Open menu

08 Ocak 2024

Veri İşlemede Veri Sorumlusunun Meşru Menfaati
×

Yazar CottGroup Hukuk ve Mevzuat Ekibi, Kategori KVKK - GDPR

Veri İşlemede Veri Sorumlusunun Meşru Menfaati

Kişisel Verilerin Korunması Kanunu ("KVKK"), 2016'da kabul edilmiş ve Resmî Gazete'de yayımlanmış genç olduğu söylenebilecek bir kanundur. Kişisel veri kavramı Kanun'da "Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" şeklinde açıkça tanımlanmıştır. Teknolojinin her gün geliştiği günümüz dünyasında kişisel veriler ve kişisel verilerin korunması gün geçtikçe daha çok önem kazanmaktadır. Sosyal medya platformları, kurumsal hayatta kullanılan sistemler ve dijital iletişim geliştikçe kişiler kişisel verileri açısından korunması zor bir konuma yerleşmektedir. Kişisel Verilerin Korunması Kanunu bu noktada esas amacını ortaya koymaktadır.

CottBlog Abone Ol
CottBlog Subscribe

Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacını taşır. Kişilerin temel hak ve özgürlüklerini korumak için Kanun farklı hükümler ortaya koymuş, çeşitli kavramlara açıklamalar getirmiştir.

Kişisel Verilerin Korunması Kanunu, "kişisel verilerin işlenmesi" kavramını açıkça tanımlamaktadır. Kanun'un 3. maddesinin e bendi uyarınca kişisel verilerin işlenmesi ifadesinin "Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi" ifade edeceği işaret edilmiştir.

Kişisel verilerin işlenmesi bazı şartlara bağlıdır. Bu şartlar Kanun'un 5. maddesinde ele alınmıştır. Öncelikle ilgili kişinin açık rızası olmadan kişisel verilerin işlenemeyeceği önemle vurgulanmalıdır. Ancak bazı durumlarda kişisel veriler ilgili kişinin açık rızası olmadan da işlenebilmektedir. KVKK'nın 5. maddesinin 2. Fıkrası varlığı hâlinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesini mümkün kılan şartları sıralamıştır. Bu şartlar sınırlıdır. Bu durum "numerus clausus" ilkesiyle açıklanır. Numerus clausus, "sınırlı sayı" anlamına gelen bir kavramdır. Yani bu madde ile kişisel verilerin açık rıza alınmadan işlenebileceği hâlleri gösteren şartlar tek tek belirlenmiş, sınırlandırılmıştır. Bu şartlar şunlardır:

  1. "Kanunlarda açıkça öngörülmesi.
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması."

Bu maddenin f bendinde anılan "veri sorumlusunun meşru menfaatleri" açıklanması gereken önemli bir husustur. Veri sorumlusunun meşru menfaatinin bulunması ve ilgili kişinin temel hak ve özgürlüklerine zarar verilmemesi gerekmektedir. "Meşru menfaat" kavramına özellikle dikkat edilmelidir zira bu kavram problemlere yol açacak şekilde kapsayıcı hâle gelebilir. Meşru menfaat kavramı ile ne kastedildiği önemlidir.

Menfaat, bilindiği üzere "çıkar, yarar" anlamlarına gelmektedir. Bu çıkarların neler olabileceği örneklerle açıklanabilir durumdadır. Örneğin bir şirket sahibinin, çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağılımında esas alınmak üzere çalışanların kişisel verilerinin işlenmesi şirket sahibinin meşru menfaati kapsamına alınmıştır. Yine çalışan bağlılığını artırmak amaçlı ödül ve primlerin uygulanabilmesi amacıyla veri işlenmesi bu kapsamdadır. Bunlar Kişisel Verileri Koruma Kurumu tarafından hazırlanmış yayınlarda verilmiş doğru örneklerdir.

Yine Kişisel Verileri Koruma Kurumu tarafından yayınlanmış olan "Kişisel Veri İşleme Şartları" isimli yayında "meşru menfaat" için "ilgili kişinin temel hak ve özgürlüğü ile yarışabilecek düzeyde etkin, belirli ve hâlihazırda mevcut olan bir menfaatine ilişkin olması" gerektiği söylenmektedir.

Menfaat var olmakla beraber "meşru" da olmalıdır. Bu kavram bilindiği üzere "doğru, haklı, yasal olan, yasanın doğru bulduğu" gibi anlamlara gelir. Mesela bir şirkette işle ilişiği kesilen kişilerin bilgilerinin işlenmeye devam edilmesi çoğunlukla meşru bir temele oturmamaktadır.

Veri sorumlularının meşru menfaatleri için kişisel veriler işleniyorsa, belirli şartlar sağlanmalıdır. Oldukça önemli bir karar olan Kişisel Verileri Koruma Kurulu'nun 25 Mart 2019 tarihli ve 2019/78 sayılı kararında bu şartlar şöyle sıralanmıştır:

  • Kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması,
  • Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi,
  • Meşru menfaatin halihazırda mevcut, belirli ve açık olması,
  • İlgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması,
  • Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması,
  • Bu açıdan ilgili kişinin başta kişisel verilerinin korunması olmak üzere temel hak ve hürriyetlerinin zarar görmesini engellemek amacıyla öngörülebilir, açık ve yakın her türlü tehlikeden uzak tutulması,
  • Kişisel verilerin bir veri kayıt sisteminde amaçla sınırlı olarak hukuka uygun işleyişinin temini ile zararı ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alınması,
  • Kişisel verilerin işlenmesinde genel ilkelere uygunluğun sağlanması,
  • Bu kapsamda, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılarak denge testinin yapılması

Bu hususta değerlendirme iki aşamalı olarak yapılır. Öncelikle veri sorumlusunun bir meşru menfaati olup olmadığı belirlenir. Ardından ilgili yani kişisel verileri işlenecek olan kişinin temel hak ve özgürlüklerine zarar verip vermediği belirlenmelidir.

Veri sorumlusunun meşru menfaati, veri işleme sonunda elde edeceği faydaya yöneliktir. Veri sorumlusunun elde edeceği fayda; meşru, ilgili kişinin temel hak ve özgürlüğü ile yarışabilecek düzeyde etkin, belirli ve hâlihazırda mevcut olan bir menfaatine ilişkin olmalıdır. Zamanı, ortaya çıkıp çıkmayacağı belirsiz bir menfaat bu madde için hukuki bir zemine oturmayacaktır. Bu menfaat gerçek bir menfaat olmalı ve aynı zamanda meşru menfaat ciddi ve önemli olmalıdır.

Veri sorumlusunun güncel işlemleriyle alakalı ve ona yakın gelecekte fayda sağlayacak bir işlem olması gerekmektedir. Kurum'un kendi yayınlarında da örnek verdiği üzere şirketin satılması, devralınması veya ortaklık yapısının değişmesi gibi bir durum söz konusu olduğunda, şirketi satın alacak kişinin, şirketin güncel durumuna hâkim olabilmek amacıyla içinde kişisel verilerin de bulunduğu birtakım bilgileri ölçülü ve gerekli güvenlik önlemlerini alarak incelemesi hâlleri de meşru menfaat kapsamına alınabilecektir.

Veri sorumlusunun meşru menfaati olup olmadığı belirlendikten sonra, kişisel verisi işlenecek olan ilgili kişinin temel hak ve özgürlüklerinin tespiti yapılmalıdır. Burada farklı bir kavram olan "denge testi"nden bahsetmemizde yarar vardır. Bu test meşru menfaat ile ilgili kişinin temel hak ve özgürlükleri arasında olacak, meşru menfaat ile temel hak ve özgürlükler kıyaslanacaktır. Veri sorumlusunun meşru menfaatinin çok güçlü ve etkin olmadığı hâllerde ilgili kişinin hak ve özgürlükleri, veri sorumlusunun meşru menfaatinden daha üstün gelecektir. Veri sorumlusunun meşru menfaati daha güçlü ise KVKK'nın 5. maddesinin f bendi kapsamında açık rıza alınmadan veriler işlenebilecektir. Örnek olarak bahsediyor olduğumuz 2019/78 sayılı kararda da bu görülmüştür.

Tüm bunlar ışığında görülür ki ilgili hüküm veri işlenmesine dair sınırsız bir yetki vermemektedir. Veri sorumlusunun meşru menfaati ile ilgili kişinin hak ve özgürlükleri arasında bir denge sağlanmalıdır.

Daha önce de alıntıda bulunduğumuz Kişisel Verileri Koruma Kurulu'nun 25 Mart 2019 tarihli ve 2019/78 sayılı kararı "Veri sorumlusunun kanuni yükümlülüğünü yerine getirmek için işlediği kişisel verileri meşru menfaat çerçevesinde kullanma talebiyle Kuruma yapmış olduğu başvuru"ya ilişkindir. Başvurucu, 5015 sayılı Petrol Piyasası Kanunu gereğince, "Dağıtıcı Lisansı" kapsamında petrol piyasasında faaliyet gösteren bir şirkettir. Enerji Piyasası Düzenleme Kurulu Kararı ile getirilen yükümlülük çerçevesinde bayi pompa satış hareketlerini çeşitli bilgileri içerecek şekilde sorgulama imkânı veren ve ilgili Kurumun anlık erişimine açık olan bir otomasyon sistemi kurduğu ve Enerji Piyasası Düzenleme Kurulu'nun anlık erişimine açık tutulan bu verileri "hatalı akaryakıt dolumları"nın önüne geçmek için şirketleri tarafından geliştirilen "Araç Tanıma Projesi" için kullanacakları şirket tarafından iletilmiştir. Araç Tanıma Projesi'nin gerçekleştirilmesinin hatalı akaryakıt ikmalinden kaynaklanan problemleri sonlandıracağı ve böylece Şirketin ve bayilerin meşru menfaatlerinin korunmuş olacağını belirtmişler ve bu kapsamda şirketin otomasyon sistemi için işlediği bazı verileri, ilgili kişilerin açık rızası olmaksızın Araç Tanıma Projesi için kullanmasının 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 5'inci maddesinin (2) numaralı fıkrasının (ç) ve (f) bentleri kapsamında değerlendirilip değerlendirilemeyeceği talebiyle başvuru yapmışlardır. Kurul ise 5. maddenin f bendine göre durumu değerlendirerek daha önce belirttiğimiz şartları saymış ve akaryakıt istasyonlarına gelen araçlara tüketicinin talep ettiği üründen farklı bir ürün ikmal edilmesi nedeniyle oluşan araç arızalarından dolayı tüketicilerin uğramış olduğu zararlar ile bu zararlardan 6502 sayılı Tüketicinin Korunması Hakkında Kanun gereğince işletici ile birlikte başvuranın da dağıtıcı şirket olarak müteselsilen sorumluluğunun bulunduğu, bu yöndeki yargı kararları da dikkate alındığında durumun hem tüketicinin hem de dağıtıcı şirketin maddi kaybı ile birlikte şirket marka değeri ve hizmet kalitesinde de kayıplara yol açabileceğinin anlaşıldığını dikkate almıştır. Bunun sonucunda veri sorumlusunun tüketicilere ait plaka ve ürün tipi bilgilerini kullanmasının KVKK'nın 5. maddesinin f bendine uygun olduğuna, Şirketin erişilebilir ve görünür şekilde aydınlatma yükümlülüğünü yerine getirmek ve başka bir amaçla kullanmamak kaydıyla ilgili kişilerin açık rızasını almaksızın bahse konu sistemi kullanmasında KVKK yönünden hukuken bir engel bulunmadığına karar verilmiştir.

Anayasa Mahkemesi'nin 2016/125 Esas ve 2017/143 Karar sayılı kararında "Anayasa'nın 20. maddesinin üçüncü fıkrasında ise "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." hükmü yer almaktadır. Kişisel verilerin korunması hakkı ise özel hayatın gizliliği hakkının özel bir biçimi olarak bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır. Kişisel verilerin korunmasını isteme hakkına sağlanan anayasal güvencenin yaşama geçirilebilmesi için bu hakkı ilgilendiren yasal düzenlemelerin açık, anlaşılabilir ve kişilerin söz konusu haklarını kullanabilmelerine elverişli olması gerekir. Ancak böyle bir düzenleme ile kişilerin özel hayatlarını ilgilendiren veri ve bilgilerin resmî makamların keyfî müdahalelerine karşı korunması mümkün olabilir." açıklamalarına yer verilmiştir. Bu ifade bireylerin hak ve özgürlüklerinin önemini gösterir oldukça mühim ifadelerdir. Nitekim Anayasa'nın 20. maddesinde de kişisel verilere Anayasal bir nitelik kazandırılmıştır. Aynı zamanda Anayasa'nın 13. maddesi "Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz." demektedir. Bu karar ve kanun hükümleri kişisel verilerin korunmasına verilmesi gereken önemi ve temel hak ve hürriyetlerin nasıl konumlandırılması gerektiğini göstermektedir.

KVKK, Anayasa, Anayasa Mahkemesi ve Kişisel Verileri Koruma Kurulu kararlarında görülmektedir ki üzerinde durduğumuz konu oldukça önemli ve kişileri yakından ilgilendiren bir konudur. Bu sebeple üzerinde dikkatle inceleme yapılarak karar alınması gerekmektedir.

GDPR Açısından İnceleme

Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), Avrupa Birliği Hukukunda tüm Avrupa Birliği ve Avrupa Ekonomik Alanı içerisinde yer alan bireyler için veri koruma ve gizliliğine ilişkin bir tüzüktür. Avrupa Birliği ve Avrupa Ekonomik Alanı içerisinde bulunmayan ülkelerde mukim veri sorumluları da Avrupa Birliği'nde mukim gerçek kişilerin kişisel verilerini işliyorlar ise GDPR'a uyumlanmak durumundadırlar.

Konumuzu GDPR açısından inceleyecek olursak Kişisel Verilerin Korunması Kanunu ile aynı şekilde bir düzenlemeye rastlayamayız. "İşleme Faaliyetinin Hukuka Uygunluğu" başlıklı 6. maddesinde "İşleme faaliyeti, ancak aşağıdaki hususlardan en az biri geçerli olduğunda ve olduğu ölçüde, hukuka uygundur:" denilerek bazı şartlar sayılmıştır. Bu şartlardan biri de "f. özellikle veri sahibinin çocuk olması hâlinde veri sahibinin kişisel verilerin korunmasını gerektiren menfaatleri veya temel hakları ve özgürlüklerinin bir kontrolör veya üçüncü bir kişi tarafından gözetilen meşru menfaatlere ağır basması haricinde, söz konusu menfaatler doğrultusunda işleme faaliyetinin gerekli olması." şartıdır.

Öncelikle belirtmeliyiz ki KVKK'daki "veri sorumlusu" kavramı GDPR'da "veri kontrolörü" olarak anılmaktadır. GDPR'ın 6. maddesinin f bendinde veri sahibinin menfaatleri veya temel hak ve özgürlükleri veri kontrolörünün meşru menfaatleri ile karşılaştırılmış ve ağır basması hâlinde veri sahibinin menfaatleri veya temel hak ve özgürlüklerinin önemseneceği açıklanmıştır.

GDPR açısından KVKK'da bulunan ve uzunca açıkladığımız düzenlemenin bir benzeri olarak bu madde görülecekse de tam olarak aynı şeyi ifade etmedikleri açıktır. KVKK'da bir üçüncü kişiden bahsedilmezden GDPR üçüncü kişileri de değerlendirmiştir. Ayrıca GDPR "özellikle veri sahibinin çocuk olması hâlinde" diyerek farklı bir noktanın altını çizmiştir.

Ancak meşru menfaat kavramı GDPR kapsamında da yukarıda izah ettiğimiz temel norm ve değerlendirmeler kapsamında ele alınabilecek, her somut veri işleme faaliyeti bakımından veri sorumlusunun meşru menfaatinin mevcudiyeti değerlendirilebilecektir.

SONUÇ

6698 Sayılı Kişisel Verilerin Korunması Kanunu'nda kişisel veri sahiplerinin temel hak ve hürriyetlerini koruma ile kişi ve kurumların veri işleme özgürlüğünü koruma arasında bir denge kurulmaya çalışılmıştır. Bu amaçla Kanunun 5. maddesinde ilkin kişisel verilerin işlenmesinde ilgili kişinin açık rızasının bulunması şart koşulmuş; akabinde ise veri sorumlusunun meşru menfaatinin bulunması hâlinde ilgili kişinin kişisel verilerin işlenmesinin mümkün olduğu hâller sayılmıştır.

6698 Sayılı KVKK'nın 5. maddesinin 2. fıkrası f bendi uyarınca, veri sorumluları kendi meşru menfaatleri için zorunlu olduğu durumlarda, ilgili kişinin temel hak ve özgürlüklere zarar vermemek kaydıyla, ilgili kişinin açık rızasına gerek bulunmaksızın kişisel verilerini işleyebilirler. Söz konusu düzenleme uyarınca, rıza aranmaksızın kişisel veri işlenebilmesi için; veri sorumluları tarafından meşru, belirli, hâlihazırda mevcut olan ve ilgili kişinin temel hak ve özgürlüğü ile yarışabilecek düzeyde etkin bir menfaatinin olması gerekmektedir. Meşru menfaate dayalı rıza aranmaksızın kişisel veri işlenirken, Kişisel Verileri Koruma Kurulu'nun kararlarında yer alan kriterlerin bulunması ve değerlendirilmiş olması gerekmektedir.

Ek bilgiye ihtiyaç duymanız hâlinde lütfen bizimle iletişime geçiniz.

Bilgilendirme Metni!

Bu makalede yer alan içerikler, yalnızca genel bilgilendirme amaçlıdır ve CottGroup® üye şirketlerine aittir. Bu içerikler, hukuki, mali veya teknik danışmanlık hizmeti niteliği taşımamaktadır ve kaynak gösterilmeden iktibas edilemez.

CottGroup® üye şirketleri, makaledeki bilgilerin doğru, güncel veya eksiksiz olduğunu garanti etmez ve bu bilgilerin içerebileceği hata, eksiklik veya yanlış anlaşılmalardan doğabilecek zararlardan sorumlu değildir.

Burada sunulan bilgiler, genel bir bakış sunmak amacıyla hazırlanmıştır. Her somut olay farklı değerlendirmeler gerektirebilir ve bu bilgiler her duruma uygun olmayabilir. Bu nedenle, makalede yer alan bilgilere dayalı olarak herhangi bir işlem yapmadan önce, konuyla ilgili hukuk, mali, teknik ve diğer uzmanlık alanlarında yetkin bir profesyonele danışmanız önemle tavsiye edilir. CottGroup® müşterisiyseniz, özel durumunuza ilişkin müşteri temsilcinizden bilgi almayı unutmayınız. Müşterimiz değilseniz, lütfen ilgili bir uzmandan görüş alınız.

CottGroup® üye şirketlerine ulaşmak için tıklayınız.

Yazar

/en/blog/kvkk-gdpr/item/legitimate-interest-of-the-data-controller-in-data-processing

Diğer Makaleler

Başlayalım
Hizmet ihtiyaçlarınız için teklif alın.

Daha fazla bilgi
almak ister misiniz?