Meşru menfaat, kişisel verilerin işlenmesi için altı yasal dayanaktan biridir. Kişisel verilerinizi ‘hukukilik, adillik ve şeffaflık’ ilkesi doğrultusunda işleyebilmeniz için hukuka uygun bir dayanağa sahip olmanız gerekmektedir. KVKK gereğince, kişisel veriler ilgili kişinin açık rızası olmadan veri sorumluları aracılığıyla işlenememektedir. Bunun yanında, KVKK’nın 5. maddesinin 2. fıkrası çerçevesinde, ilgili kişinin açık rızasına bakılmaksızın kişisel verilerinin işlenebileceği birtakım koşullar düzenlenmiştir. Bu koşullardan bir tanesi de ilgili kişinin temel hak ve özgürlüklerini çiğnememek şartıyla, veri sorumlusunun meşru menfaatleri için kişisel verilerin işlenmesinin mecburî kılınmasıdır. Bu içeriğimizde, meşru menfaat kavramını ve meşru menfaate dayanarak kişisel verilerin işlenmesinin mecburî olması konusundan bahsedeceğiz.
Meşru menfaat kavramı KVKK çerçevesinde açıklanmamıştır. Bunun yanında, KVKK aracılığıyla düzenlenen Kişisel Verilerin Korunmasına İlişkin Terimler Sözlüğünde meşru menfaat, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek koşuluyla yapılacak işleme faaliyetinde, veri sorumlusunun ulaşacağı meşru, etkin, belirli ve halihazırda bir menfaat olarak açıklanmıştır.
KVKK’nın 5. maddesinin 2. fıkrasının (f) bendi gereğince, veri sorumluları, şahsi meşru menfaatleri için mecbur olduğu hususlarda, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek koşuluyla, ilgili kişinin kişisel verilerini işleyebilecektir. Kanunun gereğince, bir şirket sahibi aracılığıyla çalışanlarının temel hak ve özgürlüklerine zarar vermemek koşuluyla, onların terfileri, maaş zamları yahut sosyal haklarının hazırlanmasında ya da işletmenin yeniden konfigürasyon sürecinde görev ve rol dağıtımında temel alınmak üzere, çalışanların kişisel verilerinin işlenmesinin veri sorumlusunun meşru menfaatleri için mecburî olmasına örnek olarak verilmiştir. İşletmenin yeniden konfigürasyon ya da ehliyetli ve liyakatli çalışanların yükselmesi, veri sorumlusu olarak şirket sahibinin meşru menfaati çerçevesinde değerlendirilmiştir.
Meşru menfaat için tekrar örnek vermek gerekirse, bir şirketin satılması, devralınması veya ortaklık yapısının farklılaşması benzeri bir durum söz konusu olduğunda, şirketi satın alacak kişinin, şirketin güncel konumuna hâkim olabilmek maksadıyla kişisel verileri içeren belgeleri makul ve gerekli güvenlik tedbirlerini sağlayarak incelemesidir.
Veri sorumluları aracılığıyla meşru menfaatleri için kişisel verilerin işlenmesi hususunda, belirli koşulların gerçekleştirilmesi gerekecektir. Bu koşullar, Kişisel Verileri Koruma Kurulu’nun 2019/78 sayılı ve 25 Mart 2019 tarihli kararında şu şekilde saptanmıştır:
- Kişisel verinin işlenmesi neticesinde ulaşılacak menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir seviyede olmasını sağlamalıdır. Kişisel verilerin işlenmesi neticesinde, veri sorumlusu aracılığıyla küçük bir menfaat elde ediliyorken, ilgili kişinin temel hak ve özgürlükleri ciddi düzeyde zedeleniyorsa, bu husus hukuka uygun olmayacak ve böyle bir durumda açık rıza olmazsa kişisel veriler işlenemeyecektir.
- Bahsi geçen menfaatin elde edilebilmesi açısından kişisel veri işlenmesinin mecburiyet gerektirmelidir. Bununla beraber, ilgili menfaat kişisel veriler işlenmeden ulaşabiliyorsa, böyle bir konuda meşru menfaat ile mecburi olması koşuluna dayanılamayacaktır.
- Meşru menfaatin mevcut, net ve açık olması gerekmektedir. Gelecekte gerçekleşecek veya muğlak bir menfaat, meşru menfaat sayılmayacaktır.
- İlgili kişinin temel hak ve özgürlükleri ile yarışabilir yeterlikte olan meşru menfaatin ulaşılması durumunda bir fayda sağlanacak olması ve kişisel veri işlenmeksizin farklı bir yol ve usulle bu faydanın açığa çıkma olasılığının olmaması gerekmektedir.
- Meşru menfaat saptanırken bahsi geçen faydanın çok sayıda kişiyi etkilemesi, sadece kâr sağlanması ya da ekonomik faydanın sağlanması hedefine dönük olmaması, iş süreçlerini ya da bir gidişatı kolaylaştırması gibi şeffaf ve hesap verilebilir yeterlikleri taşıyan ölçütlerin temel alınması gerekmektedir.
- İlgili kişinin, başta kişisel verilerinin korunması olarak, temel hak ve hürriyetlerinin zarar görmesinin önüne geçmek maksadıyla öngörülebilir, açık ve yakın her türden tehlikeden uzak tutulması gerekmektedir. Bu tür tehlikelerin saptanması için Avrupa Birliği Genel Veri Koruma Tüzüğü çerçevesinde hazırlanan etki değerlendirmesi gibi değerlendirmelerin gerçekleştirilmesi uygun olacaktır.
- Kişisel verilerin bir veri kayıt sisteminde, hedefle kısıtlı olarak hukuka uygun işlenişinin tedariki ile zararın ve ihlallerin önüne geçmek amacıyla her türeden teknik ve idari önlemin alınması gerekmektedir. Bu yükümlülük, KVKK çerçevesinde veri güvenliğine dair yükümlülükler başlığı altında düzenlenmiştir.
- Kişisel verilerin işlenmesinde genel prensiplere uygunluğun hâle getirilmesi gerekmektedir. Bu prensipler, KVKK çerçevesinde hukuka ve dürüstlük kurallarına uygunluk, doğruluk ve gerekli olduğunda güncellik, belirlilik, açıklık, meşru amaç, işleme maksadıyla bağlantılı, sınırlı ve ölçülü olma, ilgili yönetmelikte öngörülen veya işlendikleri maksat için gerekli olan süre zarfı kadar saklanma olarak sayılmıştır.
- Kişinin temel hak ve özgürlükleri ile veri sorumlusunun meşru menfaatinin kıyaslayarak denge testinin gerçekleştirilmesi gerekmektedir. Denge testi, ilgili kişinin temel hak ve özgürlükleriyle veri sorumlusunun meşru menfaatinin adaletli bir şekilde değerlendirilmesi neticesinde meşru menfaatin ağır basması veya en azından dengeli olmasını belirtmektedir.
Anayasa Mahkemesi nezdinde veri sorumlusunun meşru menfaatleri sebebiyle kişisel verilerin işlenmesinin mecburî olması durumunun düzenlendiği KVKK’nın 5. maddesinin 2. fıkrasının (f) bendi için açılan fesih davasına değinmekte yarar vardır. Fesih davası çerçevesinde, ilgili işlenme koşullarının açık, anlaşılabilir ve makul olmadığı ve “meşru menfaat” kavramının muğlak olduğu söylenerek ilgili bentlerin feshi istenmiştir.
Anayasa Mahkemesi, işleme koşulu olarak meşru menfaatin kanunun gerekçesinde örnekle tanımlandığını, ilgili fıkrada açıklanan işleme koşullarının yalnızca belirli hususlarda için geçerli olan istisnalar olduğunu, ilgili istisnaların gereklilik ve mecburiyet durumunda açığa çıkacak gereksinimleri karşılama maksadı taşıdığını ve maksadı haricinde kişisel verilerin işlenmesi ve kişisel verilerin ifşa edilmesi ile ilgili Türk Ceza Kanunu çerçevesinde hazırlanan cezaların yasal teminat sağladığını belirterek fesih talebini reddetmiştir. Aynı zamanda fesih kararında, temel hak ve özgürlüklere zarar vermeme, temel ilkelere uyum sağlama ve veri sorumlusu ile alakalı kişinin menfaatleri içerisinde bir denge koruma mecburiyetleri ile değerlendirildiğinde, meşru menfaat kavramının belirsiz olarak değerlendirilemeyeceğine karar verilmiştir.
Yazar: Zehra Betül Taşkın
Benzer: https://www.nesilteknoloji.com/kvkk-kapsaminda-mesru-menfaat/
