydalı olacağı görüşündeyiz.

^[1] https://kvkk.gov.tr/Icerik/7772/2023-1234

^[2] KKB, TBB Risk Merkezi’ne vekâleten tüm operasyonel ve teknik faaliyetleri kendi bünyesinde yürütmenin yanı sıra 185 Risk Merkezi üyesi finansal kuruluşa veri toplama ve paylaşım hizmeti vermektedir. (https://www.kkb.com.tr/hakkimizda)

^[3] Marka İlan Bülten Tarihi 14.08.2023, Başvuru Numarası 2023/091507, Başvuru Tarihi 14.07.2023

^[4] https://www.riskmerkezi.org/tr/duzenlemeler/yonetmelikler/19

^[5] https://www.resmigazete.gov.tr/eskiler/2021/06/20210604-6.htm

^[6] Kurul’un 22/07/2020 tarih ve 2020/559 sayılı Kararı,

Kurul'un 25/03/2019 tarihli ve 2019/78 Sayılı Kararı,

Kurul'un 23/06/2020 Tarihli ve 2020/481 Sayılı Kararı

^[7] https://renaultfiyat.com/renault-clio-fiyatlari

^[8] Kurulun 27/02/2020 T, 2020/173 Sayılı Kararı,

Kurulun 08/07/2019 T, 2019/206 Sayılı Kararı,

Kurulun 20/04/2021 T., 2021/389 Sayılı Kararı