Açık Rıza, Meşru Menfaat ve Sözleşmenin İfası Neden Karıştırılıyor?
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) yürürlüğe girmesinin üzerinden yıllar geçmesine rağmen, kurumların kişisel veri işleme süreçlerinde en çok hata yaptığı alanların başında hukuki sebep seçimi gelmektedir. Uygulamada birçok veri sorumlusu, kişisel veri işleme faaliyetlerini güvence altına almak adına ya yanlış hukuki sebebe dayandırmakta ya da hukuken gerekli olmadığı hâlde açık rıza almaya yönelmektedir.
Bu yaklaşım, sanılanın aksine kurumu güvence altına almak yerine; Kurul kararlarında açıkça vurgulanan ciddi uyumsuzluklara ve idari para cezası risklerine yol açmaktadır.
Bu yazıda, KVKK’da en sık yanlış uygulanan 5 temel hukuki sebep, sahadaki uygulama hataları ve Kurul’un yerleşik yaklaşımı çerçevesinde ele alınmaktadır.
Açık rıza: Yedek plan değildir; özgür irade ve belirli konu şartı aranır.
Sözleşmenin ifası: “Sözleşme var” diye genişletilemez; zorunluluk kriteri esastır.
Meşru menfaat: Denge testi olmadan kullanılamaz; ölçülülük ve temel hak dengesi şarttır.
Sonuç: Yanlış sebep seçimi, işleme faaliyetini hukuka aykırı hale getirir.
1. Açık Rıza: “Ne Olur Ne Olmaz” Yaklaşımı
En yaygın hata, açık rızanın KVKK’daki istisnai bir hukuki sebep olmasına rağmen, neredeyse tüm veri işleme faaliyetlerinde “genel çözüm” olarak kullanılmasıdır.
Uygulamadaki yanlış
- Sözleşme ilişkisi devam ederken açık rıza alınması
- Çalışanlardan, iş ilişkisinin doğal parçası olan işlemler için açık rıza talep edilmesi
- Hizmet sunumu için zorunlu verilerde açık rızanın şart koşulması
Kurul yaklaşımı
Kişisel Verileri Koruma Kurulu, birçok kararında açık rızanın; özgür iradeye dayanması, belirli bir konuya ilişkin olması ve bilgilendirmeye dayanması gerektiğini vurgulamış; hukuki sebebi bulunan bir işleme faaliyeti için açık rıza alınmasını hukuka aykırı olarak değerlendirmiştir.
2. Sözleşmenin Kurulması veya İfası Hukuki Sebebi
En yaygın hata, “sözleşme var” gerekçesiyle sözleşmeyle doğrudan ilgisi olmayan kişisel verilerin bu hukuki sebebe dayandırılmasıdır.
Uygulamadaki yanlış
- Pazarlama ve kampanya iletişimlerinin sözleşmenin ifası kapsamında değerlendirilmesi
- Fazla veri toplanması ve sözleşme gerekçesiyle meşrulaştırılması
Doğru yaklaşım
Bu hukuki sebep yalnızca; sözleşmenin kurulması, sözleşmenin ifası ve tarafların edimlerini yerine getirebilmesi için zorunlu olan veri işleme faaliyetlerini kapsar.
3. Meşru Menfaat: Sınırsız Bir Alan Değildir
En yaygın hata, meşru menfaatin açık rızaya alternatif olarak kontrolsüz ve ölçüsüz biçimde kullanılmasıdır.
Uygulamadaki yanlış
- Denge testi yapılmadan veri işlenmesi
- İlgili kişinin temel hak ve özgürlüklerinin göz ardı edilmesi
- Aydınlatma metinlerinde soyut ve genel ifadeler kullanılması
Kurul’un temel beklentisi
Meşru menfaat hukuki sebebi uygulanırken; meşru menfaatin varlığı, zorunluluk ve temel hak ve özgürlüklerle denge somut şekilde ortaya konulmalıdır. Bu denge kurulmadığı sürece, meşru menfaat gerekçesi Kurul nezdinde geçerli kabul edilmemektedir.
4. Hukuki Yükümlülüğün Yerine Getirilmesi
En yaygın hata, her mevzuat referansının otomatik olarak bu hukuki sebep kapsamına alınmasıdır.
Uygulamadaki yanlış
- Açık bir kanuni zorunluluk olmamasına rağmen bu hukuki sebebe dayanılması
- İkincil mevzuat veya iç düzenlemelerin yanlış yorumlanması
Doğru yorum
Bu hukuki sebep; açık ve net bir yasal yükümlülük bulunması hâlinde ve veri sorumlusunun takdir yetkisinin olmadığı durumlarda geçerlidir. Kurul, “hukuki yükümlülük” gerekçesinin genişletici yorumlanmasına açıkça karşıdır.
5. Kanunlarda Açıkça Öngörülme
En yaygın hata, kanunda yer alan genel ifadelerin sınırsız veri işleme yetkisi verdiğinin düşünülmesidir.
Uygulamadaki yanlış
- Kanuni düzenlemenin kapsamını aşan veri işleme faaliyetleri
- Amaçla bağlantısız veri toplama
Kurul yaklaşımı
Kanunda açıkça öngörülme hâli; amaçla sınırlı, ölçülü ve belirli olmak zorundadır. Kanuni dayanak, veri sorumlusuna mutlak bir serbesti sağlamaz.
6. Hızlı Karşılaştırma Tablosu
| Hukuki Sebep | Ne Zaman Uygun? | Kritik Şart | Sahadaki Tipik Hata |
|---|---|---|---|
| Açık Rıza | Diğer hiçbir hukuki sebep yoksa ve rıza özgür iradeyle verilebiliyorsa | Belirlilik + bilgilendirme + özgür irade | Hizmeti rızaya bağlamak / gereksiz rıza almak |
| Sözleşmenin Kurulması/İfası | Sözleşme için veri işleme zorunluysa | Zorunluluk | Pazarlamayı “sözleşme” ile gerekçelendirmek |
| Meşru Menfaat | Somut menfaat var + başka yol yok + hak dengesi kurulabiliyorsa | Denge testi (orantılılık) | Denge testi olmadan geniş kullanım |
| Hukuki Yükümlülük | Açık kanuni zorunluluk ve takdir yetkisi yoksa | Net mevzuat dayanağı | Genel mevzuat atfıyla genişletme |
| Kanunda Açıkça Öngörülme | Kanunda açık hüküm varsa ve kapsam aşılmıyorsa | Amaçla sınırlılık | Genel hükmü “sınırsız yetki” sanmak |
7. Sonuç: Yanlış Hukuki Sebep, Doğru Süreci de Geçersiz Kılar
KVKK uyumunda en sık yapılan hata, teknik ve operasyonel süreçlerin doğru kurulmasına rağmen hukuki sebep seçiminin yanlış yapılmasıdır. Kurul kararları açıkça göstermektedir ki:
- Yanlış hukuki sebep = Hukuka aykırı veri işleme
- Hukuka aykırı veri işleme = İdari para cezası ve itibar kaybı
Bu nedenle kurumların, yalnızca metin üretmeye değil; her veri işleme faaliyeti özelinde hukuki sebep analizine odaklanması gerekmektedir.
8. Nesil Teknoloji Yaklaşımı
Nesil Teknoloji olarak yürüttüğümüz KVKK ve bilgi güvenliği danışmanlık süreçlerinde, hukuki sebepler; teknik altyapı, erişim yetkileri ve gerçek iş süreçleriyle birlikte ele alınmakta, belge ile uygulama arasındaki kopukluklar özellikle analiz edilmektedir.
Amaç; “çok rıza almak” değil, süreçleri doğru hukuki zeminde ve denetlenebilir bir yapıda kurgulamaktır.
9. Sık Sorulan Sorular
“Sözleşmem var” diyorsam her veriyi sözleşmenin ifasına dayandırabilir miyim?
Hayır. Sözleşmenin ifası hukuki sebebinde ana kriter “zorunluluk”tur. Sözleşmeyle dolaylı ilişki kurmak yeterli değildir; sözleşme edimlerinin yerine getirilmesi için veri işleme gerçekten gerekli olmalıdır.
Meşru menfaat varken açık rıza almak daha güvenli değil mi?
Çoğu senaryoda hayır. Hukuki sebebi olan bir faaliyet için gereksiz rıza alınması; rızanın geçerliliği ve geri alma senaryoları nedeniyle daha fazla risk doğurabilir. Denge testiyle meşru menfaat kurgusu daha sürdürülebilir bir uyum sağlar.
Hukuki yükümlülük ile kanunda öngörülme aynı şey mi?
Değildir. Hukuki yükümlülükte veri sorumlusunun takdir alanı yoktur ve açık bir zorunluluk vardır. Kanunda öngörülmede ise açık hüküm bulunsa da kapsam/amaç sınırları içinde kalmak ve ölçülülük ilkelerine uymak gerekir.
