Bilindiği üzere kişisel verilerin işlenmesi bazı şartlara dayanmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanununa göre, kişisel veri işleme şartlarından birisi de; ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olmasıdır. Fakat "meşru menfaat kavramı" uygulamada birtakım karışıklıklara sebep olmaktadır. Kavramın ucu açık, yoruma dayalı olması birtakım problemleri beraberinde getirebilmektedir.

Ülkemizde birçok kurum ve kuruluş KVKK uyum sürecine adapte olmaya çalışmakta, kişisel veri işleme faaliyetine dayalı çalışmalarını Kanuna uygun şekilde gerçekleştirmeye özen göstermektedir. Bir taraftan KVKK birçok konuda uyum çalışmalarına ışık tutacak kararlar vermektedir.

Yazımızda bahsedeceğimiz karara konu somut olayda;

Veri sorumlusu: 5015 sayılı Petrol Piyasası Kanunu gereğince dağıtıcı lisansı kapsamında petrol piyasasında faaliyet gösteren bir şirkettir. Şirket veri sorumlusu, KVKK'ya hukuki yükümlülüğünü yerine getirmek için işlediği kişisel verileri meşru menfaat çerçevesinde kullanma talebiyle başvuruda bulunmuştur.

KVKK'nın konuyla alakalı vermiş olduğu ilke kararında özetle veri sorumluları kişisel verileri meşru menfaat çerçevesinde işlemeden önce aşağıdaki maddelere riayet etmelidir;
 

  1. Kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması: veri sorumlusunun veri işleme faaliyetinden sağlayacağı menfaat ilgili kişinin temel hak ve hürriyetlerini asla sınırlamamalıdır. Bir başka deyişle veri sorumlusunun edineceği menfaatin ölçülü olması gerekmektedir. Örneğin Teknokentte faaliyet gösteren bir şirketin tüm ziyaretçilerden Ad-Soyad verisi yerine biyometrik veri alması.
  2. Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi: Veri sorumlusu amacına kişisel veri işlemeyerek de ulaşabiliyorsa, kişisel veri işlemesine gerek duymaması gerekmektedir.
  3. Meşru menfaatin halihazırda mevcut, belirli ve açık olması: Verisi işlenecek ilgili kişiler yeterli düzeyde aydınlatılmalı, meşru menfaatin kapsamı netlik kazanmalı ve oldukça kısıtlı tutulmalıdır.
  4. İlgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması gerekir.
  5. Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması: Veri sorumlusu hesap verilebilirlik ve saydamlık ilkelerini gözetmeli, veri işleme faaliyetinin hem iş süreçlerini geliştirmesi ve kolaylaştırması hem de kar sağlaması birlikte gerçekleşmelidir.
  6. İlgili kişi başta kişisel verilerinin korunması olmak üzere temel hak ve hürriyetlerinin zarar görmesini engellemek amacıyla öngörülebilir, açık ve yakın her türlü tehlikeden uzak tutulmalıdır.
  7. Veri sorumlusu, kişisel verilerin bir veri kayıt sisteminde amaçla sınırlı olarak hukuka uygun işlenmesi garanti altına almalı, zararı ve ihlalleri engellemek için her türlü teknik ve idari tedbirleri almalıdır.
  8. Kişisel verilerin işlenmesinde genel ilkelere uygunluk sağlanmalıdır.
  9. Bu kapsamda, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılarak denge testinin yapılması gerekmektedir.

Dolayısıyla veri sorumluları KVKK kurul kararında geçen ve yukarıda maddeler halinde açıkladığımız ilkelere dikkat etmelidir.

Editör: TE Bilişim