LEGITIMATE INTEREST OF DATA CONTROLLER (5/2-f)

Year 2024, Volume: 1 Issue: 2, 214 - 237, 26.07.2024

Kadir Yıldız

Abstract

People's data is private to them. So these data are their personal data. The use of personal property by someone else depends on that person's consent. However, although this personal data is private, it can be used by others without their consent under appropriate conditions. In our article, these conditions are called legal compliance reasons, and people who can use personal data are called data controllers. Data controllers have certain obligations towards the owners of the personal data at issue. In addition to these responsibilities, they also have an obligation to realize their own interests. Caught between these two conflicting interests, the data controller strives to balance the interests with certain criteria. In order to balance, the legitimate interest of the data controller and the fundamental rights and freedoms of the data subject that may violate this interest must first be determined. The concept that is relatively difficult to determine is the legitimate interest of the data owner. Determination of legitimate interest, which is a controversial concept, is not included in the regulations regarding personal data; It is determined by directives, court precedents and board decisions. Each incident is examined separately and then a three-stage test is applied for the legitimate interest that can be determined specifically for that incident, and interests that pass this test are considered legitimate. The main basis of balancing for this measuring instrument, called the balance test, is that the data controller does not harm the fundamental rights and freedoms of the person concerned while pursuing his own interests.

Keywords

Personal data, Data controller, Data owner, Legitimate interest, Processing personal data

VERİ SORUMLUSUNUN MEŞRU MENFAATİ (5/2-f)

Abstract

Kişilerin verileri onlara özeldir. Diğer bir ifadeyle bu veriler onların kişisel verileridir. Kişisel olanın başkası tarafından kullanılması ise o kişinin rızasına bağlıdır. Bununla beraber her ne kadar bu kişisel veriler kişiye özel olsa da uygun koşullar altında rıza alınmadan da başka kişiler tarafından kullanılabilmektedir. Makalemiz özelinde bu koşullara hukuka uygunluk sebepleri, kişisel verileri kullanabilen kişilere de veri sorumluları denilmektedir. Veri sorumlularının söz konusu kişisel verilerin sahiplerine karşı belli yükümlülükleri vardır. Bu sorumluluklarının yanısıra kendi menfaatlerini gerçekleştirme zorunlulukları da bulunmaktadır. Çatışan bu iki menfaat arasında kalan veri sorumlusu belli kıstaslarla menfaatleri dengelemek için çaba göstermektedir. Dengelemek için öncelikle veri sorumlusunun meşru menfaati ve ilgili kişinin bu menfaat karşısında ihlal olabilecek temel hak ve özgürlükleri tespit edilmelidir. Bu tespitler yapılırken saptanması görece zor olan kavram ise veri sorumlusunun meşru menfaati olmaktadır. Tartışmalı bir kavram olan meşru menfaatin belirlenmesi ise kişisel veri ile ilgili düzenlemelerde sayılmamakta; direktiflerle, mahkeme içtihatlarıyla ve kurul kararlarıyla belirlenmektedir. Her olay ayrıca incelenerek o olayın özelinde tespit edilebilen meşru menfaat için daha sonra üç aşamalı bir test uygulanmakta, bu testi geçen menfaatler meşru kabul edilmektedir. Adı denge testi olan bu ölçme aleti için dengelemenin oturduğu ana temel ise veri sorumlusunun kendi menfaatlerini gerçekleştirdiği sırada ilgili kişinin temel hak ve özgürlüklerine zarar vermemesidir.

Keywords

Kişisel veri, Veri sorumlusu, Veri sahibi, Meşru menfaat, Kişisel verilerin işlenmesi

References

• Akkurt, Sinan Sami.“Kişisel Veri Kavramının Hukuki Niteliğine İlişkin Yaklaşımlara Mukayeseli Bir Bakış”. Kişisel Verileri Koruma Dergisi, 2/1, (2020): (s. 20-32). https://dergipark.org.tr/tr/download/article-file/1187007 (erişim: 01.02.2024) . Article 29 Data Protection Working Party, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf . (erişim: 25.11.2023).
• Aşıkoğlu, Şehriban İpek. Avrupa Birliği Ve Türk Hukukunda Kişisel Verilerin Korunması Ve Büyük Veri, 1. Baskı, İstanbul, Onikilevha Yayıncılık, 2018.
• Balboni, Paolo; Cooper, Daniel; Imperiali, Rosario; Macenaite, Milda. “Legitimate Interest Of The Data Controller New Data Protection Paradigm: Legitimacy Grounded On Appropriate Protection”, International Data Privacy Law, 3 (2013): (s. 244-261). DOI: https://doi.org/10.1093/idpl/ipt019. (erişim: 15.02.2024).
• Çekin, Mesut Serdar. Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması Hukuku. İstanbul: On İki Levha Yayıncılık, 2020.
• Çelikel, Serdar. Kişisel Verilerin Korunması Hukuku Kapsamında Veri Sorumlusu Ve Veri Sorumlusunun Yükümlülükleri, 1. Baskı, Ankara, Seçkin Yayıncılık, 2022.
• Demirbaş, Ali. Kişisel Verileri Koruma Hukukunda Veri Sorumlusu Ve Yükümlülükleri, 1. Baskı, İstanbul, Onikilevha Yayıncılık, 2023.
• Doğan, Bayram. Karşılaştırmalı Hukukta Anayasal Bir Hak Olarak Kişisel Verilerin Korunması Hakkı. Ankara: Adalet Yayınevi, 2022.
• Dülger, Murat Volkan. Kişisel Verilerin Korunması Hukuku. İstanbul: Hukuk Akademisi, 2020.
• Eralp, Özge Evci. “İşyerinde Kişisel Sağlık Verilerinin İşlenmesinde Sır Saklama Yükümlülüğünün Kapsamı”, Kişisel Verileri Koruma Dergisi 5/2, (2023): (s. 28-38), https://dergipark.org.tr/tr/download/article-file/3552126 (erişim: 01.02.2024)
• Erarslan, Sevgi. Özel Nitelikli Kişisel Verilerin İşlenmesinde Açık Rızanın Aranmadığı Haller, 2. Baskı, İstanbul, Onikilevha Yayıncılık, 2020.
• ICO, “Lawful Basis For Processing: Legitimate Interests”, 2018, https://ico.org.uk/media/for-organisations/uk-gdpr-guidance-and-resources/lawful-basis/legitimate-interests-1-0.pdf. (E.T. 20.02.2024).
• Kişisel Verileri Koruma Kurumu. 100 Soruda Kişisel Verilerin Korunması Kanunu, s. 17., https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/185c2130-8070-4b2b-a91e-1d48322ca352.pdf (erişim: 15.03.2024).
• Kişisel Verileri Koruma Kurumu. 6698 Sayılı Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar. https://www.kvkk.gov.tr/Icerik/6722/6698-Sayili-Kisisel-Verilerin-Korunmasi-Kanunu-Hakkinda-Dogru-Bilinen-Yanlislar. (erişim: 05.02.2024).
• Kişisel Verileri Koruma Kurumu. Kişisel Verilerin İşlenme Şartları. https://www.kvkk.gov.tr/Icerik/4190/Kisisel-Verilerin-Islenme-Sartlari. (erişim: 15.01.2024).
• Kişisel Verileri Koruma Kurumu. Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi. https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/41784a70-2bac-4e4a-830f-35c628468646.PDF. (erişim: 11.02 .2024).
• Kişisel Verileri Koruma Kurumu. Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi, https://kvkk.gov.tr/SharedFolderServer/CMSFiles/0517c528-a43d-49f5-b1eb-33dc666cb938.pdf (erişim: 15.04.2024).
• Kişisel Verileri Koruma Kurumu, Örneklerle Kişisel Verilerin Korunması, https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/a23bfe08-9b3a-4c2f-8a97-a259dcc0e667.PDF (erişim: 15.04.2024).
• Kişisel Verileri Koruma Kurumu. Özel Nitelikli Kişisel Verilerin İşlenme Şartları, https://www.kvkk.gov.tr/Icerik/5238/Ozel-Nitelikli-Kisisel-Verilerin-Islenme-Sartlari (erişim: 15.03.2024).
• Kişisel Verileri Koruma Kurumu. Veri Sorumlusu Ve Veri İşleyen Rehberi, https://www.kvkk.gov.tr/Icerik/4195/Veri-Sorumlusu-ve-Veri-Isleyen (erişim: 15.05.2024).
• Kotschy, Waltraut. Lawfulness of Processing, Christopher Kuner, Lee A. Bygrave, Christopher Docksey (Ed.), The EU General Data Protection Regulation: A Commentary. Brüksel ve Oslo: Oxford University Press (2021): (s. 71-76).
• Küzeci, Elif. Kişisel Verilerin Korunması. Ankara: Turhan Kitabevi Yayınları, 2018.
• Kyi, Lin; Shivakumar, Ammanaghatta; Santos, Cristiana Teixeira; Roesner, Franziska; Zufall, Frederike; Biega, Asia J. “Investigating Deceptive Design in GDPR’s Legitimate Interest. CHI '23: Proceedings of the 2023 CHI Conference on Human Factors in Computing Systems”, (2023): (s. 1-16). Hamburg, Germany. DOI: https://doi.org/10.1145/3544548.3580637 (erişim: 15.01.2024)
• Öztürk, Bahri; Çalışkan, Elif Altınok; Seyhan, Serkan. Kişisel Verilerin Korunması Hukuku Teorik ve Pratik Çalışma Kitabı. Ankara: Seçkin Yayıncılık, 2022.
• Taştan, Furkan Güven. Türk Sözleşme Hukukunda Kişisel Verilerin Korunması. İstanbul: On İki Levha Yayıncılık, 2017. TBMM Adalet Komisyonu, 12.02.2016 tarihli 1/541 Esas sayılı kanun metni gerekçesi, https://www5.tbmm.gov.tr/sirasayi/donem26/yil01/ss117.pdf (erişim: 23.12.2023)
• Toprak, Bilal. “KVKK Ve GVKT Açısından İşçinin Kişisel Verilerin Korunması”, 2. Baskı, Ankara: Yetkin Yayıncılık, 2021. Turan, Metin. Karşılaştırmalı Hukukta Kişisel Verilerin Korunması. Ankara: Seçkin Yayıncılık, 2024.
• Uyarer, Sinem Göçmen. Kişisel Verilerin Korunması Kanunu ve Türk Ceza Kanunu Kapsamında Kişisel Verilerin Korunması. Ankara: Seçkin Yayıncılık, 2020.
• Üstün, Yasin; Günal, Ayşe Nida. “İş İlişkilerinde Kişisel Verilerin İşlenmesinde Hukuka Uygunluk Sebebi Olarak “Meşru Menfaat””, Kişisel Verileri Koruma Dergisi, 4/2, (2022): (s. 1-18). https://dergipark.org.tr/tr/download/article-file/2434029 (erişim: 28.12.2023)
• Yağlıdere, Umut Emre. KVKK Kapsamında Verileri Hukuka Aykırı Olarak Verme Veya Ele Geçirme. İstanbul: Platon Plus Yayıncılık, 2022.
• Yılmaz Süleyman; Çavuşoğlu, Gökçe Filiz. Kişisel Verileri Koruma Hukuku, 1. Baskı, Ankara, Yetkin Yayıncılık, 2020.
• Yücedağ, Nafiye. “Medeni Hukuk Açısından Kişisel Verilerin Korunması Kanunu’nun Uygulama Alanı ve Genel Hukuka Uygunluk Sebepleri”. İstanbul Üniversitesi Hukuk Fakültesi Mecmuası, 75/2, (2017): (s. 765-789). https://dergipark.org.tr/tr/download/article-file/470647 (erişim: 18.01.2024).
• Kararlar ABAD. Avrupa Birliği Adalet Divanının 4 Mayıs 2017 tarihli C-13/16 sayılı Rigas satiksme Kararı.
• ABAD. Avrupa Birliği Adalet Divanının 19 Ekim 2016 tarihli C-582/14 sayılı Breyer v Bundesrepublik Deutschland Kararı.
• ABAD. Avrupa Birliği Adalet Divanının 24 Kasım 2011 tarihli C-468/10 and 469/10 sayılı ASNEF V Administración del Estado Kararı.
• ABAD. Avrupa Birliği Adalet Divanının 29 Temmuz 2019 tarihli C-40/17 sayılı Fashion ID v Facebook Ireland Kararı.
• AİHM, Avrupa İnsan Hakları Mahkemesinin 09.10.2012 tarihli 42811/06 başvuru numaralı, ALKAYA/TÜRKİYE davası.
• Anayasa Mahkemesi, Anayasa Mahkemesinin 28.9.2017 tarihli, 2016/125 Esas Numaralı, 2017/143 Karar Sayılı “İptali istenen hükümler” Kararı.
• KVKKu, “İlgili kişinin fotoğrafının öğrencisi olduğu okul tarafından kullanılması” hakkında Kişisel Verileri Koruma Kurulunun 09/06/2021 tarihli ve 2021/572 sayılı Karar Özeti.
• KVKKu, “Araç kiralama sektöründeki kara liste uygulamaları hakkında ilke Kararı” hakkında Kişisel Verileri Koruma Kurulunun 23/12/2021 tarihli ve 2021/1304 sayılı Kararı.
• KVKKu, “Yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamada T.C. kimlik numarasının işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 17/08/2023 tarihli ve 2023/1430 Sayılı Karar Özeti.
• KVKKu, “Amazon Turkey Perakende Hizmetleri Limited Şirketi” hakkındaki başvuru ile ilgili Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarihli ve 2020/173 Sayılı Karar Özeti.