KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN TEMEL İLKELER
Genel Olarak
Uluslararası belgelerde kabul görmüş ve pek çok ülke uygulamasına yansımış olan kişisel verilerin işlenmesine ilişkin temel ilkeler bulunmaktadır. Kanunun 4. maddesinde kişisel verilerin işlenmesine ilişkin usul ve esaslar 108 sayılı Sözleşmeye ve 95/46/EC sayılı Avrupa Birliği Direktifine uygun şekilde düzenlenmiştir. Buna göre; Kanunda kişisel verilerin işlenmesinde sayılan genel (temel) ilkeler şunlardır:
•Hukuka ve dürüstlük kurallarına uygun olma,
•Doğru ve gerektiğinde güncel olma,
•Belirli, açık ve meşru amaçlar için işlenme,
•İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
•İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.
a. Hukuka ve Dürüstlük Kurallarına Uygun Olma İlkesi
Hukuka ve dürüstlük kuralına uygun olma, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade etmektedir. Dürüstlük kuralına uygun olma ilkesi uyarınca veri sorumlusu, veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almalıdır. Diğer bir ifade ile, ilgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket etmesi gerekmektedir. İlke uyarınca ayrıca ilgili kişi için söz konusu veri işleme faaliyetinin şeffaf olması ve veri sorumlusunun bilgilendirme ve uyarı yükümlülüklerine uygun hareket etmesi gerekmektedir.
Hukuka ve dürüstlük kuralına uygun olma ilkesi, diğer ilkeleri de kapsayıcı bir özelliğe sahiptir. Hukuka uygunluk, genel olarak hukuk normlarına ve evrensel hukuk ilkelerine uygunluktur. Hukuka uygunluğun kapsamı geniştir, mevzuata uygunluk da buna dahildir. Örneğin, kanuna aykırı bir uygulama aynı zamanda hukuka aykırılığı beraberinde getirir.
Dürüstlük kurallarına uygunluk ise hukukumuzda, Medeni Kanunun 2. maddesinde düzenlenen dürüstlük kuralının, kişisel veriler işlenirken ihlal edilmemesidir. Bu ilke kişisel veriler işlenirken, hakkın kötüye kullanılmasına ilişkin yasağa uyulmasını gerektirmektedir. Dürüstlük kuralı, kişilerin haklarını kullanırken güven kurallarına uygun ve makul bir kimseden beklenen şekilde davranılmasını ifade eder. Dürüstlük kuralının sınırları, her somut olayda objektif bir kimseden beklenecek davranışa göre belirlenir, kişilerin subjektif durumu göz önüne alınmaz. Dürüstlük kuralına aykırılığın söz konusu olduğu durumlarda kişi, hakkını kullanmakta ve bu hakkın sınırları içinde davranmakta, ancak hakkın amacına aykırı şekilde hareket etmektedir.
Kişisel verilerin korunması açısından ise dürüstlük kuralı, kişilerin kendilerine veri işleme konusunda izin ya da emir veren hukuk kurallarına dayanarak gerçekleştirdikleri fiillerde, bu hukuk kuralının amacına göre mümkün olan en az miktarda veri işlemeleri, ilgili kişilerin öngöremeyeceği biçimde hareket etmemeleri gibi davranışları gerektirir.
Veri sorumlularının, ilgili kişilerin çıkarlarını ve makul beklentilerini göz önüne almaları dürüstlük kuralının gereğidir. Haklı bir gerekçe olmaksızın ilgili kişinin özel hayatının gizliliğini, onurunu ihlal edecek şekilde veri işlenmesi, şüphesiz bu ilkeye aykırılık teşkil edecektir. Örneğin, özel hayatın gizliliği çerçevesinde makul olmayan verinin, ilgili kişiden talep edilmesi veya bunun veri sorumlusu tarafından dürüstlük kurallarına aykırı olarak işlenmesi bu ilkeye aykırıdır.
Dürüstlük kuralı, veri korumanın diğer ilkeleri aracılığı ile somutlaştırılmıştır. Bu ilkelere uyulmaksızın veri işlenmesi dürüstlük kuralına dolayısıyla hukuka uygun veri işlenmesine aykırı olacaktır.
Örneğin, bir tüzel kişilik nezdinde kişisel verilerin silinmesi halinde verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişiler tarafından verilere erişim sağlanması mümkün olmakla birlikte, bahse konu tüzel kişilik içerisinde verilerin depolanması, korunması ve yedeklenmesinden sorumlu kişi sayısının gerektiğinden fazla belirlenmesi durumunda bu kişilerce silinen kişisel verilere erişim sağlanması dürüstlük kuralına aykırılık teşkil edecektir.
Bu ilkenin uygulanabilir olup olmadığının, öncelikle Anayasanın temel hak ve özgürlükler rejimi kapsamında değerlendirilmesi gerekir. Kişisel verilerin işlenmesi, kişinin temel haklarına müdahale edilmesi anlamına gelir ve bu müdahalenin dürüst ve hukuka uygun kabul edilebilmesi için, Anayasanın temel hak ve özgürlüklerin kısıtlanmasıyla ilgili düzenlemelerine uygun olması zorunludur. Hukuka uygunlukla ilgili vurgulanması gereken en önemli noktalardan biri, bu kavramın tüm hukuk sistemini kastettiğidir. Bir veri işlemenin kanun tarafından izin verilmiş, hatta emredilmiş olması onun hukuka uygun olduğuna karinedir.
b. Doğru ve Gerektiğinde Güncel Olma İlkesi
Kişisel verilerin doğruluğunun ve güncelliğinin önemini vurgulayan bu ilke ile Kanunda öngörülen ilgili kişinin verilerin düzeltilmesini talep etme hakkı uyumludur. Kişisel verilerin doğru ve güncel bir şekilde tutulması, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gereklidir. Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğü; veri sorumlusu eğer bu verilere dayalı olarak ilgili kişiyle alakalı bir sonuç ortaya koyuyor ise geçerlidir (örneğin kredi verme işlemleri). Bunun dışında veri sorumlusu her zaman ilgili kişinin bilgilerini doğru ve güncel olmasını temin edecek kanalları açık tutmalıdır.
Kişilerin, güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle maddi ve manevi zarar görmesi mümkündür. Örneğin bir kişinin veri sorumlusunun sisteminde kayıtlı telefon numarasının doğru olmaması ya da artık ilgili kişi tarafından kullanılmıyor oluşu, o kişiye ilişkin gerçek bir veriyi yansıtmadığından hatalı sonuçların ortaya çıkmasına neden olabilmektedir. Yine, adres bilgisi yanlış kaydedilen bir kişinin kendisine ait tebligatları zamanında alamaması veya yanlış bir kişiye tebliğ edilmesi durumlarında ilgili kişi maddi ve manevi zarar görebilir. Bu ilke, ilgili kişinin haklarını koruduğu gibi, veri sorumlusunun da menfaatlerine yöneliktir.
Kişisel verilerin doğru ve güncel tutulabilmesini temin etmek amacıyla; kişisel verilerin elde edildiği kaynaklar belirli olmalı, kişisel verilerin toplandığı kaynağın doğruluğu tespit edilmeli, kişisel verilerin doğru olmamasından kaynaklı talepler göz önünde bulundurulmalı ve bu kapsamda makul önlemler alınmalıdır.
c. Belirli, Açık ve Meşru Amaçlar İçin İşlenme İlkesi
Kişisel verilerin işlenme amaçlarının belirli, meşru ve açık olması ilkesi;
•Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını,
•Kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini,
•Kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını
sağlamaktadır.
Bu ilke, veri sorumlusunun veri işleme amacını açık ve kesin olarak belirlemesini ve bu amacın meşru olmasını zorunlu kılmaktadır. Veri sorumlularının, ilgili kişiye belirttikleri amaçlar dışında, başka amaçlarla veri işlemeleri halinde, bu fiillerinden dolayı sorumlulukları doğacaktır. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Örneğin, bir hazır giyim mağazasının, müşterilerinin ad – soyad bilgilerini işlemesi meşru amaç kapsamındayken, anne kızlık soyadını işlemesi meşru amaç kapsamında değerlendirilemeyecektir.
Kişisel verileri işleme amaçlarının sadece veri sorumlusu bakımından bilinmesi ya da tahmin edilebilir olması bu ilkeye aykırıdır. Bu itibarla, kişisel veri işleme amaçlarının açıklandığı hukuki işlem ve metinlerde (açık rıza, aydınlatma, ilgili kişinin başvurularını cevaplama, Veri Sorumluları Siciline kayıt gibi) belirlilik ve açıklık ilkesine uyumda hassasiyet gösterilmeli ve anlaşılması güç, teknik – hukuki ifadelerin kullanımından kaçınılmalıdır. Bu esasa uygun davranma aynı zamanda dürüstlük ilkesine uyum bakımından da son derece önemlidir.
ç. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi
İşlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirmektedir. Sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemelidir. Çünkü muhtemel ihtiyaçlara yönelik veri işlenmesi, yeni bir veri işleme faaliyeti anlamına gelecektir. Bu durumda, Kanunun 5. maddesinde düzenlenmiş olan kişisel verilerin işlenme şartlarından birinin gerçekleşmesi gerekecektir. Ayrıca işlenen veri, sadece amacın gerçekleştirilmesi için gerekli olan kişisel verilerle sınırlı tutulacaktır. Amaç için gerekli olanın dışında veri işlenmesi, sınırlı tutulma ilkesine aykırılık teşkil edecektir. Burada önemli olan, amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınılmasıdır. Mevcutta olmayan ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri toplanmamalı veya işlenmemelidir.
Ölçülülük ilkesi, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması anlamına gelmektedir. Yani veri işlemenin, amacı gerçekleştirecek ölçüde olması demektir. Örneğin, kredi kartı başvurusunda bulunan kişiden sosyal hayatına ve sosyal faaliyetlerine yönelik tercihleri konusunda bilgi talebinde bulunulması ölçülülük ilkesine aykırılık teşkil edebilecektir.
d. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi
Kişisel verilerin “amaçla sınırlılık ilkesi” nin bir gereği olarak işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza edilmesi gerekir. Bu konuda, veri sorumlusu, idari ve teknik tedbirleri almakla yükümlüdür. Kanunun 12. maddesinde de belirtildiği gibi veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Bununla ilgili olarak veri sorumlusu, gerekli teknik ve idari tedbirleri belirlemek ve kişisel verilerin bu esaslara uygun olarak muhafazasını sağlamakla yükümlüdür. Kişisel veri saklama ve imha politikası hazırlamakla yükümlü olan (Sicile kayıt yükümlülüğü bulunanlar) veri sorumluları da bu esaslara uygun bir şekilde hareket etmelidir.
Kişisel verilerin saklanması için amaçla sınırlılık ilkesi uyarınca veri sorumlusu tarafından belirlenen saklama sürelerinin yanı sıra, veri sorumlusunun tabi olduğu ilgili mevzuat kapsamında da belirlenmiş saklama süreleri mevcuttur. Buna göre; veri sorumluları, ilgili kişisel veriler için mevzuatta öngörülmüş bir süre varsa bu süreye uyacak; eğer böyle bir süre öngörülmemişse verileri ancak işlendikleri amaç için gerekli olan süre kadar saklayabilecektir. Bir verinin daha fazla saklanması için geçerli bir sebep bulunmaması halinde, o veri silinecek, yok edilecek veya anonim hale getirilecektir. İleride tekrar kullanılabileceği düşünülerek ya da herhangi bir başka gerekçe ile kişisel verilerin muhafaza edilmesi yoluna gidilemeyecektir.
Ayrıca veri sorumlusu, Kanunun 16. maddesi uyarınca Sicile kayıt için başvuru yaparken kişisel verilerin işlenme amacı için gerekli olan azami süreyi Veri Sorumluları Sicili Hakkında Yönetmeliğin 9. maddesini göz önünde bulundurarak tespit etmek ve bu süreyi Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) bildirmek zorundadır.
Veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi öngörülmüşse bu süre, yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılır.
Burada önemle belirtmek gerekir ki; mevzuat kapsamında öngörülen bu sürelere uyum için yapılan saklama faaliyetleri veri sorumlusu tarafından belirlenen saklama sürelerini aşıyorsa, bu faaliyetler yalnızca ilgili mevzuatta belirtilen yükümlülükleri yerine getirmekle sınırlı bir saklama ve işleme faaliyeti olarak yürütülmelidir. Hem veri sorumlusunun hukuki yükümlülükleri gereği tabi olduğu mevzuat kapsamında öngörülen sürelerin, hem de veri sorumlusunun belirlediği saklama sürelerinin aşılması durumunda, kişisel verilerin veri sorumlusu tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe göre silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir.