Makale
KVKK ve GDPR uyarınca kişisel veri işleme şartları, hukuka uygunluğun temelini oluşturur. Meşru menfaat dayanağı esneklik sağlasa da üç aşamalı sıkı bir denge testini zorunlu kılar. Bu yazıda, meşru menfaat testinin amaç, gereklilik ve dengeleme boyutları hukuki bir perspektifle incelenmektedir.
KVKK Kapsamında Veri İşleme Şartları ve Meşru Menfaat Testi
Kişisel verilerin korunması hukuku, bireyin mahremiyet hakkı ile veri sorumlularının operasyonel ve ticari ihtiyaçları arasında hassas bir denge kurmayı amaçlar. Bu dengenin uygulamadaki en önemli yansıması, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Genel Veri Koruma Tüzüğü (GDPR) kapsamında düzenlenen veri işleme şartlarıdır. Veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için kanunda açıkça belirtilen şartlardan en az birine dayanması zorunludur. Uygulamada, özellikle dinamik ve sürekli güncellenen veri akışlarının bulunduğu senaryolarda açık rıza alınmasının pratik zorlukları veri sorumlularını alternatif hukuki zeminlere yöneltmektedir. Bu alternatiflerin başında gelen meşru menfaat hukuki dayanağı, veri sorumlusuna belirli bir hareket alanı sunmakla birlikte sınırsız bir serbesti tanımaz. Aksine, meşru menfaat uygulaması, bireylerin temel hak ve özgürlüklerinin ihlal edilmemesi için katı kurallara bağlanan çok katmanlı bir meşru menfaat testi uygulanmasını zorunlu kılmaktadır. Veri sorumlularının hukuki risklerini minimize etmeleri, bu testin doğru yorumlanmasına ve belgelendirilmesine bağlıdır.
KVKK Kapsamında Kişisel Verilerin İşlenme Şartları
KVKK’nın 5. maddesi ve GDPR’ın 6. maddesi uyarınca, veri işlemenin hukuka uygun kabul edilebilmesi için kanunda sayılan şartlardan birine dayanması zorunludur. Hukuki dayanağın doğru belirlenmesi, yalnızca şekli bir yükümlülük değil, veri işleme faaliyetinin geçerliliğini belirleyen kurucu bir unsurdur. Kanunda öngörülen açık rıza, sözleşmenin kurulması veya ifası, hukuki yükümlülük, hayati menfaat, alenileştirme ve bir hakkın tesisi, kullanılması veya korunması gibi şartların her birinin kendine özgü uygulama sınırları bulunmaktadır. Örneğin, bir sözleşmenin ifası şartına dayanabilmek için veri işlemenin o sözleşmenin yerine getirilmesi bakımından kaçınılmaz bir nitelik taşıması gerekir. Eğer amaca ulaşmak için bu zorunluluk yoksa, farklı bir hukuki dayanağın aranması şarttır. İşleme şartlarının yetersiz kaldığı veya uygulanmasının pratik açıdan imkânsız olduğu durumlarda ise veri sorumlusunun meşru menfaati en sık başvurulan hukuka uygunluk sebebi olarak karşımıza çıkmaktadır. Ancak bu dayanak, diğer şartlar tükendiğinde başvurulacak genel bir kurtarıcı değil; dikkatle tartılması gereken istisnai bir denetim mekanizmasıdır.
Meşru Menfaat Testinin Temel Aşamaları
Avrupa Birliği Adalet Divanı içtihatları (özellikle Rīgas satiksme kararı) ve Kişisel Verileri Koruma Kurulu kararları ışığında, meşru menfaat hukuki dayanağı üç aşamalı sistematik bir teste tabi tutulmaktadır. Veri sorumlusu, bu üç aşamayı eksiksiz şekilde geçmeden kişisel verileri kendi menfaati doğrultusunda işleyemez. Bu aşamalar, veri işlemenin yalnızca veri sorumlusunun operasyonel verimliliği için değil, aynı zamanda orantılılık ve hukuka uygunluk ilkeleri çerçevesinde yürütülmesini garanti altına alır. Meşru menfaatin soyut bir iddiadan çıkarılarak somutlaştırılmasını sağlayan bu metodoloji, hukuki güvenliğin tesisinde kritik bir rol oynar.
- Amaç Testi (Çıkar Testi): Veri sorumlusunun hukuken korunabilir, açık, mevcut ve belirli bir menfaatinin bulunduğunun ispat edilmesi.
- Gereklilik Testi: Söz konusu menfaate ulaşabilmek için kişisel veri işlenmesinin objektif olarak zorunlu olması ve hedefe daha az müdahaleci yöntemlerle ulaşılamaması.
- Denge Testi: İlgili kişinin temel hak ve özgürlüklerinin, veri sorumlusunun ileri sürdüğü menfaatten daha üstün veya ağır basan bir nitelik taşımaması.
Amaç ve Gereklilik Testlerinin Hukuki Analizi
Meşru menfaat testinin ilk basamağı olan amaç testi, veri sorumlusunun güttüğü çıkarın hukuka uygun, gerçek ve objektif olarak korunmaya değer olmasını gerektirir. Soyut, varsayımsal veya gelecekte doğması muhtemel spekülatif beklentiler, meşru menfaat olarak kabul edilemez. Kurul kararlarında da vurgulandığı üzere, menfaat çok sayıda kişiyi etkileyen veya kurumsal işleyişi genel olarak ilgilendiren şeffaf bir yapıya sahip olmalıdır. İkinci aşama olan gereklilik testi ise, veri koruma hukukunun temel taşlarından biri olan veri minimizasyonu ilkesi ile doğrudan bağlantılıdır. Veri sorumlusu, hedeflediği sonuca ulaşmak için daha az kişisel veri işleyerek veya verileri anonimleştirerek aynı amaca ulaşıp ulaşamayacağını değerlendirmek zorundadır. Eğer alternatif ve daha az müdahaleci yöntemler mevcutsa, söz konusu veri işleme faaliyeti gereklilik koşulunu sağlamamış sayılır. Bu durum, ölçülülük ve orantılılık ilkelerinin veri işleme süreçlerindeki en somut yansımasıdır.
Denge Testi ve İlgili Kişinin Hakları
Testin son ve en kritik adımı olan denge testi, veri sorumlusunun menfaatleri ile veri sahibinin temel hak ve özgürlüklerini karşı karşıya getirir. KVKK madde 5/2-f hükmü, veri işlemenin "ilgili kişinin temel hak ve özgürlüklerine zarar vermemesi" koşulunu açıkça aramaktadır. Bu analiz yapılırken, işlenen verinin niteliği, işlemenin bağlamı ve olası sonuçların ilgili kişi üzerindeki etkisi bütüncül bir şekilde ele alınır. Özellikle bireylerin makul beklentileri bu aşamada kilit bir göstergedir; zira bir kişi, verilerinin belirli bir amaçla işleneceğini öngöremiyorsa, o işlemenin hukuka uygunluğu zedelenir. Denge testi tek seferlik bir değerlendirme olmayıp, veri işleme şartları veya bağlam değiştiğinde yenilenmesi gereken dinamik bir süreçtir. Şayet ilgili kişinin haklarının daha ağır bastığı tespit edilirse, etki hafifletici önlemler alınarak riskler minimize edilmeli veya veri işleme faaliyeti derhal durdurulmalıdır.