Ülkemizde hızla devam eden 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uyum süreci, Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayımlanan yeni kararlarla netlik kazanmaya devam ediyor. Kurum’un son olarak 16 Nisan 2019 tarihinde yayımladığı 25.03.2019 tarihli, 2019/78 karar nolu karar ile kişisel verilerin işlenmesi hususunda hukuka uygunluk sebeplerinden ucu açık bir kavram olan meşru menfaat kavramının sınırları çizildi.
Karara konu olay, 5015 sayılı Petrol Piyasası Kanunu gereğince dağıtıcı lisansı kapsamında petrol piyasasında faaliyet gösteren bir Şirketin, EPDK yükümlülükleri çerçevesinde kurduğu otomasyon sistemi için işlediği bazı verileri sistemde otomatik olarak eşleştirerek, ilgili kişinin açık rızası olmaksızın Araç Tanıma Projesi için kullanılmasının şirketin meşru menfaat kapsamında değerlendirilip değerlendirilemeyeceğine ilişkindir.
Kurum yaptığı değerlendirmeler neticesinde söz konusu kişisel veri işlemenin hem tüketicinin hem de dağıtıcı şirketin maddi kaybına ve ilgili şirketin marka değeri ve hizmet kalitesinde kayıplara yol açabileceğinden; Şirketin, erişilebilir ve görünür bir şekilde aydınlatma yükümlülüğünü yerine getirmek ve başka bir amaçla kullanmamak kaydıyla ilgili kişilerin açık rızasını almaksızın bahse konu sistemi kullanmasında 6698 sayılı Kanun yönünden hukuken bir engel bulunmadığına karar vermiştir.
Kurum’un bu karar ışığında, Veri sorumlusunun veri işlemek için meşru menfaatinin hangi şartlarda geçerli olabileceğine ilişkin ortaya koyduğu kriter ve sınırlamalar ise şu şekildedir:
- Kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması,
- Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi,
- Meşru menfaatin hâlihazırda mevcut, belirli ve açık olması,
- İlgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması,
- Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması,
- İlgili kişinin başta kişisel verilerinin korunması olmak üzere temel hak ve hürriyetlerinin zarar görmesini engellemek amacıyla öngörülebilir, açık ve yakın her türlü tehlikeden uzak tutulması,
- Kişisel verilerin bir veri kayıt sisteminde amaçla sınırlı olarak hukuka uygun işleyişinin temini ile zararı ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alınması,
- Kişisel verilerin işlenmesinde genel ilkelere uygunluğun sağlanması,
- Bu kapsamda, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılarak denge testinin yapılması
Sonuç itibarıyla bu şartları taşıyan işleme faaliyeti yönünden Kurum, Şirket’in yapmış olduğu talebi kabul etmiştir. Kararda en dikkat çekici hususlardan biri ise; mevcut olayda Kanun hükmünün yanı sıra sadece ilgili kişinin temel hak ve özgürlüklerine zarar vermemesi şartının değil aynı zamanda ilgili kişinin de (kişisel verisi işlenen gerçek kişi tüketicilerin) uğramış olduğu zararların giderilmeye çalışıldığı görülmektedir. Bu anlamda kararın bazı tartışmaları da beraberinde getireceği açıktır.