Avrupa Adalet Divanı’nın SCHUFA Skoru’nun Kredi Değerlendirmesindeki Rolüne İlişkin Önemli Açıklamaları
7 Aralık 2023 tarihinde Avrupa Adalet Divanı (EuGH), birden fazla ön karar davası kapsamında (Az. C-634/21, C-26/22 ve C-64/22), SCHUFA skoru olarak bilinen verilerin işlenmesi ve kullanılmasına dair şimdiye kadarki anlayışı kökten değiştiren kararlar aldı. Kararlar, Genel Veri Koruma Tüzüğü’ne (DSGVO), kredi değerliliğinin ölçülmesine ve ilgili kişiler ile bilgi sağlayıcı şirketlerin veri koruma menfaatlerinin dengelenmesine ilişkin temel hususları ilgilendiriyor.
Kararın Arka Planı
Davalar, bankalar ve diğer iş ortakları tarafından kredi kararlarında SCHUFA skorunun otomatik işlenmesi ve belirleyici şekilde kullanılması konusunda şikayette bulunan vatandaşları ilgilendiriyordu. Esasen, algoritmalara dayalı skor değerinin kredi verilmesinde – örneğin kredi başvurularında, leasing sözleşmelerinde veya sözleşme imzalarında – belirleyici olup olamayacağı ve hangi kapsamda olabileceği açıklığa kavuşturulmalıydı.
Veri İşleme ve Otomatik Karar Alma
Skorun Kişisel Profil Olarak Kullanılması
Avrupa Adalet Divanı, SCHUFA skorunun hazırlanmasının, DSGVO’nun 4. maddesinin 4. fıkrası anlamında bir ‘profil oluşturma’ biçimi olduğunu açıkça belirtmiştir. Bu süreçte, özellikle ödeme ve sözleşme sadakatine ilişkin veriler bir araya getirilir, analiz edilir ve sayısal bir değere dönüştürülür. Böylece, bankalar ve diğer iş ortaklarının kullanımına sunulan kişisel bir risk profili ortaya çıkar.
DSGVO Anlamında Belirleyicilik
Özellikle önem arz eden husus, bir sözleşmenin kabul ya da reddi kararında yalnızca böylesi bir skorun esas alınması ya da belirleyici biçimde kullanılması durumunun, DSGVO’nun 22. maddesi anlamında otomatikleştirilmiş bir bireysel karar oluşturduğunun tespit edilmesidir. Burada temel soru, karar sürecine insan müdahalesinin olup olmadığı veya skorun sayısal sonucunun karar üzerinde fiilen bağlayıcı olup olmadığıdır.
Kredi Kurumları ve Bilgi Sağlayıcıların Ticari Uygulamalarına Etkiler
Otomatikleştirilmiş Kararların Kabul Edilebilirliği
Kararlara göre, bankalar, sigorta şirketleri ve diğer sözleşme ortaklarının, SCHUFA skorunu tek başına veya esas olarak belirleyici bir karar faktörü olarak kullanmaları bundan böyle, ek bireysel bir değerlendirmenin sağlanmasına yönelik yeterli önlemler alınmadıkça, mümkün değildir. Skor bilgisinin yalnızca destekleyici nitelikte olmasına izin verilmektedir.
Şeffaflık ve Bilgilendirme Hakları
Kararlar ayrıca, ilgili kişilerin, DSGVO’nun 15. maddesi uyarınca şeffaf bilgi alma hakkının altını çizmektedir. Şirketler, skorun hangi kapsam ve veri temeline göre oluşturulduğunu ve bu skorun karar sürecinde nasıl kullanıldığını açıkça belirtmekle yükümlüdür.
Diğer Hukuki Sorunlar: Eski Kayıt Düzenlemesi ve Veri Silme
İflastan Kurtulma (Borcun Tasfiyesi) Verilerinin İşlenmesi
Bir diğer merkezi konu, elde edilen iflas sonrası borçsuzluk bilgilerinin yönetimi ve bu bilgilerin skor oluşturma sürecinde depolanmasıydı. Avrupa Adalet Divanı, bu verilerin kamuya açık kayıtların öngördüğü sürenin ötesinde saklanmasına izin veren ulusal düzenlemelerin Birlik Hukuku’yla bağdaşmadığını açıkça belirtmiştir. Bu da, devlet kayıtlarının ilgili veriyi silmesinden sonra SCHUFA gibi bilgi sağlayıcı kuruluşlar tarafından bu tür kayıtların saklanmasının ve kullanılmasının artık mümkün olamayacağı anlamına gelmektedir.
Silme Talepleri ve Düzeltmeler
Kararlardan etkilenenler, yanlış veya güncel olmayan skor verilerinin silinmesi veya düzeltilmesi için güçlendirilmiş bir hak elde edeceklerdir. Özellikle, borcun tasfiyesine ilişkin veriler, kamu kayıtlarının öngördüğünden daha uzun süre saklanamayacaktır.
Kredi Sektörü ve Sözleşme Uygulamalarına Etkiler
EuGH kararları, DSGVO’nun kredi değerlendirmeleriyle ilgili yorumuna açıklık getirmekle kalmayıp, aynı zamanda bilgi sağlayıcıların ve kredi kurumlarının temel iş modellerini de yakından ilgilendirmektedir. Bankalar ve sigorta şirketleri, kredi değerlendirme süreçlerini çok taraflı karar temellerine dayandırmak ve sadece skor bazında otomatik retleri önlemek zorundadır.
Karar Gerekçelendirmesinde Gereklilikler
Bundan böyle, EuGH ve DSGVO’nun gerekliliklerini yerine getirmek adına, her bir vakanın ayrıntılı belgelenmesi ve gerekirse insan tarafından incelenmesi zorunlu olacaktır. Bu kararlar, tüketicilerin hukuki konumunu güçlendirmekte ve kişisel verilerle ilgili şeffaflık ve izlenebilirlik gerekliliklerini artırmaktadır.
Uygulamaya Olası Etkiler
Bu içtihat ışığında, birçok şirketin hem bilgi sağlama sistemi hem de kredi değerliliği süreçlerinde köklü değişiklikler yapması beklenmektedir. Ayrıca, veri koruma denetim otoriteleri de uygulanmanın doğruluğunu izleyecek ve gerekirse müdahale edecektir.
Sonuç ve Gelecek Perspektifi
EuGH’nin güncel kararları, veri koruma hukukunda bir dönüm noktası teşkil etmekte ve özellikle SCHUFA skoru ile ilgili derecelendirme verilerinin kullanımına ilişkin önemli hukuki gelişmeler getirmektedir. Kararların kapsamı sadece kredi sektörüyle sınırlı olmayıp, tüm kredi değerliliği uygulamalarını etkilemektedir. Şirketler, bankalar ve bilgi sağlayıcılar, karar süreçlerini Birlik Hukuku’na uygun biçimde yeniden gözden geçirmek durumundadır.
Şirketler, yatırımcılar ve bireyler için bu durum, veri koruma uyumlu iç süreçlerin tasarımı, kredi değerlendirmesinde menfaat dengesi ve bilgi/düzeltme haklarının sağlanması gibi konularda yeni zorluklar ve sorular gündeme getirmektedir.
EuGH’nin yeni içtihadı ve bu doğrultuda uygulamada ortaya çıkan bireysel talepler ile karmaşık sorunlarda, hedefe yönelik hukuki değerlendirmeler netlik sağlayabilir.
Not: Bu yazı yalnızca bilgilendirme amaçlıdır. Daha ayrıntılı sorularınızda, MTR Legal’ın bankacılık, veri koruma ve sözleşme hukuku alanındaki kapsamlı deneyiminden faydalanabilirsiniz.
