Kuruma intikal eden şikayette; ilgili kişi ile veri sorumlusu araç kiralama şirketi arasında imzalanan araç kiralama sözleşmesi kapsamında ilgili kişinin 1 günlük süreyle araç kiraladığı ve söz konusu sözleşme uyarınca araç kiralama bedeli ve provizyonun çekilmesi için ...22 ile biten kredi kartının kullanımına onay verildiği, kiralama süresi içerisinde 1 kez HGS kullandığı ve kiralama süresi sona erdiğinde aracı teslim ettikten sonra telefonuna gelen SMS ile söz konusu HGS bedelinin …67 ile biten başka bir kredi kartından tahsil edilmeye çalışıldığını fark ettiği, bunun üzerine müşteri temsilcisini aradığında “araç kira bedeli ödemesi hangi kredi kartı ile yapılmış ise HGS bedelinin de aynı kredi kartından yapılması gerektiği” bilgisini edindiği, yaşadığı olay ile ilgili olarak kişisel veri güvenliğinin ihlal edildiği gerekçesi ile tarafına açıklama yapılması için müşteri hizmetleri ile birçok kez görüşme yaptığı ve konuya ilişkin şikâyetlerini elektronik posta yolu ile de müşteri hizmetlerine bildirdiği, müşteri hizmetleri tarafından konunun hukuk birimine yönlendirildiğinin belirtildiği ancak olayın üzerinden 2 ay geçmesine rağmen kendisine son yazışma tarihinden itibaren hiç bir geri dönüş yapılmadığı, bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 13 üncü maddesine aykırılık teşkil ettiği, sözleşmede belirtilen …22 ile biten kredi kartı yerine, hiçbir şekilde onayının ve bilgisinin bulunmadığı belirtilerek, kullanımına izin vermediği …67 ile biten diğer kredi kartı bilgilerini alan ve kullanan veri sorumlusu araç kiralama şirketi hakkında gerekli yaptırımın uygulanarak kendisine bilgi verilmesi talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

• İlgili kişinin …67 ile biten kredi kartı bilgilerinin araç kiralama sözleşmesinden önce yapılan başka bir kiralama sözleşmesinde ilgili kişi tarafından kendilerine bildirildiği ve kira sözleşmesi gereği, sözleşme ile bildirilen kredi kartından yine kiracının yazılı onayı ile “bu sözleşmeyi imza etmekle arka sayfada belirtilmiş olan  … standart kiralama kural ve koşullarını okuduğumu ve kabul ettiğimi beyan ederim. Aracın aylık kullanım limitinin 3.000 km olup aşıldığı takdirde ücretlendirmeyi, bu kiralamadan doğan ve doğacak olan her türlü ödemenin …  bildirdiğim kredi kartımdan tahsil edilmesini kabul ve beyan ederim.” diyerek kira sözleşmesindeki bu onayı ile kredi kartı veri işlemi olduğu,
• Araç kiralama sözleşmesi gereği tahsil edilmek istenen bedelin bir önceki sözleşmede bildirilen kredi kartından çekilmesi işleminin hukuki dayanağını; kira sözleşmesinin “Madde 2 – Ödeme” başlığı altında yer alan “kiracı tarafından bildirilen kredi kartından tahsilat yapılamadığı durumlarda; kiracının kiralayan ile yapmış olduğu başkaca araç kiralama sözleşmelerinde bildirdiği kredi kartı ve/veya nakit hesaplarından, kiralayanın tahsil etme hakkı saklıdır” şartının oluşturduğu, bu nedenle daha önceki kira sözleşmelerinde bildirilen kredi kartlarının mevcut sözleşme şartı gereği daha sonraki kiralamalarında kullanıldığı, ilgili kişi tarafından kullanılmaması talep edildiğinde ise kullanılmadığı,
• Veri sorumlusu tarafından kişisel veri işlenmesinin hukuki gerekçelerinin;
  • 6698 sayılı Kanun Madde 5 (2) (c) – “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve
  • 6698 sayılı Kanun Madde 5 (2) (f) – “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması” olduğu,
• •    İlgili kişinin araç kiralama sözleşmesi kapsamında aracı kiraladığı süre içerisinde oluşan HGS geçiş ücretinin bir önceki kira sözleşmesinde bildirdiği …67 ile biten kredi kartından tahsil edilme girişiminde bulunulduğu ancak bu karttan bir çekim olmadığı, aynı gün içinde araç kiralama sözleşmesi ile bildirilen …22 ile biten kredi kartından çekimin yapıldığının tespit edildiği, 
• Kişinin  …67 ile biten kredi kartının kullanılmaması yönünde şirketlerine başvuru yaptığı, kişiye müşteri hizmetleri tarafından hukuk biriminden bilgi iletileceğinin bildirildiği ancak müşteri hizmetlerinin bir anlık dalgınlığı nedeniyle sehven konunun hukuk birimine aktarılmadığının tespit edildiği,
• Kira sözleşmelerinde yer alan açık hüküm sebebiyle şirketin tahsilat yapma hakkı olmasına rağmen kişinin bu talebinin özel kabul edilerek ve Kanun önemsenerek sistemde bulunan tüm kredi kartı bilgilerinin silindiği, silme işleminin Kanuna uygun olarak gerçekleştirildiği, silme işlemine ilişkin olarak şirketin genel müdürü ve yazılım yetkilileri arasındaki e-posta yazışmalarının ekte sunulduğu, yedeklemeler ile de silme işleminin iptal edildiğinin ispat edildiği; yedekleme verisinin içerisinde başka kişisel veriler olduğu için Kuruma iletilemediği, aynı şekilde veri silme işlemine ilişkin veri tabanı görüntülerinin de başkaca kişisel veriler bulunması sebebiyle sunulamadığı, 
• Yine kira sözleşmelerinin içerisinde kişiye ait başkaca kişisel verilerin bulunması sebebiyle şu an sunulamadığı ancak Kurumun talebi halinde bu dokümanların sunulmaya hazır olunduğu belirtilerek veri sorumlusu tarafından ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kredi kartı bilgisinin kira sözleşmesi gereği kullanıldığı ve meşru menfaatler çerçevesinde işlem yapıldığı, ayrıca kişinin talebi üzerine 7 gün içerisinde veri tabanından tüm kredi kartı bilgileri silindiği

ifadelerine yer verilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 27/02/2020 tarihli ve 2020/166 sayılı Kararı ile,

• İlgili kişinin 1 günlük araç kiralamak amacıyla veri sorumlusunun web sayfası üzerinden rezervasyon yaptığı, rezervasyon sırasında kiralama ücretinin ön provizyon olarak,  kira sözleşmesi kapsamında kendisinin kullanımına rıza gösterdiği ve onay verdiği …22 ile biten kredi kartından tahsil edildiği, söz konusu kiralama süresi içerisinde ortaya çıkan HGS ücretinin (4.13 TL) ise veri sorumlusu tarafından ilgili kişinin daha önceki farklı bir kiralama sözleşmesi kapsamında kullanımına onay verdiği …67 ile biten kredi kartından tahsil edilmeye çalışıldığı ancak söz konusu kredi kartının internetten alışveriş işlemlerine kapalı olduğu için işlemin gerçekleştirilemediği, bu nedenle söz konusu HGS ücretinin yine aynı gün içinde, mevcut sözleşmesinde bildirdiği …22 ile biten kredi kartından tahsil edildiği, 
• Veri sorumlusu tarafından ilgili kişi ile yapılan araç kiralama sözleşmesinde yer alan “kiracı tarafından bildirilen kredi kartından tahsilat yapılamadığı durumlarda; kiracının kiralayan ile yapmış olduğu başkaca araç kiralama sözleşmelerinde bildirdiği kredi kartı ve/veya nakit hesaplarından, kiralayanın tahsil etme hakkı saklıdır” maddesine dayanılarak HGS ücretinin ilgili kişi ile yapılan daha önceki bir sözleşme kapsamında bildirilen kredi kartından tahsil edilmeye çalışıldığının belirtildiği, ancak veri sorumlusu tarafından mevcut sözleşme kapsamında yer alan “bu sözleşmeyi imza etmekle arka sayfada belirtilmiş olan … standart kiralama kural ve koşullarını okuduğumu ve kabul ettiğimi beyan ederim. Aracın aylık kullanım limitinin 3.000 km olup aşıldığı takdirde ücretlendirmeyi, bu kiralamadan doğan ve doğacak olan her türlü ödemenin …  bildirdiğim kredi kartımdan tahsil edilmesini kabul ve beyan ederim” maddesi gereği; ilgili kişinin kullanımına onay verdiği kredi kartının geçerliliğinin ön provizyon bedeli alınarak onaylandığı ve bu karttan kiralama ücreti ve diğer ücretlerin tahsilatının yapılabildiği, bu nedenle somut vakada, söz konusu sözleşme maddesinde belirtilen “kiracı tarafından bildirilen kredi kartından tahsilat yapılamaması” durumu gerçekleşmediği için, veri sorumlusunun 4.13 TL olan HGS bedelini daha önceki araç kiralama sözleşmesi kapsamında bildirilen farklı bir kredi kartından tahsil etmeye çalışmasının gerekçesi ve hukuki dayanağını bu maddenin oluşturamayacağı,
• Ayrıca hem ilgili kişinin müşteri temsilcisi ile yaptığı görüşme sonucunda edindiği “araç kira bedeli ödemesi, hangi kredi kartı ile yapılmış ise HGS bedelinin de aynı kredi kartından yapılması gerektiği” bilgisi, hem de veri sorumlusunun web sayfasında yer alan “Araç Kiralama Koşulları” metninde ödemeye ilişkin başlıklar altında yapılan açıklamalar dikkate alındığında; ödemenin mevcut sözleşme kapsamında bildirilen ve kullanımına onay verilen kredi kartından tahsil edileceğinin anlaşıldığı, araç kira sözleşmesinde yer aldığı iddia edilen “daha önce yapılan bir sözleşme kapsamında bildirilen başkaca bir kredi kartından da tahsil edilebileceği” bilgisine yer verilmediği,
• Diğer taraftan, “Tüketici Sözleşmelerindeki Haksız Şartlar Hakkında Yönetmelik”in (17.06.2014 tarihli ve 29033 sayılı R.G. ) “Haksız Şart” başlıklı 5 inci maddesinde “(1) Tüketici ile kurulan sözleşmelerde yer alan bir şartın haksız şart olarak kabul edilebilmesi için; a) Tüketiciyle müzakere edilmeden sözleşmeye dahil edilmesi, b) Tarafların sözleşmeden doğan hak ve yükümlülüklerinde dürüstlük kuralına aykırı düşecek biçimde tüketici aleyhine dengesizliğe neden olması, unsurlarının bir arada bulunması gerekir. (2) Bir sözleşme şartının önceden hazırlanması ve standart sözleşmede yer alması nedeniyle tüketicinin sözleşmenin içeriğine etki edememesi durumunda, o sözleşme şartının tüketiciyle müzakere edilmediği kabul edilir. Sözleşmeyi düzenleyen, bir standart şartın münferiden müzakere edildiğini iddia ediyorsa bunu ispatla yükümlüdür” ve “Haksız Şartların Sözleşmeye Etkisi” başlıklı 7 nci maddesinin 1. fıkrasında ise “Tüketiciyle kurulan sözleşmelerde yer alan haksız şartlar kesin olarak hükümsüzdür. Ancak sözleşmenin haksız şartlar dışındaki hükümleri geçerliliğini korur. Bu durumda sözleşmeyi düzenleyen, kesin olarak hükümsüz sayılan şartlar olmasaydı diğer hükümlerle sözleşmeyi yapmayacak olduğunu ileri süremez” hükümlerinin yer aldığı, bu çerçevede söz konusu kira sözleşmesinde yer alan “kiracı tarafından bildirilen kredi kartından tahsilat yapılamadığı durumlarda; kiracının kiralayan ile yapmış olduğu başkaca araç kiralama sözleşmelerinde bildirdiği kredi kartı ve/veya nakit hesaplarından, kiralayanın tahsil etme hakkı saklıdır” hükmünün somut vaka itibariyle ilgili kişi aleyhine bir durum oluşturduğu ve ilgili kişinin makul beklentisini ve çıkarlarını göz önüne almayarak dürüstlük kurallarına aykırılık teşkil ettiği,
• Veri sorumlusunun savunmasında, kira sözleşmelerinin içeriğinde ilgili kişiye ilişkin başkaca kişisel verilerin bulunması sebebiyle şu an sunulamadığı, ancak Kurumun talebi halinde sunulmaya hazır olunduğunun belirtildiği, buna istinaden Kurumun ek bilgi/belge talebini içeren resmi yazısının tebliğ tarihi itibariyle veri sorumlusu tarafından Kuruma herhangi bir bilgi/belge iletilmediği, Kurum tarafından ek bilgi belge kapsamında talep edildiği halde veri sorumlusu tarafından gönderilmeyen söz konusu kira sözleşmesinin, tüketici ile hizmet sunucu arasındaki sözleşmelere ilişkin genel uygulamalar da dikkate alınarak, ilgili kişi ile müzakere edilmeksizin tek taraflı olarak hazırlandığı ve matbu bir şekilde ilgili kişiye sunulduğu kanaatine varıldığı,
• Tüm bu nedenlerle sözleşmede yer alan söz konusu maddenin uygulanmasına yer olmadığı ve ayrıca “haksız şart” niteliğine uyduğu değerlendirilmekte olup veri sorumlusunun ilgili kişinin eski sözleşmesinde yer alan kredi kartı bilgilerini kullanmaya devam etmesini, ilgili sözleşme hükmünü işaret ederek “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” kişisel veri işleme şartına dayandırmasının uygun olmadığı,
• Aynı şekilde somut olayda, veri sorumlusunun mevcut durumda ön provizyon işlemi ile geçerliliğini ve limitini onayladığı ilgili kişinin sözleşme kapsamında kullanımına izin verdiği kredi kartı bilgisine sahip olduğu ve ödemeyi bu kredi kartından tahsil edebileceği halde daha önce elde ettiği başka bir kredi kartı bilgisini kullanmaya çalışması ve ilgili kişiye ait toplam üç kredi kartına ilişkin bilgilerin daha sonra kullanılabileceği düşüncesiyle sisteminde saklaması faaliyetine ilişkin olarak; menfaatlerin yarışabilir olmadığı, kişinin hem ilgili kişi hem de tüketici olarak zayıf konumda olan taraf olduğu, dolayısıyla temel hak ve hürriyetlerinin ihlale açık olduğu ve ilerde söz konusu veri işleme faaliyetinden (haber verilmeksizin kredi kartından tahsilat/ çekim vb. yapılabilmesi suretiyle) zarar görebileceği hususları dikkate alınarak yapılan değerlendirme ile, söz konusu veri işleme faaliyetinin “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kişisel veri işleme şartına dayandırılmasının da uygun olmadığı, söz konusu veri işlemenin açık rızaya veya diğer kişisel veri işleme şartlarından herhangi birine dayandırılamayacağı ve hukuka aykırı bir veri işleme olduğu kanaatine varıldığı,
• Söz konusu veri işleme faaliyetinin; kira sözleşmesinin yukarıda bahsi geçen ilgili hükmünün haksız şart niteliğine uyması ve somut vakanın kişinin makul beklentisi dışında aleyhine bir sonuç ortaya çıkarması nedeniyle “hukuka ve dürüstlük kurallarına uygun olma”; kiralama süreci sonrasında araç tesliminin gerçekleşmesi ve bütün bedellerin tahsil edilmesiyle birlikte sözleşmenin sona ermesi, veri işleme amacının ortadan kalkması ve mevcutta olmayan ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri işlenmeye devam edilmesi nedeniyle “işledikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiği, 

değerlendirmelerinden hareketle;

• İlgili kişinin veri sorumlusu ile daha önce yaptığı araç kiralama sözleşmesi kapsamında kullanımına onay verdiği kredi kartı bilgilerinin; veri sorumlusu tarafından daha sonra gerçekleştirilmesi düşünülen amaçlar doğrultusunda kullanılmak üzere sistemde saklanarak, haksız şart niteliği gösteren sözleşme hükmüne dayanmak suretiyle somut vakada kişinin makul beklentisine ve çıkarına aykırı olumsuz bir durum oluşturarak haklı bir gerekçe olmaksızın kullanılmasına ilişkin kişisel veri işleme faaliyetinin Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinde yer alan şartlardan herhangi birine dayandırılamayacağı ve Kanunun “Genel ilkeler” başlıklı 4 üncü maddesi uyarınca “hukuka ve dürüstlük kurallarına uygun olma” ile “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiği kanaatine varılmış olup bu itibarla, Kanunun 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülüklerini yerine getirmemiş olması nedeniyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 75.000 TL idari para cezası uygulanmasına karar verilmiştir.