Kişisel Verilerin İşlenmesine Hakim Olan İlkeler

1. GİRİŞ

İçinde bulunduğumuz 21. yüzyılda iletişimin boyutu ağ üzerinden yürütülmektedir. En fazla altyapıyı sunan İnternet(3),  kullanıcıların milyarlarca izini barındırmaktadır. Başka bir deyişle, gerçek bireylere ait bu verilerin özel sektör ve veri bankaları tarafından muhafazası iletişim teknolojisinin ilerlemesi ile mümkün olmuştur.

 

Dijital iletişim teknolojisinde kişisel veriler, objektif kodların yüklendiği bilgisayarların bireylerin bilgisayarlarının bağlı olduğu makineler üzerinden erişerek geçici veya sürekli kopyalama yapmaktadır. (Topaloğlu, 2005) Gün geçtikçe elde edilen bu verilerin korunması ise karmaşıklaşmaktadır[1].

KVKK yürürlüğe girmeden önce, kişisel verilerin korunmasına dair hükümler bazı kanunlarda yer alsa da iletişim teknolojisinin ilerlemesi ile birlikte etkili olamamıştır. (Ünver, 2008, s. 164) Sınırsız büyüklükteki bilgi bankaları, bireylerin açık ya da gizli bilgilerini toplama, saklama, transfer etme, değiştirme, silme gibi işleyerek kişilik hakları üzerinde baskı unsuru olmaya başlamıştır. (Civelek, 2011, s. 2)

AB’nin kişisel verilerin korunmasına ilişkin 95/46/AT sayılı Veri Koruma Direktifi’ nin 2.maddesinin (b) fıkrasında kişisel verilerin işlenmesi:

‘’Toplama, kaydetme, organize etme, saklama, uyarlama veya değiştirme, geri alma, danışma, kullanma, ileti ile açığa çıkarma, yayma veya başka şekilde mevcut hale getirme, sıraya koyma veya birleştirme, bloke etme, silme veya yük etme gibi otomatik olan veya olmayan araçlarla, kişisel veri üzerinde uygulanan her türden işlem veya işlem dizisi o veriyi işlemektir’’

Kişisel Verilerin Korunması Kanunu ile hem kişisel verileri işleyen gerçek ve tüzel kişilerin hak ve yükümlülükleri ve uyacak usul ve esasları belirlenmiş hem de bireylerin temel hak ve özgürlükleri korunarak verilerin yurt dışına aktarılması kontrol altına alınması amaçlanmıştır. Kısaca, verilerin işlenmesi ve yurt dışına aktarılması KVKK tarafından düzenlenmektedir. Bu amaç ile, bireyin mahremiyetinin korunması, veri güvenliği de sağlanmaktadır.

2. GENEL İLKELER

Kişisel veri konusunda düzenlemelerde özel ( hassas) kişisel veri ile genel kişisel veri şeklinde ikili tasnif yapmaktadır (Akgül, 2013, s. 21) Özel nitelikli kişisel veri işlenmesi hususunda veri işleme sorumlularına hukuki ve teknik olarak daha sıkı yükümlülükler getirilmiştir[2]

Kanun’un 4. maddesinde kişisel verilerin işlenmesine ilişkin usul ve esaslar 108 sayılı Sözleşmeye ve 95/46/EC sayılı Avrupa Birliği Direktifine paralel şekilde düzenlenmiştir (Kişisel Verileri Koruma Kurulu, s. 1) .

Buna göre genel ilkeler:

• Hukuka ve dürüstlük kurallarına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Belirli, açık ve meşru amaçlar için işlenme,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,

Doktrinde, kişisel verilerin korunması konusundaki genel ilkeler: dürüst toplama, asgari amaca bağlılık, sınırlı kullanım, doğruluk, koruma, güvenlik, bireyin katılması ve sorumluluk ilkesi olarak tasnif edilmiştir (Ünver, 2008, s. 129).

Bu ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalıdır ve gerçekleştirilmelidir (https://www.kvkk.gov.tr/Icerik/2049/Kisisel-Verilerin-Islenmesinde-Genel-(Temel)-Ilkeler, 2019).Ek olarak, bu ilkeler tek başına hukuka uygunluk sebebi değildir. Ancak, ilkelere aykırı ilkeler işlenmesi halinde hukuka aykırı veri işleme gündeme gelecektir. Bu nedenle, bu genel ilkelerin her türlü veri işleme faaliyetinde dikkate alınması gerekir (Develioğlu, 2017, s. 44)

2.1  Hukuka ve dürüstlük kurallarına uygun olma

Anayasa’mızın 20(3) hükmüne göre: ‘’Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir’ ’belirtilmiş, yine anayasanın bu hükmüne göre kişisel verileri işlemenin kural olarak yasak olduğu belirtilmiştir. Ancak, verinin işlenmesi ‘’açık rıza’’ veya bunun dışında kanunlarda işlemenin açık bir şekilde izin verildiği hukuka uygunluk sebeplerinden birisi kapsamında işlenmesi halinde veri işleme hukuka uygun hale gelir (Develioğlu, 2017, s. 51)

Kişisel verilerin işlenmesinde hukuka uygunluk, KVKK’ nın 5. ve 6. Madde hükümlerine uygun veri işlemelerde geçerlidir. Yine bu maddelerin hükümlerinde, tüzükten farklı olarak işlemenin hukuka uygun olduğu hallerin düzenlendiği belirtilmemiştir (Yücedağ, Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler, 2019, s. 49)  Ayrıca 4. maddeye göre de genel ilkelere de uygunluk aranmaktadır.

Tüzük m.5(1)(a) hükmüne göre, bu kurallar, adil ve yasalara uygun uygulanmalıdır (Civelek, 2011, s. 76). Öte yandan, KVKK’da şeffaflık ilkesi ayrıca belirtilmediğinden, adil olarak işlemenin bir görünümü olarak ortaya çıkan şeffaflık ilkesi, KVKK kapsamında ele alınmalıdır (Develioğlu, 2017)Şayet bu ilkeler kanuna, ultra vires’e ve sır saklama yükümlülüğüne aykırı işleniyorsa, bu hukuka aykırı işlemedir (Jay, 2003, s. 150)

Diğer ilkeleri de kapsayıcı özelliği bulunmasıyla birlikte, ağ üzerindeki aktörlerin dürüstlük kuralına uygun hareket etme ve yükümlülüklerine uygun bir şekilde işleme faaliyetinde bulunup bulunmadığına, veri sahibinin menfaatlerini ve beklentilerini gözetmeyi gerektirirken; hukukun normlarına ve evrensel hukuk kurallarına uygunluğu da şart koşmaktadır (Öngün). Bu ilke, veri sorumlularının verileri işlerken ‘’adil olma ve adil davranmakla’’ ilgili yükümlülüğüne yönelik düzenlemedir. Bu ilke ‘’haklı menfaatler’’ ile ‘’haklı beklenti’’ arasında denge kurmayı hedefler (Çekin, 2018, s. 45).

2.2  Doğru ve Gerektiğinde Güncel Olma

KVKK m4(2) nin (b) bendine göre, kişisel verilerin doğru ve gerektiğinde güncel olması genel ilkesine göre işlenmelidir. Kişisel verilerin doğru ve güncel olması hem veri sorumlusunu hem de veri sahibinin temel hak ve özgürlüklerini koruma altına almaktadır. Bundan ötürü ilgili kişinin verilerinin düzeltilmesi hakkı da sabit olduğu gibi veri sorumlusu da azami önem yükümlülüğü altındadır. Bu hakların kullanılmasını kolaylaştırmak için veri sorumluları siciline kayıt mecburi hale getirilmiştir (Ünsal Zeybek Çağrı, 2013, s. 3(1))

Kişilerin maddi ve manevi zarara uğramaması için; verilerin elde edildiği kaynakların kontrol edilebilir ve belirli olması, itirazlar göz önünde bulundurulabilmeli ve makul önlemler alınabilmelidir. (Kişisel Verileri Koruma Kurumu, s. 6) Lakin, Tüzük m.5(1)(d) den farklı olarak KVKK m4(2)(b) bendinde doğru olmayan kişisel verilerin gecikmeye mahal vermeden silinmesi veya düzeltilmesinin sağlanmasıyla ilgili tüm makul adımların atılması gerektiği açıkça düzenlenmemiştir. (Yücedağ, Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler, 2019, s. 51)

Veri sorumlusunun veriyi, güncel ve doğru tutması yükümlülüğü, onun sürekli olarak ilgili kişinin durumunu araştırmasını gerektirmez (Küzeci, 2010, s. 214) Hem Türk Hukuku’nda hem Kişisel Verilerin Korunması Kanunu’nda hem de Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkındaki Yönetmelik’te aksi belirtilmemiştir. Ancak burada eklemek gerekir ki, yanlış veya eksik veriler kişiyi ağır olumsuz etki altında bırakacak koşullar oluşturur ise; veri sorumlularının periyodik olarak verilerin doğruluğunu ve güncelliğini kontrol etmeleri gerekir.

2.3  Belirli, Açık ve Meşru Amaçlar İçin İşlenme

Bu ilkeye göre, verilerin rızası alınmış amaçla ilintili belirli, meşru ve açık olması gerekmektedir. Yani;

• Kişi tarafından veri işleme faaliyeti anlaşılır derecede açık olmalı,
• Hukuki işlem şartına dayalı olduğunun tespit edilebilmesi,
• Amacın belirliliğini sağlayacak detayların ortaya konulması gereklidir.

Verileri işleme amacının, veri toplama zamanında belirli olması şarttır. Yani verinin işlenmesindeki amaçlar aslında işleme faaliyetinin varlık sebebini oluşturmaktadır. Mevcut durumda bilinmeyen veya gelecekte belirebilecek bir amaç için veri işlenemez, hukuka aykırı olarak kabul edilir. Yeni bir amaçla verinin işlenebilmesi için de muhakkak yeni bir rızanın alınmış olması gerekir.

Bu ilkenin meşru olma özelliğinden dolayı, veri sorumlusu ilgili kişiye belirttiği amaçlar dışında işleme yapmaması yönünden sorumludur. Meşruluk, amacın veri sorumlusunun sunmuş olduğu iş veya hizmetle bağlantılı ve bunlar için gerekli olmasıdır. Dürüstlük ilkesiyle de yakın ilintili olan bu ilkenin belirlediği çerçevede veri sorumlusu, hassasiyet göstermeli ve hukuki ve teknik terminolojiyi kullanmaktan kaçınmalıdır.

2.4  İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Bu ilkenin diğer bilinen isimleri: Veri ekonomisi, minimizasyon, verilerin asgarileştirilmesidir. En az sayıda kişisel verinin amacı ile yetinerek veriyi işleyecek sorumlu kişi tarafından işlenmesi demektir. Veri sorumlusu, kendisine faydalı ve amacına uygun olduğu en optimum süre boyunca kişilerin verilerini elinde tutmalı aksi taktirde silmeli ve yok etmelidir.

Tüzük m.(5)(1)( c) bendine göre veri minimizasyonu gereği verinin yeterli, ilgili ve gerekli olanla sınırlı olma tespiti, verinin işlendiği belirli, açık, meşru amaç dikkate alınarak yapılacaktır (Yücedağ, 2019, s. 59)

Sınırlılık ilkesi gereği, kişisel veriler salt amacın gerçekleştirilmesine yönelik veri işlemesine tabi tutulmaktadır. Gerekli olan dışında veri kullanılır ve işlenir ise; sınırlılık ilkesi ihlal edilmiş sayılmaktadır.

İlkenin diğer bir özelliğine göre, amaç için gerekli olan araçlar şayet kişilerin verilerinden farklı elde ediliyor ise öncelik bu araçlarda olmalıdır. Bununla birlikte bu araçlar kişisel verilerin korunması hedeflenen temel hak ve özgürlüklere hiç veya daha az müdahale ediyorsa yine bunların tercih edilmesi icap eder (Çekin, 6698 Sayılı Kişisel Verilerin Korunması Kanunu, 2018, s. 53) Diğer bir ifade ile, ilgili kişinin kişisel verilerinin korunması hakkında en az müdahale edecek yöntemin seçilmesi gerekir (Şimşek, 2008, s. 99).

Ölçülülük ilkesi, amaç ile veri işleme arasında denge kurulmasıdır. Bu ölçülülük ilkesine göre, işte bu noktada meydana gelir. Bütün bu özelliklerinden ötürü bu ilkeye göre, verinin işlenmesi amacına uyumlu, sınırlı ve ölçülü olması gereklidir. Amaçla ilgili olmayan veri işlenmesi bu ilkeye aykırı hareket etmektir.

2.5  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Kişisel verileri muhafaza etme süresi mevzuatta özel olarak belirlenmiştir. Tüzük m.(17)(1)(a) hükmüne göre, amacını tamamlamış verinin, sorumlu tarafından da veriyi geciktirmeden silmesi veya anonimleştirmesi oldukça önemli ve zaruridir. KVKK nın 7.maddesinde, “verinin elde edilmesindeki amaç gerçekleşmesinden sonra eğer saklanma konusunda bir kanuni mecburiyet bulunmuyorsa kişisel verilerin imha edilmesi ihtiza eder” denilmektedir.

Bu ilkeye göre, mevzuatta veri alınırken azami muhafaza edilme süresi öngörülebilir, ön görülmemişse bu amaçla ilgili gerekli azami işleme süresi dikkate alınır. Veri sorumlusu bu durumda işlediği amaçla sınırlı olan bu süreyle muhafaza edebilir (Akgül, 2013, s. 49).Yine KVKK nın 16. Maddesine göre, sorumlu sicile kayıt için başvuru yaparken işledikleri amaçla ilgili olan azami süreyi Veri Sorumluları Sicili Hakkında Yönetmeliğin 9. maddesini göz önünde bulundurarak tespit etmek ve bu süreyi bildirmekle yükümlüdür. Bu azami süre, verinin mevcut ve gelecekteki değeri, veriyi muhafaza etmeye veya güncellemeye devam etmesi halinde bulan maliyet, risk ve sorumluluk gibi faktörlerin dikkate alınarak belirlenmesi gerekir (Akgül, 2013, s. 156)

Yukarıda açıkladığımız ilkeler dışında KVKK m.9f.I da belirtildiği üzere, kişisel verilere ilgili kişinin açık rızası olmadan başka bir ülkeye aktarılamaz. Aktarılma koşulu ise; yeterli korumanın bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve kurul izin kaydı ile birlikte olmasıdır. Bu durumda ‘açık rıza’ aranmaz.

3. SONUÇ

İçinde bulunduğumuz bilgi teknolojisinin yoğun şekilde tercih edilmesi, global ölçekte alışveriş siteleri başta olmak üzere sosyal medya platformlarında bırakılan açık-gizli kişisel veriler ve arka plan izleri, açık rızaları olmadan kullanılmaları durumunda; kişileri riske sokabilmektedir. Bu nedenle, kişisel verilerin hukuken korunması bir zorunluluk haline gelmiştir (Elif Küzeci, 2019, s. 11).Anayasa Mahkemesinin 9 Nisan 2014 tarihli E:2013/122, K:2014/74 sayılı kararında: ‘’Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçladığı tespit edilerek, ‘’kişisel verilerin ticari işletmeler için kıymetli bir varlık niteliği kazanması neticesinde, özel sektör unsurlarınca yaratılan risklerin daha yaygın ve önemli boyutlara ulaşması ve terör ve suç örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması gibi etkenler’’ sebebiyle kişisel verilerin geçmişte olduğundan çok daha fazla korunmaya muhtaç olduğu ifade edilmiştir (Polat, 2018)

Ülkemizde yasal mevzuat çalışmalarında ‘Avrupa Birliği Veri Koruma Direktifi 95/46/EC’’ dan esinlenilmiş ve özellikle e-devlet ve e-ticaret uygulamalarında ciddiyetle uygulanmıştır. Hukuka uygun olma şartı gereği, kişiden alınması gereken rıza, özgür iradeyle, açık, hiçbir tereddüde yer vermeyecek şekilde açık olmak kaydıyla sözlü, yazılı veya elektronik ortamda alınabilir (Arslan, 2011, s. 31-61). Bir görüşe göre, şüpheye yer bırakmayacak şekilde veri sahibinin iradesini ortaya koyan örtülü beyan rıza olarak kabule yeterlidir (Küzeci, 2010, s. 222) Başka bir görüşe göre ise, örtülü beyanın açık rıza kabulü mümkün değildir (Taştan, 2017, s. 156)

KVKK ‘nın 4. maddesinde düzenlenen genel ilkelere göre veri işleme, hukuka ve dürüstlük kuralına uygun olma, doğru ve güncel olması, işlenme amacı ile bağlantılı olacak şekilde sınırlı ve ölçülü olması, ilintili mevzuatta belirtilen azami süreyi aşmayacak sınırlı süre kadar muhafaza edilmesi kurallarına uygun şekilde yerine getirilmelidir.

Hukuka uygun olma ilkesi, kişisel verilerin işlenmesi sırasında hukuki düzenlemelerle geliştirilen ilkelere uygun hareket edilmesini ifade etmektedir. Dürüstlük ilkesi, ilgili kişiye şeffaf ve açık şekilde bilgi vermeden kişisel verilerinin toplanmaması ve işlenmemesi; kişiyi risk altına sokacak amaçlar için kullanılmamasıdır. Kişilerin verilerinin doğru ve güncel olması ilkesi, hem kişinin temel hak ve özgürlüklerini korumakta hem de ver işleme sorumlusuna özen yükümlülüğü yüklemektedir. Kişilerin maddi ve manevi zarara girmemesi için veri sorumlusu kişisel bilgilerin doğru ve güncel olmasını temin edecek kanalları açık tutması gereklidir. Kişisel verilerin belirli, açık ve meşru olma ilkesi, veri işlemenin hukuka uygun olarak gerçekleştirilmesi noktasında önem taşımaktadır.

Amacın meşru olma ilkesi, veri sorumlusunun veri işleme işinin, yaptığı iş veya hizmet ile birebir ilişkili olması şartını ifade etmektedir. Amaçla sınırlılık, kişisel verilerin farklı amaçlar için de kullanılmasını olanaksızlaştıran önemli bir ilkedir. Kişilerin verileri, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olacak şekilde gerektiği zaman kullanılmalıdır. Muhafaza etme zorunluluğuna göre, kişisel veriler ancak işlendikleri amaç için belirlenmiş süre içinde muhafaza edilebilmektedir. Veri sorumlusu, KVKK 16.madde uyarınca Veri Sorumluları Siciline kayıt başvurusu sırasında amaç için gerekli azami süreyi bildirmek durumundadır. Aksi durumda mevzuatta belirtilmiş süre ile sınırlı olacaktır.

---

[1] Sarıhan’a göre (1995: 10) ‘’İnternet’’ kelimesi özel isim olduğundan ilk harfi büyük yazılmalıdır. Eğer küçük harfle yazılırsa birden çok büyük ağı birleştiren bağlantıları ifade etmektedir.

[2] Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarih 2018/10 sayılı Kararı (2018) T.C. Resmi Gazete,30353,07 Mart 2018