KVKK ve GDPR Arasında Kişisel Verilerin İşlenmesine İlişkin Genel İlkelerin Kıyası

6698 Sayılı Kişisel Verileri Koruma Kanununda Yer Alan Genel İlkeler

1. Dürüstlük Kurallarına Ve Hukuka Uyma İlkesi

TMK m.2’de anıldığı üzere “ Herkes, haklarını kullanırken ve borçlarını yerine getirirken dürüstlük kurallarına uymak zorundadır.” bu bağlamda söz konusu ilke sadece kişisel verilerin korunması hukukunda değil, hukukun en temel ilkelerinden birisidir. Kuralın içeriği açıklanırken objektif özen yükümlülüğü göz önünde bulundurulmalıdır. Yani orta zekalı, makul ve mantıklı bir bireyin aynı işi yaparken göstereceği özen oranına göre değerlendirme yapılmalıdır. Aslında diğer dört ilkeyi kapsayıcı bir ilke olduğundan bahsetmemiz mümkündür. Çünkü, diğer dört ilkenin ihlal edildiği durumda bu ilke de ihlal edilmiş olacaktır. Zira diğer dört ilkeden herhangi birine aykırı bir veri işleme söz konusuysa KVKK m.4 ihlal edilmiş olacaktır. KVKK m.4’ün ihlali de hukuka aykırılık oluşturacağı için “hukuka uygun olma ilkesinin” de ihlaline sebep olacaktır1. (KVKK ve GDPR)

Kişisel verilerin işlenmesi, kişinin temel haklarına müdahale edilmesi anlamına gelir ve bu müdahalenin dürüst ve hukuka uygun kabul edilebilmesi için, Anayasanın temel hak ve özgürlüklerin kısıtlanmasıyla ilgili düzenlemelerine uygun olması zorunludur 2 . Dürüstlük kuralının gereği olarak ilgili kişinin çıkarı göz önüne alın haksızlık oluşturacak şekilde kullanılmamalıdır. Ayrıca dürüstlükten bahsedebilmemiz için veri işlemenin açık, belirli ve şeffaf olması gerekmektedir.

Veri haddinden fazla, amacı dışında toplanamaz. Ve veri işleme amacının sona ermesiyle beraber veriler silinmeli, yok edilmeli ya da anonimleştirilmelidir. Bu konuyla ilgili somut bir süre bulunmamaktadır.

2. Doğru Ve Gerektiğinde Güncel Olma İlkesi

Kişisel veri tanımını yaparken gerçek kişiyi tanımlayan ya da tanımlama imkanı sağlayan veriler olduğundan bahsetmiştik. Eğer bir veri doğru ve güncel değilse bize bu tanımlamayı sağlama imkanı mümkün olamayacaktır. Bu sebeple ilgili veri doğru ve gerektiğinde güncel olmalıdır ki gerçek kişiye ulaşmamızda yardımcı olsun. Kişisel verilerin doğru ve güncel bir şekilde tutulması, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gereklidir3.

İlkede yer alan ‘gerektiğinde’ güncel olma ifadesi dikkatimizi çekmesi gereken bir husustur; güncel olmak için ‘gerektiğinde’ ifadesi kullanılarak zamansal bir belirtme varken, doğru olma hususunda böyle bir ifade bulunmamaktadır4. Örneğin, Asgari Geçim İndirimi (AGİ) hesaplanırken çocuk sayısının ve eşin çalışma durumunun güncel olması AGİ’nin doğru hesaplanması ve kişinin ekonomik çıkarları açısından önemlidir541.

Bu ilke, KVKK m.11’de yer alan, ilgili kişinin verilerinin düzeltilmesini isteme hakkının bir yansımasıdır. Hayatın akışına da uygun olarak kişi verilerinin doğru ve güncel olmadığı noktalarda başvuru yaparak verilerinin düzeltilmesini isteyebilir.

Verinin doğruluğu noktasında verinin nasıl elde edildiği önemli bir noktadır. Şayet veri ilgili kişi tarafından bizzat veriliyorsa, bu durumda veri sorumlusunu sorumlu tutmak hakkaniyete uygun bir davranış olmaz. Verinin bizzat ilgili kişiden alındığı durumlarda veri sorumlusuna bilginin doğruluğunu araştırması konusunda bir yükümlülük yüklemek de veri sorumlusu açısından ciddi bir iş yükü oluşturmakla beraber gerçek hayatta uygulanması pek mümkün bir durum olmayacaktır. Bu noktada veri sorumlusunun üzerine düşen; ilgili kişiye kişisel verilerini kontrol etme, silme veya düzeltme yapmasına olanak sağlamasıdır.

3. Belirli, Açık ve Meşru Amaçlar İçin İşlenme İlkesi

Bu ilkenin gereği gibi yerine getirilebilmesi için öncelikle işleme faaliyetinin niteliği ve işlemenin amacı ilgili kişiye açık, net ve şeffaf , teknik-terminolojik dil kullanmadan açıklanmalıdır. Veri sorumlusu, veri işleme faaliyetinin dayandığı sebebi veri sahibine açıklamalıdır. Açıklama, muğlak ifadelerden uzak olup, hitap edilen kesimin anlayabileceği bir seviyede olmalıdır.

Elbette burada dayanılan sebep meşru bir sebep olmalıdır. Amacın meşru olması; işlenen kişisel verinin, veri sorumlusunun yaptığı iş veya sunduğu hizmetle bağlantılı ve bunlar için

gerekli olması anlamına gelmektedir6. Örneğin, bir hukuk sempozyumuna kayıt olurken ad-soy ad, telefon numarasının istenmesi normalken; cinsel yönelimin sorulması meşru amaç dışı bir hareket oluşturur.

Açıklanan amaç veri işleme faaliyetinin her adımı için geçerli olmalıdır. Aksi halde veri sorumlularının, ilgili kişiye belirttikleri amaçlar dışında, başka amaçlarla veri işlemeleri halinde, bu fiillerinden dolayı sorumlulukları doğacaktır.

Verilerin, toplanma amacı dışında bir amaç için kullanılması da bu ilkenin ihlali anlamına gelmektedir. Eğer toplanılan bu veri başka bir amaç için de kullanılacaksa veri sahibinden yeni amaç izin rıza alınması gerekir.

Veri sorumlusunun, veri sahibini önceden veri işleme amacı hakkında aydınlattığı; veri sahibinin de buna onay verdiği; ancak veri işlemenin veri sorumlusunun faaliyetleriyle örtüşmediği noktada da amacın meşru olduğundan bahsedemeyiz. Örneğin; üyelik sistemiyle çalışan bir spor salonuna üye olurken sağlık bilgileriyle beraber dini bilgilerin de istenmesi durumunda ilgili kişi aydınlatılsa bile meşru amaçtan söz edilemez. Çünkü dini bilgiler veri sorumlusunun faaliyetiyle yani spor salonuyla bağlantılı bir veri değildir.

4. Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi

Veri işlemenin yeterli, ilgili ve işleme araçlarına göre gerekli olanlarla sınırlandırılması, veri işlemenin mutlak bir asgari seviyeye indirilmesi değil veri toplama amaçlarına uygun bir seviyeye indirilmesi yükümlülüğüdür7.

Bu ilkenin gereği gibi yerine getirilebilmesi için ilk adımda amaç ve kişisel verinin niteliği birbiriyle uyumlu olmalıdır. Gelecekte ortaya çıkması muhtemel bir durum için kişisel veri toplanamaz. İkinci olarak işlemeye tabi veriler belirlenen amaçla sınırlanmalıdır. Yani ‘fazla bilgiden zarar gelmez’ sözü burada zıddıyla hayat buluyor. Son adımda ise işlenen veri miktarı, belirlenen amaç için yeterli olan seviyede tutulmasıdır.

Ölçülülük ilkesi her somut olay için ayrı ayrı incelenmesi gereken bir ilkedir. Zira ölçülülük ilkesinin her olayda tek tek incelendiği kazuistik bir kanun düzenlemek gereksiz iş yükü yaratmaktan başka bir şey ifade etmez. Bu noktada Kanun’da yer alan çerçeve düzenleme kanımızca fazlasıyla yerinde olmuştur. KVKK’nın lafzındaki ölçülülük ifadesi, “yeterli”, “ilgili” ve “gerekli olanla sınırlı olma” koşullarının hepsini kapsayacak şekilde yorumlanmalıdır8.

En başta işleme faaliyeti için rızanın alındığı belirli amaç dışında yeni bir veri işleme amacı doğduğu vakit verilerin ilk işleme faaliyeti gerçekleştirilmeden önce gerçekleştirilen adımların tekrarlanması gerekmektedir. İşlenecek kişisel verilerin değişmesi şart değildir; burada değişen işleme faaliyetinin amacıdır.

4. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi

Bu ilke gereğince veri sorumlusu ilk olarak ilgili mevzuata giderek gerekli verilerin saklanması için bir süre belirtilmiş mi, ona bakmalıdır. Eğer bir süre belirtilmişse bu süreye uyulur. Sürenin belirtilmediği durumlarda ise verinin işlendiği amaç için gerekli olan süre kadar muhafaza gerçekleştirilmelidir. İleride işe yarama ihtimaline karşı veya başka bir amaçla verileri muhafaza etmek yoluna gidilemez. Bu ilke kapsamında veri sorumlusu imha politikaları gibi teknik ve idari konulara da çözüm bulmakla da yükümlüdür.

Ayrıca veri sorumlusu, Kanunun 16. maddesi uyarınca sicile kayıt için başvuru yaparken kişisel verilerin işlenme amacı için gerekli azami süreyi Veri Sorumluları Sicili Hakkında Yönetmeliğin 9. maddesini göz önünde bulundurarak tespit etmek ve bu süreyi bildirmek zorundadır. Veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi öngörülmüşse öngörülen bu süre; yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılır9.

Bu ilkenin sınırları içinde unutulma hakkını ve veri minimizasyonu ilkesini de bulunmaktadır. “Unutulma hakkı” gereği verilerin sınırsız süre tutulmaması gerekir. Zira her kişi, unutulma hakkına sahiptir. Ayrıca verilerin tutulması gerekli olan süre geçince artık saklanmaması tutulan veri sayısını azaltacağından “veri minimizasyonu” ilkesinin de gerçekleşmesini sağlayacaktır10.

GDPR’da Yer Alan Genel İlkeler

İlkelere geçmeden önce bu ilkelerden ve anlaştığı işleyicilerin faaliyetlerinden sorumlu kişinin kontrolör olduğunu belirtmeliyim.

1. Hukuka Uygunluk, Adalet ve Şeffaflık İlkesi

Hukuka uygunluk, adalet ve şeffaflık kavramları ayrı ilkeler olsalar da birbiriyle bağlantılı ve tek bir ilke görünümünü alacak kadar birbirleriyle iç içe geçmiş ilkelerdir. Şeffaflığın ya da hukuka uygunluğun bulunmadığı yerde adaletten söz edilemez.

Hukuka uygunluktan kasıt, GDPR, ulusal mevzuat ve diğer bağlayıcı hukuk normlarına bir aykırılığın olmaması gerektiğidir. Hukuka uygun veri işlemeden söz edebilmek için ilgili kişinin rızasının alınmış olması gerekmektedir ya da Tüzük’de söz konusu diğer hukuka uygunluk sebeplerinden birinin bulunması gerekir. GDPR, hukuka uygunluk ilkesini madde altıda düzenlemiştir. Madde altıya göre ilgili kişinin rızasının alınması dışında şu hallerde hukuka uygunluk söz konusudur;

  • Veri sahibinin taraf olduğu bir sözleşmenin uygulanması veya bir sözleşme yapılmadan önce veri sahibinin talebiyle adımlar atılması için,
  • Veri sorumlusunun tabi olduğu bir yasal yükümlülüğe uygunluk sağlanması amacı ile,
    • Veri sahibinin veya başka bir gerçek kişinin hayati menfaatlerinin korunması amacı ile,
  • Kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya veri sorumlusuna verilen resmi bir yetkinin uygulanması hususunda,
    • Özellikle veri sahibinin çocuk olması halinde veri sahibinin kişisel verilerin korunmasını gerektiren menfaatleri veya temel hakları ve özgürlüklerinin bir veri sorumlusu veya üçüncü bir kişi tarafından gözetilen meşru menfaatlere ağır basması haricinde, söz konusu menfaatler doğrultusunda11.

Bu ilke kapsamındaki diğer bir kavram olan adillik. Ne kadar GDPR içinde doğrudan bir atıf olmasa da öğretide “adillik”in “farkındalık”a atıf yaptığı kabul edilmektedir. Diğer bir deyişle veri sahibi, kişisel verileri üzerinde yürütülen işleme faaliyetlerine dair bir farkındalığa sahip olmalıdır12. İşleme faaliyeti gizli olarak gerçekleştirilmemeli, veri sahibi karşılaşabileceği olası risklere karşı bilgilendirilmelidir.

Şeffaflık ise ilk defa GDPR ile düzenlenmiş bir ilkedir. Bu ilke kapsamında veri sorumlusu, ilgili kişiyle Tüzük md.13-14’ yer alan bilgileri paylaşmalıdır. İşleme faaliyeti öncesinde bilgilendirmenin yanında süreç boyunca veri sahibinin talebi doğrultusunda veri sahibini bilgilendirmesi ve gerekli durumda veri sahibinin verisine ulaşmasını sağlamak da yer almaktadır.

2. Amacın Sınırlandırılması İlkesi

Amacın sınırlandırılması ilkesi, veri sahibinin basit ve anlaşılır bir dille bilgilendirildiği açık ve meşru amaç doğrultusundan ayrılmadan veri işleme faaliyetinin gerçekleştirilmesi gerektiğini vurgulayan ilkedir. GDPR’a uygun bir işlemeden bahsedebilmemiz için bu verilerin işlenmelerinin amacı en başta toplanma anındaki amaç ile aynı olmalıdır. Sonradan ortaya çıkan yeni bir amaç doğrultusunda kullanılacak kişisel verinin değişmesi şart değildir, burada değişen işleme amacıdır. İlk amaç için en başta uygulanan şartlar, yeni amaç doğduktan sonra da tekrar uygulanmalıdır.

Amaç, kişisel verilerin toplanması anına kadar belirlenmiş olmalıdır ki veri sahibi muğlak ifadelere yer verilmeden bilgilendirilsin. Gelecekte gerçekleşme ihtimali bulunan olası bir durum amaç kabul edilmez. Olası bir duruma dayanılarak kişisel veri işleme faaliyeti gerçekleştirilemez.

Ayrıca GDPR m.89/1’de öngörülen önlemlerin alınmış olması koşuluyla, kamu yararı, bilimsel veya tarihi araştırma ya da istatistiksel amaçlarla yapılacak sonraki işlemelerin, ilk amaçla uyumsuz sayılmayacağı şeklinde bir istisna hali düzenlenmiştir13.

3. Verilerin En Az Seviyeye İndirilmesi İlkesi

Veri minimizasyonu ilkesi olarak da anılan bir ilkedir. Bu ilke gereğince kişisel veriler amaca uygun, yeterli olarak, amacın gerektirdiği ölçüde toplanmalı; amacın sınırlarını aşan toplama faaliyetleri gerçekleştirilmemelidir. İşleyici, işleme faaliyetini gerçekleştirirken kontrolörle yaptığı anlaşmada belirtilen amaç doğrultusunda veriyi en az seviyede toplamalıdır.

Veri minimizasyonu ilkesine göre veri sorumlusunun yükümlülüğü veri işlemesini minimumda tutmaktan ziyade, veri toplanmasını işleme amaçlarını göz önüne alarak yeterli olan ölçüde sınırlandırmaktır14.Bu ilke kontrolör niteliğindeki sosyal medya şirketleri açısından dikkat edilmesi gereken bir noktadır. Keza Facebook, Instagram gibi mecralarda kayıt sırasında doğum tarihi, doğum yeri, yaşadığı yer, çalıştığı yer gibi verilerin alınması sırasında ilgili kişi alınan veriler, bu verilerin hangi amaçlarla alındığı gibi konularda açık ve net bir şekilde bilgilendirilmeli ve rızası alınmalıdır.

Kamusal alanlarda güvenliğin sağlanması gibi nedenler de bu ilkenin ihlaline gerekçe oluşturmaz. Örneğin, toplu taşıma araçlarını kullanacak kişilerden parmak izi alınması bu ilkeye aykırıdır15.

4. Doğru ve Gerektiğinde Güncel Olma İlkesi

Bu ilkenin amacı yanlış veri işleme faaliyetinin önüne geçerek hem veri sahibini korumak hem de kontrolörün istediği sonuçlara doğru ulaşmasını sağlamaktır. Doğru olmayan kişisel veriler işlenme amacı da göz önünde bulundurularak gecikmeksizin silinmeli ya da düzeltilmelidirler. Yanlış tutulan kişisel veriler, ilgili kişilerin temel hak ve özgürlüklerine, ekonomik menfaatlerine ve manevi bütünlüklerine zarar verebilir16.

GDPR md.16’da yer alan ‘düzeltme hakkı’ bu ilkenin doğal bir sonucu niteliğindedir. Düzeltme hakkı kapsamında veri sahibi kendisine ait kişisel verilerin yanlış olduğunu fark ettiği noktada kontrolörden bu verinin düzeltilmesini istemek olarak açıklanabilir. Ancak bakıldığı zaman bu durumunda istisnaları mevcuttur. Bazı hallerde verilerin “güncellenmesi” yahut “düzeltilmesi” yasaklanmıştır. Bu veriler genelde sağlık verileri gibi geçmişte bir noktanın kaydını tutma amacıyla saklanmaktadırlar. Örneğin hasta geçmişinizden önceden geçirdiğiniz bir hastalığın silinmesini/sağlık geçmişi verilerinizin düzeltilmesini talep edemezsiniz17.

Verilerin ilk defa elde edilme aşamasında kişisel veri doğrudan veri sahibinden temin ediliyorsa bu verinin, kontrolör tarafından gerekli özen gösterilerek toplandıysa doğru kabul edilmelidir. Örneğin, hastaneye acilden giriş yapıldığı zaman öncelikle hastaya kullandığı ilaç, kronik bir rahatsızlığının, alerjisinin olduğu bir şey olup olmadığı gibi sorular sorularak tedavi bu yönde devam ettirilir.

5. Saklama Süresinin Sınırlandırılması İlkesi

Saklama süresinin sınırlandırılması ilkesi gereğince işleme faaliyetine tabi olan kişisel verilerin amacı tamamlandıktan sonra silinmeli, yok edilmeli ya da anonimleştirilmelidir. Bu ilke kapsamında korunan veri sahibinin kimliğinin belirlenmesine olanak sağlayan veriler yani anonimleştirilmemiş verilerdir. Bu ilke, amacın sınırlanması ve veri minimizasyonu ilkeleriyle de yakından ilgilidir.

Asıl sorun yaratan nokta ise bu sürenin belirlenmesidir. Dergi abonelikleri gibi durumlarda verinin saklanma süresi daha kolay belirlenebilirken; Google Maps’in konum verilerimizi ne süreyle sakladığı hususunda süre belirlemek çok daha zordur. Böyle durumlarla karşılaşıldığında güçlük yaşanmaması için, hangi verilerin hangi amaçlarla ne kadar süre saklanabileceğine ilişkin bir veri saklama politikası (“data retention policy”) geliştirilmesi mümkündür18.

Ancak GDPR m.89/1’de öngörülen önlemlerin alınmış olması koşuluyla, kamu yararı, bilimsel veya tarihi araştırma ya da istatistiksel amaçlarla yapılacak sonraki işlemelerin istisna olarak düzenlendiği de unutulmamalıdır.

6. Bütünlük ve Gizlilik İlkesi

Bütünlük ve gizlilik ilkesi gereğince hem işleme yönteminin belirlenmesinde hem de işleme faaliyeti esnasında, veri koruma ilkelerinin etkili bir şekilde uygulanması ve GDPR’ın gerekliliklerinin yerine getirilmesine yönelik olarak, yetkisiz veya yasa dışı işlemeye karşı ve kazara kayba, imhaya veya tahribe karşı koruma da dahil olmak üzere, gerekli güvencelerin entegre edilmesi amacı ile tasarlanan, uygun teknik ve düzenlemeye ilişkin tedbirler uygulamalı ve veri sahiplerinin haklarını korumalıdır19.

Bu ilkeyi yerine getirmek amacıyla alınabilecek önlemlere örnek olarak verinin psödonimleştirilmesi, şifrelenmesi ve mevcut önlemlerin yeterli olup olmadığının düzenli olarak kontrol edilmesi verilebilir20.

7. Hesap Verebilirlik İlkesi

Kontrolör, GDPR’da belirtilen yükümlülüklere uymasının yanında bu yükümlülüklere uyduğunu kanıtlayabilmelidir. Hesap verebilirlik ilkesinin yansımasının ispat yükünün kontrolöre düşmesi olduğunu söyleyebiliriz. Bu kapsamda kontrolör yaptığı tüm işlemleri kayıt altına almalıdır.

GDPR bu ilkenin somut karşılığı olarak gerekli kriterleri taşıyan kontrolörler için özerk bir veri koruma görevlisi istihdam etme ve dokümantasyon zorunluluğu bulundurmaktadır21.

Her ne kadar madde 5 yalnızca kontrolörün hesap verme yükümlülüğünü ele alsa da işleyiciler de hesap verme yükümlülüğüne sahiptirler. Zira yukarıda izah edilen yükümlülüklerin çoğu hem kontrolör hem de işleyiciyi kapsamaktadır22.

KVKK Ve GDPR Kapsamında Yer Alan Veri İşleme İlkelerinin Kıyaslanması

KVKK’nın ‘hukuka ve dürüstlük kurallarına uygun olma’ ilkesi olarak düzenlediği ilkenin benzer şekli GDPR’da ‘hukuka uygunluk, adalet ve şeffaflık’ olarak yer almaktadır. Öncelikle KVKK’da yer alan düzenleme kapsamında bir işlemenin dürüstlük kurallarına uygun olması için içinde açıklık, belirlilik ve şeffaflığın da bulunması gerektiğini yukarıda ifade etmiş bulunmaktayız. Bu açıdan bakıldığında adalet, dürüstlük ve şeffaflık kavramlarının iç içe geçtiğini görmekteyiz. Nitekim açıklamalardan da anlaşılacağı üzere bu iki farklı düzenlemede yer alan ilkeler birbirlerine paralel olarak hüküm altına alınmışlardır.

KVKK’da ‘doğru ve gerektiğinde güncel olma ilkesi’; GDPR’da ‘doğruluk’ başlıklı m.5/1/d’de düzenlenmektedir. İlke GDPR kapsamında ‘doğruluk’ başlığıyla düzenlenmekle beraber içeriğinde güncel olmayı da hüküm altına almıştır. Keza yukarıda değindiğimiz üzere ilkelerin amacına bakıldığında sağlanmak istenen şey aynıdır. Veri doğru ve güncel olmalıdır ki bizi veri sahibi gerçek kişiye ulaştırarak, yanlış sonuç elde etmemize engel olsun. Yine aynı doğrultuda bu ilkeler iki farklı düzenlemede de yer alan ‘düzeltme hakkının’ bir yansıması niteliği taşımaktadır.

Sıradaki ilkeye baktığımızda KVKK’da ‘belirli, açık ve meşru amaçlar için işlenme ilkesi’; GDPR’da ‘amacın sınırlandırılması ilkesi’ ile paralellik taşımaktadır. GDPR’da yer alan ilkenin açıklamasında da ifade ettiğimiz üzere basit ve anlaşılır bir dille bilgilendirilerek, açık ve meşru bir amaç doğrultusunda yapılan işleme faaliyetinin yapılması vurgulanmaktadır. Ne kadar başlıklandırma farklı gibi görünmekteyse de bu ilkelerin de amacı benzer nitelik taşımaktadır.

KVKK’nın ‘amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi’ adı altında düzenlediği ilke benzer şekilde GDPR’da ‘verilerin en az seviyeye indirilmesi ilkesi’ ya da ‘veri minimizasyonu ilkesi’ başlığı altında düzenlenmektedir. Aslında dikkat edildiğinde verilerin en az seviyeye indirilmesi için kişisel veri işleme faaliyetinin amaçla bağlantılı, sınırlı ve ölçülü olması gerektiği görülmektedir. İki ilkenin de amacı haddinden fazla ve meşru amaç haricinde veri toplanmasının önüne geçmektir. Yukarıda yapılan açıklamalardan da anlaşılacağı üzere isimlendirmenin farklı olması ilkelerin amacının paralel olduğu gerçeğini değiştirmemektedir.

KVKK’da düzenlenen son ilke olan ‘ ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi’ benzer mahiyette GDPR’da ‘saklama süresini sınırlandırma ilkesi’ olarak hüküm altına alınmıştır. İki ilke de kişisel verilerin tutulmasının işleme amacının bitimiyle sona ermesi gerektiğini vurgulamaktadır. Ancak burada önceki ilkelerde ifade ettiğimiz benzerlik boyutları bir değildir.

Zira, KVKK’da yapılan düzenleme kapsamında öncelikle gerekli mevzuata bakılması gerektiği vurgulanmışken; GDPR’da böyle bir durum için ayrıca bir ifade kullanılmamıştır. Bir başka husus ise GDPR m.89’da yer alan istisnanın KVKK’da paralel bir düzenlemesinin bulunmaması halidir.

GDPR’da düzenlenen diğer iki ilke ise KVKK ilkelerinde yer bulamamıştır. Bunlardan biri ‘bütünlük ve gizlilik ilkesiyken’, diğeri ‘hesap verebilirlik ilkesidir’. Aslında GDPR’da düzenlenen bu ilkelerin KVKK’da bulunmaması kişisel verileri korumak amacıyla merkeze alınan değerin farklılığını bize göstermektedir. Burada özellikle hesap verebilirlik ilkesinin üzerinde durmak gerekmektedir.

Hesap verebilirlik ilkesi kapsamında kontrolör sadece denetim makamına değil, verisi işlenen ilgili kişiye de aydınlatma metni gibi yollarla hukuka uygun yollarla işleme yaptığını ve yaptığı işleme faaliyetinin hukuka uygun olduğunu ispatlayabilmek üzere teknik ve idari önlemleri aldığını kanıtlaması gerekmektedir. Mahiyeti itibariyle süreklilik içeren bir ilkedir. Kontrolör bu ilke kapsamında; personelin eğitilmesi, sertifikasyon programlarına katılma, kurum politikalarını hazırlamak gibi somut olarak teknik ve idari işlemler yapmalıdır ve bunları belgelendirmelidir.

Bu ilkenin yansımalarını GDPR’ın farklı maddelerinde görebilmekteyiz. Örneğin m.25 uyarınca kontrolörün gerek verilerin toplanması anından gerekse işlenmesi anından önce hangi verilerin toplanacağını, ne şekilde işleme yapılacağını ve hangi veri koruma önlemlerinin alınacağını belirlemesi anlamında gelen gizliliğe dayalı tasarım yükümlülüğü. Ya da m.30’da yer alan düzenleme uyarınca kontrolörün sorumluluğu altında yürütülen veri işleme faaliyetlerinin kayıt altına alınması yükümlülüğü.

KVKK’da hesap verebilirlik adı altında bir ilke düzenlenmemiş olması hukukumuzda veri sorumlusunun herhangi bir ispat yükümlülüğü olmadığı anlamına gelmemektedir. Keza, KVKK zımnen de olsa bu ilkeyi benimsemiştir. Bu kapsamda hesap verebilirlik ilkesinin yansımalarını şu noktalarda görmemiz mümkündür; birincisi, veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerini düzenleyen KVKK m.12/2; ikincisi ise, yine veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerini düzenleyen KVKK m.12/3’de yer alan düzenlemedir. Bu yükümlülüklerin KVKK m.18’de cezaya bağlanması ise kanun koyucunun bu hususa verdiği önemi gözler önüne sermektedir.

KVKK alanındaki tüm blog yazılarımızı görmek için tıklayınız.

Hukuk ve Bilişim Dergisi 10. Sayı’mızı bağlantıdan okuyabilirsiniz.

Yazar: Zeynep Ebrar KAYA

Kaynaklar

1 Özkan , Oğulcan; Kişisel Verilerin Korunması Yüksek Lisans Tezi, s.104

2 Kişisel Verilerin Korunması Kurumu, Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler, s.6

3 Kişisel Verilerin Korunması Kurumu, Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler,s.7

4 Dülger,Murat Volkan ;Kişisel Verilerin Korunması Hukuku 3.Baskı, s.293

5 Kişisel Verilerin Korunması Kurumu, Örneklerle Kişisel Verilerin Korunması, s.6

6 Kişisel Verilerin Korunması Kurumu, Örneklerle Kişisel Verilerin Korunması, s.6

7 Dülger, s. s.282

8 Yücedağ, Nafiye ;Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler(2019) 1(1) Kişisel Verileri Koruma Dergisi47, s.60

9 Özkan, s.114

10 Özkan, s.114

11 GDPR m.6/1

12 Tolun, Yüksel ;Kişisel Verilerin KVKK ve GDPR Kapsamında Korunması Yüksek Lisans Tezi, s.52

13 Onur Doğan Yörük, (AB) 2016/679 Sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü Doğrultusunda Kişisel Verilerin Korunması Yüksek Lisans Tezi, s.56

14 Murat Volkan Dülger, Avrupa Birliği Genel Veri Koruma Tüzüğü Bağlamında Kişisel Verilerin Korunması, s.102

15  Yörük, s.57

16  Yörük, s.58

17 Dülger, Avrupa Birliği Genel Veri Koruma Tüzüğü Bağlamında Kişisel Verilerin Korunması, s.104

18 Yörük, s.59

19 Dülger, Avrupa Birliği Genel Veri Koruma Tüzüğü Bağlamında Kişisel Verilerin Korunması, s.106

20 Yörük, s.60

21 Dülger, Kişisel Verilerin Korunması Hukuku 3.Baskı, s.308

22 Tolun, s.56