Kişisel Verilerin Korunması Kanunu uyarınca, kişisel veriler ilgili kişinin açık rızası olmaksızın veri sorumluları tarafından işlenememektedir. Bununla birlikte, Kişisel Verilerin Korunması Kanunu‘nun 5’inci maddesinin 2’nci fıkrası kapsamında, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenebileceği şartlar düzenlenmiştir. Bu şartlardan bir tanesi de ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için kişisel verilerin işlenmesinin zorunlu olmasıdır. Bu yazımızda, meşru menfaat kavramını ve meşru menfaate dayanarak kişisel verilerin işlenmesinin zorunlu olması durumunu açıklayacağız.
Meşru menfaat kavramı Kişisel Verilerin Korunması Kanunu kapsamında tanımlanmamıştır. Bununla birlikte, Kişisel Verileri Koruma Kurumu tarafından hazırlanan Kişisel Verilerin Korunmasına İlişkin Terimler Sözlüğünde meşru menfaat, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla gerçekleştirilecek işleme faaliyetinde, veri sorumlusunun elde edeceği meşru, etkin, belirli ve mevcut bir menfaat olarak ifade edilmiştir.
Kişisel Verilerin Korunması Kanunu’nun 5’inci maddesinin 2’nci fıkrasının (f) bendi uyarınca, veri sorumluları, kendi meşru menfaatleri için zorunlu olduğu durumlarda, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, ilgili kişinin kişisel verilerini işleyebilecektir. Kanunun gerekçesinde, bir şirket sahibi tarafından çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere, çalışanların kişisel verilerinin işlenmesinin veri sorumlusunun meşru menfaatleri için zorunlu olmasına örnek olarak gösterilmiştir. İşletmenin yeniden yapılandırılması ya da ehliyetli ve liyakatli çalışanların terfi almaları, veri sorumlusu olarak şirket sahibinin meşru menfaati kapsamında değerlendirilmiştir.
Meşru menfaat için bir başka örnek ise, bir şirketin satılması, devralınması veya ortaklık yapısının değişmesi gibi bir durum söz konusu olduğunda, şirketi satın alacak kişinin, şirketin güncel durumuna hâkim olabilmek amacıyla kişisel verileri içeren belgeleri ölçülü ve gerekli güvenlik önlemlerini alarak incelemesidir.
Veri sorumluları tarafından meşru menfaatleri için kişisel verilerin işlenmesi durumunda, belirli şartların sağlanması gerekecektir. Bu şartlar, Kişisel Verileri Koruma Kurulu’nun 2019/78 sayılı ve 25 Mart 2019 tarihli kararında şu şekilde tespit edilmiştir:
- Kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması gerekmektedir. Kişisel verilerin işlenmesi sonucunda, veri sorumlusu tarafından ufak bir menfaat elde ediliyorken, ilgili kişinin temel hak ve özgürlükleri önemli ölçüde zedeleniyorsa, bu durum hukuka uygun olmayacak ve böyle bir durumda açık rıza olmadan kişisel veriler işlenemeyecektir.
- Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi gerekmektedir. Buna göre, ilgili menfaat kişisel veriler işlenmeden elde edilebiliyorsa, böyle bir durumda meşru menfaat ile zorunlu olması şartına dayanılamayacaktır.
- Meşru menfaatin hâlihazırda mevcut, belirli ve açık olması gerekmektedir. İleride doğacak veya muğlak bir menfaat, meşru menfaat olarak değerlendirilemeyecektir.
- İlgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi hâlinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması gerekmektedir.
- Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması gerekmektedir.
- İlgili kişinin, başta kişisel verilerinin korunması olmak üzere, temel hak ve hürriyetlerinin zarar görmesini engellemek amacıyla öngörülebilir, açık ve yakın her türlü tehlikeden uzak tutulması gerekmektedir. Bu tür tehlikelerin tespiti için Avrupa Birliği Genel Veri Koruma Tüzüğü kapsamında düzenlenen etki değerlendirmesi gibi değerlendirmelerin yapılması uygun olacaktır.
- Kişisel verilerin bir veri kayıt sisteminde, amaçla sınırlı olarak hukuka uygun işlenişinin temini ile zararı ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alınması gerekmektedir. Bu yükümlülük, Kişisel Verilerin Korunması Kanunu kapsamında veri güvenliğine ilişkin yükümlülükler başlığı altında düzenlenmiştir.
- Kişisel verilerin işlenmesinde genel ilkelere uygunluğun sağlanması gerekmektedir. Bu ilkeler, Kişisel Verilerin Korunması Kanunu kapsamında hukuka ve dürüstlük kurallarına uygunluk, doğruluk ve gerektiğinde güncellik, belirlilik, açıklık, meşru amaç, işleme amacıyla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme olarak sayılmıştır.
- Kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılarak denge testinin yapılması gerekmektedir. Denge testi, ilgili kişinin temel hak ve özgürlükleri ile veri sorumlusunun meşru menfaatinin bir teraziye konması sonucunda meşru menfaatin ağır basması veya en azından dengeli olmasını ifade etmektedir.
Son olarak, Anayasa Mahkemesi nezdinde veri sorumlusunun meşru menfaatleri için kişisel verilerin işlenmesinin zorunlu olması hâlinin düzenlendiği Kişisel Verilerin Korunması Kanunu’nun 5’inci maddesinin 2’nci fıkrasının (f) bendi için açılan iptal davasına değinmekte fayda bulunmaktadır. İptal davası kapsamında, ilgili işlenme şartlarının açık, anlaşılabilir ve elverişli olmadığı ve “meşru menfaat” kavramının muğlak olduğu belirtilerek ilgili bentlerin iptali istenmiştir.
Anayasa Mahkemesi, işleme şartı olarak meşru menfaatin kanunun gerekçesinde örnekle açıklandığını, ilgili fıkrada sayılan işleme şartlarının ancak belirli durum için geçerli olan istisnalar olduğunu, ilgili istisnaların gereklilik ve zorunluluk hâlinde ortaya çıkacak ihtiyaçları karşılama amacı taşıdığını ve amacı dışında kişisel verilerin işlenmesi ve kişisel verilerin ifşa edilmesi ile ilgili Türk Ceza Kanunu kapsamında düzenlenen cezaların yasal güvence sağladığını belirterek iptal talebini reddetmiştir. Ayrıca iptal kararında, temel hak ve özgürlüklere zarar vermeme, temel ilkelere uyma ve veri sorumlusu ile ilgili kişinin menfaatleri arasında bir denge gözetme zorunlulukları ile değerlendirildiğinde, meşru menfaat kavramının belirsiz olarak değerlendirilemeyeceği kararına varılmıştır.