Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca, kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemese de KVKK’da belirtilen istisnalardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür. Bu yazımızda bahse konu istisnalardan veri sorumlusunun “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, meşru menfaatleri için veri işlenmesinin zorunlu olması durumunu” ele alacağız.

Konuya ilişkin bilgiler aşağıdadır:

  • Meşru Menfaat Nedir?

Veri sorumlusunun meşru menfaati, gerçekleştirilecek olan işlenme sonucunda elde edeceği menfaate yöneliktir.

Veri sorumlusunun elde edeceği menfaat;

-meşru,
-ilgili kişinin temel hak ve özgürlüğü ile yarışabilecek yeterli düzeyde etkin,
-belirli
-halihazırda mevcut olan

bir menfaatine ilişkin olmalıdır.

  • Örnekler:

Örnek olarak, çalışan bağlılığını artıran ödül ve prim uygulanması amacıyla veri işlenmesi, çalışanların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağılımında esas alınmak üzere çalışanların kişisel verilerinin işlenmesi gibi nedenler verilebilir.

  • İlgili Kişinin Temek Hak ve Özgürlüklerine Zarar Vermemek:

Dikkat edilmesi gereken en önemli hususlardan bir tanesi veri sorumlusunun meşru menfaatinin olması gerekliliğinin yanı sıra, ilgili kişinin temel hak ve özgürlüklerine zarar verilmemesi hususudur.

Bu nedenle, veri sorumlusunun meşru menfaati olup olmadığı belirlendikten sonra, kişisel verisi işlenecek olan çalışanın temel hak ve özgürlüklerinin neler olduğunun tespiti gerekli ve önemlidir. Buna göre, veri sorumlusunun meşru menfaati çok güçlü ve etkin olmadığı takdirde, ilgili kişinin hak ve menfaatleri, veri sorumlusunun meşru ancak daha az öneme sahip menfaatinden daha üstün gelebilecektir. Bu şekilde yarışan menfaatler olması halinde veri sorumlusu sıfatına sahip olan işveren detaylı bir değerlendirme yapmalıdır.

Kişisel Verileri Koruma Kurulu’nun  (‘’Kurul’’) 12/03/2020 tarihli ve 2020/212 sayılı karar özetinde de kişisel verilerin işlenmesinin temel hak ve özgürlükler çerçevesinde değerlendirilmesi gerektiği aşağıdaki şekilde açıklanmıştır:

Anayasa’nın “Özel hayatın gizliliği” başlıklı 20/3 maddesinde; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” şeklinde hüküm altına alınmıştır.

Bu düzenleme ile kişisel verilerin korunması hakkına anayasal bir nitelik kazandırılmış olup; bir temel hak ve özgürlük olan bu hakkın sınırlandırılması da ancak Anayasa’nın 13. maddesine uygun bir şekilde gerçekleştirilecektir.

Nitekim, Anayasa’nın 13. maddesi; “Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasa’nın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz.” hükmünü amirdir. Görüldüğü üzere; bir temel hak ve özgürlüğün sınırlandırılmasının söz konusu olduğu hallerde; hakkın özüne dokunulmaması ve sınırlamanın Anayasanın sözüne, ruhuna, demokratik toplum düzenine, laik Cumhuriyetin gerekleri ile ölçülülük ilkesine aykırı olmaması gerekmektedir. 

Tüm bunlar göz önünde bulundurulduğunda, KVKK’nın 5/2 maddesi uyarınca veri sorumlusunun meşru menfaati için veri işleme istisnası, veri işlenmesine ilişkin sınırsız bir yetki olarak değerlendirilemez. Aksine, madde kapsamında belirtilen veri sorumlusunun menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında makul bir denge sağlanmasını gerektirmektedir.