Kvkk Kapsamında Data Minimizasyonu İlkesi
A. Data Minimizasyonu Ne Anlama Gelir?
Bir gerçek kişi hakkında herhangi bir bilgi, internette yer aldığında kaç kişi tarafından erişilebilir? Muhtemelen buna vereceğiniz cevap ‘’milyarlarca’’ olacaktır. Görüldüğü üzere teknolojinin sağladığı hız ve kolaylığın geldiği son nokta; özellikle özel hayatın gizliliği devreye girdiğinde artık bir avantaj olmaktan çok uzaktır. (veri minimizasyonu)
İnsan haklarının en önemli alt başlığı; özel hayatın gizliliğidir. Bu insan hakkı kapsamındaki bir ihlal çoğu zaman kişisel verilerin koruması hukuku ile iç içedir. Bu sebeple kişisel verilerin korunması hukuku son zamanların en önemli konusu haline gelmiştir.
Kişisel verilerin korunması hukukunun en önemli ilkelerinden; ‘’data minimizasyonu’’ ise, teknolojinin yarattığı bu dezavantajı en aza indirmeyi amaçlamaktadır. Data minimizasyonu; yani veri minimizasyonu ilkesi; özetle veriyi simge boyutunda küçültme olarak tanımlanabilir. Bunun anlamı; kuruluşların topladıkları kişisel verileri sınırlamaları ve veri sahiplerinden yalnızca belirli amaçları gerçekleştirmek için gerektiği kadar veri alarak işlemeleri demektir. Kaldı ki kanuna baktığımızda; veri sorumlusuna kişisel verilerin korunması yükümlülüğünün yanında mümkün olduğu ölçüde, ihtiyaç duyulan yeterlilikte, veri işlenmesini sağlamak amaçlanmaktadır.
B. Data Minimizasyonunun Kvkk’daki Yeri
Söz konusu ilke; GDPR’da farklı maddelerde zikredilmiştir. Ne var ki Türk Hukukunda doğrudan yer almamaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunun 4. Maddesi kişisel verilerin ‘’işlendikleri amaçla bağlantılı sınırlı ve ölçülü olma’’ ilkesine yer vermekle, veri minimizasyonunun temel anlamını karşılamaktadır.
Şirketlerin, gerçek kişiler hakkında gereğinden fazla kişisel veriye sahip olması; kişiler üzerinde olumsuz sonuçlar doğurabilir. Bu ilke gereği, bir veri işleyicisi/şirket sadece vermekte olduğu hizmet kapsamında gerekli olan bilgiyi kişilerden talep ederek o verileri sistemine işleyebilir. Şirketlerin söz konusu ilkeye aykırı şekilde hareket etmesi durumunda veri sahiplerinin kanun kapsamında kendisine verilen; bilgi alma, verilerin yok edilmesi gibi haklarını kullanabilmesinin yanında; söz konusu aykırılık kapsamında tazminat hakkı dahi gündeme gelebilecektir.
C. Veri Sorumlusu Açısından Önemli Hususlar
Bu noktada altını çizmekte fayda olan bir diğer konu; şirketlerin veri işleme amacından fazla veri işlemesi halinde; bu veri işleme faaliyeti ilgili kişinin yani veri sahibinin açık rızasına dayansa dahi veri minimizasyonu kapsamındaki genel ilkelere uygun hale gelmeyecektir. Dolayısıyla şirketlerin, veri sahibinden ‘’Açık Rıza Formu’’ suretiyle almış olduğu rıza hukuka aykırılığı ortadan kaldırmayacak, ilgili kişinin tazminat hakkı gündeme gelebilecektir.
Konuyu en basit haliyle örneklendirmek gerekirse; bir işyerinde personelin işyerine girişi için parmak izi uygulaması kullanıldığını düşünelim. Ciddi güvenlik önlemleri almayı gerektiren bir durum olmadığı sürece parmak iziyle işyerine giriş uygulaması özel nitelikli kişisel verilerin işlenmesi anlamına gelecektir. Eğer şirket personel girişini kartlı sistem gibi daha az verinin işlendiği bir sistem üzerinden kurmak yerine, özel nitelikli kişisel verilerin işlendiği parmak iziyle giriş uygulamasını kullanıyorsa; data minimizasyonu ilkesine aykırılığın söz konusu olması ve işçinin bu kapsamda tazminat talebinde bulunması kaçınılmazdır.
Özetle herhangi bir hizmet kapsamında veri sahiplerinin kişisel verilerini işleyen veri sorumluları/veri işleyenler; politikalarını yeterli, gerekli ve sınırlı ölçüde veri işleme konusunda güncellemeli; yapılanmalarını kanunun öngördüğü genel ilkelere uygun hale getirmelidir.
KVKK alanındaki tüm Blog yazılarımızı bağlantıdan okuyabilirsiniz.
Hukuk ve Bilişim Dergisi Son Sayı’mızı okumak için bağlantıya tıklayınız.
Yazar: Av. Burçak DALGIÇ
Hukuk ve Bilişim Dergisi ve Blog kısmımızda,
Bilişim Suçları
Blockchain ve Dijital Paralar
Yapay Zekâ ve Robot Hukuku
Elektronik Ticaret Hukuku
İnternet Hukuku
Kişisel Verilerin Korunması Hukuku
Start-Up Hukuku
E-Spor Hukuku
Fikri Mülkiyet Hukuku ve benzer teknoloji hukuku alanlarında yazılar okuyucularımıza sunulmaktadır.