Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler Rehberi
Kişisel Verileri Koruma Kurumu, geçtiğimiz günlerde Kişisel Verilerin İşlenmesine İlişkin Temel İlkeleri güncelledi.
Kişisel verilerin işlenmesine dair temel ilkeler, 6698 sayılı Kanun’un 4. maddesinde düzenlenmiş olup, uluslararası standartlara (108 sayılı Sözleşme ve 95/46/EC sayılı Direktif) uyumlu olarak belirlenmiştir. Bu ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde yer almalı ve bütün işlemler bu esaslara uygun olarak gerçekleştirilmelidir.
1. Hukuka ve Dürüstlük Kurallarına Uygun Olma
Bu ilke, verilerin işlenmesinde kanunlar ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu içerir. Dürüstlük kuralı ise veri sorumlusunun, kişisel veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin makul beklentilerini ve çıkarlarını dikkate almasını gerektirir.
Bu ilkenin sağlanması için dikkat edilmesi gerekenler:
- İlgili kişinin beklemediği sonuçların ortaya çıkmasını önleyici şekilde hareket edilmelidir.
- Söz konusu kişisel veri işleme faaliyetinin ilgili kişi için şeffaf olması ve veri sorumlusunun aydınlatma yükümlülüğüne uygun hareket etmesi gerekir.
- Hukuka uygunluk, genel hukuk normlarına ve evrensel hukuk ilkelerine uygunluğu kapsar.
- Haklı bir gerekçe olmaksızın, ilgili kişinin özel hayatının gizliliğini veya onurunu ihlal edecek şekilde kişisel veri işlenmesi bu ilkeye aykırılık teşkil eder. Örneğin: Özel hayatın gizliliği çerçevesinde makul olmayan kişisel verinin talep edilmesi veya işlenmesi bu ilkeye aykırıdır.
2. Doğru ve Gerektiğinde Güncel Olma
Kişisel verilerin doğru ve güncel bir şekilde tutulması, ilgili kişinin temel hak ve özgürlüklerinin korunması açısından bir zorunluluktur. Veri sorumlusunun bu noktada aktif özen yükümlülüğü bulunmaktadır. Bu yükümlülük, özellikle verilere dayalı olarak ilgili kişiyle ilgili bir sonuç ortaya konuluyorsa (örneğin kredi verme işlemleri) geçerlidir.
Bu ilkenin gereklilikleri şunlardır:
- Veri sorumlusu her zaman ilgili kişinin kişisel verilerinin doğru ve güncel olmasını temin edecek kanalları açık tutmalıdır.
- Güncel olmayan veya yanlış tutulan kişisel veriler nedeniyle kişilerin maddi ve manevi zarar görmesi mümkündür (Örn: Yanlış adrese tebligat gönderilmesi).
- Doğruluk ve güncelliği temin etmek amacıyla:
- Kişisel verilerin elde edildiği kaynaklar belirli olmalı ve kaynağın doğruluğu test edilmelidir.
- Kişisel verilerin doğru olmamasından kaynaklı talepler göz önünde bulundurulmalı ve bu kapsamda makul önlemler alınmalıdır.
3. Belirli, Açık ve Meşru Amaçlar İçin İşlenme
Veri sorumlusu, kişisel veri işleme amacını açık ve kesin olarak belirlemek ve bu amacın meşru olmasını sağlamak zorundadır. Amacın meşru olması, işlenen kişisel verilerin, yapılan iş veya sunulan hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelir.
- Amacın yalnızca veri sorumlusu bakımından bilinmesi veya tahmin edilebilir olması bu ilkeye aykırıdır.
- Bu ilke;
- Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını.
- İşleme faaliyetinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini.
- Amacın belirlilik ve açıklık sağlayacak detayda ortaya konulmasını sağlar.
- Veri sorumluları, ilgili kişiye belirttikleri amaçlar dışında başka amaçlarla kişisel veri işlemeleri halinde sorumlulukları doğacaktır.
4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
İşlenen kişisel verilerin belirlenen amaçların gerçekleştirilmesi için elverişli olması ve amaçla ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması gerekir.
- Kişisel veri, sadece amacın gerçekleştirilmesi için gerekli olan verilerle sınırlı tutulmalıdır.
- Sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme yoluna gidilmemelidir.
- Ölçülülük ilkesi, kişisel veri işleme ile ulaşılmak istenen amaç arasında makul bir dengenin kurulmasıdır. İşlemin, amacı gerçekleştirecek ölçüde olması demektir. Örneğin: Kredi kartı başvurusunda bulunan kişiden sosyal hayatına yönelik tercihler konusunda bilgi talep edilmesi ölçülülük ilkesine aykırılık teşkil edebilir.
5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme
Bu ilke, “amaçla sınırlılık ilkesi”nin bir gereği olarak, kişisel verilerin işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza edilmesi zorunluluğunu getirir.
Saklama sürelerinin belirlenmesi ve yükümlülükler:
- Veri sorumlusu, tabi olduğu ilgili mevzuat kapsamında öngörülmüş bir süre varsa bu süreye uymak zorundadır.
- Mevzuatta bir süre öngörülmemişse, kişisel verileri ancak işlendikleri amaç için gerekli olan süre kadar saklayabilecektir.
- Bir kişisel verinin daha fazla saklanması için geçerli bir sebep bulunmaması halinde, o veri silinecek, yok edilecek ya da anonim hale getirilecektir. İleride tekrar kullanılabileceği düşünülerek muhafaza edilemez.
- Mevzuatta öngörülen saklama süresi, veri sorumlusunun belirlediği süreyi aşıyorsa, bu süre boyunca veriler yalnızca ilgili mevzuattaki saklama yükümlülüğünü yerine getirmek amacıyla muhafaza edilmeli ve başkaca bir şekilde kullanılmamalıdır.
- Belirlenen tüm sürelerin aşılması durumunda, kişisel veriler Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik’e göre işleme tabi tutulmalıdır.
MEB Yapay Zeka İlkeleri’ni özetlediğimiz raporumuzu bağlantıdan okuyabilirsiniz.
Diğer raporlarımızı bağlantıdan okuyabilirsiniz.
Edux Academy’deki “Avukatlar için Yapay Zeka Eğitimi’ne” kaydolmak için bağlantıya tıklayınız.
Rapor Hazırlayan: Av. Ali ERŞİN (LL.M.)
Hukuk ve Bilişim Der. Gen. Koor.
Ankara Barosu’na kayıtlı avukattır. Selçuk Üniversitesi Hukuk Fakültesi’nden 2019 yılında mezun olmuştur. Hukuk ve teknoloji alanlarında çalışmalar yürütmekte olup, Hukuk ve Bilişim Dergisi ile Blog’un genel koordinatörlük ve editörlük görevlerini yürütmektedir. Anadolu Üniversitesi S.B.E. Özel Hukuk Anabilim Dalından “Metaverse Dünyasında Fikri Hakların Korunması” konulu yüksek lisans tezi ile mezun olmuştur.