KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca kişisel veriler, ancak KVKK ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

KVKK 4. maddesinin 1. fıkrasına göre kişisel verilerin işlenebilmesi için yasal bir dayanağının olması zorunludur. Kişisel verilerin korunması temel haklar kapsamında kabul edildiğine göre bu alandaki sınırlamalar yalnızca yasa ile belirlenebilir.

KVKK 4/2 maddesinde ise kişisel verilerin işlenmesinde uyulması zorunlu ilkeler;

  1. Hukuka ve dürüstlük kurallarına uygun olma.
  2. Doğru ve gerektiğinde güncel olma.
  3. Belirli, açık ve meşru amaçlar için işlenme.
  4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
  5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme. şeklinde belirtilmiştir.

a)Hukuka ve dürüstlük kurallarına uygun olma

Kişisel veriler işlenirken yürürlükte olan tüm mevzuata uygun işlenmelidir. Mevzuata anayasa, kanunlar, yönetmelikler ve diğer ikinci düzenlemelerle TBMM tarafından kanun haline getirilmiş insan haklarına ilişkin uluslararası sözleşmeler de dahildir.

Dürüstlük kuralına uygun olma ilkesi ile veri sorumlusu, veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almalı, ilgili kişiyi bilgilendirme ve uyarma yükümlülüklerini yerine getirmelidir. Bu şekilde yasada belirtilen ilkelere aykırı bir şekilde kişisel verilerin gizli olarak işlenmesi dürüstlük ilkesine aykırılık oluşturur

Hukukumuzda dürüstlük kuralı, Medeni Kanunun 2. maddesinde “Herkes, haklarını kullanırken ve borçlarını yerine getirirken dürüstlük kurallarına uymak zorundadır. Bir hakkın açıkça kötüye kullanılmasını hukuk düzeni korumaz.” şeklinde düzenlenmiş olup kişisel verilerin işlenmesinde dürüstlük kuralına uygun hareket edilmelidir.

Kişisel Verileri Koruma Kurulunun 31.05.2019 tarihli ve 2019/159 sayılı kararı “6698 sayılı Kanun kapsamında kişisel verilerin kullanılmasının da bir veri işleme faaliyeti olduğu, bu anlamda Şirket tarafından ilgili kişinin telefon numarasına aynı içerikteki mesajların farklı tarihlerde birden fazla gönderilmesinin veri sorumlusunun sahip olduğu hakkı kötüye kullanımı olarak değerlendirilmesi ve bu durumun Kanunun 4/2. maddesinin (a) bendinde yer alan kişisel verilerin işlenmesinin hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil etmesi, hususları göz önünde bulundurularak, Kanunun 12/1. maddesinin (a) bendinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18/1. maddesinin (b) bendi kapsamında 20.000 TL idari para cezası uygulanmasına karar verilmiştir.” şeklidedir.

b)Doğru ve gerektiğinde güncel olma

Bu ilke kişisel verileri işlenen kişinin sürece katılım hakları ile birlikte değerlendirilmelidir. Hangi verilerinin kimler tarafından, hangi amaçlarla işlendiğini bilen ve bu bilgilere ulaşabilen kişi doğru ya da güncel olmayan bilgilerin düzeltilmesini de talep edebilecektir. Bu ilke, ilgili kişinin kişisel verilerinin korunması hakkı yanında, veri işlemeden kaynaklı meşru menfaatler açısından da önemlidir. Nitekim yanlış ya da güncel olmayan verilere dayalı olarak yapılacak değerlendirmeler de doğru olmayacak ve meşru çıkarın zarar görmesine neden olacaktır.

Güncelleme yapılmaması durumunda ilgili kişinin uğrayacağı zararlarda veri sorumlusunun hukuki sorumluluğu gündeme gelir. Veri sorumlusunun kişisel verileri üçüncü kişilerle paylaşması durumunda güncelleme yükümlülüğü üçüncü kişilerdeki kişisel veriler için de geçerlidir.

c)Belirli, açık ve meşru amaçlar için işlenme

Kişisel verilerin işlenme amacının belirli ve açık olması, her şeyden önce bu konuya ilişkin hukuksal düzenlemelerde belirsiz ifadelerden kaçınılmasını gerektirir.

Kişisel verilerin işlenme amacının meşru olması için yasal bir temele dayanması, bütün yasal gereklilikler ile uyum içinde olması ve verilerin işlenmesinden kaynaklanan çıkar ile dengeli olması gerekir.

Bunun yanında kişisel veriler, işlenme amacı olarak gösterilen amacın dışında ilgili kişiye bildirilmeyen amaçlar için saklanamaz. Yine kişisel verilerin işleme amaçlarının veri sorumlusunun faaliyet alanına uygun olması gerekir.

Madde gerekçesine göre; belirli, açık ve meşru amaçlar için işlenme ilkesi, veri sorumlusunun, veri işleme amacının açık ve kesin olarak belirlemesini ve bu amacın meşru olmasını zorunlu kılmaktadır. Veri sorumluları, belirttikleri bu amaçlar dışında, başka amaçlarla veri işlemeleri halinde, bu fiillerinden dolayı sorumlu olacaklardır. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Örneğin, bir hazır giyim mağazasının, müşterilerinin kimlik ve iletişim bilgilerini işlemesi meşru amaç kapsamındayken, kan gruplarını işlemesi meşru amaç kapsamında değerlendirilemeyecektir.

Kişisel Verileri Koruma Kurulu; veri sorumlusu tarafından ilgili kişinin talebi üzerine gerçekleştirilen işlemde veri sorumlusu tarafından işlemin gerektirmediği kişisel veri içeren bir belgenin müşteriden istenilmesinin;

  • İlgili mevzuatta yer almaması
  • Ulaşılmak istenen amaç ile bağdaşmaması nedeniyle

Kanunun 4/2. maddesinin (a) bendinde yer verilen hukuka ve dürüstlük kurallarına uygun olma ilkesi ile (c) bendinde yer verilen belirli, açık ve meşru amaçlar için işlenme ilkesine aykırılık teşkil ettiği dikkate alınarak, Kanunun 12/1. maddesinin çerçevesinde kişisel veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18. maddesi uyarınca idari yaptırım uygulanmasına karar vermiştir.

ç)İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

Maddenin gerekçesine göre; Kişisel verilerin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ilkesi, işlenen verilerin, belirlenen amaçların gerçekleştirilebilmesine elverişli olmasını, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirmektedir. Yine, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işlenebilmesi için, işlemeye ilk kez başlıyor gibi, 5. maddede düzenlenmiş olan kişisel verilerin işlenme şartlarından birinin gerçekleşmesi gerekecektir. Ayrıca işlenen veri, sadece amacın gerçekleştirilmesi için gerekli olanla sınırlı tutulacaktır.

Buna göre belirtilen işleme amacıyla ilişkisi olmayan kişisel veriler toplanamaz ve ihtiyacın üzerindeki sayıda kişinin ya da bir kişiyle ilgili gereksiz kişisel veriler işlenemez.

Kişisel Verileri Koruma Kurulunun 25.03.2019 tarihli ve 2019/81 sayılı ve 31.05.2019 tarihli ve 2019/165 sayılı kararları “Spor kulübünde giriş çıkış kontrolünün yapılabilmesi ve kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrolünün alternatif yollar ile sağlanması mümkün iken kişilerin biyometrik veri niteliğindeki avuç içi izi verisinin alınmasının 6698 sayılı Kişisel Verilerin Korunması Kanununun 4/2. maddesinde yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı, öte yandan özel nitelikli kişisel verilerin Kanun kapsamında ancak ilgili kişilerin açık rızasına ya da Kanunun 6/3. maddesinde sayılan şartlar çerçevesinde işlenebileceği, bu kapsamda adı geçen veri sorumlusu tarafından avuç içi izi verisinin işlenmesi için kişilerden açık rızalarının alınması yoluna gidildiği ancak açık rıza verilmemesi durumunda kulüp hizmetlerinden yararlanamadıkları dikkate alındığında üyelerden alınan açık rızanın Kanunun 12/1. maddesinin (a) bendine aykırılık teşkil etmesi nedeniyle Kanunun 18/1. maddesinin (b) bendi kapsamında idari para cezası uygulanmasına karar verilmiştir.” şeklindedir.

Yine Kişisel Verileri Koruma Kurulu; Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunmasının; Kanunun 8/2 maddesinde atıfta bulunulan Kanunun 5/2 maddesinin (ç) bendinde yer verilen hukuki yükümlülüğün yerine getirilmesi için zorunlu olması kapsamında değerlendirilemeyeceği, Kanunun 4/1 maddesinin (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil ettiği dikkate alınarak, Kanunun 12/1 maddesi çerçevesinde ilgili kişiye ait kişisel verilerin güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18. maddesi uyarınca idari yaptırım uygulanmasına karar vermiştir.

d)İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Kişisel verilerin sınırsız bir süre için tutulması bireyin maddi ve manevi bütünlüğüne ve özel yaşamının gizliliğine zarar verebilir. Öte yandan kişisel verinin kayıtlı olması, veri güvenliği açısından başlı başına risk yaratmaktadır.

Madde gerekçesine göre; kişisel verilerin, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi zorunludur. Buna göre, veri sorumluları, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uyacak; yoksa verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebilecektir. Bir verinin daha fazla saklanması için geçerli bir sebep olmaması durumunda, o veri silinecek veya anonim hale getirilecektir. Gelecekte kullanma ihtimalinin varlığına dayanarak veri saklanamayacaktır.

Ayrıca veri sorumlusu, Kanunun 16. maddesi uyarınca Sicile kayıt için başvuru yaparken kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi bildirmek zorundadır.

Açık yasa hükmü ve gerekçesi uyarınca kişisel verilerin işlenebilmesine dayanak olan hukuki sebep mevzuat ise işlenme için gerekli olan süre mevzuatta belirtilen süredir. Kişisel verilerin toplanması sırasında bir süre öngörülmemişse amaç için gerekli süre tespit edilmelidir. Gerekli süre tespit edilirken sadece öngörülen amaç dikkate alınmalı sonradan çıkan ya da çıkabilecek amaçlara göre değerlendirme yapılmamalıdır.

Av. Filiz Durak

f.durak@kvkkdanismanlik.com