GDPR’IN ULAŞIM SEKTÖRÜNDEKİ ETKİLERİ

GDPR’ın mevcut Avrupa veri koruma kanunlarını mülga etmesi ile, veri koruma kanunlarındaki son 20 yıldaki en büyük değişiklik meydana gelmiştir. Bu değişiklik doğal olarak da şirketlerin boyut ve yapısı farketmeksizin kişisel verileri elde etme ve işleme metotlarını değiştirmektedir. Ulaşım sektöründe de demiryolu, karayolu, havayolu ve denizyolu operatörlerini, acenteleri, belediyeler gibi bu sektörde yer alan tüm kurumlar da bu regülasyondan etkilenmiştir.

KİŞİSEL VERİLER ULAŞIM SEKTÖRÜNDE NEDEN KULLANMAKTADIR?

İnternetin ve özellikle IoT(Internet of Things)’un gelişimi ile tüm sektörlerde olduğu gibi ulaşım sektörü de modernleşerek daha “akıllı” hale gelmeye ve müşterilerinin kişisel verilerine bağımlı hale gelmeye başlamıştır. Akıllı biletleme sistemleri, pazarlama stratejileri, daha hızlı ve efektif iş akışı planlamalarının yapılarak şirketlerin kar oranlarını arttırma çabaları, Uber ve Lyft gibi alternatif ulaşım yöntemlerinin ortaya çıkışı kişisel verilerin kullanımını ve şirketler arasında paylaşım oranını da önemli ölçüde arttırmaktadır. Özellikle kişilerin isim-soy isimleri, iletişim bilgileri, adresleri, seyahat düzenleri ve destinasyon bilgileri, ödemeye hazır oldukları ücret aralıkları, seyahat saatleri, tıbbi geçmişleri bu “akıllı” kişisel veriler arasında sayılabilecek bilgilerdir.

Ulaşım sektöründe kişisel veriler özellikle; (i) yolcu akış veriminin arttırılması için; havaalanları gibi alanlarda akıllı biletleme ve check-in sistemlerinin oluşturulması, (ii) şehir planlama sistemlerinde; verimliliğin arttırılması, şehir trafiğinin ve ulaşım ağının düzenlenmesi, otonom trafik ve ulaşım sistemleri geliştirilmesi, devletler ve belediyelerin arz ve talep doğrultusunda bu alandaki yatırım stratejilerini oluşturmaları; (iii) acenteler, operatör, reklam şirketleri ve tedarikçileri gibi 3. kişi şirketler ve organizasyonlar ile bu verilerin paylaşılması yolu ile bu alanda hizmet veren hizmet sektörünün geliştirilmesi gibi alanlarda kullanılmaktadır.

Bu kapsamda ulaşım sektöründe kişisel verilerin işlenmesinin sonuçları iki yönlü olarak incelenmelidir. Şirketler elde ettiği verilerle daha sofistike, verimli ve karlı bir hale gelirken aynı zamanda kullanıcılar daha hızlı, ekonomik ve kişiselleştirilmiş bir şekilde sektörden faydalanma imkânı bulmaktadır. Şirketler işledikleri veriler ile müşterilerinin ulaşım alışkanlıklarını, konumlarını takip edebilmekte ve onlara online biletleme siteleri ve uygulamalar ile ilgilenecekleri içerikleri öne çıkartarak daha akıllı ve kişiselleştirilmiş bir hizmet sunmaktadır.

ŞİRKETLERİN GDPR UYUM SÜRECİ

Ulaşım sektöründe yer alan şirketler uyum süreçleri çerçevesinde aşağıdaki konularda aksiyon alarak kendilerini GDPR ile uyumlu hale getirmelidirler.

  • Şirketin hazırladığı ve tarafı olduğu; çalışanlarla imzalanan iş sözleşmeleri, bayi sözleşmeleri, tedarikçi sözleşmeleri de dahil olmak üzere tüm sözleşmelerin incelenmesi ve veri güvenliği kapsamında riskin eşit olarak paylaştırılması;
  • Veri ve gizlilik politikalarının oluşturulması veya güncellenmesi, hangi kişisel verilerin, ne amaçla ve nereden elde edildiğini, ne şekilde kullanılacağını ve kimlerle paylaşılacağını belirten açık onay metinlerinin hazırlanması;
  • Veri envanterinin oluşturularak kişisel verilerin nasıl saklanacağının belirlenmesi, bu madde özellikle ulaşım sektöründe kullanıcıların konum bilgilerinin ve seyahat düzenlerini de içermektedir;
  • Kişisel verilerin mümkün olan her şekilde şifreli ve anonim şekilde depolanması hususunda gerekli önlemlerin alınması;
  • Kişisel veri ihlali gerçekleşmesi halinde uygulanacak sürecin oluşturulması;
  • Veri güvenliği hususunda şirket içi farkındalık eğitimleri düzenlenmesi;

ŞARTLARIN SAĞLANMAMASI DURUMUNDA ŞİRKETLERİN KARŞILAŞACAĞI YAPTIRIMLAR

GDPR’a uygunluğun sağlanmaması halinde şirketler Avrupa bazında doğrudan yaptırımla karşılaşabilecektir. Zira bu düzenlemelere uymayan firmalar 20 Milyon Euro veya global cirosunun %4’u oranlarından hangisi daha yüksekse bu miktarda ceza ile karşı karşıya kalacaklardır.

Bu tehdidin ciddiyetini göstermek için, 2018 yılında British Airways ve ana şirketi 500.000 yolcusunun kişisel verilerinin ihlal edilmesi sebebiyle 183.39 milyon Pound’luk para cezasına çarptırılmıştır. Buna ek olarak yine 2018 yılında Uber, 2016 yılında gerçekleşen ve dünya çapında 56 milyon, Fransa’da ise 1.6 milyon vatandaşın etkilendiği veri ihlali sebebiyle Fransa’da 400.000 Euro para cezasına çarptırılmıştır.

SONUÇ

İnternet ağının tüm dünyayı kaplaması ve ulaşım sektörünün de daha “akıllı” bir hale gelmesi ile beraber kişilerin bu sektörde kullanılan verilerinin korunması bir gereklilik halinde gelmiş olup, şirketlerin herhangi bir yaptırımla karşılaşmamaları için GDPR’a uyum süreçlerinde olabildiğince şeffaf bir biçimde kişileri aydınlatarak ve yukarıda açıklanan önlemleri alarak kişisel verileri hukuk çerçevesinde elde etmeleri ve işlemeleri gerekmektedir.

Zira, şirketlerin bu uyum süreçlerini başarı ile tamamlamaları şirketin müşterilerin gözündeki güvenini ve prestijini arttıracağı gibi bu kişilerin kişisel verilerini de paylaşma isteğini arttıracağından; bu sürecin başarı ile tamamlanması şirketler için uzun vadede çok daha karlı bir yatırım olarak ortaya çıkacaktır.

Av. Kaya KAYAOĞLU, Av. Nazlı SEZER