EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Araç Kiralama sektörü ile ilgili kararlar

2023/1465

24/08/2023

Konu: Veri sorumlusuna ait internet sitesinde yapılan kullanıcı girişinde üçüncü kişiye ait kişisel verilerin görüntülenmesi

Kararı Paylaşın

Karar Özeti:

Bir araç kiralama internet sitesindeki hesabına giriş yapan ilgili kişi, kendi giriş bilgilerini girmesine rağmen başka bir kişinin hesabına giriş yapmış ve kişiye ait isim, adres ve TC kimlik numarasını görmüştür. İhlali veri sorumlusuna bildiren başvuran, ihlalin düzeltildiğini görmüş ama herhangi bir cevap alamamıştır. Bunun üzerine Kuruma başvurmuştur. Kurum veri sorumlusundan savunma istemiştir. Savunmada; algoritmalarında kısa süreli bir hata olduğu ve toplam 4 kişinin bu sorunu yaşadığı tespit edilmiş ve düzeltildiği söylenmiştir. Ancak veri ihlali Kuruma bildirilmemiştir. Kurum veri 12/5 uyarınca ihlal bildiriminin yapılmaması sebebiyle ceza uygulamıştır.

Ceza: 200000 TL idari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/1234

20/07/2023

Konu: Bir Araç kiralama şirketi tarafından ilgili kişiden Findeks raporu talep edilmesi suretiyle kişisel verilerinin işlenmesi

Kararı Paylaşın

Karar Özeti:

İnternet üzerinden bilet satışı ve araç kiralama hizmeti sunan aracı platform üzerinden araç kiralayan ilgili kişi, aracı almak için acenteye gittiğinde kendisinden depozito istenmiştir. Depozito için kredi kartını görevliye veren iligli kişinin telefonuna findex raporunun sorgulandığına ilişkin bir SMS gelmiştir. Bu işlemin yapılmasına rızası olmadığı söyleyen başvuran, personelden eğer buna izin vermezse aracı teslim etmeyeceklerine yönelik bir yanıt almıştır. Açık rızasını belirtmeyen başvurana araç teslim edilmemiştir ve platformdan rezervasyonunun iptal edildiğine yönelik bir SMS almıştır. Olay üzerine Kuruma başvuran ilgili, açık rızanın hizmet şartına başlandığı gerekçesiyle Kuruma şikayette bulunmuştur. Kurum hem kiralama şirketinden hem de aracı satış platformundan savunmalarını istemiştir. Araç kiralama şirketi findex taleplerinin olmadığı ve müşterinin yalan beyanda bulunduğunu, aracı platform ise kendilerinin sadece bir aracı platform olduklarını, böyle bir taleplerinin bulunamayacağını ve aracı olmalarından dolayı olayda veri sorumlusu sıfatına sahip olmadıklarını belirtmiştir. Kurum yaptığı incelemede; ilgili kişinin araç kiralama hizmetinden faydalandırılmasının, Findeks raporuna erişilmesine ilişkin açık rıza şartına bağlandığının, ilgili kişi tarafından açık rıza verilmemesi üzerine rezervasyonun iptal edildiğinin anlaşıldığı, Findeks raporuna erişilmek suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin, Kanunda yer alan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı oysa somut olayda Findeks raporu bilgileri sorgulanması suretiyle kişisel verilerin işlenmesinin ancak Kanun’un 5’inci maddesinin (1) numaralı fıkrası kapsamında açık rıza ile gerçekleştirebileceği, bu kapsamda veri sorumlusu tarafından Findeks raporu temin edilmeksizin kiralama işlemi yapılmaması suretiyle açık rızanın hizmet şartına bağlandığı dikkate alındığında Kanunun 12’nci maddesinin (1) numaralı fıkrasının ihlal edildiğine karar vermiştir. Findeks raporu bilgileri sorgulanması suretiyle kişisel verilerin işlenmesinin ancak Kanun’un 5’inci maddesinin (1) numaralı fıkrası kapsamında açık rıza ile gerçekleştirebileceği, bu kapsamda veri sorumlusu tarafından Findeks raporu temin edilmeksizin kiralama işlemi yapılmaması suretiyle açık rızanın hizmet şartına bağlandığı dikkate alındığında Kanunun 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

Ceza: 100.000 TL idari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/1303

23/12/2021

Konu: Araç kiralama sektöründeki kara liste uygulamaları hakkında ilke karar

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen ihbarlar kapsamındaki gerçekleştirilen incelemeler neticesinde ilke karar verilerek, araç kiralama sektöründe “kara liste” yazılımlarına/programlarına/uygulamalarına başvurulduğu, bu şekilde bir kara liste uygulamasının kullanılması amacıyla araç kiralama şirketlerine araç kiralama yazılımcısı ve satıcısı kişilerin “kara liste” özelliği içeren araç kiralama yazılımı hizmeti sundukları, araç kiralama şirketleri tarafından hizmetlerinden yararlanan müşterilere ait bilgilerin özellikle kullanım sürecinde meydana gelen olumsuzluk veya araç kiralama firmasının yorumlarının bu listede yer aldığı belirtilmiştir. Bu hizmetin verilişi esnasında alınan konum bilgileri ve depolanabilir diğer bilgilerle ilgili kişilerin profillenebileceğinin bu profilleme işleminin meşru menfaat kıstasları altında yapılması gerektiği belirtilip tanımlanmıştır. Bununla birlikte, yazılım şirketleri tarafından sunulan hizmetin SaaS (software as a Service) şeklinde olduğu, hizmetin gereği olarak veri tabanı ve yazılımın yönetiminin yazılım şirketinde olduğu, yazılıma eklenen özellikler ile bir araç kiralama firmasının kara listeye girdiği bilgilerin diğer firmalar ile de paylaşılacak şekilde düzenlendiğinin tespit edildiği belirtilerek, bu şekilde müşterilerin kişisel verilerinin aynı yazılımı kullanan diğer veri sorumlularına aktarılması ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmesi anlamına geleceğine ve KVKK’nın 4’üncü maddesinde düzenlenen Genel İlkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli açık ve meşru amaçlar için işlenme”, “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil edeceğine karar verilmiştir. Ayrıca araç kiralama şirketi ve yazılım şirketinin kara liste kapsamında paylaşılan veriler açısında “ortak veri sorumlusu” olduğu değerlendirilerek, sorumluluk ve kusur miktarlarının olay bazında değerlendirilmesi gerektiğine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/1304

23/12/2021

Konu: Araç kiralama sektöründeki kara liste uygulamaları hakkında ilke karar

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen ihbarlar kapsamındaki gerçekleştirilen incelemeler neticesinde ilke karar verilerek, araç kiralama sektöründe “kara liste” yazılımlarına/programlarına/uygulamalarına başvurulduğu, bu şekilde bir kara liste uygulamasının kullanılması amacıyla araç kiralama şirketlerine araç kiralama yazılımcısı ve satıcısı kişilerin “kara liste” özelliği içeren araç kiralama yazılımı hizmeti sundukları, araç kiralama şirketleri tarafından hizmetlerinden yararlanan müşterilere ait bilgilerin özellikle kullanım sürecinde meydana gelen olumsuzluk veya araç kiralama firmasının yorumlarının bu listede yer aldığı belirtilmiştir. Bununla birlikte, yazılım şirketleri tarafından sunulan hizmetin SaaS (software as a Service) şeklinde olduğu, hizmetin gereği olarak veri tabanı ve yazılımın yönetiminin yazılım şirketinde olduğu, yazılıma eklenen özellikler ile bir araç kiralama firmasının kara listeye girdiği bilgilerin diğer firmalar ile de paylaşılacak şekilde düzenlendiğinin tespit edildiği belirtilerek, bu şekilde müşterilerin kişisel verilerinin aynı yazılımı kullanan diğer veri sorumlularına aktarılması ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmesi anlamına geleceğine ve KVKK’nın 4’üncü maddesinde düzenlenen Genel İlkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli açık ve meşru amaçlar için işlenme”, “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil edeceğine karar verilmiştir. Ayrıca araç kiralama şirketi ve yazılım şirketinin kara liste kapsamında paylaşılan veriler açısında “ortak veri sorumlusu” olduğu değerlendirilerek, sorumluluk ve kusur miktarlarının olay bazında değerlendirilmesi gerektiğine karar verilmiştir.

Ceza: Veri sorumluları hakkında KVKK’nın 18’inci maddesi kapsamında çerçevesinde işlem tesis edileceği belirtilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/335

05/05/2020

Konu: İlgili kişinin araç kiralama hizmeti alması esnasında kişisel verilerinin işlenmesine dair açık rıza vermemesi üzerine kiralama hizmetinden yararlandırılmaması hakkında Kurum’a şikayette bulunmuştur.

Kararı Paylaşın

Karar Özeti:

Araç kiralama hizmeti alımı esnasında veri sorumlusu tarafından Kanun’un 5. maddesinde yer alan işleme şartları dışındaki haller kapsamında hizmetten faydalanmak isteyen kişilerin kişisel verilerinin işlenmesi amacıyla toptan bir şekilde açık rıza alımı yoluna gidildiği, hizmetin ifası için gerekli olmamasına rağmen kişisel verilerin talep edildiği ve açık rıza verilmemesi durumunda da kişilere hizmet verilmediği dikkate alındığında; hukuka aykırı veri işleme faaliyetinin söz konusu olduğu bu durumun ayrıca Kanunun 4. maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine de aykırılık teşkil etmesi nedeniyle, veri sorumlusunun Kanunun 12. maddesinde öngörülen yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu hakkında Kanunun 18. maddesinin birinci fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 50 000 TL idari para cezası kesilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/166

27/02/2020

Konu: İlgili kişinin kullanımına izin vermediği kredi kartı bilgilerinin veri sorumlusu araç kiralama şirketi tarafından kullanılması.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen şikayette, ilgili kişi tarafından kullanımına izin vermediği kredi kartı bilgilerinin veri sorumlusu araç kiralama şirketi tarafından kullanıldığı belirtilmiştir, Kurul tarafından ilgili kişinin kredi kartı bilgilerinin veri sorumlusu tarafından haksız şart niteliğindeki sözleşme hükmüne dayanarak, sistemde saklanarak,kişinin makul beklentisine ve çıkarına aykırı olumsuz bir durum oluşturarak haklı bir gerekçe olmaksızın kullanıldığı belirtilerek kişisel veri işleme faaliyetinin KVKK’nın 5’inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanmadığı ve KVKK’nın 4’üncü maddesine aykırılık teşkil etmesi sebebiyle KVKK madde 12 uyarınca gerekli teknik ve idari tedbirlerin alınmaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 75.000 TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?