Meşru Menfaat Hukuki Sebebi ile Kişisel Veri İşleme KVKK m.5/2-f Kapsamında Denge Testi
KVKK’ya göre meşru menfaat; ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun hukuken korunmaya değer menfaatlerihukuki sebeptir. Bu kapsamda veri sorumlusu, elde etmeyi amaçladığı çıkar ile ilgili kişinin mahremiyet ve veri koruma hakları arasında makul bir denge kurmak zorundadır.
İnsan kaynakları yönetimi, performans ve terfi süreçleri, organizasyonel yeniden yapılanma, iş süreçlerinin verimli işletilmesi gibi birçok alanda veri sorumlularının meşru menfaatine dayalı veri işleme ihtiyacı ortaya çıkmaktadır. Ancak bu süreçlerde, ilgili kişilerin temel hak ve özgürlüklerine müdahalenin zorunlu, ölçülü ve dengeli olması gerekir.
Hukuki sebep: KVKK m.5/2-f “ilgili kişinin temel hak ve özgürlüklerine zarar
vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması”.
Şartlar: Meşru, belirli, somut, güncel menfaat + temel hak ve özgürlüklerle
makul denge + işleme faaliyetinin zorunlu olması.
Ana araç: Yazılı ve gerekçeli bir meşru menfaat denge testi ve buna
göre tasarlanan süreçler.
Tipik alanlar: Performans yönetimi, terfi, ücretlendirme, güvenlik, yeniden
yapılandırma, dolandırıcılık önleme, itibar yönetimi.
1. Hukuki Dayanak: KVKK m.5/2-f ve Meşru Menfaat
KVKK’nın 5. maddesinin 2. fıkrasının (f) bendi, kişisel verilerin işlenmesi için açık rızaya ihtiyaç duyulmadığı istisnai hâlleri düzenler. Buna göre kişisel veriler:
“İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması” hâlinde açık rıza aranmaksızın işlenebilir.
Bu hükümde üç temel unsur öne çıkar:
- Meşru menfaat: Veri sorumlusunun hukuken korunmaya değer çıkarı,
- Zorunluluk: Söz konusu çıkar için kişisel veri işlemenin kaçınılmaz ve gerekli olması,
- Denge: İlgili kişinin temel hak ve özgürlüklerinin bu işleme faaliyeti ile orantısız şekilde zedelenmemesi.
1.1. Meşru, Belirli ve Mevcut Menfaat Şartı
Meşru menfaate dayanılarak veri işlenebilmesi için, veri sorumlusunun menfaatinin:
- Meşru: Hukuka, dürüstlük kuralına ve şirket politikalarına uygun,
- Belirli: Genel ve soyut değil, somut bir amaçla açıkça tanımlanmış,
- Mevcut: Gelecekte belirsiz bir zamanda ortaya çıkması muhtemel değil, halihazırda veya öngörülebilir kısa vadede mevcut,
- Kişisel verinin işlenmesi ile bağlantılı: İşleme faaliyeti ile elde edilecek fayda arasında doğrudan ilişki bulunan
nitelikte olması gerekir.
1.2. Açık Rızaya Alternatif Bir Hukuki Sebep
Meşru menfaat, tek başına “tercih edilen” bir yol değil, KVKK sistematiği içinde açık rızaya alternatif olarak düzenlenmiş istisnaî bir hukuki sebep niteliğindedir. Bu nedenle:
- Öncelikle verinin diğer hukuki sebeplerle (örneğin bir sözleşmenin ifası, hukuki yükümlülük, kanunda öngörülme vb.) işlenip işlenemeyeceği değerlendirilmelidir.
- Meşru menfaate dayanmadan önce, veri işlemenin kapsamı ve amacı gözden geçirilerek veri minimizasyonu sağlanmalıdır.
2. Meşru Menfaat Nedir? Kapsamı ve Örnekler
Meşru menfaat, bir veri sorumlusunun kişisel verilerin işlenmesini gerektiren yasal çıkarı veya kurumsal gerekliliği ifade eder. Bu menfaat, veri işleme faaliyeti sonucunda elde edilecek çıkar ve faydaları kapsar; ancak hiçbir durumda ilgili kişinin temel hak ve özgürlüklerinin üstünde, sınırsız ve mutlak bir menfaat olarak değerlendirilemez.
| Alan | Meşru Menfaat Örneği | İşlenen Veri Türleri (Örnek) |
|---|---|---|
| İnsan Kaynakları | Terfi, performans değerlendirme ve ücretlendirme süreçlerinin objektif yürütülmesi | Performans puanları, eğitim bilgileri, kıdem, pozisyon, hedef gerçekleştirme verileri |
| Yeniden Yapılandırma | Organizasyonel değişikliklerde görev ve rol dağılımının etkin şekilde planlanması | Birim, görev tanımı, yetkinlik değerlendirmeleri, geçmiş görevler, projeler |
| Güvenlik | İşyerinde güvenliğin sağlanması, sistemlerin yetkisiz erişime karşı korunması | Giriş-çıkış kayıtları, erişim logları, sistem kullanım kayıtları |
Örneğin bir şirket sahibi; çalışanların temel hak ve özgürlüklerini gözetmek kaydıyla, terfi süreçleri, maaş zamları veya sosyal hakların belirlenmesi için çalışanların kişisel verilerini işleyebilir. Benzer şekilde, işletmenin yeniden yapılandırılması sürecinde görev ve rol dağılımında esas almak üzere çalışanların yetkinlik, performans ve deneyim bilgilerini kullanması, veri sorumlusunun meşru menfaatine uygun kabul edilebilir.
3. Meşru Menfaat ve Temel Haklar Arasındaki Dengenin Sağlanması
Meşru menfaat hukuki sebebine dayanılarak veri işlenebilmesi için, veri sorumlusunun menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında makul bir denge kurulması zorunludur. Bu denge, çoğu zaman “meşru menfaat denge testi” adı verilen yazılı bir analizle somutlaştırılır.
3.1. Denge Testinin Temel Aşamaları
- Menfaatin tanımlanması: Veri sorumlusunun hangi somut menfaati için veri işlediğinin açıkça yazılması.
- Veri işleme ihtiyacının analizi: Bu menfaatin kişisel veri işlenmeksizin elde edilip edilemeyeceğinin değerlendirilmesi.
- Etki değerlendirmesi: İşleme faaliyetinin ilgili kişi üzerindeki
belirlenmesi. - Denge ve orantılılık: Veri sorumlusunun menfaati ile ilgili kişinin temel hak ve özgürlükleri karşılaştırılarak, hangi tarafın baskın olduğu yönünde sonuç oluşturulması.
3.2. Çalışan Hakları ve Adil Değerlendirme
Meşru menfaat kapsamında yürütülen veri işleme faaliyetleri özellikle çalışanlar bakımından hassas bir alan oluşturur. Örneğin bir şirket sahibi, çalışanların kişisel verilerini kullanarak:
- Terfi süreçlerini yönetirken,
- Maaş ve prim politikalarını kurgularken,
- Sosyal hak ve yan hakların dağıtımını planlarken
çalışanların temel haklarına, insan onuruna ve adil değerlendirilme hakkına saygı
göstermek zorundadır. İşleme faaliyetinin şeffaf yürütülmesi, çalışanların
3.3. Örnek Denge Senaryosu
İşletmenin yeniden yapılandırılması sürecinde, çalışanların görev ve rol dağılımının belirlenmesi amacıyla kıdem, performans, yetkinlik ve eğitim verilerinin kullanılması, şirketin etkin yönetimi açısından meşru bir menfaat olabilir. Ancak:
- Bu verilerin kapsamı ihtiyaçla sınırlı olmalı,
- Kişisel hayatı derinlemesine etkileyen veya gereksiz mahrem alanlara giren veriler işlenmemeli,
- Çalışanlara süreç hakkında açık ve anlaşılır aydınlatma yapılmalı,
- Sonuçların itiraz ve geri bildirim mekanizmalarına açık olması sağlanmalıdır.
4. Kurumsal Örnek Senaryolar: İK, Terfi ve Yeniden Yapılanma
Meşru menfaat hukuki sebebi, şirketlerin günlük operasyonlarında sıkça karşılaşılan insan kaynakları, organizasyon ve iş sürekliliği süreçlerinde kendini gösterir.
4.1. Terfi ve Performans Yönetimi
Bir şirket, çalışanlarının terfi süreçlerini, maaş zamlarını ve sosyal haklarını yönetirken; performans değerlendirme sonuçları, yetkinlik analizleri, hedef gerçekleştirme oranları gibi kişisel verileri işleyebilir. Bu tür bir işleme:
- Şirketin ehliyetli ve liyakatli çalışanları ödüllendirme menfaati,
- İnsan kaynakları süreçlerinin şeffaf ve objektif yürütülmesi,
- Performans düşüklüğü, devamsızlık veya davranışsal risklerin yönetilmesi
açısından meşru menfaat kapsamında değerlendirilebilir. Ancak bu süreçte:
- Veri işleme kapsamı ve kriterler çalışanlara önceden bildirilmeli,
- Ayrımcılık yaratacak veya ölçüsüz izleme faaliyetlerinden kaçınılmalı,
- İlgili kişilerin değerlendirme sonuçlarına erişim ve itiraz hakkı olmalıdır.
4.2. İşletmenin Yeniden Yapılandırılması
İşletmenin yeniden yapılandırılması, birleşme-devralma süreçleri veya organizasyonel değişiklikler sırasında çalışanların kişisel verileri; görev, rol, yetki ve sorumlulukların yeniden planlanması amacıyla işlenebilir. Bu durumda:
- Çalışanların eğitim, kıdem, uzmanlık alanı ve performans verilerinin kullanılması,
- Yeni birimde görev alabilecek yetkinlikte personelin belirlenmesi
veri sorumlusunun meşru menfaati kapsamında kabul edilebilir; ancak işleme faaliyetinin çalışanlar
üzerinde
5. Uyum, Riskler ve En İyi Uygulamalar
Meşru menfaat hukuki sebebinin yanlış veya ölçüsüz kullanımı, hem KVKK’ya aykırılık riski hem de kurumsal itibar kaybı anlamına gelir. Bu nedenle veri sorumlularının bu alanda sistematik bir uyum yaklaşımı benimsemesi gerekmektedir.
5.1. Başlıca Riskler
- Meşru menfaat gerekçesiyle aşırı veri işleme ve veri minimizasyonu ilkesinin ihlali.
- Denge testi yapılmaksızın veya yalnızca “kağıt üzerinde” meşru menfaate dayanılması.
- İlgili kişilerin bilgilendirilmemesi, şeffaflık ilkesinin ihlali ve güvensizlik algısı.
-
Çalışanlar üzerinde ölçüsüz gözetim, izleme ve davranış analizi ile
.
5.2. Uyum İçin En İyi Uygulamalar
- Her meşru menfaat senaryosu için yazılı ve gerekçeli denge testi hazırlanması.
-
Veri envanterinde, ilgili işleme faaliyetlerinin hukuki sebebinin
ve gerekçesinin not edilmesi. -
Çalışanlar ve diğer veri sahipleri için
hazırlanması. - Veri işleme kapsamının amaçla sınırlı ve ölçülü olacak şekilde tasarlanması; gereksiz veri kategorilerinin sürece dahil edilmemesi.
-
Meşru menfaate dayalı süreçlerin, periyodik olarak
.
6. Sık Sorulan Sorular
Meşru menfaat varken her zaman açık rıza almaya gerek yok mu?
Meşru menfaat, açık rızaya alternatif bir hukuki sebeptir; ancak otomatik olarak
Her kurumsal çıkar meşru menfaat sayılır mı?
Hayır. Meşru menfaat; yalnızca
Denge testini yazılı tutmak zorunlu mu?
Mevzuatta açıkça “yazılı” ifadesi geçmeyebilir; ancak uygulamada denge testinin yazılı ve gerekçeli
tutulması, hem
Çalışan verilerinin tamamını meşru menfaate dayanarak işleyebilir miyim?
Çalışan verilerinin tamamı için tek başına meşru menfaate dayanmak doğru bir yaklaşım değildir.
Bir kısım veriler
