Kişisel Verilerin İşlenmesinde Takip Edilecek İlkeler

Av. Nur Banu Kaylan Deligöz

Anayasanın 20.maddesinde özel hayatın gizliliği kapsamında düzenlenen kişisel verilerin korunması hakkı, kişilere bu kapsamda bir koruma sağlamaktadır. Buradan hareketle ağır temel hak ihlallerine sebebiyet verebilecek olan kişisel verilerin işlenmesi hususunda bazı temel ilkelere ihtiyaç duyulmuş ve bu yol gösterici ilkeler 1970’li yıllardan bu yana yapılan her yasal düzenlemede yerini almıştır. 6698 Sayılı Kişisel Verilerin Korunması Kanunu da 4. Maddesinde bu temel ilkeleri düzenlemiştir. Kanunun hazırlanmasında rehber görevi gören 108 Sayılı Sözleşme ve 95/46/EC Sayılı AB Direktifi ilkelerin belirlenmesinde de etkili olmuş ve ilkeler bu regülasyonlara paralel şekilde düzenlenmiştir[1].

 

25 Mayıs 2018’de yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü (GDPR) ise temel ilkeleri günümüze kadar en ayrıntılı ve geniş kapsamlı olarak düzenlemiş olan mevzuat olarak karşımıza çıkmaktadır. GDPR’dan önce yürürlükte bulunan hiçbir ulusal veya uluslararası yasal düzenleme, ilkelere uyulmamasından doğacak sorumluluğa ilişkin bir madde ihtiva etmezken; GDPR, 5.Maddesinin 2.Fıkrasında yer verdiği “Accountability” (Hesap Verilebilirlik) kavramı ile ilkelerin önemine işaret etmiştir. KVKK’nın uygulamaya alınmasının başlıca amaçlarından biri de veri koruma konusunda AB ile yeknesak bir düzenlemeye ulaşılmasıdır. Bu kapsamda; aşağıda söz konusu ilkeler, Türk Veri Koruma Mevzuatının temelini oluşturan AB Veri Koruma Düzenlemeleri çerçevesinde açıklanmıştır.

 

1. Hukuka ve Dürüstlük Kuralına Uygun Olma

Kişisel verilerin korunmasını talep hakkı, 2010 yılında gerçekleşen referandum sonrası T.C. Anayasasının Özel Hayatın Gizliliği başlıklı 20.Maddesine eklenerek Türk Hukukunda temel hak korumasına kavuşmuştur. Anayasanın 13.Maddesi uyarınca temel haklar ancak Kanunla sınırlandırılabileceğinden 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve ihlallere ilişkin cezai yaptırımlara yer veren 5237 Sayılı Türk Ceza Kanunu konuyu ayrıntılı şekilde düzenleyen yasal regülasyonlar olarak karşımıza çıkmaktadır. Temel hak niteliği gereği sınırları ancak yasa ile çizilebilecek olan kişisel veri işleme sürecinin hukuka uygunluğu da doğrudan bu mevzuata uyumuna bağlı olacaktır.  

Diğer ilkeler açısından da yol gösterici niteliğinde olan bu ilke kendi içerisinde iki bölüme ayrılarak açıklanabilecektir. Bunlardan ilki; veri işleme faaliyetinin baştan sona hukuka uygun olarak sürdürülmesidir. Hukukumuzda Anayasa’nın 13.Maddesinin 2.Fıkrasında yer alan kişisel verilerin korunması temel hakkı, Anayasanın çizdiği sınırları açıklayan Kanunlar ile korunmaktadır. Kanunda veri işleme faaliyeti olarak sayılan tüm işlemler hukuka uygun olma ilkesi gereğince; yasalar ve diğer hukuksal düzenlemelere uygun olmalıdır.

 

Veri işlemenin dürüstlük kuralına uygun olması ise kısaca; veri sorumlusunun Kanunun kendisine tanıdığı haklar kapsamında gerçekleştirdiği veri işleme faaliyeti sırasında hakkını kötüye kullanmaması ve ilgili kişinin makul beklentilerini gözönünde bulundurması, ilgili kişiye karşı adil olmasıdır[2]. Dürüstlük (fairness) kelimesi geniş kapsamı ile birçok zaman farklı anlamlara gelebilecektir. Türk Medeni Kanunu Madde 2’de düzenlenen ve Türk Hukuku uygulamasında temel kural olarak kabul edilen dürüst davranma ilkesi bu hususta da yol gösterici olacaktır. Örneğin; kişisel verilerinin pazarlama amaçlı olarak reklam içerikli iletiler gönderilmesi maksadıyla işlenmesi konusunda rıza gösteren ilgili kişiye günde 10 tane mesaj/mail gönderilmesi bu konuda edinilen veri işleme hakkının dürüstlük kuralına aykırı olarak kötüye kullanılmakta olduğunu ifade edecektir.

 

Veri işleme faaliyetinin dürüstlük kuralına uygunluğunun önem kazanacağı bir diğer durum da Kanunun veri işleme için açık rızayı koşul tuttuğu faaliyetlerde rızanın özgür iradeye dayalı olarak alınıp alınmadığının tespitidir. Veri sorumlusu, veri işleme için ilgili kişinin açık rızasına ihtiyaç duyulan durumlarda bu rızayı etkileyecek herhangi bir ek menfaat (verilerinin işlenmesi karşısında ekstra ücretsiz bir hizmet daha sunulması teklifi gibi) sunmadan, kişisel verilerin hangi amaçla, ne kadar süre ile işleneceğine dair ilgili kişiyi adil şekilde aydınlatmalı ve rızasını almaya çalışmalıdır.

 

2. Doğru ve Gerektiğinde Güncel Olma

 

Kişisel verilerin doğru ve güncel olarak tutulması gerekliliği, kişisel verilerin korunmasının temel hak niteliğinin bir diğer görünümüdür. Şöyle ki; gerçek kişi hakkında doğru olmayan bilgiler tutulması kişinin maddi/manevi bütünlüğünü ve/veya ekonomik özgürlüğünü etkileyecek sonuçlar doğurabilir. Örneğin; veri sorumlusu bir hastanenin hastalara ilişkin kaydettiği hastalığı, yaşı, iletişim adresleri gibi bilgilerin yanlış olması kişinin sağlık durumuna etki edecek ağır sonuçlar dahi doğurabilecektir. Ayrıca, muhafaza edilen kişisel verinin doğru olmaması; veri sorumlusu/veri işleyenler bakımından da kişisel veriden beklenen faydaya erişilememesi anlamına gelecektir.  Güncel olma ifadesi ise veri sorumlusunun işlemekte olduğu kişisel verilerin eski, yanlış olmaması konusunda özenli davranması gerekliliğini ifade etmektedir. Veri sorumlusunun ilgili kişilerden gelen değişiklik ve yenileme taleplerini dikkatle takip etmesi, buna ek olarak işlenen verilerin güncel olmadığını kendisinin tespit etmesi halinde gerekli güncelleştirme işlemlerini yapması bu ilkenin veri sorumlusuna getirdiği yükümlülüklerdir.

 

GDPR ve sair AB Veri Koruma düzenlemelerinde de yer bulan bu ilkenin bir diğer yansıması ise veri konusu gerçek kişinin veri işleme sürecine katılımında ortaya çıkmaktadır. KVKK’nın Veri Sorumlusuna Başvuru başlıklı 13.Maddesi ile ilgili kişiye verilen, işlenen kişisel verileri hakkında bilgi talep edebilme hakkı ile aslında kişiye işlenen verilerinin doğru ve güncel olmaması halinde veri sorumlusuna düzeltme/güncelleme başvurusu yapma şansı tanınmaktadır. Böylelikle hem ilgili kişinin hem de veri sorumlusunun menfaatleri korunmuş olacaktır.

 

 

3. Belirli, Açık ve Meşru Amaçlar İçin İşlenme

 

GDPR’ın yürürlüğe girmesi ile beraber öne çıkan veri minimizasyonu kuralı ile beraber önemi artmış olan bu ilke 95/46/EC sayılı AB Veri Koruma Yönergeri başta olmak üzere tüm önemli veri koruma düzenlemelerinde yer almıştır.

 

İlkenin ilk unsurunu oluşturan belirli ve açık amaçlar ile veri işleme faaliyetinin gerçekleştirilmesi, özellikle pazarlama amaçlı olarak gereğinden fazla kişisel veri muhafaza etmekte olan tüzel kişilikler açısından etkilerini doğuracaktır. Bu ilke uyarınca, yasaya uygun bir veri işleme faaliyeti kapsamında kaydedilen veriler haricinde ilerleyen dönemlerde lazım olabileceği düşüncesiyle fazladan kişisel veri işlenemeyecektir. Yani, veri sorumlusu/veri işleyen bünyesinde tutulan fiziki ve dijital kişisel veri kayıtlarının tamamı belirli bir amaca bağlanmış ve belirlenen bu amaç da hem kişisel verileri işleme envanterinde hem de ilgili kişilere yönelik yapılan aydınlatmalarda karışıklığa yol açmayacak şekilde ifade edilmiş olmalıdır. KVKK’ya uyum süreçlerinde veri sorumluları için en önemli adımlardan biri olan kişisel veri işleme envanterinin oluşturulması, veri koruma bilincinin oluşturulması ve bu ilkeye aykırı olarak gereksiz veri muhafaza edilmemesi bakımından büyük bir öneme sahiptir. Verilerin işlenme amacının meşru olması ise belirlenecek amacın mevcut yasal düzenlemelere uygun ve veri işleme faaliyeti sonucu elde edilecek çıkar ile dengeli olmasını ifade etmektedir. Örneğin; online satış yapan bir perakende firmasının müşterilerinden siparişlerinin teslimatı için gereken isim-soy isim, adres gibi bilgiler haricinde T.C. Kimlik Numarası, annesinin evlenmeden önceki soyadı gibi verilerin talep edilmesi hem belirlenen veri işleme amacının dışına çıkılmasına neden olacak hem de 3.kişiye dair verilerin Kanuna uygun olmayan şekilde işlenmesiyle faaliyetin meşruluk niteliğini yitirmesine sebep olacaktır.

 

GDPR, konunun önemine belirlenen amacın değişmesi halinde veri sorumlusunun takip edeceği adımlara 6. Maddesinin 4.Fıkrasında yer vererek işaret etmiştir. Veri sorumlusu, önceki amaç ile sonraki amaç arasındaki bağlantı, kişisel verinin niteliği ve ilgili kişi açısından doğabilecek sonuçlar gibi hususları[3] dikkate alarak amaç değişikliği olup olmadığını tespit edecek ve eğer amacın değiştiği tespitine varılmış ise ilgili kişiye açık rıza vermesi için yeniden başvuracaktır.

 

4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

 

Bu ilke uyarınca işlenen veri gruplarının tamamı işleme amacı olarak belirlenen durumlar ile doğrudan bağlantılı olmalı ve bu nihai amacın gerçekleştirilmesi için gerekli olmayan hiçbir veri, işleme faaliyetine dahil edilmemelidir. Kişisel Verilerin Korunması Kanununa kaynak teşkil eden 95/46/EC sayılı AB Yönergesinde bu ilkeye şu ifadeler ile yer verilmiştir; “toplanma ve/veya bunu izleyen işleme amaçları açısından yeterli ve onlarla ilgili olacak ve aşırı olmayacaktır.”. Veri sorumlusu, işlenen her veri grubu için tek bir amaç belirleyemeyecektir. Bu nedenle, her bir veri grubunun konusu olduğu veri işleme faaliyeti için bu ilkeyi göz önünde bulundurarak yeniden değerlendirme yapmalıdır.

 

Bu ilkenin bir diğer önemi ise; kişisel verilerin belirli, açık, meşru amaçlar ile işlenmesi kuralı ile beraber yorumlandığında gerek AB ülkeleri gerekse ülkemizde son zamanlarda sıkça tartışmalara konu olan “Unutulma Hakkı” bağlamında ortaya çıkacaktır. GDPR’ın 17.Maddesinde yer alan bu kavram kısaca; verisi işlenen ilgili kişinin artık verilerinin işlenmesini istememesi, veri sorumlusu bakımından işleme amacının sona ermesi veya Kanunun öngördüğü işleme süresinin bitmesi ile verilerin imha edilmesi gerekliliğidir. Kişisel Verilerin Korunması Kanununda doğrudan yer verilmemiş olan bu hak veri koruma hususunda AB uygulamalarına yaklaşma çalışmaları çerçevesinde Yargıtay Hukuk Genel Kurulu Kararlarında sıkça yer bulmaktadır[4].

 

5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme

 

Tüm veri koruma mevzuatlarında bulunan temel ilke; kişisel verilerin işlenmesinin yasak olmasıdır. Ancak, teknolojinin iş hayatına hâkim olduğu günümüzde veri işleme faaliyeti gerçekleşmeden iş akışının devam etmesi mümkün olmadığından bu temel kurala ciddi istisnalar getirilmiştir. Fakat yine de veri işleme süreci başlı başına bir ihlal riski doğurduğundan işleme amacının son bulması veya mevzuatın öngördüğü sürenin sona ermesi ile mevcut veri, Kanunda öngörülen yöntemler ile imha edilmelidir. İşlendikleri amaçla bağlantılı ve sınırlı veri işleme ilkesi ile beraber yorumlanması gereken bu husus kişisel verilerin belirli bir amaçtan yoksun olarak “gerekirse kullanılır” düşüncesi ile kaydedilmesinin önüne geçilmesini sağlamayı hedeflemektedir.  

 

İlkenin uygulanabilmesi, veri sorumlusunun başlıca yükümlülüklerinden olan; işleme amacının ne zaman ortadan kalktığının tespit edilmesine bağlıdır. Bu tespit; işlenen verinin niteliği, boyutu ve işleme amacı göz önünde bulundurularak özenle yapılmalıdır. Zira bir temel hak olarak korunan kişisel verilerin fazladan 1 gün dahi kayıtlarda tutuluyor olması idari ve cezai yaptırımlar ile karşılaşılmasına neden olabilecektir.

 

Yukarıda bahsi geçen 5 ilke kişisel veri işleme süreçlerinde yol gösterici olarak bu sürece dâhil olan herkes tarafından benimsenmesi gereken temel ilkelerdir. İş akışı içerisinde gerek veri sorumluları gerekse veri işleyenler tarafından gözden kaçırılabilecek olan bu hususlar sürecin baştan sona tehlikesiz şekilde yürütülebilmesi için kritik bir önemi haizdir. Dolayısıyla, ilkeler veri sorumlularının oluşturacakları veri işleme politikaları bakımından da temel olarak kullanılmalı ve böylelikle kişisel veri işleme faaliyetinin her aşaması hukuka uygun olarak sürdürülmelidir.

 

 

 

 

 

KAYNAKÇA

 

  1. Kişisel Verileri Koruma Kurumu, Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler

  2. Dr. Elif Küzeci, Kişisel Verilerin Korunması, Turhan Kitabevi, Ankara 2018.

  3. Yard. Doç. Dr. Mesut Serdar Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, İstanbul, On İki Levha Yayıncılık, 2018

  4. Yargıtay Hukuk Genel Kurulu 2014/4-56 E., 2015/1679 K., 17.06.2015 Tarihli Kararı

 

 

[1] Kişisel Verileri Koruma Kurumu, Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler, s.1.

[2] Dr. Elif Küzeci, Kişisel Verilerin Korunması, Turhan Kitabevi, Ankara 2018, s.207.

[3] Yard. Doç. Dr. Mesut Serdar Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, On İki Levha Yayıncılık, İstanbul, Ocak 2018, s.49,50.

[4] Yargıtay Hukuk Genel Kurulu 2014/4-56 E., 2015/1679 K., 17.06.2015 Tarihli Kararı