Makale
Bağlanabilir araçlarda kişisel verilerin işlenmesi ve üçüncü taraflara ya da yurt dışına aktarımı, KVKK kapsamında sıkı şartlara tabidir. Bu makalede, araç içi verilerin işlenme süreçlerindeki hukuki sebepler, açık rıza ve sözleşmenin ifası gibi şartlar ile veri aktarım rejimindeki güncel hukuki uygulamalar incelenmektedir.
Araç Veri İşleme Şartları ve Veri Aktarımı Hukuku
Otomotiv sektöründeki dijital dönüşüm, bağlanabilir araçların kullanımını hızla artırırken, bu araçların adeta dört tekerlekli birer bilgisayar gibi çalışması, kişisel verilerin işlenmesi süreçlerini hukuki açıdan oldukça önemli bir boyuta taşımıştır. Araç içi ekranlar, sensörler ve mobil uygulamalar aracılığıyla toplanan konum, sürüş alışkanlıkları ve biyometrik veriler gibi hassas bilgilerin işlenebilmesi için hukuka uygunluk şartlarının titizlikle değerlendirilmesi gerekmektedir. Veri sorumlusu konumundaki araç üreticileri ve katma değerli hizmet sağlayıcıların, işledikleri verileri hangi hukuki sebeplere dayandırdığı ve bu verileri üçüncü taraflara veya yurt dışına aktarırken uyguladıkları usuller, Kişisel Verilerin Korunması Kanunu (KVKK) tahtında sıkı kurallara bağlanmıştır. Bu hukuki incelememizde, bağlanabilir araç ekosisteminde kişisel verilerin hukuka uygun şekilde işlenebilmesi için aranan temel şartlar ve veri aktarımının tabi olduğu yasal rejim ele alınacaktır.
Bağlanabilir Araçlarda Veri İşleme Şartları
Bağlanabilir araçlarda kişisel verilerin toplanmasından imhasına kadar geçen tüm süreçlerin, KVKK’nın 5. ve 6. maddelerinde düzenlenen hukuki sebeplerden en az birine dayanması zorunludur. Uygulamada, kişisel veri işleme faaliyetleri genellikle sözleşmenin kurulması ve ifası, veri sorumlusunun meşru menfaati, hukuki yükümlülüklerin yerine getirilmesi veya ilgili kişinin açık rızası gibi şartlara dayanmaktadır. Özellikle navigasyon, uzaktan araç kontrolü ve acil durum yardımı gibi temel hizmetlerin sunulabilmesi için, araç sahibi ile üretici arasındaki satış ve hizmet sözleşmesinin ifası hukuki sebebi ön plana çıkmaktadır. Rızaya dayalı veri işlemelerde rızanın geri alınması hizmetin kesintiye uğramasına yol açabileceğinden, temel hizmetler bakımından sözleşmenin ifası şartına dayanılması hukuki güvenliği ve hizmetin sürekliliğini sağlamaktadır. Ancak hedefli reklamcılık veya sürüş skorlamasına dayalı kasko gibi ek hizmetler söz konusu olduğunda, açık rızanın temin edilmesi şartı aranmaktadır.
Açık Rıza ve Uygulama Kriterleri
Veri işleme faaliyetinin açık rızaya dayandırıldığı durumlarda, rızanın belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle açıklanmış olması esastır. Araç üreticileri ve hizmet sağlayıcıların, açık rıza beyanını genel kullanım koşulları veya standart sözleşme metinleri arasına gizlememesi, ilgili kişilere şeffaf bir aydınlatma yapması yasal bir zorunluluktur. Ayrıca, bağlanabilir araçlarda sürücünün ve yolcuların açık rızasını geri alma hakkı, en az rıza verirken kullanılan yöntemler kadar kolay ve erişilebilir olmalıdır. Araç içi ekranlar veya mobil uygulamalar üzerinden sunulan arayüzler vasıtasıyla, kullanıcıların diledikleri an veri işleme süreçlerini durdurabilmesi sağlanmalıdır. Rızanın geri çekilmesi durumunda, farklı bir hukuki sebep bulunmuyorsa veri işleme derhal durdurulmalı ve veriler imha edilmeli veya anonim hale getirilmelidir.
Üçüncü Taraflara Veri Aktarımı
Bağlanabilir araçlar üzerinden toplanan veriler, sunulan hizmetlerin niteliği gereği yol yardım servisleri, sigorta şirketleri, telekomünikasyon firmaları ve bulut bilişim hizmeti sunan altyapı sağlayıcıları gibi çeşitli üçüncü taraflara aktarılmaktadır. Bu veri aktarım süreçleri, kural olarak KVKK’nın 8. maddesi uyarınca gerçekleştirilmeli ve aktarım öncesinde uygun hukuki zemin oluşturulmalıdır. Araç içi sistemlerin ve katma değerli servislerin çalışabilmesi için kişisel verilerin aktarımı zorunlu olduğunda, aktarım yapılan üçüncü tarafın da kendi sisteminde bu verileri işlemeye başlamasıyla birlikte bağımsız bir veri sorumlusu haline geleceği unutulmamalıdır. Veri aktarımını minimize etmek amacıyla, verilerin mümkün olduğunca araç dışına çıkarılmadan lokal veri işleme yöntemleriyle araç içerisinde analiz edilmesi veya aktarımın kaçınılmaz olduğu hallerde verilerin anonimleştirilmesi ya da takma adlı hale getirilmesi hukuki bir tedbir olarak tavsiye edilmektedir.
| Veri İşleme Şartı / Hukuki Sebep | Bağlanabilir Araçlardaki Uygulama Örnekleri |
|---|---|
| Sözleşmenin İfası | Navigasyon, acil çağrı (eCall) ve uzaktan bakım hizmetlerinin sunulması. |
| Açık Rıza | Hedefli reklamcılık ve sürüş skorlaması ile kişiselleştirilmiş kasko teklifleri. |
| Hukuki Yükümlülük | Yetkili makamların kaza soruşturmaları için verilerin saklanması ve işlenmesi. |
| Meşru Menfaat | Araç yazılım geliştirmeleri, model optimizasyonu ve hizmet kalitesinin artırılması. |
Yurt Dışına Kişisel Veri Aktarımı Rejimi
Otomotiv sektöründe faaliyet gösteren küresel aktörlerin ve bulut tabanlı altyapıların genellikle yurt dışında bulunması, yurt dışına veri aktarımı konusunu kritik hale getirmektedir. KVKK'nın 9. maddesinde yapılan son yasal değişikliklerle birlikte yurt dışına veri aktarımı; yeterlilik kararına dayalı aktarım, uygun güvencelere dayalı aktarım ve arızi durumlara dayalı aktarım olmak üzere üç kademeli bir yapıya kavuşturulmuştur. Araç üreticilerinin, işledikleri araç ve sürücü verilerini yurt dışındaki sunuculara aktarabilmesi için Kurul tarafından belirlenen bu yeni aktarım rejimine harfiyen uyması gerekmektedir. Öte yandan, Bilgi Teknolojileri ve İletişim Kurumu (BTK) gibi yetkili otoritelerin aldığı sektörel kararlar da bu süreci etkilemektedir. Örneğin, eSIM teknolojilerinin kullanımı bağlamında verileri içeren sunucuların Türkiye'de barındırılması zorunluluğu gibi sektörel regülasyonlar, araç üreticilerinin veri aktarım süreçlerini doğrudan şekillendirmekte ve hukuki uyum projelerinin sınırlarını çizmektedir.