Categories
BİLGİ NOTLARI

 

KİŞİSEL VERİLERİN İŞLENMESİNDE TEMEL İLKELER

 

Kişisel verilerin işlenmesi sırasında veri sorumlularının ve veri işleyenlerin dikkat etmesi gereken birtakım ilkeler vardır. Bunlar hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme olarak sıralanabilir. AB Genel Veri Koruma Tüzüğü ile de uyumlu olan bu ilkeler, pek çok ülkede kabul görmekte ve uygulanmaktadır. Temel ilkeler aşağıda başlıklar halinde incelenerek detaylı bilgi sunulması amaçlanmıştır.

 

A) Hukuka ve Dürüstlük Kurallarına Uygun Olma İlkesi

Kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi bu ilkenin temel hedefidir. Dürüstlük kuralına uygun olma ilkesi ile de bağlantılı olan bu ilkede veri sorumlusunun veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate alması amaçlanmıştır. Bu ilke ayrıca veri sorumlusunun bilgilendirme ve uyarı yükümlülüklerine uygun hareket etmesini sağlamaktadır. Bu ilke niteliği itibariyle diğer ilkeleri de kapsayıcı yapıdadır. Hukuk kavramının mevzuatı da kapsadığı düşünüldüğünde böyle olması yerindedir. Son olarak ilkede öngörülen dürüstlük kuralına uygunluk ise hakkın kötüye kullanılmasına ilişkin yasakla beraber okunmalı ve veri işleme faaliyetleri esnasında dikkat edilecek bir husus olarak göz önünde bulundurulmalıdır. Dolayısıyla veri sorumluları dürüstlük kuralı gereği, ilgili kişilerin çıkarlarını ve makul beklentilerini göz önüne almalılardır.

 

B) Doğru ve Gerektiğinde Güncel Olma İlkesi

Kanunda öngörülen ilgili kişinin verilerin düzeltilmesini talep etme hakkı ile de uyumlu olan bu ilke, Kişisel verilerin doğru ve güncel bir şekilde tutulması, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gereklidir. Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğü; veri sorumlusunun bu verilere dayalı olarak ilgili kişiyle ilgili bir sonuç ortaya koyması durumunda söz konusu olmaktadır. Bu ilkenin önemi, bu bilgilerin yanlış olmasın durumunda kişinin maddi ve manevi zarar görme ihtimalinden kaynaklanmaktadır. Kişisel Verileri Koruma Kurumu’nun (Kurul) bu konuda verdiği örneklerden bazıları şu şekildedir:

 

Kişinin veri sorumlusunun sisteminde kayıtlı telefon numarasının doğru olmaması ya da artık ilgili kişi tarafından kullanılmıyor oluşu, o kişiye ilişkin gerçek bir veriyi yansıtmadığından hatalı sonuçların ortaya çıkmasına neden olabilmektedir.

Adres bilgisi yanlış kaydedilen bir kişinin kendisine ait tebligatları zamanında alamaması veya yanlış bir kişiye tebliğ edilmesi durumlarında ilgili kişi maddi ve manevi zarar görebilir.

 

C) Belirli, Açık ve Meşru Amaçlar İçin İşlenme İlkesi

Bu ilke ile kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını, hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini ve kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulması amaçlanmıştır. Dikkat edilmelidir ki, veri sorumlularının, ilgili kişiye belirttikleri amaç dışında, başka amaçlarla veri işlemeleri halinde, bu fiillerinden ötürü sorumlulukları gündeme gelecektir.

 

Amacın meşru olması ise veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması halinde sağlanabilecektir. Örneğin, mağazadan alışveriş yapan müşterilerinin ad-soyad bilgilerini işlemesi meşru amaç kapsamındayken, anne kızlık soyadını işlemesi meşru amaç kapsamı dışında olacaktır. Unutulmamalıdır ki, veri işleme amacının ilgili kişilere açık şekilde aktarılması da meşru amaçla işleme ilkesinin bir parçasını oluşturmakta ve belirlilik ve açıklık ilkesi bakımından önem arz etmektedir.

 

Ç) İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi

Verilerin işleme faaliyetindeki amacın dışında kalan ya da verinin işlenilmesine ihtiyaç duyulmayan durumlarda, veri işleme faaliyetinden kaçınılmalıdır Bu ilke ile “sonradan gerekebilir” mantığı ile veri işleme faaliyetine de son vermeyi amaçlamıştır. Nitekim bunlar yeni bir veri işleme faaliyeti anlamına gelecektir. Bu husus ayrıca sınırlı tutulma ilkesi ile de alakalıdır. Bu doğrultuda, veri işlemek için Kanunun 5. maddesinde düzenlenmiş olan kişisel verilerin işlenme şartlarından birinin varlığını aramak gerekecektir. Son olarak ölçülülük ilkesi, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulmasını gerektirmektedir. Burada verilen ihlal teşkil etme örneklerinden biri, kredi kartı başvurusunda bulunan kişiden sosyal hayatına ve sosyal faaliyetlerine yönelik tercihleri konusunda bilgi talebinde bulunulmasıdır.

 

D) İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi

Kişisel verilerin korumasında en önemli ilkelerden biri gerekli olan süre kadar saklama ilkesidir. Zira bu ilkenin hem veri sorumlusunu hem de ilgili kişiyi koruyan yönü vardır. “Amaçla sınırlılık ilkesi” nin bir uzantısı olarak, kişisel veriler işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza edilmelidir. Bu süre zarfında, veri sorumlusunun, Kişisel Verilerin Korunması Kanunu’nun 12. maddesinde belirtildiği üzere idari ve teknik tedbirleri alma yükümlülüğü bulunmaktadır. Kişisel veriler için mevzuatta öngörülen birtakım saklama sürelerinin yanı sıra amaçla sınırlılık ilkesi uyarınca veri sorumlusu tarafından belirlenecek saklama süreleri de mevcuttur. Bu durumda; veri sorumluları, ilgili kişisel veriler için mevzuatta öngörülmüş bir süre varsa bu süreye riayet edecek; eğer böyle bir süre öngörülmemişse verileri ancak işlendikleri amaç için gerekli olan süre kadar saklayabilecektir. Kişisel verinin daha fazla saklanması için geçerli bir sebep bulunmaması durumda ise verinin silinmesi yok edilecek ya da anonim hale getirilmesi gerekecektir.

 

Kurul’un da belirttiği üzere veri sorumlusu, Kanunun 16. maddesi uyarınca sicile kayıt için başvuru yaparken kişisel verilerin işlenme amacı için gerekli azami süreyi Veri Sorumluları Sicili Hakkında Yönetmeliğin 9. maddesini göz önünde bulundurarak tespit etmek ve bu süreyi bildirmek zorundadır. Veri sorumlusu tarafından Sicile bildirilen işlenen kişisel veriler için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler farklı olabilir. Bu durumda, mevzuatta azami muhafaza edilme süresi öngörülmüşse öngörülen bu süre; öngörülmemişse bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılır. Kurul’un da vurguladığı üzere, mevzuat kapsamında öngörülen bu sürelere uyum için yapılan saklama faaliyetleri veri sorumlusu tarafından belirlenen saklama sürelerini aşıyorsa, bu faaliyetler yalnızca ilgili mevzuatta belirtilen yükümlülükleri yerine getirmekle sınırlı bir saklama ve işleme faaliyeti olarak yürütülmelidir. Hukuki yükümlülükleri gereği veri sorumlusunun tabi olduğu mevzuat kapsamında öngörülen sürelerin veya veri sorumlusunun belirlediği saklama sürelerinin aşılması durumunda ise veri sorumlusu tarafından kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.