A-

A+

Kişisel Verileri Koruma Kurulu’nun Meşru Menfaat Kararı

Kişisel Verileri Koruma Kurulu (“Kurul”), enerji sektöründeki bir veri sorumlusunun araç tanıma projesi kapsamında gerçekleştirdiği işleme faaliyetinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) madde 5/2(ç) (hukuki yükümlülük) ve madde 5/2(f) (meşru menfaat) kapsamında değerlendirilip değerlendirilmeyeceği sorusuna detaylı bir cevap verdi, hatta cevabına ilişkin bu kararı web sitesinde https://www.kvkk.gov.tr/Icerik/5434/2019-78 URL adresinde yayınladı.

Bu kararın kamuya açıklanması, meşru menfaat işleme şartının Türkiye’deki uygulaması açısından yol gösterici oldu. Karar, aynı zamanda, verinin asıl amacından farklı ve yeni bir amaçla işlenmesi durumunu da inceliyor. Veri sorumlusuna cevap verilmesi amacıyla verilen fakat sonrasında bir ilke kararı kadar önemli bir karar olarak ortaya çıkan bu kararı aşağıda başlıklar halinde açıklamaya çalıştık:

Kurul, cevabında, meşru menfaat işleme şartına dayanılıp dayanılamayacağına ilişkin incelemesinin aşağıdaki şekilde yapılması gerektiğini belirtiyor:

  • Kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması

Başka bir ifadeyle terazide veri sorumlusu menfaatinin çok aşağıda olmaması gerekiyor. Veri sorumlusunun elde edeceği menfaatin ufak olmasına rağmen ilgili kişinin temel hak ve özgürlükleri önemli ölçüde zedeleniyorsa en baştan hukuka uygun olmayacaktır (örneğin bir plazada misafirlerden kimlik bilgisi alınması yerine sürekli biyometrik tarama yapılması gibi).

  • Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi

Veri sorumlusu, ulaşmak istediği amaca kişisel veri işlemeden de ulaşabiliyorsa, meşru menfaat hukuka uygunluk sebebine girmez. Örneğin, bir istatistiksel araştırma, kişisel bilgilerin anonim hale getirilmesi halinde de aynı sonuç elde ediliyorsa kişisel verilerin kullanılması gereksiz olabilir.

  • Meşru menfaatin halihazırda mevcut, belirli ve açık olması

Ulaşmak istenen hedefin ne olduğu geniş veya belirsiz olmamalı ve kişisel verisi işlenecek veri sahipleri anlayacakları şekilde ve herhangi bir gizleme veya eksik bilgi olmaksızın aydınlatılmalıdır.

  • İlgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması

Bu faaliyetten bir yararın ortaya çıkacak olması ve bu yararın kişisel veri işlemeden sağlanamayacak olması gerekir. Kararda da şirketin ve bayilerin tüketiciye akaryakıt satışı esnasında kurulan satış sözleşmesini doğru ifa edebilmesi ve doğru ürün tedarikini gerçekleştirmesi için tüketicinin araç plakasını kullanmasının gerekli olması ve yanlış yakıt ikmalinin hem tüketiciye hem de tüketicilerin korunması mevzuatına uyum sağlamakla yükümlü veri sorumlusuna zarar vereceği belirtilmektedir. Karara konu veri işleme faaliyetinin, bu bakımdan hem veri sorumlusuna hem de ilgili kişiye yarar sağladığı belirtilmektedir.

  • Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması gibi(örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması

Bu kriter en önemli kriterlerden biri olarak karşımıza çıkıyor. Ekonomik yarar sağlanması sadece bir ölçüt olarak yeterli değil. Bu noktada iş süreçlerini ya da işleyişi kolaylaştırma aranıyor. Bu kriter, veri sorumlularının, meşru menfaat olarak değerlendirdikleri süreçlerini yeniden gözden geçirmelerini gerektirebilir. Hesap verilebilirlik[1] ve şeffaflık[2] ilkelerinin de dikkate alınması gerektiği belirtiliyor.

  • Bu açıdan ilgili kişinin başta kişisel verilerinin korunması olmak üzere temel hak ve hürriyetlerinin zarar görmesini engellemek amacıyla öngörülebilir, açık ve yakın her türlü tehlikeden uzak tutulması

Burada da bu işleme faaliyetinin kişinin temel hak ve özgürlüklerine bir tehdit oluşturup oluşturmayacağının incelenmesi gerekiyor. Yani öngörülemeyen sonuçların da tespit edilmesine yönelik etki, risk ve süreç analizi[3] gibi çalışmaların yapılması faydalı olacaktır.

  • Kişisel verilerin bir veri kayıt sisteminde amaçla sınırlı olarak hukuka uygun işlenmesinin temini ile zararı ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alınması

KVKK’nın 12. maddesi çerçevesindeki veri güvenliği yükümlülüğü bu ilkeyi gerektirmektedir. İşlemenin amaç dışına çıkmaması veya yetkisiz ele geçirme, kilitleme gibi farklı ihlallerin engellenmesi için teknik ve idari tedbirler alınmış olmalıdır. Örnek tedbirlere Kurul’un teknik ve idari tedbirlere ilişkin kılavuzundan ulaşabilirsiniz[4].

  • Kişisel verilerin işlenmesinde genel ilkelere uygunluğun sağlanması

Bu kriter ise çoğunlukla gözden kaçan fakat kişisel verilerin korunmasının temeli olan ilkelere uygunluğudur. İlkeler KVKK’nın 4. maddesinde sayılmaktadır. Özetle hukuka ve dürüstlük kurallarına uygunluk, doğruluk ve güncellik, belirlilik, açıklık ve amaçların meşruluğu, amaçla sınırlılık ve gerekli süre kadar muhafaza etme olarak sıralanabilir.

  • Bu kapsamda, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılarak denge testinin yapılması

Denge testi ise bütün bu ilkelerle birlikte işleme faaliyetinin kişinin temel hak ve özgürlükleri ile bir teraziye konması ve veri sorumlusunun menfaatinin ağır basması veya dengeli olmasını ifade eder. Kişinin temel hak ve özgürlükleri ağır basıyorsa meşru menfaate dayanarak işlenemeyecektir.

Bunlara ek olarak Kurul, kişisel verilerin ilk kez işlenmesi için gereken amaçtan farklı olarak başka bir amaca yönelik yeni bir veri işleme faaliyetinin gerçekleştirilmesinin, KVKK’nın 5 inci maddesinde sayılan veri işleme şartlarından en az birine dayanması ve ilk amaçtan bağımsız olarak KVKK’nın 4’üncü maddesinde sayılan kişisel verilerin işlenmesinde aranan ilkelerin tümüne uyumlu olması gerektiğini vurgulamıştır. Böylece özetle yeni bir amaç ve işleme faaliyeti ortaya çıkması durumunda da yeniden değerlendirilme yapılması gerektiğini vurgulamaktadır.

Kurul, kararın sonucunda yukarıda belirtilen değerlendirmeyi yaptığında veri sorumlusunun veri işleme faaliyetinin meşru menfaat işlenme şartı kapsamında değerlendirileceğini değerlendirerek bu durumda açık rıza almadan işleme faaliyetin gerçekleşebileceğini belirtmiştir.

Kurul’un bu kararı, yukarıdaki önemli değerlendirme ölçütlerinin yanı sıra; aynı zamanda veri sorumlularına uygulamasından emin olmadıkları işleme faaliyetleri açısından Kurul’a danışabileceklerini ve Kurul’un da bu başvurulara detaylı olarak cevap verdiğini gösterdiğinden önemli bir karardır.

Kurul’un, güncel soru ve sorunlara dair benzer yol gösterici kararları ile uygulamaya ışık tutmaya devam etmesini diliyoruz.

[1] Hesap verilebilirlik, Kişisel Verilerin Korunması Kanunu’nda geçmeyip, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)’da geçen fakat ülkemizde de uygulamada dikkat edilen bir kavram. Bu konuyla ilgili yazımıza https://www.ozbek.av.tr/kvk-blog/kvkk-da-yokmus-giibi-gozuken-ama-isin-ozunde-var-olan-yukumluluk-hesap-verilebilirlik-accountability-vs-belgelendirmeispat/ URL adresinden ulaşabilirsiniz.

[2] Şeffaflık ise yukarıda bilgilendirme ve açıklıkta ifade ettiğimiz gibi ilgili kişinin bu konuda bilgilendirilmesini içerir. GDPR’da transparency olarak geçen bu ilke, Türk mevzuatında hukuka ve dürüstlük kurallarına uygun olma ilkesinin bir uzantısı olarak kendini göstermektedir. Nitekim Kişisel Verileri Koruma Kurumu’nun ilkeler rehberinde bu ilke kapsamında veri işleme faaliyetinin şeffaf olması ve veri sorumlusunun bilgilendirme ve uyarı yükümlülüklerine uygun hareket etmesi gerektiği açıklanmaktadır.

[3] Etki analizi GDPR 35. maddesinde “Data Protection Impact Assessment” olarak düzenlenmektedir, risk ve süreç değerlendirmelerini de içerir. Bu yüzden bu tip tespitsel yükümlülükler için en faydalı çözümlerden biridir. Süreç analizi de veri akış şeması veya envanter gibi yöntemlerle çıkarılabilir.

[4] https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7512d0d4-f345-41cb-bc5b-8d5cf125e3a1.pdf