Kişisel Verileri Koruma Kurulunun 16 Nisan 2019 Tarihinde Yayınlamış Olduğu Kararı Bağlamında “Veri Sorumlusunun Meşru Menfaati” Kavramı

Kişisel Verileri Koruma Kurulu’nun 16 Nisan 2019 tarihinde yayınlamış olduğu kararına veri sorumlusunun meşru menfaati konu olmuştur. Karar, veri sorumlusunun kanuni yükümlülüğünü yerine getirmek için işlediği kişisel verileri meşru menfaat çerçevesinde kullanma talebiyle Kuruma yapmış olduğu başvuru üzerine verilmiştir. Burada iki farklı işleme şartının söz konusu olduğuna dikkat edilmelidir: Veri sorumlusu “hukuki yükümlülüğünü yerine getirebilmek için” kişisel veri işlemekte veya mevcut amaca özgü işleme faaliyeti sona ermekle birlikte işlemeye devam etmek istediği kişisel verileri “meşru menfaati” çerçevesinde kullanmaya devam etmek istemektedir. Bu yöndeki talebini de Kurula bildirmiştir.

Karara konu olan işleme şartlarının önemi ve kapsamı nedeniyle, öncelikle söz konusu istisna hallerini ve bu hallere ilişkin tartışmalı noktaları açıklayarak Kurulun kararını değerlendirmeye çalışacağım. Bu kapsamda özellikle Kurulun vermiş olduğu kararla getirdiği ek düzenlemelere değineceğim ve veri sorumlularının dikkatli olmaları gereken hususların altını çizeceğim. Ayrıca Kurul kararında değinilen her iki istisna halinin de ele alındığı Anayasa Mahkemesi’nin 28 Eylül 2017 tarihli 2016/125 E. ve 2017/143 K. numaralı kararına[1] da yeri geldikçe değineceğim[2].

1. Veri sorumlusunun kanuni yükümlülüğü ve meşru menfaati çerçevesinde kişisel veri işlemesine ilişkin 25/03/2019 tarihli ve 2019/78 sayılı Kararın konusu

Olayda “Akaryakıt Dağıtım Firması” olarak faaliyet gösteren bir şirket, ilgili mevzuat ve kararlar gereğince bir denetim sistemi kurma yükümlülüğü altında olduklarını ve bu sistemi kurabilmek için araç sahiplerinin kişisel verilerinin işlenmesinin zorunlu olduğunu belirterek meşru menfaatlerinin korunması için açık rıza olmaksızın veri işleme talebinde bulunmuştur.

Buna göre 5015 sayılı Petrol Piyasası Kanunu doğrultusunda faaliyet gösteren şirket, Enerji Piyasası ve Düzenleme Kurulu Kararı ile getirilen yükümlülük çerçevesinde satış hareketlerini (plaka, akaryakıt türü, miktar, fiyat, saat dakika ve saniye şeklinde zaman) gösteren, sorgulama imkânı veren ve ilgili Kurumun anlık erişime de açık olan bir sistem kurmuştur. İlgili şirket, bu sistemde yer alan plaka ve akaryakıt türüne ilişkin verilerin sektörde hatalı akaryakıt dolumlarına neden olması nedeniyle geliştirilen “Araç Tanıma Projesi”ni kullanmak istemektedir. Bu proje ile birlikte akaryakıt ve plaka verileri otomatik olarak eşleştirilerek yanlış akaryakıt alımları engellenmektedir.

Veri sorumlusu şirket, yanlış akaryakıt dolumlarının önüne geçebilmek için kullanacağı bu sistem için tüketicinin araç plakasını kullanmak zorunda olduğunu ve böylece meşru menfaatlerinin korunmuş olacağı gerekçesiyle otomasyon sistemi kapsamında işlediği bazı verileri, veri ilgilisinin açık rızası olmaksızın ilgili proje kapsamında kullanma talebiyle Kuruma başvuruda bulunmuştur.

2. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması

Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5. maddesinin 2-ç bendi gereğince, veri sorumlusu kanunlarla kendisine yüklenmiş bir sorumluluğu yerine getirebilmek için kişisel verileri işlemek zorundaysa, ilgili kişiden açık rıza almaksızın bu işlemeyi gerçekleştirebilir. Bu durumda, veri sorumlusunun hangi amaca özgü hangi süreyle kişisel veri saklayacağı kanunlarla açıkça öngörülmemiş olmakla birlikte veri sorumlusunun yerine getirmek zorunda olduğu yükümlülük ya genel ya da özel haliyle hüküm altına alınmıştır.  

Bu istisna hali, kişisel verilerin işlenmesinin veri sorumlusu için “zorunlu olması” kavramının belirsiz olduğu ve bunun veri ilgilisinden açık rıza alınmasına ihtiyaç bırakmayacağı gerekçesiyle eleştirilmiş ve yukarıda belirtilen Anayasa Mahkemesi kararına konu olmuştur. Mahkeme, bu kuralın kişisel verilerin korunmasına sınırlama getirdiğini kabul etmekle birlikte bunun kamu yararı kavramı gereğince ölçülülük ilkesine uygun olarak yapıldığına ve zorunlu hallerle sınırlı tutulduğuna kanaat getirerek iptal başvurusunu reddetmiştir.

Öncelikle söz konusu istisna halinin veri sorumlusunun hangi durumlarda zorunlu olduğu ve dolayısıyla hangi durumlarda veri işleyebileceği noktasında belirsizlik içerdiği açıktır. Bununla birlikte söz konusu duruma dayanarak gerçekleştirilebilecek birçok farklı hukuka uygun veri işleme faaliyetinin kanun hükmüyle tek tek belirtilmesi de mümkün değildir. Bu nedenle veri sorumlusunun yükümlülüklerini yerine getirebilmesini zorlaştırmama ve sürekli olarak açık rıza almak durumunda kalarak uygulamada sorun yaşamalarını engelleme amaçları güden bu hukuka uygunluk halini yerinde bulmakla beraber; belirsizlik içeren noktaların da Kurul yayınları ve kararlarıyla açıklığa kavuşturulması gerektiğini düşünüyorum.

Kanaatimce söz konusu istisna hali kişisel verilerin işlenmesinin “kanunlarla açıkça öngörülmesi” hukuki sebebine girmeyen ancak yasal olarak veri sorumlularını yükümlülük altına sokan durumlarda uygulanmalıdır. Hukuki yükümlülük için zorunlu olma hali, kanunlarla açıkça öngörülmüş olan bir işleme faaliyeti söz konusu olmadığı durumlarda yükümlülüklerin yerine getirilebilmesi için zorunlu olan veri işleme faaliyetlerini ifade eder.

Somut olay açısından baktığımızda EPDK kararıyla veri sorumlularına bayi satış hareketlerinin gösterilmesini sağlayan bir yükümlülük getirilmiştir ve bu yükümlülük gereğince veri sorumlularının kişisel veri işlemesi zorunludur. Dolayısıyla bu açıdan bakıldığında ilgili veri sorumlularının EPDK kararıyla getirilen hukuki yükümlülüklerini yerine getirmek için veri işlemeleri zorunludur ve bu hususta herhangi bir tereddüt yoktur.

3. Veri sorumlusunun “meşru menfaat”leri için veri işlemesinin zorunlu olması

Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5. maddesinin 2-f bendi, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olmasını bir işleme şartı olarak düzenlemiştir. Buna göre veri sorumlusu, meşru menfaatleri için kişisel veri işlemek zorunda olduğu hallerde ilgili kişinin temel hak ve özgürlüklerine zarar vermemek koşuluyla bu işleme faaliyetini ilgili kişinin açık rızasını almaksızın işleyebilir.

Bu istisna hali bir önceki başlıkta ele alınan veri sorumlusunun hukuken zorunlu olması durumundan daha fazla tartışmayı içinde barındırır. Bunun en büyük nedeni ise veri sorumlusunun meşru menfaati kavramından ne anlaşılması gerektiğinin belirsiz olmasıdır. Nitekim belirtilen Anayasa Mahkemesi kararında da söz konusu hukuka uygunluk nedeninin iptali istenmiştir. Bu belirsizliğin, veri ilgilisinin kişisel verilerinin korunması hakkına zarar verebilecek ölçüde geniş yorumlanmasına neden olacağı ve açık rızaya ihtiyaç duyulmayacağı endişesi dile getirilmiştir.

Ne var ki bazı durumlarda veri sorumlusu tarafından gerçekleştirilecek veri işleme faaliyetinde veri sorumlusunun elde edeceği çıkar ve fayda, veri ilgilisinin temel hak ve özgürlüklerine zarar vermeksizin verilerin işlenmesine olanak sağlayabilmektedir. Öyleyse yapılması gereken veri sorumlusunun meşru menfaati dahilinde veri işlemesini kesin çizgilerle engellemek yerine veri sorumlusu ve veri ilgilisi arasında makul bir dengenin bulunmasıdır (denge testi). Aksi takdirde teoriden öteye gidemeyen ve uygulamayı rahatlatmak yerine daha da zorlaştıran bir durumun varlığından söz edilecektir, bu da gerçekçi ve hayatın olağan akışına uygun bir bakış açısı değildir.

Nitekim Anayasa Mahkemesi de söz konusu istisnanın kişinin her türlü verisine ilişkin olmayıp; yalnızca belirli koşulların varlığı halinde söz konusu olabileceği ve istisnaların esas düzenleme haline getirilmesi gibi bir durum olmadığını düşünmektedir[3]. Bu kuralın hak ve menfaat kayıplarını önlemek amacıyla getirildiğini belirterek; ihlali veya kötüye kullanımı halinde zaten şikâyet ve başvuru yollarının açık olduğunun altını çizmiştir. Meşru menfaat kavramından “veri sorumlusu ile ilgili kişinin menfaatinin gözetilmesi çerçevesinde değerlendirilmesi gerek olan bir dengenin” anlaşılması gerektiğini açıklayan Mahkeme; kuralın herhangi bir hukuka aykırılık barındırmadığı ve esas olan bu dengenin nasıl oluşturulacağı olduğunu belirterek iptal talebinin reddine karar vermiştir.

Kanaatimce hangi hallerde meşru menfaatin varlığının kabul edilip edilmeyeceği açık bir biçimde belirlenmelidir. Böylece hem uygulamada büyük bir rahatlık sağlanmış olacak hem de sübjektif kriterlere dayanılarak meşru menfaatin var olduğu iddiasının herhangi bir geçerliliği olmayacaktır.

İncelediğim Kurul kararının tam da bu noktada oldukça önemli olduğunu düşünüyorum. Karardan önce veri sorumlusunun meşru menfaatine dayanarak kişisel veri işlemek belirli ve kapsamlı koşullara sahip değildi. Kanun, ilgili kişinin temel hak ve özgürlüklerine zarar vermeme koşulu getirmiş; konuyla ilgili Kurulun yayınlamış olduğu rehber ilkeler ise veri sorumlusunun çıkar ve faydası ile meşru menfaatin etkin, belirli ve hali hazırda mevcut olmasından söz etmiştir[4]. Ancak kararla bunlara ek birtakım koşullar belirlenerek meşru menfaat kavramına dayanılarak kişisel verilerin işlenmesinin dar yorumlanması sağlanmaya çalışılmıştır.

Kanun, rehber ilkeler ve söz konusu Kurul kararı bir arada ele alındığında veri sorumlusu, meşru menfaat kavramına dayanarak kişisel veri işlemek için aşağıdaki hususların varlığını araştırmalıdır:

- Kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması,

- Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi,

- Meşru menfaatin halihazırda mevcut, belirli ve açık olması,

- İlgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması,

- Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması,

- Bu açıdan ilgili kişinin başta kişisel verilerinin korunması olmak üzere temel hak ve hürriyetlerinin zarar görmesini engellemek amacıyla öngörülebilir, açık ve yakın her türlü tehlikeden uzak tutulması,

- Kişisel verilerin bir veri kayıt sisteminde amaçla sınırlı olarak hukuka uygun işleyişinin temini ile zararı ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alınması,

- Kişisel verilerin işlenmesinde genel ilkelere uygunluğun sağlanması,

- Bu kapsamda, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılarak denge testinin yapılması.

Belirtmeliyim ki, Kurulun verdiği kararla veri sorumlularının meşru menfaat kavramına dayanarak kişisel veri işleme faaliyeti gerçekleştirebilmeleri için yukarıda sayıldığı üzere birçok koşul öngörmesi, özellikle meşru menfaate ilişkin tartışmaları giderebilecek nitelikte olmasından dolayı önemlidir. Bu koşullardan genel itibariyle anlaşılan:

- Meşru menfaat kavramının dar yorumlanması gerektiği,

- Yalnızca zorunluluk durumları için öngörüldüğü ve,

- Hiçbir şekilde ilgili kişinin aleyhine bir sonuç doğurmaması gerektiğidir.

Ancak Kurul her ne kadar meşru menfaate dayanılarak kişisel verilerin işlenmesini bu şekilde sıkı şartlara bağlamışsa da aşağıda açıklayacağım üzere somut olaya ilişkin kanaatinde bu koşulları yeteri kadar göz önünde bulundurmamıştır.

4. Karar

Kurul, ilgili şirketin halihazırda kayıtlarında bulunan tüketicilere ait araç plaka ve akaryakıt türü bilgilerini otomatik olarak Araç Tanıma Projesi sistemine entegre etmesini yeni bir kişisel veri işleme faaliyeti olarak kabul etmiştir. Buraya kadar herhangi bir sorun yoktur. Zira kişisel veriler, her ne kadar şirket bünyesinde mevcut bulunsa da bu verilerin yine aynı şirket nezdinde ancak başka bir sisteme aktarılması, kaydedilmesi veya o sistemde tutulması yeni bir kişisel veri işleme faaliyetidir. Dolayısıyla burada kişisel veri işlemek için bulunması gereken özelliklere ve yerine getirilmesi gereken yükümlülüklere baştan bakılmalıdır.

Somut olayda ilgili şirket, gerçekleştireceği bu yeni kişisel veri işleme faaliyetini “meşru menfaati için zorunlu olması” istisna haline dayandırmak istemektedir. Kurul buna ilişkin yaptığı incelemede ilk olarak olayda meydana gelen zarar açısından açıklama yapmıştır. Buna göre yanlış akaryakıt dolumları nedeniyle tüketicilerin uğramış olduğu zararlardan 6502 sayılı Tüketicinin Korunması Hakkında Kanun gereğince işletici şirket ile birlikte başvuran şirket gibi dağıtıcı şirketin de müteselsilen sorumluluğu bulunur. Bu durum hem tüketici hem de dağıtıcı şirketin maddi kaybı ile şirket marka değeri ve hizmet kalitesinde de kayıplara yol açacaktır.

Kurul, bu çerçevede yaptığı incelemede veri sorumlusunun, halihazırda bünyesinde bulunan tüketicilere ait plaka ve akaryakıt türü verilerinin başka bir sisteme otomatik olarak entegre edilmesinin, Kanun’un 5. maddesinin 2-f bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hali kapsamında olduğuna kanaat getirmiştir. Bu doğrultuda ilgili şirketin, erişilebilir ve görünür şekilde aydınlatma yükümlülüğünü yerine getirmek ve söz konusu verileri başka bir amaç için kullanmamak kaydıyla ilgili kişilerin açık rızasını almasına gerek olmadığına karar verilmiştir.

5. Karara ilişkin değerlendirme

İlk olarak belirtmeliyim ki, Kurulun verdiği kararı tereddütsüz bir şekilde hukuka uygun olarak değerlendirmek mümkün değildir. Özellikle de kararın etki edeceği kişilerin sayısı düşünüldüğünde tartışmaya açık bir karar verilmiş olduğunu düşünüyorum. Bunun başlıca sebebi kişisel verilerin işlenmesine ilişkin temel ilkeler ve veri işlemeye ilişkin hukuka uygunluk nedenlerinin kapsamıdır.

a. “Belirli, açık ve meşru amaçlara yönelik işleme” ilkesi

İlke, veri sorumlusunun kişisel veri işlemesinde ulaşmak istediği hedeflerin belirli, açık ve meşru olmasını gerektirir. Böylece hangi verilerin hangi amaçlar doğrultusunda işleneceğinin tespit edilmesini sağlar. İlke, niteliği gereği kişisel verilerin belirli, açık ve meşru amaçlara yönelik olarak toplanma sürecinden sonra belirlenen söz konusu toplanma amaçlarına uygun işleme olmak üzere iki farklı aşamayı içerir. Burada tartışılması gereken temel husus toplanma amaçlarına uygun işleme gerekliliğidir.

Belirtmeliyim ki, bu ilke belirlenmiş ve açıklanmış olandan başka bir amaç için işlemeyi mutlak olarak yasaklamamıştır. GDPR düzenlemeleri belirli, açık ve meşru amaç doğrultusunda toplanan kişisel verilerin, bu amaç dışında ancak buna “uyumlu bir amaç” için de işlenebileceğini göstermektedir. Dolayısıyla sonradan ortaya çıkan farklı amacın, ilk amaçla uyumlu olması halinde kişisel veri işleme faaliyeti hukuka uygun olarak kabul edilebilir. Buna karşın Kanun’da bu konuda açık bir düzenleme bulunmamakta ve hatta Kanun hükmü ve Kurul tarafından yayınlanmış olan rehber ilkeler göz önüne alındığında, farklı amacın uyumlu olması halinde dahi işlemeye izin verilmeyeceği anlamı çıkmaktadır. Nitekim bu hususun açıklığa kavuşturulması gerekliliğinin altını konuya ilişkin kitabımda da çizmiştim[5].

Kişisel verilerin korunmasına ilişkin temel ilkeler, her türlü kişisel veri işleme faaliyetinde herhangi bir özellik fark etmeksizin uyulması gereken mutlak yükümlülükleri içerir. Dolayısıyla somut olayda veri ilgilisinin açık rızasının veya işleme şartlarından herhangi birinin varlığında da bu ilkelere uygun işleme yükümlülüğü devam eder. Zira kişisel verilerin işleme şartları, veri sorumlusunun hangi hallerde kişisel veri işleyebileceğini gösterirken; temel ilkeler, kişisel verilerin ilk defa elde edilmesinden işleme faaliyetinin sonuna kadar geçen tüm süreçte uyulması gereken esas ve usulleri içerir. Bu nedenle somut olayda hukuka uygun bir işlemenin varlığından bahsedebilmek için işleme şartlarının yanı sıra temel ilkeler bakımından da inceleme yapmak gerekir.

Ancak kanunumuzda bu temel ilkeye istisna getirebilecek GDPR’dakine benzer bir düzenleme olmadığı için ilkenin tam olarak uygulanması gerekir. Bu bağlamda işleme faaliyetinin meşru bir amaç için olduğu kabul edilse dahi “belirli” ve “açık” bir amaç için olduğunu söylemek mümkün değildir. Zira veri ilgililerinin bu konuda açık rızaları alınmadığı gibi, kendilerine bu konuda aydınlatma da yapılmamıştır.

b. Sorunlu Alanlar

Mevcut olaya döndüğümüzde, verilerin başka bir sisteme otomatik olarak entegre edilmesinin ilk amaçtan farklı bir amaca dayandığı ve yeni bir işleme faaliyeti olduğunda şüphe yoktur.

Burada temel olarak şu sorular gündeme gelir:

- Sonradan ortaya çıkan amaç, ilk amaçla uyumlu mu?

EPDK kararı gereğince getirilen yükümlülük çerçevesinde kişisel verilerin işlenmesi, bayi satış hareketlerinin kayıt altına alınması ve EPDK’nın da erişimine açık olması amacı söz konusudur. Bunun nedeni kaçak yakıt satışının ve haksız rekabetin önlenmesi ile kamusal bir ihtiyaç olan enerjinin arz ve talebinin kontrol altında tutulmasıdır. Bunun için kurulan otomasyon sisteminde yer alan verilerin başka bir projede kullanılmak istenmesinin amacı ise yanlış akaryakıt dolumlarının önüne geçmektir. Dolayısıyla her iki amacın uyumlu olduğu son derece tartışmalıdır. Bu yanlış dolumların önüne geçilmesinde tarafların meşru menfaati yoktur anlamına gelmemelidir. Ancak verinin ilk baştaki alınma amacıyla sonradan işleme amacı arasında açık bir uyum olmadığı görülmektedir.

- Uyumlu olduğu sonucuna varılırsa işleme faaliyetine devam edilebilir mi?

Yukarıda belirttiğim gibi GDPR düzenlemeleri uyumlu amacı kabul ederken; Kanun da bu durum yeterince açık değildir. Bu açıklığa kavuşturulması gereken bir durum olup; kanaatimce GDPR düzenlemelerine paralel olarak uyumlu olan farklı amacın kabul edilmesi yoluna gidilmelidir. Bunun içinde bir kanun değişikliği gerekmektedir.

- Uyumlu değilse ilgili kişinin açık rızası veya işleme şartlarının herhangi birinin varlığı mı gerekir?

Sonradan ortaya çıkan amacın ilk amaçla uyumlu olmaması halinde yoruma açık bir durum söz konusu değildir. Kişisel verilerin işlenmesi için işleme şartlarının varlığı, açık rıza alma süreci, aydınlatma yükümlülüğü başta olmak üzere diğer tüm olması gereken koşullar baştan sağlanmalıdır. Dolayısıyla ilk olarak kişisel verilerin istisna hallerinden herhangi birinin varlığına bakılmalıdır.

- Mevcut olayda veri sorumlusunun meşru menfaatinin varlığından bahsedilebilir mi?

Aslında mevcut durumda hem veri sorumluların, hem veri işleyenlerin hem de veri ilgililerinin meşru bir menfaati vardır. Doğru akaryakıt kullanımı maddi zararların olmasını ve israfı engelleyecektir. Veri sorumluların kişisel veriyi ilk başta alırken ya da bu amaçla işlemeye başlarken veri ilgililerini bu konuda aydınlatmaları halinde meşru menfaatin varlığı söz konusu olacaktır. Ancak kanaatimce kararda açıklanan diğer ilkeler mevcut olmasına karşın “Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi” durumunun tam olarak oluştuğunu düşünmüyorum. Somut olayda meşru menfaat olduğu ve ilgili kişilerin de temel hak ve özgürlüklerinin zarar görmediği, kısacası menfaatler dengesinin sağlandığı açıktır. Ancak aynı sonuca ulaşılabilmesi kişisel veri işlenmesi zorunlu değildir. Bu amaca ulaşmak için akaryakıt dağıtım firması farklı önlemler alarak zararın oluşmasını engelleyebilecektir. Bu durum da zorunluluk unsurunun Kurul’un kararında yumuşatıldığını göstermektedir.

Sonuç olarak, akaryakıt dağıtım şirketi örneğinin, diğer pek çok sektör açısında da geçerli olabileceğini, bunun son derece güzel bir örnek olduğunu, Kurul’un ticaret hayatının ve hayatın olağan akışına uygun bir karar verdiğini, bunu da amaca uygun yorum yöntemiyle yaptığını düşünüyorum. Ancak bu yorumun olması gereken hukuku ortaya koyduğunu, mevcut yasal düzenleme açısından zorunluluk unsurunu tam olarak sağlamadığını  ifade etmeyelim. Bu kapsamda zorunluluk kavramı her ne kadar meşru menfaatin sınırlarının daraltılması için önemli bir unsur olsa da, amaçsal yorum yapılarak zorunluluk kavramının çok dar yorumlanmamasının da yerinde bir yaklaşım olduğu kanaatindeyim. Aksi halde meşru menfaat kavramının sınırlarının gereğinden fazla daraltılması ve uygulama alanının neredeyse ortadan kaldırılması sonucuyla karşı karşıya kalacağımızı düşünüyorum.

Doç. Dr. Murat Volkan Dülger*

(Bu köşe yazısı, sayın Doç. Dr. Murat Volkan DÜLGER tarafından www.hukukihaber.net sitesinde yayınlanması için kaleme alınmıştır. Kaynak gösterilse dahi köşe yazısının tamamı özel izin alınmadan kullanılamaz. Ancak alıntılanan köşe yazısının bir bölümü, aktif link verilerek kullanılabilir. Yazarı ve kaynağı gösterilmeden kısmen ya da tamamen yayınlanması şahsi haklara ve fikri haklara aykırılık teşkil eder.)

-------------------------

*     Akademisyen / Avukat.

[1]     Anayasa Mahkemesi, 28 Eylül 2017, E. 2016/125, K. 2017/143, (Resmi Gazete Tarihi: 23.01.2018, Sayı: 30310).

[2]     Anayasa Mahkemesi kararıyla ilgili değerlendirme için bkz: Murat Volkan Dülger, “Anayasa Mahkemesi'nin Kişisel Verilerin Korunması Kanunu'nun Konu Edildiği İptal Davası Kararına İlişkin Bir Değerlendirme”, https://www.academia.edu/35841730/.

[3]     Burada Anayasa Mahkemesi’nin terminolojine sadık kaldım. Ancak KVKK’da “istisna” olarak belirtilen kişisel verileri işleme hallerinin “açık rızanın” yanı sıra diğer hukuka uygunluk halleri olduğunu ve açık rıza ile aynı düzeyde yani eşdeğer olduğunu, bu hususun Kişisel Verileri Kurulu’nun karar ve Kurum’un yayınlarında da açıkça belirtildiğini ifade etmeliyim.

[4]     KVKK, Kişisel Verilerin İşlenme Şartları, s. 14, 15.

[5]     Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, Hukuk Akademisi, İstanbul, 2019, s. 121, 122.