Selen İBRAHİMOĞLU GÜREŞ Avukat / Yönetici Ortak
Ömer KÜÇÜKORDU Avukat
[email protected]
06 Ocak 2026
A-
A+
Dijitalleşme, ulaşım sektörünü kökten dönüştürmüş, araçların artık yalnızca ulaşım aracı değil, aynı zamanda veri üreten ve aktaran dijital platformlar haline gelmesine neden olmuştur. Günümüzde bir araç, sürücüsünün konumunu, hızını, rotasını, hatta sürüş tarzını dahi milisaniye hassasiyetinde kaydedebilmekte; bu veriler bulut tabanlı sistemler aracılığıyla anlık olarak işlenebilmektedir.
Bu dönüşüm, lojistik firmalarından araç kiralama şirketlerine, belediye toplu taşıma filolarından bireysel taksilere kadar geniş bir ekosistemi doğrudan etkilemiştir. Araç Takip Sistemleri (“ATS”), operasyonel verimliliği artırma, güvenliği sağlama ve hukuki yükümlülükleri yerine getirme amacıyla yaygın olarak kullanılmaktadır. Ancak bu sistemlerin sağladığı avantajların yanında, kişisel verilerin korunması bakımından ciddi riskler de doğmuştur.
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) yürürlüğe girdiğinden bu yana, araç takip sistemlerinin kullanımı; özel hayatın gizliliği, çalışanların denetimi, konum verisinin işlenmesi ve üçüncü kişilerle veri paylaşımı açısından en tartışmalı alanlardan biri olmuştur. Özellikle Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kararları, bu tartışmalara yön vermiş, “veri sorumluluğu”, “ortak sorumluluk” ve “meşru menfaat” kavramlarının araç takip uygulamaları bakımından somutlaşmasına yol açmıştır.
30.11.2024 tarihinde 1774 sayılı Kimlik Bildirme Kanunu’nda yapılan değişiklikler ile araç kiralama faaliyeti yürüten kişilerin, kiraladıkları araçlarda GPS cihazı bulundurma zorunluluğu getirilmiş ve kiralanan araçlara ait konum bilgilerine ilişkin kayıtların 3 yıl süreyle saklanması zorunluluğu düzenlenmişti. 19.08.2025 tarihli Karayolları Trafik Yönetmeliği değişikliği ile ise belirli ticari araçlara kamera ve araç takip sistemi bulundurma zorunluluğu getirildi.
İşbu değişiklikler, araç takip faaliyetlerinin artık yalnızca özel sektör tercihi olmaktan çıkarak yasal bir yükümlülük haline geldiğini göstermektedir. Ancak bu zorunluluk, araç sahiplerini veri sorumlusu olarak ayrı bir sorumluluk rejimi altına sokmaktadır.
ATS, temel olarak GPS (Global Positioning System) teknolojisi, GSM/GPRS iletişimi ve bulut tabanlı yazılımlar aracılığıyla aracın konum, hız, rota ve duraklama gibi verilerini toplamak, kaydetmek ve merkezi bir sistem üzerinden görüntülemek amacıyla tasarlanmış bir teknolojidir.
Bu sistemler, çoğu zaman yalnızca konum bilgisini değil, aynı zamanda aracın motor durumu, hız, yakıt seviyesi, sürücü kimliği (kart veya kullanıcı kodu ile), hatta bazı modellerde araç içi kamera görüntülerini de işlemektedir.
Bu yönüyle araç takip sistemleri, teknik olarak lokasyon verisi, görüntü verisi ve davranışsal veri gibi farklı kişisel veri kategorilerini birlikte işleyebilen çok katmanlı bir yapıya sahiptir.
Nitekim KVKK m.3 uyarınca “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” kişisel veri sayıldığından, aracın plaka numarası, sürücünün aracı kullandığı güzergâh, belirli saatlerde aynı lokasyonlarda bulunması veya araç içi kamera kayıtları doğrudan veya dolaylı biçimde kişisel veri niteliği taşımaktadır.
Dolayısıyla ATS kullanımı, yalnızca teknik bir takip aracı değil, aynı zamanda kişisel veri işleme faaliyeti anlamına gelmektedir.
Araç takip sistemleri yalnızca araçların konum bilgilerini değil, dolaylı biçimde sürücülerin, çalışanların ve hatta yolcuların kişisel verilerini de işlemektedir. Bu nedenle, işlenen veri kategorilerini doğru tanımlamak hukuka uygunluk değerlendirmesi açısından da büyük önem taşımaktadır.
GPS üzerinden alınan anlık konum, hız, güzergâh ve duraklama verileri, doğrudan sürücünün veya aracın kullanımına tahsis edilmiş kişinin hareketlerinin izlenmesini sağlar. Bu bilgiler, kişinin günlük rutinleri, iş adresi veya özel yaşamına dair çıkarımlar yapılmasına da elverişli olup kişisel veri niteliğini haizdir.
Aracın ne zaman hareket ettiği, hangi güzergâhı izlediği, ne sıklıkla durduğu gibi veriler, çalışan performansı veya müşteri davranışlarıyla ilişkilendirilebilir. Bu yönüyle profil oluşturma (profiling) riskini de barındırmaktadır.
Karayolları Trafik Yönetmeliği değişikliğiyle belirlenen ticari taşıtlarda kamera sistemlerinin zorunlu hale gelmesi, araç içi görüntülerin ve bazen seslerin de işlenmesini beraberinde getirmiştir. Bu veriler, özel nitelikli veri kapsamında olmasa da kişilerin yüz görüntüsünü içermesi nedeniyle açık kimlik tespiti imkânı sağlar ve sıkı koruma önlemleri gerektirmektedir.
Plaka numarası, aracın tahsis edildiği kişiyle eşleştirildiğinde kişisel veri niteliği kazanır. Özellikle araç kiralama sektöründe, plaka üzerinden sürücüye veya kiralayıcıya ulaşılması mümkündür. Nitekim 1774 sayılı Kanun, kiralanan araçlara ilişkin plaka bilgisini ve aracı kiralık olarak kullanan kişiye ait kimlik bilgilerini de işletme tarafından kaydedilmesi ve kolluğa bildirilmesi yükümlülüğünü de düzenlemektedir. Bu yönüyle kiralık araçlar bakımından plaka numarası hukuki yükümlülük gereği, doğrudan gerçek kişiyle ilişkilendirilebilir duruma gelebilmektedir.
Araç takip sistemleri sıklıkla çağrı merkezi veya uygulama tabanlı destek sistemleriyle de entegredir. Bu sistemler üzerinden toplanan telefon numarası, e-posta, şikâyet kayıtları da veri işleme kapsamındadır.
Bu veriler bir araya geldiğinde, ilgili kişinin konum, zaman, davranış ve kimlik bilgilerinin birleşimiyle bütüncül bir profil oluşturulabilmektedir. Kurul’un 2021/1303 sayılı kararında da vurgulandığı üzere, bu durum kişisel veri işleme faaliyetinin otomatik sistemlerle gerçekleştirilmesi anlamına gelmekte ve KVKK m.11 uyarınca ilgili kişiye “aleyhine sonuç doğuran otomatik işlemelere itiraz hakkı” tanımaktadır.
Araç takip sistemleri; iş sağlığı ve güvenliği, araç güvenliği ve operasyonel verimlilik gibi gerekçelerle işletmelerin meşru menfaatine dayanabilir. Ancak Kurul’un yerleşik içtihadı gereği, meşru menfaat gerekçesi mutlak değildir; veri sorumlusunun menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında denge testi yapılmalıdır.
Öte yandan, 19.08.2025 tarihli Karayolları Trafik Yönetmeliği değişikliği ile taksi, dolmuş ve toplu taşıma araçlarına getirilen araç takip ve kamera bulundurma zorunluluğu ve ayrıca 1774 sayılı Kimlik Bildirme Kanunu’nda yapılan değişiklik ile araç kiralama faaliyeti yürüten kişilerin kiraladıkları araçlarda GPS cihazı bulundurma zorunluluğu; bu verilerin işlenmesini hukuki yükümlülük kapsamında meşrulaştırmaktadır.
Dolayısıyla hukuki yükümlülüğü gereği ATS bulundurma zorunluluğu olan araçlarda veri işleme faaliyeti, veri sorumlularının inisiyatifinde değil, kanundan doğan zorunluluk çerçevesinde yürütülmektedir. Belirtmekte de ayrıca fayda vardır ki bu durum veri sorumlusunun aydınlatma yükümlülüğünü ortadan kaldırmamakta; sadece “açık rıza” alma zorunluluğunu kaldırmaktadır.
Her araç takip uygulamasında öncelikle kişisel veri işlemenin hangi hukuki gerekçe ile yürütüleceği net olarak belirlenmelidir. Yukarıda açıklandığı üzere Karayolları Trafik Yönetmeliği’nde veya 1774 sayılı Kimlik Bildirme Kanunu’nda düzenlendiği gibi ilgili mevzuat uyarınca araç takip sistemini bulundurmakla yükümlü olan işletmeler olabileceği gibi filo yönetimi veya çalışan performansını izleme amacıyla kullanılan ATS kullanılması da mümkündür. Her iki durumda da kişisel veri işleme amacının açık, ölçülü ve belgelenebilir şekilde belirlenmesi gerekir. Amaç belirsizliği, özellikle Kurul denetimlerinde “ölçüsüz veri işleme” tespitiyle sonuçlanabilmektedir.
Aydınlatma yükümlülüğü, veri sorumlusunun hukuka uygunluğunun temel dayanaklarından biri olup bu yükümlülük, yalnızca kâğıt üzerinde sunulan bir metinle sınırlı olmamalı; ilgili kişilerin gerçekten bilgilendirildiğini ortaya koyacak şekilde yerine getirilmelidir. Araç içerisinde görünür biçimde “Bu araçta kamera ve araç takip sistemi bulunmaktadır. Kişisel verileriniz KVKK uyarınca işlenmektedir.” gibi bir ibarenin yer aldığı uyarı levhaları bulundurulmalıdır. Çalışanlara veya sürücülere yazılı ya da elektronik ortamda bilgilendirme yapılmalı, bu bilgilendirmenin yapıldığını gösteren imza veya sair kayıt da ayrıca saklanmalıdır.
KVKK’nın 4. maddesinde yer alan genel ilkeler, araç takip sistemleri bakımından da doğrudan uygulanır. Bu çerçevede, toplanan veriler amacın gerektirdiğinden daha fazla veya daha detaylı olmamalıdır. Örneğin, sürekli canlı izleme veya araç içi ses kaydı yapılması, ölçülülük ilkesine aykırı olabilecek niteliktedir. Çalışanların özel hayatını korumak adına, sistemin sadece mesai saatlerinde aktif olması ve bu sürelerin dışında konum kaydı alınmaması bu aykırılıklara engel olabilecek çözümler olabilir.
KVKK’nın 12. maddesi uyarınca veri sorumluları, kişisel verilerin hukuka aykırı işlenmesini ve erişimini önlemek için gerekli teknik ve idari tedbirleri almak zorundadır. Bu kapsamda araç takip sistemlerine erişim, iki aşamalı kimlik doğrulama yöntemleriyle (örneğin şifre + SMS doğrulaması) güvence altına alınmalıdır. Veriler hem iletim sırasında hem de depolama sürecinde kriptografik yöntemlerle şifrelenmeli, bulut tabanlı altyapılarda güvenli veri merkezleri tercih edilmelidir. Hangi personelin hangi verilere eriştiği düzenli olarak kayıt altına alınmalı ve bu loglar denetlenmelidir. Ayrıca, sistem sağlayıcılar veya bilgi işlem birimleri tarafından periyodik sızma testleri gerçekleştirilerek olası güvenlik açıkları giderilmelidir.
Araç takip sistemlerinden elde edilen veriler yalnızca belirlenen amaç doğrultusunda ve gerekli süre kadar saklanmalıdır. Saklama süresi dolduğunda veriler; Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun biçimde imha edilmelidir. Örneğin, konum verilerinin genellikle altı ay ila bir yıl arasında saklanması yeterli kabul edilirken, araç içi görüntü kayıtları çoğu durumda otuz ila altmış gün arasında tutulmalıdır. Bu süreçlerin düzenli biçimde yürütülebilmesi için her kurumun yazılı bir “Veri Saklama ve İmha Politikası” oluşturması ayrıca önem arz etmektedir.
Araç takip sistemlerine yönelik hizmetler genellikle tedarikçiler aracılığıyla yürütülmektedir. Bu durumda, tedarikçilerle yapılan sözleşmelerde tarafların “veri sorumlusu” veya “veri işleyen” sıfatlarının net biçimde tanımlanması kritik öneme sahiptir. Sözleşmelerde veri işleme amaçları, güvenlik önlemleri, alt yüklenici kullanımı, denetim hakkı, veri ihlali bildirimi ve sözleşmenin sona ermesi halinde verilerin imhasına ilişkin hükümlere de yer verilmelidir.
Araç takip sistemleri günümüz taşımacılık faaliyetlerinin merkezinde yer almakla birlikte, kişisel verilerin korunması açısından yüksek hassasiyet gerektiren sistemlerdir. Bu sistemlerin hukuka uygun biçimde yapılandırılması; hukuki dayanağın netleştirilmesi, veri minimizasyonu, aydınlatma yükümlülüğünün titizlikle yerine getirilmesi ve güvenlik önlemlerinin sıkı biçimde uygulanmasıyla mümkündür. Bu bağlamda, araç sahipleri, filo yöneticileri ve hizmet sağlayıcılar, sadece yasal zorunlulukları değil, aynı zamanda “veri koruma kültürünü” kurumlarının bir parçası haline getirmelidir.
Yayınlara dön