Konu Özeti : Bir mobil uygulama kapsamında işlenen kişisel veriler hakkında Kuruma
yapılan başvuru
Karar Tarihi : 27/01/2020
Karar No : 2020/65
İlgili kişinin, ulaşım hizmeti sunan bir platform vasıtasıyla yaptığı yolculukların şoförler tarafından puanlandığını öğrenmesi, kendi yolculuklarına ait bu puanlara kendisi tarafından erişilememesi ve bu tip bir puanlama yapılacağı hususunda veri sorumlusunun aydınlatma metninde herhangi bir bilginin yer almaması neticesinde, veri sorumlusu statüsüne sahip ulaşım hizmeti sunan platforma 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesinin 1 inci fıkrasının (b) bendinde yer alan “Kişisel veri işlenmişse buna ilişkin bilgi talep etme” hakkından hareketle, Kanunun 13 üncü maddesine istinaden yaptığı başvurunun cevapsız kaldığı iddialarına ilişkin Kuruma intikal eden dilekçeye istinaden veri sorumlusunun savunması istenilmiş, alınan cevabi yazıda;
§ Veri sorumlusu tarafından kullanıcıya ait verilerin uygulamaya kayıt esnasında toplanarak üyelik sözleşmesinin kurulması ve ifasıyla doğrudan doğruya ilişkisi olması sebebiyle işlendiğini, http:/www…...com/gizlilik-politikası adresinde yer alan kişiselveriler@....com e-posta adresine ilgili kişiler tarafından taleplerin iletilebileceğini belirten veri sorumlusu tarafından bu taleplerin en kısa süre cevaplandığını,
§ İlgili kişi tarafından kullanılan uygulamada ortalama puanın 5 üzerinden kaç olduğunun sorulduğuna ve “sehven süresi içinde talebe cevap verilmemiş olsa da” sonrasında yazılı olarak dönüş yapıldığı
ifade edilmiştir.
Konunun incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2010 tarih ve 2020/65 sayılı Kararı ile;
1- Kanunun 13 üncü maddesinin 2 inci fıkrasında “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret alınabilir” hükmüne ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin” 6 ıncı maddesinin (1) numaralı fıkrasındaki “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” hükmüne yer verildiği,
§ Veri sorumlusunun “Kullanım Koşulları” başlıklı dokümanında yer alan hükümlere istinaden ilgili kişinin talebini süresi içinde cevaplamayan veri sorumlusunun Kanun kapsamında yöneltilen başvuruları gerek bu Kanunun 15 inci maddesinin 5 inci fıkrasına istinaden gerekse kendisi tarafından duyurulan koşullara uygun olarak zamanında, tam ve eksiksiz olarak cevaplaması hususunda talimatlandırılmasına,
2- Bu noktada ikinci olarak, bahse taşıma/ulaşım hizmeti ile ilgili kişinin iddia ettiği ve veri sorumlusunun daha sonra Kurumun bilgi ve belge talebine yönelik yazısına cevaben gönderdiği yazı ve ekinde belirttiği üzere ilgili kişilerin puanlaması işleminin sözleşmenin kurulması veya ifasıyla doğrudan doğruya bir ilişkisinin olup olmadığının incelenmesi gerektiği,
§ Müşterilerin/yolcuların yaptığı seyahatlerin şoförler tarafından puanlanmasına ve bu puanların ortalamasının alınmasına dayanan veri işleme faaliyetinin, Kanunun 5 inci maddesinin 2 inci fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartı kapsamında sözleşmenin ifasına ilişkin ana kurucu öğe olmadığı veya sözleşmenin ifasıyla doğrudan doğruya bir ilişkisinin var olmaması sebebiyle ve bu veri işleme faaliyetinin aynı maddede belirtilen diğer veri işleme şartlarından herhangi birine dayanmadığı dikkate alındığında veri sorumlusunun Kanunun 12 inci maddesinin 1 inci fıkrasının a bendinde yer alan “veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” hükmüne aykırı hareket ettiği kanaatine varıldığından hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının b bendine istinaden 100.000 TL idari para cezası uygulanmasına,
3- İlgili kişinin veri sorumlusunun Aydınlatma Metninde müşteriler/yolcular hakkında bir puanlama yapıldığına dair her hangi bir bilginin bulunmadığına dair iddiasına ilişkin olarak, “Kişisel Verilerin Korunması Hakkında Bilgilendirme” başlıklı dokümanının incelendiği, “Kişisel Verilerin Korunması Hakkında Bilgilendirme” başlıklı bu dokümanda, “….’nin kişisel verilerinizi işleme amacı:
• Kimliğinizi doğrulamak
• Müşteri desteği sağlamak ve sorun gidermek
• Servis güncellemeleri ve hatalar hakkında sizi bilgilendirmek
• Uygulama ve kampanyalar hakkında sizi bilgilendirmek
• Sürücünün yolculukla ilgili olarak size ulaşması gereken durumlarda sizi arayabilmesini sağlamaktır…”
şeklinde açıklandığı,
§ Veri işleme amaçları arasında yolcuların puanlanıp sürücüler tarafından bunun görülebileceğine ilişkin bir açıklama bulunmadığı,
§ “Kullanım Koşulları” dokümanında ise “Veri sorumlusu Sıfatıyla İşlenen Veriler” başlıklı maddesinde bu verilerin
• Tanımlama bilgileri (ad, soyad, cep telefonu numarası, e-posta adresi).
• Kullandığınız mobil aygıtın işletim sistemi versiyonu bilgisi.
• Kullandığınız mobil aygıttan edinilen konum bilgileri.
• Yolculuk sonunda sürücüye verilen oylama bilgisi ve yorumlar.
• Uygulama içindeki “Öneri ve Şikâyet” bölümünde iletilen yorumlar.”
olarak sayıldığı,
§ Bu sebepten dolayı, ne aydınlatma metninde (Kişisel Verilerin Korunması Hakkında Bilgilendirme) ne de kullanıcı sözleşmesinde (Kullanım Koşulları) müşterilerin puanlanmasına ilişkin bir bilgilendirme bulunmadığı,
§ Bu durumda, müşterilerin puanlanmasına dayanan veri işleme faaliyetinin Kanunun 4 maddesinde belirtilen kişisel verilerin işlenmesine ilişkin genel ilkelerden ilk olarak “Hukuka ve Dürüstlük Kurallarına Uygun Olma” ilkesine aykırılık teşkil ettiği, zira veri sorumlusunun sözü geçen kişisel veri işleme faaliyetine ilişkin olarak ilgili kişi ile hiçbir bilgi paylaşmadığı, konu “Belirli, Açık ve Meşru Amaçlar İçin İşlenme” ilkesi bakımından değerlendirildiğinde, veri sorumlusun aydınlatma metninde ve kullanım koşullarına ilişkin metinde belirtilen amaçların müşterilerin puanlanmasına dayanan kişisel veri işleme faaliyetinin asıl amacının ne olduğunu açıklayamadığı,
§ Bu kapsamda, söz konusu uygulamanın yüklenmesi akabinde üye olunması esnasında ilgili kişilere bir aydınlatma gerçekleştirilmediği ve ilgili kişinin yolculuklarının şoförler tarafından değerlendirilerek çıkarılacak bir puanlamaya dayalı veri işleme faaliyetine, internet sitesinde yer alan veri sorumlusunun aydınlatma metni yerine geçen “Kişisel Verilerin Korunması Hakkında Bilgilendirme” dokümanında ve Kullanım Koşulları başlıklı belgede yer verilmemesi sebebiyle, Kanunun 10 uncu maddesinde yer alan “Veri Sorumlusunun Aydınlatma Yükümlülüğü”nü yerine getirmemiş olduğu kanaatine varılmasından ötürü Kanunun 18 inci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında veri sorumlusu hakkında 10.000 TL idari para cezası uygulanmasına,
4- Puanlamaya dayalı veri işleme faaliyetine devam edebilmesi için veri sorumlusunun Kanunun “Kişisel Verilerin İşlenmesi Şartları” başlıklı 5 inci maddesinde kapsamında uygun bir veri işleme şartı belirlemesi, buna istinaden aydınlatma metnini güncellemesi ve sayılan hususları tamamladığına ilişkin destekleyici belge ve kayıtları Kanunun 15 inci maddesinin 5 numaralı fıkrası hükümlerine istinaden 30 gün içinde Kurula sunması hususunda talimatlandırılmasına
karar verilmiştir.
Comments