“Veri sorumlusunun kanuni yükümlülüğünü yerine getirmek için işlediği kişisel verileri meşru menfaat çerçevesinde kullanma talebiyle Kuruma yapmış olduğu başvuru” Kişisel Verileri Koruma Kurulunun 25/03/2019 tarihli ve 2019/78 Sayılı Karar Özeti
5015 sayılı Petrol Piyasası Kanunu gereğince, “Dağıtıcı Lisansı” kapsamında petrol piyasasında faaliyet gösteren Şirketin,
- Enerji Piyasası Düzenleme Kurulu (EPDK) Kararı ile getirilen yükümlülük çerçevesinde, bayi pompa satış hareketlerini, “plaka, akaryakıt türü, miktar, fiyat, zaman (saat, dakika ve saniye)” bilgilerini içerecek şekilde sorgulama imkanı veren ve ilgili Kurumun anlık erişimine açık olan bir otomasyon sistemi kurduğu,
- EPDK’nın anlık erişimine açık tutulan bu verilerden “plaka ve akaryakıt tipi”ne ilişkin verileri, araç sahipleri, akaryakıt bayileri ve akaryakıt dağıtım firmaları için sektörde büyük bir sorun haline gelen “hatalı akaryakıt dolumlarının” önüne geçmek için Şirketleri tarafından geliştirilen “Araç Tanıma Projesi” için kullanmak istedikleri,
- Araç Tanıma Projesinin hayata geçirilmesi ile birlikte, akaryakıt ikmal edecek aracın plaka verileri ile kullandığı yakıt türünün (benzin veya motorin) sistemde otomatik olarak eşleştirilerek kaydedileceği; böylece yanlış akaryakıt alımının otomatik olarak engelleneceği,
- Şirketin ve bayilerin tüketiciye akaryakıt satışı esnasında kurulan satış sözleşmesini doğru ifa edebilmesi ve doğru ürün tedarikini gerçekleştirmesi için tüketicinin araç plakasını kullanmasının bir gereklilik haline geldiği, Araç Tanıma Projesinin gerçekleştirilmesinin hatalı akaryakıt ikmalinden kaynaklanan problemleri sonlandıracağı ve böylece Şirketin ve bayilerin meşru menfaatlerinin korunmuş olacağı,
belirtilerek, bu kapsamda şirketin otomasyon sistemi için işlediği bazı verileri, ilgili kişilerin açık rızası olmaksızın Araç Tanıma Projesi için kullanmasının 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5 inci maddesinin (2) numaralı fıkrasının (ç) ve (f) bentleri kapsamında değerlendirilip değerlendirilemeyeceği talebiyle yapmış olduğu başvuru hakkında Kurul tarafından:
- EPDK’dan almış olduğu lisanslar çerçevesinde “Akaryakıt Dağıtım Firması” olarak faaliyet gösteren Şirketin, 5015 sayılı Petrol Piyasası Kanunu ve ilgili mevzuatlarda düzenlenen denetim sistemi kurma zorunluluğu çerçevesinde araç sahiplerinin kişisel verilerini işlemesinin, 6698 sayılı Kanunun 5 inci maddesinin ikinci fıkrasının (ç) bendinde düzenlenen kişisel veri işlenmesinin “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hali sayıldığı; bu kapsamda kişisel veri işlenmesi halinde ilgili kişinin açık rızasının aranmadığı,
- Bununla birlikte, 6698 sayılı Kanunun 5 inci maddesinin ikinci fıkrasının (f) bendine göre “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hali tespit edilirken veri sorumluları tarafından;
- Kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması,
- Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi,
- Meşru menfaatin halihazırda mevcut, belirli ve açık olması,
- İlgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması,
- Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kar elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması,
- Bu açıdan ilgili kişinin başta kişisel verilerinin korunması olmak üzere temel hak ve hürriyetlerinin zarar görmesini engellemek amacıyla öngörülebilir, açık ve yakın her türlü tehlikeden uzak tutulması,
- Kişisel verilerin bir veri kayıt sisteminde amaçla sınırlı olarak hukuka uygun işleyişinin temini ile zararı ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alınması,
- Kişisel verilerin işlenmesinde genel ilkelere uygunluğun sağlanması,
- Bu kapsamda, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılarak denge testinin yapılması
hususlarının değerlendirilmesi gerektiği,
- Öte yandan, kişisel verilerin ilk kez işlenmesi için gereken amaçtan farklı olarak başka bir amaca yönelik yeni bir veri işleme faaliyetinin gerçekleştirilmesinin, Kanunun 5 inci maddesinde sayılan veri işleme şartlarından en az birine dayanması ve ilk amaçtan bağımsız olarak Kanunun 4 üncü maddesinde sayılan kişisel verilerin işlenmesinde aranan ilkelerin tümüne uyumlu olması gerektiği
- Şirketin Araç Tanıma Projesi uygulaması kapsamında, halihazırda Petrol Piyasası mevzuatı gereği kayıtlarında bulunan tüketicilere ait araç plaka ve ürün tipi bilgilerini otomatik olarak Araç Tanıma Projesi sistemine entegre etmesi de yeni bir kişisel veri işleme faaliyeti sayıldığı,
hususlarından hareketle; Akaryakıt istasyonlarına gelen araçlara tüketicinin talep ettiği üründen farklı bir ürün ikmal edilmesi nedeniyle oluşan araç arızalarından dolayı tüketicilerin uğramış olduğu zararlar ile bu zararlardan 6502 sayılı Tüketicinin Korunması Hakkında Kanun gereğince işletici ile birlikte başvuranın da dağıtıcı şirket olarak müteselsilen sorumluluğunun bulunduğu, bu yöndeki yargı kararları da dikkate alındığında durumun hem tüketicinin hem de dağıtıcı şirketin maddi kaybı ile birlikte şirket marka değeri ve hizmet kalitesinde de kayıplara yol açabileceğinin anlaşıldığı, dikkate alınarak,
- Bu çerçevede, meşru menfaatin ortaya konulmasına ilişkin olarak yukarıda yer verilen kriterler esas alınarak yapılan değerlendirme sonucu 6698 sayılı Kanunun 5 inci maddesinin ikinci fıkrasının (f) bendine göre veri sorumlusunun, tüketicilere ait plaka ve ürün tipi bilgilerini kullanmasının “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında olduğu,
- Bu itibarla Şirketin, erişilebilir ve görünür bir şekilde aydınlatma yükümlülüğünü yerine getirmek ve başka bir amaçla kullanmamak kaydıyla ilgili kişilerin (kişisel verisi işlenen gerçek kişi tüketicilerin) açık rızasını almaksızın bahse konu sistemi kullanmasında 6698 sayılı Kanun yönünden hukuken bir engel bulunmadığına
karar verilmiştir.
Yorumumuz:
Kişisel verilerin 8 hukuki işleme sebebinden biri olan “meşru menfaat için zorunlu olma” kriteri ayrıntılı olarak açıklanmıştır. Buna göre meşru menfaatin zorunlu kıldığı işleme KVK Kurulunun bu kararda belirttiği 9 tane alt başlık gözetildiğinde gündemde olabilir. En dikkat çekici olan kriter ise “yalnızca kar elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması..”dır.
KVK Kurulu bir akaryakıt firması (petrol istasyonu) ile ilgili verdiği kararda, firmanın yanlış akaryakıt dolumunu engellemek için “plaka, akaryakıt türü, miktar, fiyat, zaman (saat, dakika ve saniye)” bilgilerini içerecek şekilde sorgulama imkanı veren otomasyon sistemi kurmasını meşru menfaat için zorunlu kabul etmiştir.