30/11/2024 tarihli Resmi Gazete’de yayımlanan Dahiliye Memurları Kanunu ve Bazı Kanunlar İle 375 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun ile 1774 sayılı Kimlik Bildirme Kanununun ek 3 üncü maddesinin birinci fıkrasında değişiklik yapılmış ve bu değişiklik kapsamında araç kiralama şirketlerine ait araçlara GPS taktırma zorunluluğu da getirilmiştir.

İlgili düzenleme gereğince Araç kiralama faaliyetini yürüten gerçek ve tüzel kişilere ait işletmelerin sorumlu işletmecileri ve yöneticileri, kiralanan araç bilgileri, kiralayan kişilerin kimlik bilgileri ve kira sözleşmesi gibi tüm bilgileri bilgisayarda doğru şekilde tutmak, kolluk kuvvetlerinin denetimine her zaman hazır bulundurmak, bilgisayar terminallerini kolluk kuvvetlerinin bilgisayarlarına bağlamak, araç teslimi sırasında kiralayan ve araç bilgilerini anlık olarak kolluk kuvvetlerine bildirmek ve kiralanan araçlara GPS cihazı takarak konum bilgilerini üç yıl saklamak zorundadır.

Yukarıda belirtilen bilgi, belge ve kayıtları:

• Bilgisayarda tutmayanlara,
• Bilgisayar terminallerini kolluk kuvvetlerine bağlamayanlara,
• Gerçeğe aykırı kayıt tutan veya bilgi verenlere,
• GPS cihazı bulundurmayanlara,
• Konum bilgilerini üç yıl saklamayanlara,
• Bilgi ve kayıtları kolluk kuvvetlerinin incelemesine hazır bulundurmayanlara,
• Anlık bilgi bildirimini yapmayanlara,

idari para cezası uygulanır.

Genel kolluk kuvvetleri tarafından tutulan verilerden şahısların aktif araç kiralamasının olup olmadığı bilgisi araç kiralama faaliyeti yürüten gerçek ve tüzel kişilere ait işletmelerle paylaşılır.

• Madde kapsamında belirtilen yükümlüklerin tamamının araç kiralama şirketi tarafından yerine getirilmesi gerektiği anlaşılmaktadır. Olası bir durumda kolluk kuvvetlerinin muhatabı direkt araç kiralama şirketi olacak ve ilgili yaptırımlar ve idari para cezası araç kiralama şirketlerine uygulanacaktır.

İlgili yasal düzenleme kapsamında Araç Kiralama Şirketleri’nin araçlarına taktırmak zorunda olduğu GPS cihazlarına ilişkin 3. Bir firmayla çalışma zorunluluğu bulunmakta olup, bu cihazlar aracılığıyla edinilecek konum bilgilerinin Kişisel Verilerin Korunması Kanunu (KVKK) Kapsamında da korunması ve değerlendirilmesi gerekmektedir. Burada Araç Kiralama Şirketi ile GPS cihazını satan ve hizmet sunan şirket açısından KVKK kapsamındaki sorumluluklarına da ayrıca değinmek gerekir. Aşağıda Araç Kiralam şirketleri ile GPS cihazını satan ve hizmet sunan firmaların edinilen konum verileri kapsamında sorumlulukları farklı açılardan değerlendirilmiştir.

1. Gps Firmasının Veri İşleyen, Araç Kiralama Şirketinin Veri Sorumlusu Olarak Değerlendirilmesi

Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde ve yukarıda açıklanan veri sorumlusu ve veri işleyen kavramları ışığında;

Veri Sorumlusu Olarak Araç Kiralama Şirketi:

Veri sorumlusunun temel sorumluluğu, kişisel verilerin işlenme amacını ve işlenme yöntemini belirlemektir. Araç Kiralama şirketi, ilgili yasal düzenleme gereğince müşterilerinin araçlarını kiraladığı süreçte, araçların konum verilerini toplama amacı güder. Bu veriler, araç takibi ve yetkili kurum ve kuruluşlara bilgi verilmesi gibi operasyonel gereksinimler için kullanılmaktadır.

Araç Kiralama şirketi, GPS kaydı ile tutulan lokasyon verisini hangi amaçlarla kullanılacağını belirler. Bu, veri işleme sürecinin ilk aşamasıdır ve araç kiralama şirketi, kişisel verilerin hangi amaçlarla toplandığı ve işlendiği konusunda karar veren tek yetkili kişidir.

Araç Kiralama şirketi, kişisel verilerin hangi yöntemlerle toplanacağına karar verir. Her ne kadar kanun kapsamında GPS cihazlarının kullanılması zorunluluğu getirilse de bu yükümlülüğü yerine getirmesi gereken asıl sorumlu Araç Kiralama Şirketidir. Şirket, hangi GPS cihazını kullanacağını hangi GPS Firmasıyla anlaşacağına kendi karar verir. Araç Kiralama şirketi, toplanan verilerin kimlere aktarılacağı konusunda da karar verir. Verilerin kolluk kuvvetlerine iletilmesinde araç kiralama şirketi, verilerin iletim sürecinin nasıl işleyeceği konusunda önceden belirlenmiş bir düzen oluşturur. Bu nedenle, araç kiralama şirketi, verilerin paylaşılması konusunda nihai karar veren taraftır.

Araç Kiralama şirketi, toplanan verilerin ne kadar süreyle saklanacağına da karar verir. Kimlik Bildirme Kanunu kapsamında GPS verilerini üç yıl boyunca saklama zorunluluğu Araç Kiralama şirketinin sorumluluğunda olup şirketin bu verileri saklanma koşullarını da düzenlemesi yasal bir zorunluluğudur.

Veri sorumlusu, toplanan verilerin güvenliğini sağlamak için gerekli tüm önlemleri almakla yükümlüdür. Araç Kiralama şirketi, araçların konum verilerini toplarken, bu verilerin kaybolmaması, kötüye kullanılmaması veya izinsiz erişimlere karşı korunması için güvenlik önlemleri alır. Bu önlemler, sistemsel güvenlik, veri şifreleme, erişim kontrolü gibi tedbirleri içerir.

Araç Kiralama şirketi, veri işleyenlerle (örneğin GPS firması) sözleşmeler yaparak veri paylaşımının yasal çerçevede gerçekleşmesini sağlar. Bu sözleşmelerde, kişisel verilerin işlenmesi, güvenliği, aktarımı ve imha edilme koşulları açıkça belirtilir. Araç Kiralama şirketi, bu süreçlerin düzgün ve yasal bir şekilde işlediğini denetler.

Araç Kiralama şirketi, verilerin işlenmesi sürecinde sadece veri toplayan bir kurum değil, aynı zamanda verilerin işlenme amacını ve işlenme koşullarını belirleyen bir aktördür. Bu, KVKK'da veri sorumlusunun tanımına tam olarak uyar. Araç Kiralama şirketi, verilerin nasıl işleneceğini, kimlerle paylaşılacağını, verilerin ne kadar süreyle saklanacağını ve güvenliğinin nasıl sağlanacağını belirleyen ve yöneten kişidir.

Veri İşleyen Olarak GPS Firması:

GPS firması, Araç Kiralama şirketinin belirlediği talimatlar doğrultusunda, araçların konum verilerini işleyen bir veri işleyen olarak hareket eder. GPS firması, kişisel verilerin işlenmesi sürecinde bağımsız kararlar verme yetkisine sahip değildir ve yalnızca Araç Kiralama şirketinin belirlediği amaca uygun olarak veri işlemesi gerekmektedir.

Bu nedenlerle, GPS firması, verilerin nasıl toplanacağı, kimlere aktarılacağı ve ne kadar süreyle saklanacağı gibi kararları Araç Kiralama şirketinden alır ve sadece bu yönde hareket eder. GPS firması, veri sorumlusunun belirlediği çerçeveye uygun olarak, araç konum verilerini işlemekle yükümlüdür ve Araç Kiralama şirketi ile yapacağı sözleşme ile bu sorumluluğu kabul eder. Bu bağlamda, GPS firması verilerin güvenliğini sağlamak için gerekli önlemleri almak zorundadır, ancak verilerin işlenme amacı, hangi verilerin işleneceği ve verilerin kimlerle paylaşılacağı gibi kararlar tamamen Araç Kiralama şirketine aittir. GPS firması, Araç Kiralama şirketinin talimatlarına uygun olarak verileri işler ve bu veriler üzerinde bağımsız bir karar verme yetkisine sahip değildir.

Dolayısıyla, GPS firması, veri sorumlusunun talimatlarına bağlı olarak hareket eden bir veri işleyendir.

2. GPS Firmasının ve Araç Kiralama Şirketinin Ortak Veri Sorumlusu Olarak Değerlendirilmesi

Ortak veri sorumlusu kavramı KVKK’nda düzenlenmemişse de 2021/1304 sayılı İlke Kararı ve Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi’nde yer almaktadır. Belirtilen kaynaklar incelendiğinde ortak veri sorumlusu kavramının şu şekilde tanımlandığı anlaşılmaktadır:

Her ortak veri işleme faaliyeti doğrudan müşterek bir sorumluluk anlamına gelmez veya verileri birbirine aktaran kişiler ortak veri sorumlusu sayılmaz. Ortak veri sorumlusu olabilmek için veri işleme faaliyetinin amacını ve vasıtaları yani faaliyette kullanılacak aracı ortak belirlemek gerekir. Zaten, ortak veri sorumluluğunun belirlenmesinde esas alınacak yegâne ölçüt de budur. Müşterek veri sorumluları arasında yükümlülüklerin belirlenmesinde taraflar arasında sözleşme yapılması önemlidir. Bu kapsamda ortak veri sorumluları arasında akdedilecek sözleşmelerde, Kanunda veri sorumlusuna yüklenen yükümlülüklerin kim tarafından ne şekilde yerine getirilmesi gerektiğinin şeffaf bir şekilde düzenlenmesi halinde, bu düzenlemeler tarafların sorumluluk sınırlarının belirlenmesi açısından dikkate alınır. Ancak ilgili kişi, veri koruma hukukundan doğan haklarını veri sorumlularının her birine karşı ileri sürebilir.[1]

Açıklamalardan da anlaşılacağı üzere ortak veri sorumluluğundan bahsetmek için GPS firmasının ve Araç Kiralama şirketinin ortak karar alması gereklidir.

Eğer her iki taraf (araç kiralama şirketi ve GPS firması), verilerin işlenme amacı ve yöntemleri üzerinde ortak kararlar alıyorsa, bu durum ortak veri sorumluluğunu oluşturabilir. Örneğin, GPS firması, verilerin hangi amaçla kullanılacağına, nasıl saklanacağına ve kimlerle paylaşılacağına ilişkin kararlar alıyorsa, bu durumda her iki taraf da veri sorumlusu olarak kabul edilebilir. Burada dikkat edilmesi gereken nokta, verilerin işlenmesi sürecinde her iki tarafın da eşit derecede sorumluluğa sahip olması gerektiğidir. Ayrıca Araç Kiralama şirketi, GPS firmasına verileri iletmekte ve bu verilerin işlenmesinde belirleyici bir rol oynasa da, GPS firması verilerin işlenmesi sürecinde belirli izinler almak, işlemleri yürütmek ve belirli raporlamalar yapmakla yükümlü olabilir. Eğer bu tür süreçler her iki tarafın katılımıyla yürütülüyorsa, ortak veri sorumluluğu söz konusu olabilir.

Sonuç olarak ortak veri sorumlusu kavramı, her iki tarafın da verilerin işlenme amacını, yöntemini ve süreçlerini birlikte belirlemesi gerektiği bir durumdur. Eğer her iki taraf da eşit şekilde kararlar alıyor, veri işleme süreçlerini birlikte yönetiyor ve verilerin güvenliğini ortaklaşa sağlıyorsa, bu durumda her iki taraf veri sorumlusu olarak kabul edilebilir. Ancak, KVKK'ya göre, bir tarafın (örneğin araç kiralama şirketinin) diğerine (GPS firmasına) sadece veri işleme talimatları verdiği bir durumda, GPS firması veri işleyen olur.

3. Gps Firmasının Veri Sorumlusu Olduğu Fakat Araç Kiralama Şirketinin Verileri İşlemediği Durumun Değerlendirilmesi

GPS firması, araç kiralama şirketiyle yaptığı sözleşme çerçevesinde veri sorumlusu konumundadır. Çünkü araçlar ve sürücülerle ilgili hangi verilerin toplanacağına karar verme GPS firmasında bulunmakta olup, bu verileri toplama ve saklama için hizmeti de ayrıca sağlamaktadır. Verilerin toplama amacı araç kiralama şirketi tarafından belirlenmiş olsa da toplanacak verilerin seçimi konusunda GPS firmasının geniş bir takdir yetkisine sahip olması, onun da kiralama şirketiyle birlikte veri sorumlusu olarak kabul edilmesini gerektirir.

Kişisel verilerin korunmasıyla ilgili veri sorumlusu konumunda olan GPS şirketinin alması gereken önlemler şu şekildedir:

• Topladığı lokasyon verilerinin hukuka aykırı işlenmesini ve erişilmesini önlemek için politika ve prosedürler oluşturmak
• Aydınlatma metinleri ile ilgili kişilere gerekli bilgilendirmeleri yapmak ve zorunlu durumlarda açık rıza almak
• Lokasyon verilerinin saklandığı sistemlere yönelik siber güvenlik önlemleri almak
• Verilerin bulunduğu fiziksel alanlar, bulut sistemler ve yedekleme sistemlerini güvence altına almak
• Arızalanan veya değiştirilmesi gereken takip cihazlarında bulunan verilerin dışarıya aktarılmasını engellemek, cihazların sökülmesini ve güvenli bir şekilde saklanmasını temin etmek

Bu bilgiler ışığında görüleceği üzere, lokasyon verilerinin güvenliğini sağlamak ve mevzuata uygunluğu temin etmek için alınacak bu önlemler ancak veri sorumlusu konumunda olan GPS şirketi tarafından yerine getirilebilir. Zira GPS şirketi, GPS cihazı ile elde edilen tüm verileri kendi sunucularında muhafaza etmekte olup, araç kiralama şirketinin, kendi şirketinde bulunmayan sistemlere yönelik siber güvenlik önlemlerini almak, erişimi engellemek, arızalı cihazları değiştirmek gibi yukarıda sayılan tedbirleri alabilmesi mümkün değildir..

Benzer şekilde, GPS cihazı kapsamında edinilen tüm konum bilgilerinin GPS şirketini sistem ve sunucularında tutulması ve saklaması nedeniyle araç kiralama şirketi, yasal düzenleme kapsamında taktırmak zorunda olduğu ilgili cihazlara ilişkin bilgileri ilgili kurumlara bildirerek, isteği doğrultusunda lokasyon verilerine kendisi erişmeme seçeneğini tercih edebilir. Bu durumda, araç kiralama şirketinin söz konusu veriler üzerinde herhangi bir hakimiyet kurması veya belirleyici bir rol üstlenmesi mümkün olmayacak ve lokasyon verilerinin kontrolü ve işlenmesi, yalnızca veri sorumlusu konumundaki GPS firmasında kalacaktır.

Ayrıca, araç kiralama şirketinin araçlarına takılacak cihazların GPS firmasından satın alınacağı/kiralanacağı göz önünde bulundurulduğunda hem verileri toplayan hem de bu verilerin toplanmasını sağlayacak sistemi kuran taraf, GPS firması olacaktır.

Ancak araç kiralama şirketinin söz konusu bu durumda dahi istediği zaman GPS şirketinde tutulan konum verilerine ulaşma ihtimali söz konusu olduğundan bu açıdan araç kiralama şirketinin sorumluluğu bulunmadığı yönünde bir değerlendirme yapmak da çok mümkün değildir.

Son olarak değinilmesi gereken bir husus ise araç kiralama şirketlerine ait araçlara taktırılacak GPS cihazları kapsamında edinilecek konum bilgisinin bir kişisel veri olarak değerlendirilip değerlendirilemeyeceğidir. Araç kiralama şirketinin söz konusu aracı tüzel kişiye kiralamış olması halinde, ilgili araçta GPS cihazı olsa dahi edinilen konum bilgisinin aracın kimin tarafından kullanıldığının bilinmemesi sebebiyle gerçek kişiyle eşleştirilmesi mümkün olmadığından kişisel veri olarak kabul edilmeyecektir. Ancak tüzel kişiye kiralanmış olan bir aracın araç kiralama şirketinin bilgisi dahilinde bir serviste bakım/onarıma girmesi, aracın tek taraflı veya çift taraflı bir kazaya karışmış olması halinde tutulan tutanaklarda yer alan bilgilerle araç kullanıcısının tespit edilebilmesi halinde ilgili konum verisi ile kullanıcı eşleştirilebilecek ve bu durumda bu konum bilgisi kişisel veri olarak değerlendirilecektir. Hal böyleyken araç kiralama şirketlerinin tüzel kişi ya da gerçek kişiye yapmış olduğu kiralamalarda her olay özelinde konum bilgisinin bir kişisel veri olup olmadığı hususu değerlendirilmekte ise de araç kiralama şirketlerinin tüm bu ihtimalleri göz önüne alarak gerekli önlemleri alması gerekmektedir.

Yukarıda yapmış olduğumuz tüm açıklamalar ve değerlendirmelerden de görüleceği üzere, araç kiralama şirketleri tarafından ilgili mevzuat kapsamında takılması zorunlu olan GPS cihazlarının KVKK kapsamında da hukuki bir sorun yaratacağı açıkça ortadadır. Araç kiralama şirketi ve GPS şirketlerinin araç kiralayan müşterilere karşı KVKK kapsamında sorumlulukları, her iki şirketin kendi arasında yapacağı sözleşmeler, kiralama şirketinin alacağı hizmete göre ayrı ayrı değerlendirilmelidir. Ancak her halükarda ilgili mevzuat gereğince GPS taktırma zorunluluğu araç kiralama şirketlerine ait olduğundan, araç kiralama şirketleri tarafından konum bilgilerine ulaşılmak istenmese dahi her zaman ulaşabilme ihtimali bulunduğundan müşterilerine karşı veri sorumlusu olarak hareket etmesi gerektiği ve bu kapsamda müşterilerini aydınlatması ve ilgili belgeleri düzenlemesi gerektiği kanaatindeyiz. Yine GPS şirketleri ile yapılacak sözleşmelerin KVK, gizlilik ve veri aktarım taahhütlerini de kapsayan nitelikte GPS şirketlerinin de sorumluluğunu düzenleyen sözleşmeler olması bu açıdan çok önemlidir.

[1]https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/12236bad-8de1-4c94-aad6-bb93f53271fb.pdf