Kişisel Verilerin İşlenmesinde Genel İlkeler

Veri işleme faaliyeti; veri işleme şartlarının yanında kanunda sayılan genel ilkeler ile de uygun olmak zorundadır. 6698 sy Kişisel Verilerin Korunması Kanunu’nun 4. Maddesinde, verilerin işlenmesine ilişkin genel ilkeler belirlenmiştir. Yasa hükmüne göre kişisel verilerin işlenmesi;

  • Hukuka ve dürüstlük kurallarına uygunluk
  • Doğru ve gerektiğinde güncel olma
  • Belirli, açık ve meşru amaçlar için işleme
  • İşlenme amacıyla bağlantılı, sınırlı ve ölçülü olma
  • İlgili mevzuatta öngörülen veya işlendiği amaç için gerekli olan süre kadar muhafaza edilme

İlkelerinden her birine uygun olarak gerçekleştirilmesi gerekmektedir.

Özel veya genel nitelikli bir verinin işlenmesi, kanunda sayılan işlenme şartları ve diğer halleri karşılıyor olsa bile; genel ilkeler ile aykırı bir şekilde işlenmişse hukuka aykırı bir veri işlenmesi gündeme gelecektir. Kişisel Verileri Koruma Kurumu da verdiği birçok kararında; söz konusu genel ilkelere uygun davranılmaması halinde “hukuka aykırı bir veri işleme faaliyeti” olduğuna karar vermiştir.

Konu ile ilgili Kurulun 27.02.2020 tarihli 2020/167 sayılı kararında;

“Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde de, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin ancak hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceğinin düzenlendiği,

Bu ilkelerden, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerektiği,

Ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği, kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği, dikkate alındığında spor salonuna giriş için veri sorumlusu tarafından uygulanan “el ve parmak izi taraması” sisteminin, üyelerin açık rızası olsa bile hizmetten faydalanmak için üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olmadığı değerlendirilmiştir.”

Kurul; veri işleme faaliyeti ilgili kişinin açık rızasına dayanıyor olsa bile, genel ilkelerden “ölçülülük” ilkesine aykırı gerçekleştiğini tespit etmiş ve kanunun 12/1-a. maddesine aykırılık oluşturduğu gerekçesi ile, veri sorumlusu hakkında idari para cezasına hükmetmiştir.

Verilerin işlenmesine ilişkin genel ilkeler düzenlemesine Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GPDR) 5. Maddesinde de yer verilmiştir. Tüzüğe göre kişisel veriler;

  • Hukuka uygun, adil ve şeffaf bir biçimde işlenir (hukuka uygunluk, adalet ve şeffaflık)
  • Belirtilen, açık ve meşru amaçlara yönelik olarak toplanır ve bu amaçlara uygun olmayan bir şekilde işlenmez (amacın sınırlandırılması)
  • İşlendikleri amaçlarla ilgili olarak yeterli, yerinde ve gerekli olanla sınırlıdır (verilerin en az seviyeye indirilmesi)
  • Doğrudur ve gereken şekilde, güncel tutulur (doğruluk)
  • Veri sahiplerinin yalnızca kişisel verilerin işlenme amaçlarının gerektirdiği sürece teşhis edilmesini sağlayan bir şekilde tutulur (saklama süresinin sınırlandırılması)
  • Yasa dışı işlemeye karşı ve kazara kayba, imhaya veya tahribe karşı koruma da dahil olmak üzere teknik veya düzenlemeye ilişkin uygun tedbirlerin kullanılması suretiyle kişisel verilerin güvenliğini sağlayan bir şekilde işlenir (bütünlük ve gizlilik)

Verilerin belirlenen ilkelere uygun olarak işlenmesi gerekmektedir. Söz konusu ilkelere aykırı olarak işlenmesi durumunda hukuka aykırı bir veri işleme faaliyeti söz konusu olacak ve veri sorumlusunun sorumluluğu gündeme gelecektir.

Yorum Bırak

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir