I. Giriş
Dijital çağın en önemli konularından biri olan kişisel veriler ve nasıl ele alınacakları hususu son yıllarda Türkiye’deki tartışmaların da odak noktalarından biri haline gelmiştir. Türkiye’nin bu husus ile ilgili olarak hazırlanmış olan ilk mevzuatı Kişisel Verilerin Korunması Kanunu (“KVKK”) 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Türkiye’de kişisel verilerin korunmasına yönelik bu adım ile eş zamanlı olarak Avrupa Birliği’nde de (“AB”) kişisel verilere ilişkin bir reforma gidilmiş ve 1995 yılından beri yürürlükte olan 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Direktifi (“Direktif”) yerini 25 Mayıs 2018 tarihinde Avrupa Birliği Genel Veri Koruması Tüzüğü’ne (General Data Protection Regulation) (“GDPR”) bırakmıştır. Bu yazımızda kişisel verilerin işlenme şartlarından olan veri sorumlusunun meşru menfaatini KVKK ve GDPR karşılaştırmalı olarak inceleyeceğiz.
Öncelikle belirtmek gerekir ki, KVKK, GDPR’dan önce AB’de yürürlükte olan Direktif örnek alınarak düzenlenmiştir. GDPR’ın AB’de yürürlüğe girmesindeki sebeplerden biri de Direktif’in günün teknoloji şart ve koşulları ile tam olarak örtüşmemesi ve ihtiyaçlara tam olarak cevap verememesidir. Bu nedenle GDPR, Direktif’ten daha ayrıntılı ve ihtiyaçlara yönelik olarak hazırlanmıştır. GDPR ve KVKK paralel düzenlenmiştir ancak KVKK düzenlenirken temel olarak alınan mevzuatın Direktif olması sebebiyle KVKK GDPR karşısında daha dar kalmıştır.
II. KVKK ve GDPR Kapsamında Veri Sorumlusunun Meşru Menfaati
İşlemenin hukuka uygun olduğu haller olarak GDPR’ın 6. maddesinde belirtilen haller, KVKK’nın 5. maddesinin ikinci fıkrasında açık rızanın gerekmediği işleme şartları ile paralel düzenlenmiştir. KVKK düzenlemelerine ek olarak GDPR’da “çocuk”ların kişisel verilerinin işlenmesi ayrıca hüküm altına alınmıştır.
KVKK’nın 5. maddesinin ikinci fıkrasının f bendine göre bir işleme faaliyetinin hukuka uygun olarak kabul edilmesi için ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması gerekmektedir. Kişisel Verilerin Korunması Kurulu (“Kurul”) yayınladığı rehberlerde kişisel verilerin meşru menfaat ile işlenmesine ilişkin olarak,
GDPR’ın 6. maddesinin birinci fıkrasının f bendine göre ilgili kişinin, özellikle ilgili kişi çocuksa, kişisel verilerinin korunmasını gerektiren menfaati veya temel hak ve özgürlükleri üstün gelmediği sürece işleme faaliyeti veri sorumlusu veya bir üçüncü kişinin menfaati için gerekli ise hukuka uygun olacaktır. GDPR, KVKK’dan farklı olarak veri sorumlusunun yanı sıra üçüncü bir kişinin meşru menfaatini de katmıştır.
Görülebileceği üzere KVKK ve GDPR’daki meşru menfaat düzenlemesi ana hatları ile birbirlerine paralellik göstermekte ve üç ana unsur içermektedir. Bunlar:
- İşleme faaliyetinin gerekli olması
- Veri sorumlusunun (veya üçüncü) meşru menfaatinin amaçları
- İlgili kişinin menfaat veya temel hak ve özgürlüklerinin veri sorumlusu veya üçüncü kişinin menfaatinden üstün olmadığı durumlar
Bu üç ana unsur AB veri koruması uygulamalarında “üç adım testi”ne (three step test) dönüştürülerek, veri işlemenin veri sorumlusu veya 3. taraflar açısından meşru menfaat içerip içermediğini kontrol etmek ve bir denge kurmak açısından kullanılmaktadır.
Bahsi geçen testin aşağıdaki sıra ile uygulanması gerekmektedir:
- Amaç testi (purpose test): İşleme faaliyeti meşru bir amaca mı dayanıyor?
- Gereklilik testi (necessity test): İşleme faaliyeti bu amaç için gerekli mi?
- Denge testi (balancing test): Bireyin menfaati, hakları ya da özgürlüğü meşru menfaatten üstün mü geliyor?
25.03.2019 tarihli 2019/78 sayılı kararında Kurul da üç adım testine benzer şekilde, “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hali tespit edilirken veri sorumluları tarafından;
- Kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması,
- Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi,
- Meşru menfaatin halihazırda mevcut, belirli ve açık olması,
- İlgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması,
- Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması,
- Bu açıdan ilgili kişinin başta kişisel verilerinin korunması olmak üzere temel hak ve hürriyetlerinin zarar görmesini engellemek amacıyla öngörülebilir, açık ve yakın her türlü tehlikeden uzak tutulması,
- Kişisel verilerin bir veri kayıt sisteminde amaçla sınırlı olarak hukuka uygun işleyişinin temini ile zararı ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alınması,
- Kişisel verilerin işlenmesinde genel ilkelere uygunluğun sağlanması,
- Bu kapsamda, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılarak denge testinin yapılması
hususlarının değerlendirilmesi gerektiğini belirtmiştir.
III. Pazarlama Faaliyeti Açısından Veri Sorumlusunun Meşru Menfaati
Günümüzde en çok tartışılan konulardan biri ticari hayatın kaçınılmaz bir gereği olan pazarlama faaliyetlerinin gelişen imkan ve teknolojiler yoluyla bireylere karşı yürütülmesi sırasında kişisel verilerin hangi şartlar ve ilkeler doğrultusunda işlenebileceği ve korunacağıdır. Kişisel verilerin pazarlama faaliyeti için meşru menfaat şartı kapsamında işlenip işlenemeyeceği hususu önem arz etmektedir.
GDPR’ın 47 numaralı gerekçesi, pazarlama faaliyetlerinin veri sorumlusunun meşru menfaati kapsamında değerlendirilebileceğini ifade etmiştir.
“Kişisel veriler doğrudan pazarlama faaliyetleri için meşru menfaat amacıyla işlenebilecektir.”
Ayrıca, Madde 29 Çalışma Grubu’nun konu ile ilgili görüşünde doğrudan pazarlama ve diğer formdaki reklam ve pazarlama faaliyetlerinin veri sorumlusunun meşru menfaati çerçevesinde değerlendirilebileceği belirtilmiştir.
Ancak bu ifadelerden pazarlama faaliyeti kapsamında kişisel veri işlenmesinin her zaman meşru menfaat kapsamında değerlendirilebileceği anlamı çıkarılmamalıdır. Bu husus, her bir olayın şartlarına göre değişkenlik gösterebilmektedir. İlgili değerlendirme yapılırken üç adım testinin uygulanması gerekmektedir.
a. Üç Adım Testinin Pazarlama Faaliyeti Açısından Değerlendirilmesi
Yukarıda bahsedildiği üzere, meşru menfaat her olay bazında ayrıca değerlendirilmeli, olay özelinde veri sorumlusu ve ilgili kişinin karşılıklı menfaatleri üç adım testine tabi tutulmalıdır.
Veri işleme faaliyeti, yürürlükteki diğer hukuki düzenlemeler ve etik kurallar ile uyumlu olmaması halinde amaç testini geçemeyecektir. Pazarlama faaliyetlerinden biri olan elektronik ileti gönderilmesi yolu izlenmek isteniyorsa, meşru menfaat her zaman geçerli bir işleme şartı olmayabilir. Zira elektronik iletilere ilişkin mevzuatta öngörülen onay alma şartının bu durumda yerine getirilmesi gerekecektir. Gerek ICO’nun ilgili rehberi, gerek Madde 29 Çalışma Grubu’nun 03/2016 sayılı görüşünde üzerinde durulan E-Privacy Directive uyarınca ilgili kişiden temin edilmesi gereken rıza, veri işleme faaliyetin hukuka uygunluğu açısından öngörülen bir şarttır. Ülkemizde 1/5/2015 tarihinde yürürlüğe giren Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve ilgili düzenlemeler gereğince ticari ileti gönderilecek kişilerden önceden alınması zorunlu olan onay da bu kapsamda değerlendirilebilecektir.
Yukarıda belirtilenler ışığında, doğrudan pazarlama faaliyetleri, elektronik ticarete ilişkin hukuki düzenlemelere uyulması ve veri işleme faaliyetinin amacının ayrıntılı olarak belirlenmesi halinde veri sorumlusunun meşru menfaati kapsamında değerlendirilebilecektir. Ancak bunun yanında gereklilik ve denge testlerinin de uygulanması gerekmektedir.
Pazarlama faaliyeti için kişisel verilerin işlenmesinin gerekliliği noktasında, kişisel verilerin ilgili faaliyetin gerçekleştirilmesi için işlenmesinin zorunlu olup olmadığı değerlendirmesi yapılmalıdır. Veri sorumlusu, her olayda veri işleme faaliyetinin orantılı ve yalnızca amaçlarına ulaşmaya yönelik olarak gerçekleştirilip gerçekleştirilmediğini analiz etmelidir. Bu aşamada, ilgili amaca ulaşmak için ilgili kişinin temel hak ve özgürlüklerine daha az müdahalede bulunan başka yollar varsa bunların değerlendirilmesi uygun olacaktır.
GDPR’ın 21. maddesinin 2. fıkrasında ilgili kişiye açıkça veri işleme faaliyetine itiraz hakkı tanınmıştır. Dolayısıyla denge testinin geçilmesi açısından ilgili kişiye karşı doğrudan pazarlama faaliyeti yürütülürken verilerinin işlenmesini reddetme hakkının açık ve anlaşılır olarak tanınması önem taşımaktadır.
Pazarlama faaliyetlerinin davranışsal analizler üzerinden hedefleme yapılarak gerçekleştirilmesi durumunda ise denge testinin geçilebilmesi, ancak veri işleme faaliyetinin meşru amaçlarla gerçekleştirildiğine ve belirtilen meşru amacın gerçekleştirilmesi için verinin davranışsal analiz yapılarak işlenmesinin zorunlu olduğuna ilişkin sağlam dayanakların sunulması halinde mümkün olacaktır.
b. Davranış odaklı pazarlama (davranışsal hedefleme) faaliyetlerinin kişisel verilerin korunması açısından değerlendirilmesi
Davranış odaklı pazarlama, bireylerin belli bir zaman diliminde gözlemlenerek davranışlarının karakteristik özelliklerinin belirlendiği bir inceleme sonucu çıkarılan profile yönelik olarak tasarlanan pazarlama faaliyetini ifade etmektedir. Davranış odaklı pazarlama, Avrupa Doğrudan ve İnteraktif Pazarlama Federasyonu Tüzüğü’nde belirtildiği ve Madde 29 Çalışma Grubu tarafından da onaylandığı üzere bir doğrudan pazarlama yöntemidir.
Veri sorumlusunun bu şekildeki bir pazarlama faaliyeti açısından meşru menfaatinin bulunmasının yanı sıra, bu menfaatin sağlanması için veri işlenmesinin zorunlu olması ve kişisel verilerin menfaat ile orantılı olarak işlenmesinin temin edilmesi gerekmektedir. Zorunluluk açısından değerlendirme yapılırken davranışsal hedefleme yerine içeriksel hedefleme yapılması yoluna gidilmesi yöntemi değerlendirilebilecektir. Orantılılık açısından ise internet üzerinde toplanan kişisel veriler ile oluşturulan devasa boyuttaki veri tabanı ve Veri Koruma Otoritelerinin orantılılık ilkesini uygulayış biçimi dikkate alındığında, oluşacak hukuki sorunların çok artacağı değerlendirmesi yapılabilecektir.
Bu noktada, ayrıca veri sorumlusunun meşru menfaatinin ilgili kişinin temel hak ve özgürlüklerinin ihlaline yol açıp açmadığı tespit edilmelidir. Davranışsal hedefleme yapmak amacıyla çok sayıdaki internet sitesi üzerinden bireylerin kişisel verilerini işlemek suretiyle veri tabanı hazırlayan bir reklam ağı, her ne kadar Avrupa Birliği Temel Haklar Bildirgesi’nde bulunan ticari faaliyette bulunma özgürlüğünü ileri sürebilecek olsa da, reklam ağının meşru menfaati değerlendirilirken verileri işlenen bireylerin özel hayatın gizliliğinin ihlal edilip edilmediği değerlendirmesi yapılmalıdır. Bireylerin temel hak ve özgürlüklerini ihlal eden bir veri işleme faaliyeti, ticari faaliyette bulunma özgürlüğü kapsamında değerlendirilemeyecektir. Zira, bireylerin beklentisi doğrultusunda, internet kullanımı özel hayatın gizliliği kapsamında değerlendirilmelidir.
Yukarıdaki bilgiler ışığında tüm açılardan değerlendirme yapıldığında davranış odaklı pazarlama faaliyetlerinin veri sorumlusunun meşru menfaati kapsamında değerlendirilmesinin çok zor olduğu sonucuna varılabilecektir. Bununla birlikte, bireylerin beklentisine uygun olduğu ve temel hak ve özgürlüklerin ihlal edilmediği veri işleme faaliyetleri açısından davranışsal hedeflemenin yapılmasının meşru menfaat kapsamında değerlendirilebileceği de tartışılabilecektir.
c. KVKK ve GDPR kapsamındaki yükümlülüklerin pazarlama faaliyeti açısından karşılaştırılması
Türkiye’de pazarlama faaliyetleri KVKK ve ilgili yönetmelikler kapsamında ayrıca düzenlenmemektedir. Bu nedenle, Kurul kararları ve Avrupa Birliği veri koruma düzenlemeleri, uyulması gereken önlemlerin çerçevesini oluşturmaktadır.
KVKK’nın 10. maddesi veri sorumlusunun veri işleme faaliyetine ilişkin olarak ilgili kişiyi aydınlatma yükümlülüğünü düzenlemektedir. Bu doğrultuda, pazarlama faaliyetinin KVKK ve ilgili yönetmeliklere uygun olarak gerçekleştirilmesi için kişinin pazarlamanın yöntemi, hukuki sebebi ve amacına ilişkin olarak ayrıntılı ve anlaşılır şekilde bilgilendirilmesi esastır. GDPR’ın 13. maddesinde de veri sorumluları açısından aynı yükümlülük öngörülmektedir. 29. Madde Çalışma Grubu’nun 02/2010 sayılı görüşünde de, davranış odaklı pazarlama yapılabilmesi için ilgili kişinin verilerinin hangi destekleyici teknolojik yöntemlerle işleneceği ve kendilerine karşı hangi yolla hedefleme yapılabileceği konusunda etkili ve yeterli şekilde bilgilendirilmeleri gerekliliğine dikkat çekilmektedir.
Avrupa Birliği düzenlemeleri ışığında doğrudan pazarlama faaliyetlerinin yürütülmesi bakımından temel kural ilgili kişinin açık rızasının alınmasıdır. KVKK’da da kişisel veri işlenebilmesi için genel kural ilgili kişinin açık rızasının alınmasıdır. Bu durumun tek istisnasını KVKK’nın 5. maddesinin ikinci fıkrasındaki şartların varlığı oluşturmaktadır. Kurul, kişisel verilerin işlenme şartlarına ilişkin yayınladığı rehberde meşru menfaat şartı açısından şu yorumu yapmıştır:
“…meşru menfaat şartı, maddede yer alan diğer haller uygulanamadığı takdirde veri işlenmesi bakımından başvurulacak son çare olmadığı gibi her şeyi kapsamına dâhil edebilecek ve tüm kişisel verilerin işlenmesine ilişkin faaliyetleri kanuni hale getirecek bir düzenleme de değildir.”
Buna göre, Kurul’un meşru menfaat şartına ilişkin olarak Avrupa Birliği düzenleme ve uygulamalarıyla da paralellik gösteren değerlendirmelerinin yer aldığı rehberlerinden yola çıkarak pazarlama faaliyetleri için ilgili kişinin açık rızasının alınmasının gerekli olduğu kanaatine varılabilecektir.
IV. Sonuç
Pazarlama sektörü, kişisel verilerin en aktif ve yoğun olarak kullanıldığı alanlardan biridir ve bu nedenle pazarlama faaliyetlerinin yürütülmesi esnasında kişisel verilerin korunması açısından daha ayrıntılı ve uygulanabilir düzenlemelerin hayata geçirilmesi ihtiyacı bulunmaktadır.
Avrupa Birliği düzenlemeleri uzun süreli uluslararası çalışmaların ürünü olduğundan KVKK ile karşılaştırıldığında daha detaylı düzenlemeler içermektedir. Bu nedenle Avrupa Birliği’ndeki uygulamalar, Türkiye açısından yol gösterici nitelikte değerlendirilebilecektir. Pazarlama sektöründe kişisel veri işlenmesi faaliyetlerinin yerel mevzuatımız olan KVKK, Kurul ilke kararları ile rehberleri ve Avrupa Birliği uygulamaları çerçevesinde şekillendirilmesi önemlidir. KVKK, Avrupa Birliği düzenlemeleri ile paralellik göstermekle birlikte, sektörel bazda daha yoğun çalışma yapılması ve teamüllerin oluşması zaman alacaktır.
Veri sorumlusunun meşru menfaatine dayanarak veri işleyebilmesi için her özel olayda ayrıca değerlendirme yaparak meşru bir amacın var olup olmadığını, veri işlemenin bu amacın gerçekleştirilmesi için zorunlu olup olmadığını ve kişisel verilerin ilgili amaç ile orantılı olarak işlenip işlenmediğini tespit etmesi gerekmektedir.
Ancak, uygulama oturana kadar, pazarlama sektöründe faaliyet gösteren veri sorumlularının genel kural olarak ilgili kişiyi yürütülecek faaliyete ilişkin olarak bilgilendirerek, açık rızalarını temin etmesi uygun olacaktır.
HUKUKİ UYARILAR VE BİLDİRİMLER
1. Mesleki Düzenlemeler
DL Avukatlık Bürosu’nun avukatları İstanbul Barosu üyesi olup Avukat unvanını taşımaktadırlar ve İstanbul Barosu ile Türkiye Barolar Birliği tarafından çıkarılan mesleki düzenlemelere bağlı faaliyet göstermektedirler.
2. Hukuki Uyarı
Bu internet sitesinde yayımlanan içerikler sadece bilgilendirme amaçlı olarak hazırlanmış olup herhangi bir şekilde hukuki görüş olarak kullanılmamalıdır. Bu site ve içerdiği bilgilerin avukat-müvekkil ilişkisi kurma amacı bulunmamaktadır. DL Avukatlık Bürosu ve avukatları doğru ve tam bilgi temin etmeyi amaçlamış olup, yayımlanan içerikler mevzuat değişikliği veya yeni tarihli yargı kararları nedeniyle güncelliğini yitirebilir ve yürürlükte olan yasal gelişmelerin son halini yansıtmayabilir. DL Avukatlık Bürosu bu internet sitesinde bulunan içerikleri dilediği zaman değiştirme ve gözden geçirme hakkını saklı tutar.
Bu internet sitesinde bulunan hiçbir içerik herhangi bir olaya özgülenebilecek hukuki danışmanlık yerine geçmez. Kullanıcı bu internet sitesine girerek, DL Avukatlık Bürosunu ve avukatlarını işbu internet sitesinde bulunan bilgilere dayanarak hareket etmesi sonucu meydana gelen herhangi bir zarar veya ziyandan sorumlu tutmayacağını kabul etmektedir.
Bu internet sitesinde yer alan tüm bilgiler, Türkiye Barolar Birliği’nin Meslek Kuralları ve ilgili mevzuatına bağlı kalınarak ve ilgili mevzuatla reklam yasağına ilişkin düzenlemelere uygun olarak hazırlanmıştır. İnternet sitesini ziyareteden tüm kullanıcılar, Kullanım Koşulları'nda yer alan düzenlemeleri kabul etmiş sayılırlar.
3. Fikri Mülkiyet Hakları
Bu internet sitesinde yayımlanan içerikler DL Avukatlık Bürosu’nun malik veya lisans sahibi olduğu telif hakkı ve/veya diğer fikri mülkiyet hakları uyarınca koruma altındadır. İşbu internet sitesinin içeriği DL Avukatlık Bürosu’nun yazılı izni olmaksızın kısmen ya da tamamen kopyalanamaz, dağıtılamaz, kullanılamaz ya da değiştirilemez. Bu onay DL Avukatlık Bürosu ile info@dlhukuk.com adresinden iletişime geçilerek talep edilebilir.
4. Bağlantılar (Links)
İnternet sitesinin herhangi bir bölümüne DL Avukatlık Bürosu’nun yazılı ön onayı olmaksızın elektronik bağlantı (electronic link) verilemez. DL Avukatlık Bürosu, DL Avukatlık Bürosu internet sitesine yapılan elektronik bağlantıların kaldırılmasını talep etme hakkını saklı tutar.
İnternet sitemizin bir bölümü üçüncü kişilerin internet sitelerine atıfta bulunabilir ve üçüncü kişilere ait internet siteleri DL Avukatlık Bürosu’nun internet sitesine atıfta bulunabilir. DL Avukatlık Bürosu harici internet sitelerinin içeriğinden sorumlu tutulamaz.