KVKK’da Meşru Menfaat Şartı ve Denge Testi
Meşru menfaat; Kanun’da sayılan kişisel veri işleme şartlarından biridir ve belirli koşullar altında veri sorumlusuna, ilgili kişinin açık rızası olmaksızın veri işleme imkânı sağlayabilir. Ancak bu şartın uygulanabilmesi için, veri sorumlusunun menfaatinin gerçekten mevcut ve meşru olması; ayrıca ilgili kişinin temel hak ve özgürlükleriyle dengeli bir şekilde değerlendirilebilmesi gerekir.
Meşru menfaate dayanılabilmesi için aşağıdaki unsurların birlikte dikkate alınması gerekir: (a) menfaatin veri sorumlusuna ait olması, (b) menfaatin meşru ve somut olması, (c) veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında adil bir denge testinin uygulanması. Her durum ayrı ayrı değerlendirilmelidir ve veri sorumlusu, bu şartın varlığını ispat etmekle yükümlüdür.
Her bir işleme faaliyeti için ayrı denge testi yapılması, menfaatin somut şekilde dokümante edilmesi ve temel haklarla karşılaştırılması; hem uyum denetimlerinde hem de olası şikâyet süreçlerinde veri sorumlusunun elini güçlendirir.
1. Meşru Menfaat Şartının Hukuki Çerçevesi
Meşru menfaate dayanılması gereken durumlarda, bu şartın gerçekten mevcut olup olmadığını tespit etmek için bazı hususların sistematik olarak değerlendirilmesi gerekir. Bu unsurlar özetle:
- Menfaatin veri sorumlusuna ait olması,
- Menfaatin meşru, somut ve mevcut olması,
- Veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında dengenin sağlanmasıdır.
Veri sorumlusunun meşru menfaatine dayanması; diğer veri işleme şartlarının uygulanamadığı istisnai bir “son çare” olarak görülmemelidir. Aynı şekilde, tüm kişisel verilerin işlenmesini otomatik olarak hukuka uygun kılan, her şeyi kapsayan bir gerekçe de değildir. Her somut olayda ayrı değerlendirme yapılmalı ve veri sorumlusu, dayandığı meşru menfaati kanıtlayabilmelidir.
Meşru menfaat; belirli ve mevcut bir menfaate yönelik olarak veri sorumlusuna veri işleme imkânı sağlar. Ancak bu süreçte veri koruma ilkeleri ve ilgili kişinin temel hak ve özgürlükleri her zaman merkezde tutulmalıdır.
2. Menfaatin Veri Sorumlusuna Ait Olması
Meşru menfaatin tespitinde ilk adım, bu menfaatin kime ait olduğunu netleştirmektir. Veri koruma düzenlemelerine göre meşru menfaat, yalnızca veri sorumlusuna ait olmalıdır. Başka bir deyişle, üçüncü bir kişinin menfaati, bu veri işleme şartının kapsamı dışında kalır.
Bu nedenle veri sorumlusu:
- Dayandığı menfaatin kendi faaliyetleri, iş süreçleri veya güvenlik ihtiyaçları ile bağlantılı olduğunu,
- Bu menfaatin soyut bir “genel yarar” değil, kendisine ait somut ve belirlenebilir bir menfaat olduğunu,
ortaya koyabilmelidir. Aksi hâlde, meşru menfaat şartına dayanılması mümkün olmayacaktır.
3. Menfaatin Meşruluğu
Meşru menfaat şartının yerine getirilebilmesi için, veri sorumlusunun menfaatinin sadece mevcut olması yeterli değildir; aynı zamanda bu menfaatin meşru olması gerekir. Mevcut olmayan, belirsiz veya yalnızca ileride doğması muhtemel bir menfaat, meşru menfaat kavramına uymaz.
Menfaatin meşruluğu değerlendirilirken:
- Hukuka, dürüstlük kuralına ve iyi niyet ilkelerine uygun olup olmadığı,
- Veri sorumlusunun normal ticari faaliyetleri, güvenlik ihtiyaçları veya operasyonel zorunluluklarıyla ilişkisi,
- İlgili kişinin makul beklentileriyle çelişip çelişmediği
dikkate alınmalıdır. Meşru menfaat, keyfî, belirsiz veya ölçüsüz talepler için bir dayanak olarak kullanılamaz.
4. Temel Hak ve Özgürlüklerle Dengenin Varlığı
Meşru menfaat koşulları uygulanırken, ilgili kişinin temel hak ve özgürlükleri mutlaka gözetilmelidir. Bu nedenle iki aşamalı bir denge testi uygulanır:
- İlk değerlendirme: Veri sorumlusunun meşru menfaatinin olup olmadığı belirlenir.
- İkinci değerlendirme: Kişisel verileri işlenecek olan ilgili kişinin temel hak ve özgürlükleri tespit edilir ve bu haklar, veri sorumlusunun menfaatiyle karşılaştırılır.
Bu değerlendirme sonucunda; hangi menfaatin daha ağır bastığına karar verilmeli ve ilgili kişinin temel hak ve özgürlüklerine ağır basan bir zarar veriliyorsa, meşru menfaate dayanarak veri işlenmemelidir.
Denge testinde; veri işleme faaliyeti mümkün olduğunca sınırlı, ölçülü ve şeffaf şekilde tasarlanmalı; ilgili kişinin itiraz hakkına saygı gösterilmelidir.
5. Veri Sorumlusunun Meşru Menfaati ile İşleme Amacı Arasındaki Ayrım
Değerlendirme sürecinde, veri sorumlusunun meşru menfaati ile kişisel verilerin işlenme amacı birbirine karıştırılmamalıdır. Her ne kadar bu iki terim birbiriyle yakından ilişkili olsa da, farklı anlamlara gelirler:
- Meşru menfaat: Veri sorumlusunun korumak, sürdürmek veya geliştirmek istediği menfaati ifade eder.
- İşleme amacı: Kişisel verinin özellikle neden işlendiğini, yani somut işlem faaliyetinin amacını ifade eder.
Kişisel verilerin işlenme amacı, meşru menfaatin ötesinde ayrıca belirlenmeli ve aydınlatma yükümlülüğü kapsamında ilgili kişiye açıkça anlatılmalıdır. Amaç ne kadar net ve sınırlı tanımlanırsa, meşru menfaat değerlendirmesinin de o kadar sağlıklı yapılması mümkün olur.
6. Meşru Menfaat Şartının Uygulama İlkeleri
Veri sorumlusunun meşru menfaat şartı, ne diğer hukuki temellerin uygulanamadığı her durumda başvurulan bir “son seçenek”tir, ne de tüm kişisel verilerin işlenmesini otomatik olarak hukuka uygun kılan genel bir gerekçedir. Bu nedenle, her durum ayrı ayrı değerlendirilmelidir.
Uygulamada veri sorumlusunun:
- Her bir işleme faaliyeti için ayrı bir meşru menfaat analizi yapması,
- Bu analizi yazılı şekilde dokümante etmesi (denge testi kayıtları),
- Daha uygun bir hukuki dayanak varsa öncelikle onu tercih etmesi,
- İlgili kişinin temel hak ve özgürlüklerine saygıyı esas alan bir yaklaşım benimsemesi,
- Gerekirse ek güvenlik ve şeffaflık önlemleriyle riski azaltması
beklenir. Meşru menfaat, veri sorumlusunun belirli ve mevcut bir menfaatine yönelik olarak veri işleme faaliyetine izin verirse de, veri koruma ilkeleri ve insan haklarına uygunluk her zaman önceliklidir.
Meşru menfaat şartına dayanıldığında; aydınlatma yükümlülüğünün eksiksiz yerine getirilmesi ve ilgili kişinin itiraz hakkı (KVKK m.11) konusunda açık bilgi verilmesi, şeffaflık ilkesinin bir gereğidir.
Sık Sorulan Sorular: Meşru Menfaat Şartı
Meşru menfaat yalnızca veri sorumlusuna mı ait olmalıdır?
Evet. Kanundaki düzenlemeye göre meşru menfaat, yalnızca veri sorumlusuna ait bir menfaat olmalıdır. Üçüncü kişiler veya tamamen dış aktörlerin menfaatleri, meşru menfaat şartının kapsamına doğrudan girmez. Veri sorumlusu, dayandığı menfaatin kendisine ait olduğunu gösterebilmelidir.
Her mevcut menfaat, meşru menfaat sayılır mı?
Hayır. Bir menfaatin meşru menfaat sayılabilmesi için yalnızca mevcut olması yeterli değildir; aynı zamanda hukuken ve etik olarak meşru olmalıdır. Belirsiz, ileride belki doğabilecek veya kişisel haklarla bağdaşmayan çıkarlar, meşru menfaat olarak kabul edilemez.
Meşru menfaat her zaman son çare olarak mı kullanılmalıdır?
Meşru menfaat; yalnızca diğer hukuki sebeplerin kullanılamadığı durumlarda başvurulacak zorunlu bir “son seçenek” değildir. Ancak daha uygun ve açık bir hukuki temel mevcutsa (örneğin sözleşmenin ifası, hukuki yükümlülük), öncelikle o temele dayanılması, iyi uygulama olarak kabul edilir. Her durumda meşru menfaat gerekçesi ayrı ayrı ispatlanmalıdır.
Denge testi nasıl yapılmalıdır?
Denge testinde önce veri sorumlusunun meşru menfaatinin varlığı ve meşruluğu tespit edilir. Ardından ilgili kişinin temel hak ve özgürlükleri belirlenir ve bu iki alan karşılaştırılır. İlgili kişinin hak ve özgürlüklerine ağır basan bir müdahale söz konusuysa, meşru menfaate dayanmak uygun değildir. Bu değerlendirme yazılı olarak dokümante edilmelidir.
Meşru menfaat, işleme amacının yerine geçebilir mi?
Hayır. Meşru menfaat, işleme amacının yerine geçen bir kavram değildir. Meşru menfaat; veri sorumlusunun korumak istediği menfaati, işleme amacı ise verinin neden işlendiğini ifade eder. Amaç mutlaka ayrıca tanımlanmalı ve aydınlatma yükümlülüğünde ilgili kişiye anlatılmalıdır.
Meşru menfaate dayanıldığında aydınlatma yapılmalı mıdır?
Evet. Hangi hukuki sebebe dayanılırsa dayanulsın, kişisel veri işleme faaliyetlerinde aydınlatma yükümlülüğü devam eder. Meşru menfaate dayanılan durumlarda da veri sorumlusu; işleme amacı, hukuki sebep ve ilgili kişinin hakları hakkında açık ve anlaşılır bilgi vermeli, itiraz hakkı konusunda şeffaf olmalıdır.

