I.  Giriş

Dijital çağın en önemli konularından biri olan kişisel veriler ve nasıl ele alınacakları hususu son yıllarda Türkiye’deki tartışmaların da odak noktalarından biri haline gelmiştir. Türkiye’nin bu husus ile ilgili olarak hazırlanmış olan ilk mevzuatı Kişisel Verilerin Korunması Kanunu (“KVKK”) 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Türkiye’de kişisel verilerin korunmasına yönelik bu adım ile eş zamanlı olarak Avrupa Birliği’nde de (“AB”) kişisel verilere ilişkin bir reforma gidilmiş ve 1995 yılından beri yürürlükte olan 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Direktifi (“Direktif”) yerini 25 Mayıs 2018 tarihinde Avrupa Birliği Genel Veri Koruması Tüzüğü’ne (General Data Protection Regulation) (“GDPR”) bırakmıştır. Bu yazımızda kişisel verilerin işlenme şartlarından olan veri sorumlusunun meşru menfaatini KVKK ve GDPR karşılaştırmalı olarak inceleyeceğiz.

Öncelikle belirtmek gerekir ki, KVKK, GDPR’dan önce AB’de yürürlükte olan Direktif örnek alınarak düzenlenmiştir. GDPR’ın AB’de yürürlüğe girmesindeki sebeplerden biri de Direktif’in günün teknoloji şart ve koşulları ile tam olarak örtüşmemesi ve ihtiyaçlara tam olarak cevap verememesidir. Bu nedenle GDPR, Direktif’ten daha ayrıntılı ve ihtiyaçlara yönelik olarak hazırlanmıştır. GDPR ve KVKK paralel düzenlenmiştir ancak KVKK düzenlenirken temel olarak alınan mevzuatın Direktif olması sebebiyle KVKK GDPR karşısında daha dar kalmıştır.

II. KVKK ve GDPR Kapsamında Veri Sorumlusunun Meşru Menfaati

İşlemenin hukuka uygun olduğu haller olarak GDPR’ın 6. maddesinde belirtilen haller, KVKK’nın 5. maddesinin ikinci fıkrasında açık rızanın gerekmediği işleme şartları ile paralel düzenlenmiştir. KVKK düzenlemelerine ek olarak GDPR’da “çocuk”ların kişisel verilerinin işlenmesi ayrıca hüküm altına alınmıştır.

KVKK’nın 5. maddesinin ikinci fıkrasının f bendine göre bir işleme faaliyetinin hukuka uygun olarak kabul edilmesi için ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması gerekmektedir. Kişisel Verilerin Korunması Kurulu (“Kurul”) yayınladığı rehberlerde kişisel verilerin meşru menfaat ile işlenmesine ilişkin olarak,

“Veri sorumlusunun meşru menfaati, gerçekleştirilecek olan işlenme sonucunda elde edeceği çıkara ve faydaya yöneliktir. Veri sorumlusunun elde edeceği fayda; meşru, ilgili kişinin temel hak ve özgürlüğü ile yarışabilecek yeterli düzeyde etkin, belirli ve hâlihazırda mevcut olan bir menfaatine ilişkin olmalıdır. Veri sorumlusunun gerçekleştirdiği güncel aktivitelerle ilişkili ve ona yakın gelecekte fayda sağlayacak bir işlem olması gerekmektedir.” demektedir.

GDPR’ın 6. maddesinin birinci fıkrasının f bendine göre ilgili kişinin, özellikle ilgili kişi çocuksa, kişisel verilerinin korunmasını gerektiren menfaati veya temel hak ve özgürlükleri üstün gelmediği sürece işleme faaliyeti veri sorumlusu veya bir üçüncü kişinin menfaati için gerekli ise hukuka uygun olacaktır. GDPR, KVKK’dan farklı olarak veri sorumlusunun yanı sıra üçüncü bir kişinin meşru menfaatini de katmıştır.

Görülebileceği üzere KVKK ve GDPR’daki meşru menfaat düzenlemesi ana hatları ile birbirlerine paralellik göstermekte ve üç ana unsur içermektedir. Bunlar:

• İşleme faaliyetinin gerekli olması
• Veri sorumlusunun (veya üçüncü) meşru menfaatinin amaçları
• İlgili kişinin menfaat veya temel hak ve özgürlüklerinin veri sorumlusu veya üçüncü kişinin menfaatinden üstün olmadığı durumlar

Bu üç ana unsur AB veri koruması uygulamalarında “üç adım testi”ne (three step test) dönüştürülerek, veri işlemenin veri sorumlusu veya 3. taraflar açısından meşru menfaat içerip içermediğini kontrol etmek ve bir denge kurmak açısından kullanılmaktadır.

Bahsi geçen testin aşağıdaki sıra ile uygulanması gerekmektedir:

1. Amaç testi (purpose test): İşleme faaliyeti meşru bir amaca mı dayanıyor?
2. Gereklilik testi (necessity test): İşleme faaliyeti bu amaç için gerekli mi?
3. Denge testi (balancing test): Bireyin menfaati, hakları ya da özgürlüğü meşru menfaatten üstün mü geliyor?

25.03.2019 tarihli 2019/78 sayılı kararında Kurul da üç adım testine benzer şekilde, “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hali tespit edilirken veri sorumluları tarafından;

• Kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması,
• Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi,
• Meşru menfaatin halihazırda mevcut, belirli ve açık olması,
• İlgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması,
• Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması,
• Bu açıdan ilgili kişinin başta kişisel verilerinin korunması olmak üzere temel hak ve hürriyetlerinin zarar görmesini engellemek amacıyla öngörülebilir, açık ve yakın her türlü tehlikeden uzak tutulması,
• Kişisel verilerin bir veri kayıt sisteminde amaçla sınırlı olarak hukuka uygun işleyişinin temini ile zararı ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alınması,
• Kişisel verilerin işlenmesinde genel ilkelere uygunluğun sağlanması,
• Bu kapsamda, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılarak denge testinin yapılması

hususlarının değerlendirilmesi gerektiğini belirtmiştir.

III.  Pazarlama Faaliyeti Açısından Veri Sorumlusunun Meşru Menfaati

Günümüzde en çok tartışılan konulardan biri ticari hayatın kaçınılmaz bir gereği olan pazarlama faaliyetlerinin gelişen imkan ve teknolojiler yoluyla bireylere karşı yürütülmesi sırasında kişisel verilerin hangi şartlar ve ilkeler doğrultusunda işlenebileceği ve korunacağıdır. Kişisel verilerin pazarlama faaliyeti için meşru menfaat şartı kapsamında işlenip işlenemeyeceği hususu önem arz etmektedir.

GDPR’ın 47 numaralı gerekçesi, pazarlama faaliyetlerinin veri sorumlusunun meşru menfaati kapsamında değerlendirilebileceğini ifade etmiştir.

“Kişisel veriler doğrudan pazarlama faaliyetleri için meşru menfaat amacıyla işlenebilecektir.”

Ayrıca, Madde 29 Çalışma Grubu’nun konu ile ilgili görüşünde doğrudan pazarlama ve diğer formdaki reklam ve pazarlama faaliyetlerinin veri sorumlusunun meşru menfaati çerçevesinde değerlendirilebileceği belirtilmiştir.

Ancak bu ifadelerden pazarlama faaliyeti kapsamında kişisel veri işlenmesinin her zaman meşru menfaat kapsamında değerlendirilebileceği anlamı çıkarılmamalıdır. Bu husus, her bir olayın şartlarına göre değişkenlik gösterebilmektedir. İlgili değerlendirme yapılırken üç adım testinin uygulanması gerekmektedir.

a. Üç Adım Testinin Pazarlama Faaliyeti Açısından Değerlendirilmesi

Yukarıda bahsedildiği üzere, meşru menfaat her olay bazında ayrıca değerlendirilmeli, olay özelinde veri sorumlusu ve ilgili kişinin karşılıklı menfaatleri üç adım testine tabi tutulmalıdır.

Veri işleme faaliyeti, yürürlükteki diğer hukuki düzenlemeler ve etik kurallar ile uyumlu olmaması halinde amaç testini geçemeyecektir. Pazarlama faaliyetlerinden biri olan elektronik ileti gönderilmesi yolu izlenmek isteniyorsa, meşru menfaat her zaman geçerli bir işleme şartı olmayabilir. Zira elektronik iletilere ilişkin mevzuatta öngörülen onay alma şartının bu durumda yerine getirilmesi gerekecektir. Gerek ICO’nun ilgili rehberi, gerek Madde 29 Çalışma Grubu’nun 03/2016 sayılı görüşünde üzerinde durulan E-Privacy Directive uyarınca ilgili kişiden temin edilmesi gereken rıza, veri işleme faaliyetin hukuka uygunluğu açısından öngörülen bir şarttır. Ülkemizde 1/5/2015 tarihinde yürürlüğe giren Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve ilgili düzenlemeler gereğince ticari ileti gönderilecek kişilerden önceden alınması zorunlu olan onay da bu kapsamda değerlendirilebilecektir.

Yukarıda belirtilenler ışığında, doğrudan pazarlama faaliyetleri, elektronik ticarete ilişkin hukuki düzenlemelere uyulması ve veri işleme faaliyetinin amacının ayrıntılı olarak belirlenmesi halinde veri sorumlusunun meşru menfaati kapsamında değerlendirilebilecektir. Ancak bunun yanında gereklilik ve denge testlerinin de uygulanması gerekmektedir.

Pazarlama faaliyeti için kişisel verilerin işlenmesinin gerekliliği noktasında, kişisel verilerin ilgili faaliyetin gerçekleştirilmesi için işlenmesinin zorunlu olup olmadığı değerlendirmesi yapılmalıdır. Veri sorumlusu, her olayda veri işleme faaliyetinin orantılı ve yalnızca amaçlarına ulaşmaya yönelik olarak gerçekleştirilip gerçekleştirilmediğini analiz etmelidir. Bu aşamada, ilgili amaca ulaşmak için ilgili kişinin temel hak ve özgürlüklerine daha az müdahalede bulunan başka yollar varsa bunların değerlendirilmesi uygun olacaktır.

GDPR’ın 21. maddesinin 2. fıkrasında ilgili kişiye açıkça veri işleme faaliyetine itiraz hakkı tanınmıştır. Dolayısıyla denge testinin geçilmesi açısından ilgili kişiye karşı doğrudan pazarlama faaliyeti yürütülürken verilerinin işlenmesini reddetme hakkının açık ve anlaşılır olarak tanınması önem taşımaktadır.

Pazarlama faaliyetlerinin davranışsal analizler üzerinden hedefleme yapılarak gerçekleştirilmesi durumunda ise denge testinin geçilebilmesi, ancak veri işleme faaliyetinin meşru amaçlarla gerçekleştirildiğine ve belirtilen meşru amacın gerçekleştirilmesi için verinin davranışsal analiz yapılarak işlenmesinin zorunlu olduğuna ilişkin sağlam dayanakların sunulması halinde mümkün olacaktır.

b. Davranış odaklı pazarlama (davranışsal hedefleme) faaliyetlerinin kişisel verilerin korunması açısından değerlendirilmesi

Davranış odaklı pazarlama, bireylerin belli bir zaman diliminde gözlemlenerek davranışlarının karakteristik özelliklerinin belirlendiği bir inceleme sonucu çıkarılan profile yönelik olarak tasarlanan pazarlama faaliyetini ifade etmektedir. Davranış odaklı pazarlama, Avrupa Doğrudan ve İnteraktif Pazarlama Federasyonu Tüzüğü’nde belirtildiği ve Madde 29 Çalışma Grubu tarafından da onaylandığı üzere bir doğrudan pazarlama yöntemidir.

Veri sorumlusunun bu şekildeki bir pazarlama faaliyeti açısından meşru menfaatinin bulunmasının yanı sıra, bu menfaatin sağlanması için veri işlenmesinin zorunlu olması ve kişisel verilerin menfaat ile orantılı olarak işlenmesinin temin edilmesi gerekmektedir. Zorunluluk açısından değerlendirme yapılırken davranışsal hedefleme yerine içeriksel hedefleme yapılması yoluna gidilmesi yöntemi değerlendirilebilecektir. Orantılılık açısından ise internet üzerinde toplanan kişisel veriler ile oluşturulan devasa boyuttaki veri tabanı ve Veri Koruma Otoritelerinin orantılılık ilkesini uygulayış biçimi dikkate alındığında, oluşacak hukuki sorunların çok artacağı değerlendirmesi yapılabilecektir.

Bu noktada, ayrıca veri sorumlusunun meşru menfaatinin ilgili kişinin temel hak ve özgürlüklerinin ihlaline yol açıp açmadığı tespit edilmelidir. Davranışsal hedefleme yapmak amacıyla çok sayıdaki internet sitesi üzerinden bireylerin kişisel verilerini işlemek suretiyle veri tabanı hazırlayan bir reklam ağı, her ne kadar Avrupa Birliği Temel Haklar Bildirgesi’nde bulunan ticari faaliyette bulunma özgürlüğünü ileri sürebilecek olsa da, reklam ağının meşru menfaati değerlendirilirken verileri işlenen bireylerin özel hayatın gizliliğinin ihlal edilip edilmediği değerlendirmesi yapılmalıdır. Bireylerin temel hak ve özgürlüklerini ihlal eden bir veri işleme faaliyeti, ticari faaliyette bulunma özgürlüğü kapsamında değerlendirilemeyecektir. Zira, bireylerin beklentisi doğrultusunda, internet kullanımı özel hayatın gizliliği kapsamında değerlendirilmelidir.

Yukarıdaki bilgiler ışığında tüm açılardan değerlendirme yapıldığında davranış odaklı pazarlama faaliyetlerinin veri sorumlusunun meşru menfaati kapsamında değerlendirilmesinin çok zor olduğu sonucuna varılabilecektir. Bununla birlikte, bireylerin beklentisine uygun olduğu ve temel hak ve özgürlüklerin ihlal edilmediği veri işleme faaliyetleri açısından davranışsal hedeflemenin yapılmasının meşru menfaat kapsamında değerlendirilebileceği de tartışılabilecektir.

c.  KVKK ve GDPR kapsamındaki yükümlülüklerin pazarlama faaliyeti açısından karşılaştırılması

Türkiye’de pazarlama faaliyetleri KVKK ve ilgili yönetmelikler kapsamında ayrıca düzenlenmemektedir. Bu nedenle, Kurul kararları ve Avrupa Birliği veri koruma düzenlemeleri, uyulması gereken önlemlerin çerçevesini oluşturmaktadır.

KVKK’nın 10. maddesi veri sorumlusunun veri işleme faaliyetine ilişkin olarak ilgili kişiyi aydınlatma yükümlülüğünü düzenlemektedir. Bu doğrultuda, pazarlama faaliyetinin KVKK ve ilgili yönetmeliklere uygun olarak gerçekleştirilmesi için kişinin pazarlamanın yöntemi, hukuki sebebi ve amacına ilişkin olarak ayrıntılı ve anlaşılır şekilde bilgilendirilmesi esastır. GDPR’ın 13. maddesinde de veri sorumluları açısından aynı yükümlülük öngörülmektedir. 29. Madde Çalışma Grubu’nun 02/2010 sayılı görüşünde de, davranış odaklı pazarlama yapılabilmesi için ilgili kişinin verilerinin hangi destekleyici teknolojik yöntemlerle işleneceği ve kendilerine karşı hangi yolla hedefleme yapılabileceği konusunda etkili ve yeterli şekilde bilgilendirilmeleri gerekliliğine dikkat çekilmektedir.

Avrupa Birliği düzenlemeleri ışığında doğrudan pazarlama faaliyetlerinin yürütülmesi bakımından temel kural ilgili kişinin açık rızasının alınmasıdır. KVKK’da da kişisel veri işlenebilmesi için genel kural ilgili kişinin açık rızasının alınmasıdır. Bu durumun tek istisnasını KVKK’nın 5. maddesinin ikinci fıkrasındaki şartların varlığı oluşturmaktadır. Kurul, kişisel verilerin işlenme şartlarına ilişkin yayınladığı rehberde meşru menfaat şartı açısından şu yorumu yapmıştır:

“…meşru menfaat şartı, maddede yer alan diğer haller uygulanamadığı takdirde veri işlenmesi bakımından başvurulacak son çare olmadığı gibi her şeyi kapsamına dâhil edebilecek ve tüm kişisel verilerin işlenmesine ilişkin faaliyetleri kanuni hale getirecek bir düzenleme de değildir.”

Buna göre, Kurul’un meşru menfaat şartına ilişkin olarak Avrupa Birliği düzenleme ve uygulamalarıyla da paralellik gösteren değerlendirmelerinin yer aldığı rehberlerinden yola çıkarak pazarlama faaliyetleri için ilgili kişinin açık rızasının alınmasının gerekli olduğu kanaatine varılabilecektir.

IV.  Sonuç

Pazarlama sektörü, kişisel verilerin en aktif ve yoğun olarak kullanıldığı alanlardan biridir ve bu nedenle pazarlama faaliyetlerinin yürütülmesi esnasında kişisel verilerin korunması açısından daha ayrıntılı ve uygulanabilir düzenlemelerin hayata geçirilmesi ihtiyacı bulunmaktadır.

Avrupa Birliği düzenlemeleri uzun süreli uluslararası çalışmaların ürünü olduğundan KVKK ile karşılaştırıldığında daha detaylı düzenlemeler içermektedir. Bu nedenle Avrupa Birliği’ndeki uygulamalar, Türkiye açısından yol gösterici nitelikte değerlendirilebilecektir. Pazarlama sektöründe kişisel veri işlenmesi faaliyetlerinin yerel mevzuatımız olan KVKK, Kurul ilke kararları ile rehberleri ve Avrupa Birliği uygulamaları çerçevesinde şekillendirilmesi önemlidir. KVKK, Avrupa Birliği düzenlemeleri ile paralellik göstermekle birlikte, sektörel bazda daha yoğun çalışma yapılması ve teamüllerin oluşması zaman alacaktır.

Veri sorumlusunun meşru menfaatine dayanarak veri işleyebilmesi için her özel olayda ayrıca değerlendirme yaparak meşru bir amacın var olup olmadığını, veri işlemenin bu amacın gerçekleştirilmesi için zorunlu olup olmadığını ve kişisel verilerin ilgili amaç ile orantılı olarak işlenip işlenmediğini tespit etmesi gerekmektedir.

Ancak, uygulama oturana kadar, pazarlama sektöründe faaliyet gösteren veri sorumlularının genel kural olarak ilgili kişiyi yürütülecek faaliyete ilişkin olarak bilgilendirerek, açık rızalarını temin etmesi uygun olacaktır.