byGenel

Özet

Bu rehber, KVKK m.5/2-f (veri sorumlusunun meşru menfaat) zemininde denge testinin nasıl kurulacağını; Türkiye’deki Kurul uygulamaları ve (var oldukça) yargı yaklaşımlarını, AB (GDPR) rehberleri ve CJEU içtihadıyla karşılaştırmalı biçimde açıklar. Son bölümde, hemen kullanabileceğiniz LIA (Legitimate Interests Assessment) şablonu ve kontrol listesi yer alır.

1) Meşru menfaat temeli: Kısa çerçeve

1.1. KVKK’da meşru menfaat

KVKK m.5/2-f’ye göre, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması halinde kişisel veriler açık rıza olmaksızın işlenebilir. Buradaki anahtar kavramlar:

  • Meşru menfaat: Hukuken korunmaya değer, gerçek ve makul bir amaç (ör. güvenliğin sağlanması, dolandırıcılığın önlenmesi, alacak takibi, BT güvenliği, iş sürekliliği).
  • Zorunluluk (gereklilik): Amaca daha az müdahaleci bir yöntemle ulaşılamıyorsa veri işleme “gerekli” sayılır.
  • Denge: İşleme, ilgili kişinin mahremiyeti üzerinde ağır basan olumsuz etki yaratmamalıdır. Etkiyi azaltan garantiler (şeffaflık, itiraz hakkı, minimizasyon, kısa saklama, güvenlik vb.) önemlidir.

Türkiye’de Kurul (KVKK Kurulu) uygulaması, özellikle kamera izleme, BT güvenliği logları ve dolandırıcılığın önlenmesi gibi alanlarda meşru menfaat zeminini kabul ederken; pazarlama iletişimi/retargeting, çerezler gibi konularda çoğunlukla açık rıza arar. (Bkz. Kurul karar özetleri ve rehberler; kaynakça bölümünde toplu linkler.)

1.2. GDPR karşılaştırması (AB yaklaşımı)

GDPR m.6/1-f, KVKK’ya paralel bir üç adımı vurgular: Amaç testi → Gereklilik testi → Denge testi. Gerekçe 47 doğrudan “doğrudan pazarlama” için meşru menfaate atıf yapar; Gerekçe 49 ağ ve bilgi güvenliği işlemlerini örnekler. WP29/EDPB rehberleri, “makul beklentiler” ve “itiraz (opt-out)” haklarının dengeyi belirlemedeki rolünü ayrıntılandırır. CJEU ise Breyer (C-582/14), TK/CCTV (C-708/18) ve ASNEF (C-468/10, C-469/10) kararlarıyla kriterleri somutlaştırmıştır (özetler, aşağıda ve kaynakçada).

2) Denge testini kurmanın pratik yöntemi (3 adım + 10 soruluk mini kontrol)

Adım 1 — Amaç testi (meşru amaç var mı?)

  • Amaç hukuka uygun, spesifik ve gerçekçi mi?
  • İşleme, kurumun faaliyetleriyle doğrudan bağlantılı mı?
  • Örn. “Ofis güvenliği için giriş-çıkışları izlemek”, “Dolandırıcılığı önlemek”, “Sistemlerin siber güvenliğini sağlamak” gibi.

Kırmızı bayraklar: Belirsiz/çok genel amaçlar (“geliştirme”, “iyileştirme” gibi tek başına muğlak ifadeler), “ne olur ne olmaz” mantığıyla veri toplama.

Adım 2 — Gereklilik testi (daha az müdahaleci alternatif?)

  • Amaca ulaşmak için veri işleme gerçekten gerekli mi?
  • Daha az veri ile aynı sonucu elde etmek mümkün mü (pseudonimleştirme, toplulaştırma)?
  • Alternatif önlemler (ek fiziksel güvenlik, görgül denetim, daha düşük çözünürlük, daha az saklama) amaca yeterli olur mu?

Örnek: CCTV’de sadece giriş kapılarını ve ortak alanları izlemek; ses kaydı yapmamak; yüz tanıma yerine kart/turnike kullanmak.

Adım 3 — Denge testi (menfaat vs. etki)

Aşağıdaki faktörleri puanlayın; etki ağır basıyorsa meşru menfaat kullanılmamalıdır:

  • Veri türü: Özel nitelikli/sensitif mi? Çocuklara/korunmasız gruplara ait mi?
  • Beklenti: Kişiler o bağlamda bu işleme türünü makul biçimde bekler mi? (Örn. ofis/otoparkta kamera beklenebilir; soyunma alanında beklenemez.)
  • Şeffaflık & kontrol: Aydınlatma açık mı? İtiraz/opt-out kolay mı? (Pazarlama için özellikle kritik.)
  • Oranlılık: Kapsam, süre, erişim yetkisi, izlenen alan/çözünürlük asgaride mi?
  • Güvenlik: Erişim kontrolü, loglama, şifreleme var mı?
  • Saklama: Amaç gerçekleşince kısa süre mi (örn. CCTV 15–30 gün, istisna hariç)?
  • Organizasyonel garantiler: Politika, eğitim, tedarikçi sözleşmeleri, test ve denetimler hazır mı?

Mini Kontrol Listesi (10 soru)

  1. Amaç net mi ve meşru mu?
  2. Daha az veriyle mümkün değil mi?
  3. Kişinin makul beklentisi var mı?
  4. Hassas veri/çocuk verisi yok mu (varsa ek koruma)?
  5. Şeffaflık metni açık ve erişilebilir mi?
  6. İtiraz/opt-out gerçek bir seçenek mi?
  7. Saklama süresi kısa ve yazılı mı?
  8. Erişim sadece “bilmesi gereken” kişilerle sınırlı mı?
  9. Güvenlik tedbirleri somut mu?
  10. Değerlendirme yazılı mı (LIA) ve periyodik güncelleniyor mu?

3) Türkiye’de uygulama: Kurul eğilimleri, örnekler, dikkat noktaları

3.1. Kamera izleme (CCTV)

Kurul kararlarında güvenlik menfaatiyle CCTV genellikle meşru menfaate dayanabilir; ancak orantılılık şarttır:

  • İzleme gerekli alanlarla sınırlı olmalı; tuvalet, soyunma odası gibi mahrem alanlar yasak.
  • Ses kaydı çoğunlukla gereksiz müdahale sayılır; sesli CCTV’ye Kurul kararlarında olumsuz yaklaşım mevcuttur.
  • Yüz tanıma/biyometrik çözümler (özellikle işe giriş-çıkışta) en son çare; alternatifler (kart/turnike) varsa tercih edilmelidir.
  • Aydınlatma, işaretleme, saklama (ör. 15–30 gün) ve yetkili erişim kayıt altına alınmalıdır.

3.2. Çerezler ve pazarlama iletişimi

  • Reklam/analitik çerezleri için meşru menfaat, Kurul tarafından geniş kabul görmez; genellikle açık rıza aranır.
  • Ticari elektronik iletiler (e-posta/SMS aramaları) için 6563 sayılı ETDHK ve Yönetmelik uyarınca ön onay (İYS) gereklidir. Bu alanlarda “meşru menfaat” çoğu kez yetersiz kalır.
  • Müşteri ile mevcut sözleşmesel ilişki olsa bile, pazarlama amacı ayrı değerlendirilir; “itiraz hakkı (opt-out)” tek başına yeterli değildir.

3.3. BT güvenliği ve dolandırıcılık önleme

  • Erişim logları tutma, saldırı tespiti, sahtecilik önleme gibi işlemler meşru menfaatin güçlü örneklerindendir; ancak kapsam minimize edilmeli, saklama kısa tutulmalı, erişim sıkı kısıtlanmalıdır.

Pratik sonuç: Türkiye’de meşru menfaat; güvenlik ve iş sürekliliği konularında daha rahat, pazarlama/izleme (özellikle çerezler ve retargeting) alanlarında ise dar yorumlanır. LIA dosyanız bu eğilimle uyumlu olmalı.

4) Uluslararası yaklaşım ve içtihatlardan çıkarımlar

4.1. CJEU kararları (seçilmiş)

  • Breyer (C-582/14): Web sunucusu dinamik IP adreslerini güvenlik/operabilite amacıyla tutabilir; bu, meşru menfaat olabilir. Ancak gerekli olmalı ve uygun garantiler sağlanmalıdır.
  • TK/CCTV (C-708/18): Apartman ortak alanlarında CCTV, hırsızlık/vandalizm gibi somut riskler varken meşru menfaate dayanabilir; fakat daha az müdahaleci alternatif yoksa ve ölçülü ise.
  • ASNEF (C-468/10, C-469/10): Meşru menfaat değerlendirmesi somut olay odaklıdır; ulusal hukukun genel yasaklar koyması yerine denge testi gerekir.

4.2. EDPB/WP29 rehberlerinden notlar

  • WP29 Opinion 06/2014: Üç aşamalı test; “makul beklentiler” temel kriterdir.
  • EDPB Guidelines 3/2019 (Video): CCTV’de görüş alanı sınırlama, kısa saklama ve işaretleme zorunludur; yüz tanıma ve ses kaydı istisnai haller dışında uygun değildir.
  • EDPB Guidelines 8/2020 (Sosyal medya hedefleme): Prospect hedeflemede genellikle rıza gerekir; mevcut müşteri hedeflemesinde meşru menfaat ancak açık bilgilendirme ve itiraz imkânı varsa düşünülebilir.
  • (2024 Taslak) EDPB Legitimate Interests Guidelines: “Üçlü test” ve belgelendirme (LIA) vurgusu yeniden teyit edilir; beklentiler ve etkiyi azaltıcı garantiler merkezi rol oynar.

5) LIA (Legitimate Interests Assessment) — Şablon

Aşağıdaki şablonu her işleme faaliyeti için ayrı ayrı doldurun. Bordro, CCTV, dolandırıcılık önleme, müşteri skorlaması, site logları, Ziyaretçi Wi-Fi gibi işlemler tek tek değerlendirilmelidir.

Bölüm A — Tanım

  1. İşlemenin adı: (örn. Ofis CCTV)
  2. Amaç: (örn. fiziki güvenlik, olay inceleme)
  3. Veri kategorileri: (görüntü, tarih-saat, lokasyon; ses yok)
  4. İlgili kişi grupları: (çalışan, ziyaretçi, tedarikçi)
  5. Teknoloji/araç: (IP kameralar, çözünürlük, kör noktalar)
  6. Saklama süresi: (örn. 21 gün, olay varsa uzatma)
  7. Erişim & paylaşım: (güvenlik birimi; sadece yetkili; loglanır)

Bölüm B — Amaç testi

  • Meşru menfaat açık, belirli, hukuka uygun mu?
  • İşlemenin organizasyonel hedefle doğrudan ilişkisi var mı?

Sonuç: (Evet/Hayır + kısa gerekçe)

Bölüm C — Gereklilik testi

  • Alternatif, daha az müdahaleci ve etkili yöntem var mı?
  • Toplanan veri miktarı asgaride mi?
  • Teknik/organizasyonel alternatifler denendi mi?

Sonuç: (Evet/Hayır + kısa gerekçe)

Bölüm D — Denge testi

  1. Veri türü hassas mı? (özel nitelikli, çocuk, çalışan asimetrisi)
  2. Makul beklenti var mı? (işaretleme, politika, sözleşme)
  3. Şeffaflık (KVKK m.10) sağlandı mı?
  4. İtiraz/opt-out mümkün mü? (pazarlamada zorunlu)
  5. Kapsam & süre (görüş alanı, çözünürlük, 21 gün saklama)
  6. Erişim sınırlı, yetkiler periyodik gözden geçiriliyor mu?
  7. Güvenlik (şifreleme, kayıtlı erişim, dışa aktarımla ilgili kontroller)
  8. Tasarımda gizlilik (varsayılan ayarlar, DPIA gerekliliği?)
  9. Tedarikçi sözleşmeleri (KVK ekleri, teknik tedbirler)
  10. Haklar (başvuru/itiraz süreçleri) belirgin mi?

Etki değerlendirmesi: (Düşük/Orta/Yüksek + azaltıcı önlemler listesi)
Genel denge sonucu: (Menfaat ağır basıyor / Basmıyor)

Bölüm E — İtiraz ve istisnalar

  • İtiraz geldiğinde noktasal opt-out uygulanabiliyor mu?
  • Özel nitelikli veri işleme ihtimali türetiliyor mu? (Varsa rıza/istisna)

Bölüm F — Onay ve dönemsel gözden geçirme

  • Sahip: (İş birimi)
  • Hukuk/DPO incelemesi: (Tarih, imza)
  • Gözden geçirme tarihi: (örn. 12 ay sonra)

6) Örnek mini LIA’lar (2 senaryo)

Senaryo 1 — Ofis CCTV (giriş-çıkış, ortak alan)

  • Amaç: Güvenlik ve olay inceleme.
  • Alternatifler: Fiziki güvenlik artırıldı; ancak geçmiş olaylar CCTV’yi gerekli kılıyor. Yüz tanıma yok, ses yok, çözünürlük asgaride.
  • Denge: Makul beklenti yüksek; işaretleme/aydınlatma mevcut; saklama 21 gün. Özel alanlar kapsam dışı.
  • Sonuç: Meşru menfaat uygun; güçlü sınırlamalarla orantılı.

Senaryo 2 — Mevcut müşterilere e-posta ile çapraz satış

  • Amaç: Benzer mal/hizmetlere ilişkin teklif iletmek.
  • Alternatifler: Kampanya duyuruları hesap içi bildirimle de yapılabilir; e-postayı sınırlı tutmak gerekir.
  • Denge: Pazarlamada şeffaflık + kolay ret şart. İlk toplamada “bu e-postayı pazarlama için kullanırız, dilediğiniz an vazgeçebilirsiniz” bilgisi verildi; her iletide tek tıkla ret.
  • Sonuç: Mevcut müşteri bağlamında, kapsam sınırlı ve ret kolay ise meşru menfaat mümkün; prospect/re-targeting için rıza tercih edilir (AB rehberleri böyle yorumlar; Türkiye’de elektronik ileti hukuku ayrıca ön onay ister).

7) Sık hatalar ve nasıl düzeltirsiniz

  1. Amaç belirsizliği: “İyileştirme” gibi muğlak ifadeler → Somutlaştırın (ör. “dolandırıcılık skorlaması”).
  2. Gereklilik atlanıyor: “Alışkanlıktan” veri toplanması → Alternatifleri yazın; veri setini azaltın.
  3. LIA yok: Test yapılmadan “meşru menfaat” kutusunu işaretlemek → Yazılı LIA hazırlayın; dosyalayın.
  4. Şeffaflık zayıf: Aydınlatma metinleri görünmüyor → Kısa ve anlaşılır metin; linkle detay sayfası.
  5. Sonsuz saklama: “Gerekli oldukça” → Gün/süre yazın; otomatik silme/anonimleştirme.
  6. İtiraz hakkı yok: Pazarlamada opt-out eksik → Her iletiye tek tık ret.
  7. CCTV’de aşırılık: Ses kaydı, yüz tanıma, geniş alanların izlenmesi → Kapsam daraltma, özel alanların kapatılması.
  8. Tedarikçi sözleşmeleri eksik: Veri işleyenlerle KVK eki ve güvenlik şartları yok → Sözleşmeleri güncelleyin.
  9. DPIA gereğini görmezden gelmek: Risk yüksekse LIA + DPIA’ya yükseltin.
  10. Güncelleme yok: Proje değişince LIA güncellenmiyor → Yol haritasına periyodik gözden geçirme ekleyin.

8) Hızlı uyum kontrol listesi (yönetici özeti)

  • İşleme başına LIA dosyası var (versiyon/tarih).
  • Amaç, kapsam, veri kategorileri net.
  • Alternatifler değerlendirildi; veri minimize edildi.
  • Aydınlatma güncel; itiraz/opt-out var.
  • Saklama süreleri belirli; otomatik silme çalışıyor.
  • Erişim yetkileri rol bazlı; loglanıyor.
  • Güvenlik tedbirleri (teknik/idari) dokümante.
  • Tedarikçi sözleşmeleri uyumlu.
  • DPIA gerekiyorsa yapıldı.
  • Periyodik review tarihi atandı.

9) SSS — Kısa yanıtlar

“Meşru menfaatle pazarlama yapabilir miyim?”
Mevcut müşteriye sınırlı ve itiraz hakkıyla bazı iletiler meşru menfaate dayanabilir; ancak Türkiye’de ticari elektronik ileti için ayrıca ön onay (İYS) gerekir. Prospect/retargeting için genellikle rıza.

“CCTV’de yüz tanıma kullanabilir miyim?”
Çok istisnai haller dışında önerilmez. Alternatifler (kart/turnike) denenmeden biyometriye geçilmesi orantısız sayılır.

“Logları meşru menfaatle tutabilir miyim?”
Evet, güvenlik amacıyla ve kısa saklama ile mümkündür. Aydınlatma ve erişim kısıtları şart.

“Meşru menfaat çocuk verisinde geçerli mi?”
Risk yüksektir; rıza veya başka açık zeminler tercih edilir. Denge testinde çocuğun üstün yararı ağır basar.

10) Son söz

Meşru menfaat, doğru kurulduğunda esnek ve güçlü bir hukuki zemindir; yanlış kullanıldığında ise en hızlı şekilde geçersiz sayılır. Başarının anahtarı: yazılı LIA, minimizasyon, şeffaflık ve itiraz hakkı. Türkiye’de Kurul’un eğilimlerini (kamera/güvenlik pozitif; pazarlama/çerezler temkinli) göz önünde tutarak, her proje için somut bir denge testi kurun ve düzenli güncelleyin.

KAYNAKÇA (seçili, linkli)

  • KVKK Kurulu Karar Özetleri
    • İşyerinde kamera ve yüz tanıma (2022/797) – Kurul karar özeti. (kvkk.gov.tr)
    • Ses kayıt özelliği bulunan kamera (2020/212) – Kurul karar özeti. (kvkk.gov.tr)
    • E-ticaret sektöründe çerez/meşru menfaat değerlendirmesi (2022/229). (kvkk.gov.tr)
    • Pazarlama iletileri/açık rıza (çeşitli karar özetleri). (kvkk.gov.tr)
    • Kurum yayını: Kişisel Verilerin Korunması Kanunu ve Uygulaması (m.5/2-f açıklamaları). (kvkk.gov.tr)
  • AB İçtihadı ve Rehberler
  • Uygulama Araçları / Doktrin
    • ICO Legitimate Interests Assessment (LIA) şablonu ve kılavuz. (ico.org.uk)
    • IAB Europe – LIA (dijital reklamcılık) rehberi. (IAB Europe)
    • Akademik/Doktrin: “Veri Sorumlusunun Meşru Menfaati (5/2-f)” (K. Yıldız). (DergiPark)
  • Ticari Elektronik İletiler (Türkiye)

İLGİLİ MEVZUAT

  • Türkiye
    • 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) — m.5/2-f (meşru menfaat), m.10 (aydınlatma), m.11 (haklar), m.12 (güvenlik), m.18 (idari yaptırımlar).
    • Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (saklama & imha döngüsü).
    • Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (6563) ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik (İYS onayı).
  • Uluslararası/AB
    • GDPR (AB 2016/679) — m.6/1-f; Gerekçe 47, 48, 49 (pazarlama, grup içi aktarım, ağ güvenliği). (GDPR)
    • CJEU kararları: Breyer (C-582/14), TK (C-708/18), ASNEF (C-468/10 & C-469/10). (Curia, EUR-Lex)
    • EDPB/WP29 rehberleri: Opinion 06/2014; Guidelines 3/2019 (Video); Guidelines 8/2020 (Sosyal medya hedefleme); (2024 Taslak) Legitimate Interests Guidelines. (dataprotection.ro, edpb.europa.eu)

Yorum Yazın

Nunc velit metus, volutpat elementum euismod eget, cursus nec nunc.