Meşru Menfaat Nedir?
Veri sorumluları, kişisel verilerin işlenmesini meşru bir menfaate dayandırmalıdır. Bu, genellikle iş faaliyetlerinin yürütülmesi, hizmet sunumu veya yasal yükümlülüklerin yerine getirilmesi gibi amaçları içerir. Kişisel verileri işlenmesi şartları başlığı altında, 6698 sayılı Kişisel Verilerin Korunması Kanunu madde 5/2(f) uyarınca; ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması gerekmektedir.
Meşru Menfaat Denge Testi Nedir?
KVKK m. 5 (2) (f): «İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla…»
GDPR m. 6 (1) (f): «…except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject…»
Kişisel verilerin işlenmesi sırasında, veri sorumlularının veya üçüncü tarafların meşru menfaatleri ile bireylerin temel hak ve özgürlükleri arasında bir denge kurmayı amaçlayan bir değerlendirme sürecidir. Söz konusu menfaat denge testi yapılırken verisi işlenen ilgili kişinin menfaati, veri sorumlusunun menfaatine ağır basmamalıdır. Buna örnek olarak; IT güvenliğinin sağlanmasında web sayfasını ziyaret eden kişilerin IP adres bilgilerinin işlenebileceği şeklinde açıklanabilir.
Meşru Menfaatin Tespiti Nasıl Yapılır?
Öncelikle 6698 sayılı kanun kapsamında veri sorumlusunun kişisel veriyi işleme şartları arasında sayılan meşru menfaatin varlığının tespitine ilişkin herhangi bir düzenleme bulunmamaktadır. Fakat meşru menfaatin ne gibi hallerde var olabileceğine ilişkin örneğe madde gerekçesinde yer verilmiştir. İlgili örnekte; bir şirket sahibi çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, çalışanların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesi gibi amaçlarla kişisel verileri işleyebilecektir. Buna ek olarak, 6698 sayılı kanunda belirtilen genel ilkelere uyulması ve veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında bir dengenin bulunması gerektiği ifade edilmiştir. Özetle burada bir menfaat dengesi gözetilmesi gerekliliği belirtilmiştir.
Her ne kadar hükmün gerekçesinde meşru menfaatin tespitine ilişkin örnekleme yoluna gidilmiş olunsa da Kişisel Verileri Koruma Kurumu’nun 25.03.2019 tarihli ve 2019/78 sayılı ilke kararına kadar meşru menfaatin tespiti muğlaktı.
Kişisel Verileri Koruma Kurumu’nun 25.03.2019 Tarihli ve 2019/78 Sayılı İlke Kararına Göre Meşru Menfaat Denge Testi:
İlgili kararın özetine ve ilgili GDPR kararlarına sitemizdeki meşru menfaat denge testi kararından ulaşabilirsininiz.
İlgili karar bir ilke karar niteliği taşımaktadır. İlgili kararda;
- Kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması,
- Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi,
- Meşru menfaatin halihazırda mevcut, belirli ve açık olması,
- İlgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması,
- Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması,
- Bu açıdan ilgili kişinin başta kişisel verilerinin korunması olmak üzere temel hak ve hürriyetlerinin zarar görmesini engellemek amacıyla öngörülebilir, açık ve yakın her türlü tehlikeden uzak tutulması,
- Kişisel verilerin bir veri kayıt sisteminde amaçla sınırlı olarak hukuka uygun işleyişinin temini ile zararı ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alınması,
- Kişisel verilerin işlenmesinde genel ilkelere uygunluğun sağlanması,
- Bu kapsamda, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılarak denge testinin yapılması hususlarının değerlendirilmesi gerektiği belirtilmiştir.
İlgili kararla bağlantılı olarak “Veri Minimizasyonu Nedir?” konulu blog yazımıza göz atabilirisiniz.
Veri sorumlusu, kişinin temel hak ve özgürlükleri ile kendi meşru menfaatini karşılaştırarak bir denge testi yapmalıdır. Bu bağlamda, her bir somut durumu inceleyerek, veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlükleri arasındaki denge belirlenmeli ve hangisinin öncelikli olduğu tespit edilmelidir.
İlgili kararı değerlendirdiğimizde; veri sorumlusunun meşru menfaatinin, hatalı akaryakıt ikmali kaynaklı maddi ve ticari itibar kaybını önlemek olduğunu görmekteyiz. İlgili kişilerin temel hak ve özgürlükleri ise araç plakalarının satın alınan akaryakıt türüyle eşleştirilmesi sırasında kişisel verilerinin korunma hakkını içermektedir.
Kurul, belirtilen durumda meşru menfaatin tespiti için yukarıda belirtilen kriterleri kullanmış olsa da AB örneklerinde olduğu gibi üç aşamalı bir test öngörmemiştir.
Ekibimizden Senanur Altınay’a yazısı için teşekkür ederiz.
Kaynakça
Meşru menfaat denge testi KVKK kararı
Şiive Sepici Güleşgen. 2023. “Kişisel Verilerin Korunması Hukuku Açısından Meşru Menfaat Kavramının Değerlendirilmesi.” Accessed December 8. https://search.ebscohost.com/login.aspx?direct=true&db=edslgb&AN=edslgb.4291320&site=eds-live.