Anasayfa/ Makale/ KVKK Kapsamında Veri İşleme Şartları ve Meşru Menfaat Testi

KVKK Kapsamında Veri İşleme Şartları ve Meşru Menfaat Testi

KVKK ve GDPR uyarınca kişisel veri işleme şartları, hukuka uygunluğun temelini oluşturur. Meşru menfaat dayanağı esneklik sağlasa da üç aşamalı sıkı bir denge testini zorunlu kılar. Bu yazıda, meşru menfaat testinin amaç, gereklilik ve dengeleme boyutları hukuki bir perspektifle incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
AÇIK RIZA KVKK GDPR (GENEL VERİ KORUMA TÜZÜĞÜ)

Kişisel verilerin korunması hukuku, bireyin mahremiyet hakkı ile veri sorumlularının operasyonel ve ticari ihtiyaçları arasında hassas bir denge kurmayı amaçlar. Bu dengenin uygulamadaki en önemli yansıması, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Genel Veri Koruma Tüzüğü (GDPR) kapsamında düzenlenen veri işleme şartlarıdır. Veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için kanunda açıkça belirtilen şartlardan en az birine dayanması zorunludur. Uygulamada, özellikle dinamik ve sürekli güncellenen veri akışlarının bulunduğu senaryolarda açık rıza alınmasının pratik zorlukları veri sorumlularını alternatif hukuki zeminlere yöneltmektedir. Bu alternatiflerin başında gelen meşru menfaat hukuki dayanağı, veri sorumlusuna belirli bir hareket alanı sunmakla birlikte sınırsız bir serbesti tanımaz. Aksine, meşru menfaat uygulaması, bireylerin temel hak ve özgürlüklerinin ihlal edilmemesi için katı kurallara bağlanan çok katmanlı bir meşru menfaat testi uygulanmasını zorunlu kılmaktadır. Veri sorumlularının hukuki risklerini minimize etmeleri, bu testin doğru yorumlanmasına ve belgelendirilmesine bağlıdır.

KVKK Kapsamında Kişisel Verilerin İşlenme Şartları

KVKK’nın 5. maddesi ve GDPR’ın 6. maddesi uyarınca, veri işlemenin hukuka uygun kabul edilebilmesi için kanunda sayılan şartlardan birine dayanması zorunludur. Hukuki dayanağın doğru belirlenmesi, yalnızca şekli bir yükümlülük değil, veri işleme faaliyetinin geçerliliğini belirleyen kurucu bir unsurdur. Kanunda öngörülen açık rıza, sözleşmenin kurulması veya ifası, hukuki yükümlülük, hayati menfaat, alenileştirme ve bir hakkın tesisi, kullanılması veya korunması gibi şartların her birinin kendine özgü uygulama sınırları bulunmaktadır. Örneğin, bir sözleşmenin ifası şartına dayanabilmek için veri işlemenin o sözleşmenin yerine getirilmesi bakımından kaçınılmaz bir nitelik taşıması gerekir. Eğer amaca ulaşmak için bu zorunluluk yoksa, farklı bir hukuki dayanağın aranması şarttır. İşleme şartlarının yetersiz kaldığı veya uygulanmasının pratik açıdan imkânsız olduğu durumlarda ise veri sorumlusunun meşru menfaati en sık başvurulan hukuka uygunluk sebebi olarak karşımıza çıkmaktadır. Ancak bu dayanak, diğer şartlar tükendiğinde başvurulacak genel bir kurtarıcı değil; dikkatle tartılması gereken istisnai bir denetim mekanizmasıdır.

Meşru Menfaat Testinin Temel Aşamaları

Avrupa Birliği Adalet Divanı içtihatları (özellikle Rīgas satiksme kararı) ve Kişisel Verileri Koruma Kurulu kararları ışığında, meşru menfaat hukuki dayanağı üç aşamalı sistematik bir teste tabi tutulmaktadır. Veri sorumlusu, bu üç aşamayı eksiksiz şekilde geçmeden kişisel verileri kendi menfaati doğrultusunda işleyemez. Bu aşamalar, veri işlemenin yalnızca veri sorumlusunun operasyonel verimliliği için değil, aynı zamanda orantılılık ve hukuka uygunluk ilkeleri çerçevesinde yürütülmesini garanti altına alır. Meşru menfaatin soyut bir iddiadan çıkarılarak somutlaştırılmasını sağlayan bu metodoloji, hukuki güvenliğin tesisinde kritik bir rol oynar.

  • Amaç Testi (Çıkar Testi): Veri sorumlusunun hukuken korunabilir, açık, mevcut ve belirli bir menfaatinin bulunduğunun ispat edilmesi.
  • Gereklilik Testi: Söz konusu menfaate ulaşabilmek için kişisel veri işlenmesinin objektif olarak zorunlu olması ve hedefe daha az müdahaleci yöntemlerle ulaşılamaması.
  • Denge Testi: İlgili kişinin temel hak ve özgürlüklerinin, veri sorumlusunun ileri sürdüğü menfaatten daha üstün veya ağır basan bir nitelik taşımaması.

Amaç ve Gereklilik Testlerinin Hukuki Analizi

Meşru menfaat testinin ilk basamağı olan amaç testi, veri sorumlusunun güttüğü çıkarın hukuka uygun, gerçek ve objektif olarak korunmaya değer olmasını gerektirir. Soyut, varsayımsal veya gelecekte doğması muhtemel spekülatif beklentiler, meşru menfaat olarak kabul edilemez. Kurul kararlarında da vurgulandığı üzere, menfaat çok sayıda kişiyi etkileyen veya kurumsal işleyişi genel olarak ilgilendiren şeffaf bir yapıya sahip olmalıdır. İkinci aşama olan gereklilik testi ise, veri koruma hukukunun temel taşlarından biri olan veri minimizasyonu ilkesi ile doğrudan bağlantılıdır. Veri sorumlusu, hedeflediği sonuca ulaşmak için daha az kişisel veri işleyerek veya verileri anonimleştirerek aynı amaca ulaşıp ulaşamayacağını değerlendirmek zorundadır. Eğer alternatif ve daha az müdahaleci yöntemler mevcutsa, söz konusu veri işleme faaliyeti gereklilik koşulunu sağlamamış sayılır. Bu durum, ölçülülük ve orantılılık ilkelerinin veri işleme süreçlerindeki en somut yansımasıdır.

Denge Testi ve İlgili Kişinin Hakları

Testin son ve en kritik adımı olan denge testi, veri sorumlusunun menfaatleri ile veri sahibinin temel hak ve özgürlüklerini karşı karşıya getirir. KVKK madde 5/2-f hükmü, veri işlemenin "ilgili kişinin temel hak ve özgürlüklerine zarar vermemesi" koşulunu açıkça aramaktadır. Bu analiz yapılırken, işlenen verinin niteliği, işlemenin bağlamı ve olası sonuçların ilgili kişi üzerindeki etkisi bütüncül bir şekilde ele alınır. Özellikle bireylerin makul beklentileri bu aşamada kilit bir göstergedir; zira bir kişi, verilerinin belirli bir amaçla işleneceğini öngöremiyorsa, o işlemenin hukuka uygunluğu zedelenir. Denge testi tek seferlik bir değerlendirme olmayıp, veri işleme şartları veya bağlam değiştiğinde yenilenmesi gereken dinamik bir süreçtir. Şayet ilgili kişinin haklarının daha ağır bastığı tespit edilirse, etki hafifletici önlemler alınarak riskler minimize edilmeli veya veri işleme faaliyeti derhal durdurulmalıdır.

Şirketler kendi çıkarları için benden izinsiz kişisel verilerimi kullanabilir mi? expand_more
Kişisel verilerin işlenebilmesi için kural olarak kanunda sayılan hukuki şartlardan birinin bulunması zorunludur. Şirketler, bazı durumlarda açık rıza almanın yarattığı pratik zorluklar nedeniyle alternatif bir zemin olarak kendi "meşru menfaatlerine" dayanarak veri işleyebilirler. Ancak bu durum şirketlere sınırsız bir serbesti tanımaz; hukuka uygunluğun sağlanması için şirketlerin üç aşamalı çok katı bir meşru menfaat testinden geçmesi gerekmektedir. Eğer bu testin şartları tam olarak karşılanmıyor ve aşamalar eksiksiz geçilemiyorsa, verilerinizin şirket menfaati iddiasıyla izinsiz işlenmesi açıkça hukuka aykırı olacaktır.
Firmaların menfaati benim gizlilik hakkımın önüne nasıl geçer, sınırı nedir? expand_more
Şirketlerin meşru menfaati ile sizin bireysel mahremiyet hakkınız ve temel özgürlükleriniz arasında hassas bir denge kurulması kanuni bir zorunluluktur. Hukuka uygunluk için şirketin menfaatinin soyut veya gelecekte doğması muhtemel spekülatif bir beklenti olmaması, objektif olarak korunmaya değer gerçek bir çıkar olması gerekir. Ayrıca, veri işleme faaliyetinin hedefe ulaşmak için zorunlu olması ve aynı amaca daha az veri işlenerek ulaşılamaması şartı aranır. En önemlisi, sizin temel hak ve özgürlüklerinizin şirketin çıkarlarından daha ağır basmaması ve söz konusu veri işlemenin sizin makul beklentilerinizi aşmaması gereklidir.
Şirketler bir kere hakkım var deyip verilerimi sonsuza kadar böyle işleyebilir mi? expand_more
Hayır, meşru menfaat dayanağıyla yapılan veri işleme süreçleri için yapılan hukuki değerlendirme tek seferlik kalıcı bir izin niteliği taşımaz. Şirketlerin uygulamakla yükümlü olduğu denge testi, veri işleme şartları veya olayın bağlamı değiştiğinde mutlaka baştan yenilenmesi gereken dinamik bir süreçtir. Şayet değişen bağlam neticesinde sizin haklarınız ve makul beklentileriniz şirketin menfaatine karşı daha ağır basar bir hale gelirse, şirket etki hafifletici önlemler almalı veya veri işleme faaliyetini derhal durdurmalıdır. Bu yükümlülüğün yerine getirilmemesi, meşru menfaati bir kurtarıcı kılıf olmaktan çıkarıp faaliyeti hukuka aykırı hale getirir.
Sözleşme imzaladık diye benimle ilgili ilgisiz her türlü veriyi isteyebilirler mi? expand_more
Sözleşmenin ifası şartına dayanılarak kişisel verilerinizin işlenebilmesi için, ilgili verinin o sözleşmenin gereğinin yerine getirilmesi bakımından mutlak ve kaçınılmaz bir nitelik taşıması gerekmektedir. Sözleşmenin amacına ulaşmak için bu zorunluluk yoksa, şirketlerin söz konusu fazla veriyi işleyebilmek adına mutlaka farklı bir hukuki dayanak araması şarttır. Veri koruma hukukunun temel taşı olan "veri minimizasyonu" ilkesi uyarınca, şirketler hedeflerine her zaman daha az müdahaleci yöntemlerle ulaşmayı değerlendirmek zorundadır. Bu gereklilikleri sağlamayan, sözleşmeyle ilgisiz ve aşırı veri toplama uygulamaları kanunun orantılılık ve ölçülülük ilkelerine aykırılık teşkil eder.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir