Anasayfa/ Makale/ KVKK ve GDPR Işığında Kişisel Veri İşleme...

Makale

Kişisel verilerin işlenmesinde hukuka uygunluğun temeli olan genel ilkeler, veri sorumluları için temel rehberdir. KVKK ve GDPR kapsamında yer alan bu kurallar; şeffaflık, veri minimizasyonu, hesap verebilirlik ve güvenlik gibi standartlarla bireylerin haklarını ve veri mahremiyetini güvence altına alır.

KVKK ve GDPR Işığında Kişisel Veri İşleme Genel İlkeleri

AYDINLATMA YÜKÜMLÜLÜĞÜ GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) KVKK

Günümüzde veri işleme faaliyetlerinin hızla artması, kişisel verilerin korunmasını her zamankinden daha önemli hale getirmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Avrupa Birliği Genel Veri Koruma Tüzüğü, kişisel verilerin hukuka uygun bir şekilde işlenmesi için temel bir çerçeve sunar. Bu çerçevenin özünü ise kişisel verilerin işlenmesine ilişkin genel ilkeler oluşturur. Bu ilkeler, veri işleme faaliyetlerine katı ve kuralcı bir yaklaşım getirmekten ziyade, sürecin hukuka ve insan onuruna uygunluğunu sağlamaya yönelik prensipleri belirlemektedir. Herhangi bir veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için yalnızca kanunda belirtilen işleme şartlarına dayanması yeterli değildir; aynı zamanda süreç boyunca tüm bu genel ilkelere de harfiyen uyulması zorunludur. Dolayısıyla, veri sorumlularının temel yükümlülüğü, veri işleme döngüsünün her aşamasında bu evrensel prensipleri göz önünde bulundurmak ve içselleştirmektir.

Hukuka, Dürüstlük Kurallarına Uygunluk ve

Kişisel veri işleme sürecinin en temel kuralı olan hukuka ve dürüstlük kurallarına uygun olma ilkesi, diğer tüm ilkelere kaynaklık eder. Bu bağlamda, verilerin işlenmesi sadece kanunlara değil, aynı zamanda evrensel hukuk prensiplerine ve toplumsal dürüstlük anlayışına uygun şekilde yürütülmelidir. Veri sorumlusu, ilgili kişilerin haklı beklentilerini dikkate almalı ve onları yanıltacak, sürpriz sonuçlar doğuracak işlemlerden kaçınmalıdır. GDPR kapsamında bu ilkeye ek olarak şeffaflık ilkesi de açıkça düzenlenmiştir. Şeffaflık, veri sahiplerinin hangi verilerinin, kim tarafından ve ne amaçla işlendiğini açık, sade ve kolay erişilebilir bir dille öğrenmesini gerektirir. KVKK'da şeffaflık kelimesi doğrudan geçmese de, veri sorumlusunun aydınlatma yükümlülüğü ve dürüstlük kuralı bu gerekliliği karşılamaktadır. Aydınlatma yapılmadan veya belirtilen amaca aykırı bir biçimde veri işlenmesi, hem dürüstlük kuralının hem de hukuka uygunluğun açık bir ihlali sayılır.

Belirli, Açık ve Meşru Amaçlar İçin İşlenme

Veri koruma hukukunun temel direklerinden bir diğeri, kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi prensibidir. Veri sorumlusu, veri toplama faaliyetine başlamadan önce mutlaka işleme amacını net bir şekilde belirlemelidir. "Gelecekte lazım olabilir" veya "istatistiksel bir çalışma yapabiliriz" gibi soyut ve muğlak ifadelerle veri toplanması hukuka aykırıdır. Belirlenen bu amacın aynı zamanda hukuka, ahlaka ve evrensel değerlere uygun olması, yani meşru bir amaca dayanması şarttır. Toplanan veriler, yalnızca başlangıçta belirtilen bu sınırları çizilmiş amaçlar doğrultusunda kullanılabilir. GDPR düzenlemeleri, toplanan verilerin asıl amaçla bağdaşmayan farklı bir amaçla sonradan işlenmesini yasaklamıştır; ancak yeni amacın ilk amaçla fiili bir bağlantısı bulunuyorsa ve ilgili kişinin haklarına zarar vermiyorsa uyumlu kabul edilebilir. KVKK uygulamasında ise amaç değişikliği söz konusu olduğunda, veri sorumlusunun adeta yeni baştan veri topluyormuş gibi süreci yürüterek aydınlatma yapması veya gerekli hukuki şartları yeniden tesis etmesi beklenmektedir.

Veri Minimizasyonu: Bağlantılı, Sınırlı ve Ölçülü Olma

İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi, modern veri koruma hukukunda veri minimizasyonu olarak adlandırılır. Bu ilke, veri sorumlusunun sadece hedefine ulaşmak için mutlak surette ihtiyaç duyduğu verileri toplamasını zorunlu kılar. İşleme amacı ile toplanan veri arasında rasyonel bir illiyet bağı bulunmalı, amaca hizmet etmeyen veya gereğinden fazla olan kişisel veriler kesinlikle işlenmemelidir. GDPR uygulamasında bu ilkenin etkili bir şekilde hayata geçirilebilmesi için tasarımdan itibaren veri koruma ve varsayılan olarak veri koruma gibi yenilikçi prensipler devreye sokulmuştur. Bu sayede, bilişim sistemlerinin daha en başından gereksiz veri toplamayacak şekilde tasarlanması ve şifreleme veya anonimleştirme gibi güvenlik önlemlerinin süreçlere entegre edilmesi sağlanmaktadır. Veri minimizasyonu, devasa hacimli verilerin işlendiği günümüz büyük veri teknolojilerinde, bireylerin hak ihlallerine karşı en kritik kalkan konumundadır.

Doğruluk ve Gerektiğinde Güncel Olma

Kişisel verilerin yanlış işlenmesi, ilgili kişinin toplum içindeki itibarını zedeleyebileceği gibi, hukuki veya ekonomik açıdan ciddi mağduriyetlere de yol açabilir. Bu nedenle, kişisel verilerin doğru ve gerektiğinde güncel olması ilkesi, veri sorumlularına sürekli ve aktif bir özen yükümlülüğü getirir. Bir kişinin adres, iletişim veya sağlık bilgileri zamanla değişebileceği için, bu tür değişken verilerin ilgili kişiyi doğrudan etkilediği senaryolarda periyodik olarak güncellenmesi büyük önem taşır. Ancak "gerektiğinde" ifadesi, her verinin her an güncellenmesi zorunluluğu anlamına gelmez; somut olayın gerektirdiği hallerde, örneğin bir uyuşmazlık kapsamında delil olarak saklanan verilerin değiştirilmeden tutulması gerekir. GDPR, bu ilkeyi daha da ileri taşıyarak, doğru olmayan kişisel verilerin gecikmeksizin düzeltilmesini veya silinmesini güvence altına alan sıkı kurallar öngörmüştür. Veri sorumluları, hatalı veri girişlerini engelleyecek teknik mekanizmalar kurmalı ve ilgili kişilerin düzeltme taleplerini derhal işleme almalıdır.

Muhafaza Süresinin Sınırlandırılması ve Veri Güvenliği

Kişisel verilerin süresiz olarak depolanması, bireysel özerkliğe ve özel hayatın gizliliğine yönelik büyük bir risk oluşturur. Bu doğrultuda, kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi zorunludur. İşleme amacı ortadan kalktığında veya mevzuattaki yasal saklama süreleri dolduğunda, bu verilerin resen veya talep üzerine derhal silinmesi, yok edilmesi veya anonim hale getirilmesi icap eder. GDPR bu durumu depolamanın sınırlandırılması olarak ifade etmektedir. Buna ek olarak, verilerin hukuka aykırı şekilde işlenmesini ve yetkisiz kişilerin eline geçmesini engellemek için güçlü bir veri güvenliği politikası oluşturulmalıdır. Veri güvenliğinin sağlanması amacıyla uygun idari ve teknik tedbirlerin alınması, veri sızıntılarının ve siber saldırıların engellenmesi için elzemdir. Kurumlar, risk analizleri yaparak şifreleme, erişim loglarının tutulması ve personel eğitimleri gibi kapsamlı koruma mekanizmalarını hayata geçirmelidir.

KVKK ve GDPR Arasındaki Karşılaştırmalı İlke Farklılıkları

Hem KVKK hem de GDPR kişisel verilerin korunması için benzer ilkeleri benimsemiş olsa da, özellikle dijitalleşen dünyanın gereksinimleri nedeniyle bazı yaklaşım farkları bulunmaktadır. Bu iki düzenleme arasındaki temel farkları daha iyi anlayabilmek için aşağıdaki genel ilke karşılaştırmasına göz atabiliriz:

  • GDPR Kapsamındaki Şeffaflık İlkesi: KVKK'da "hukuka ve dürüstlük kuralına uygunluk" kavramının içinde zımnen yer alırken, GDPR'da veri sorumlusuna doğrudan bir şeffaflık yükümlülüğü getirilir.
  • Hesap Verebilirlik İlkesi: GDPR'da bağımsız bir temel ilke olarak yer alan hesap verebilirlik, veri sorumlusunun tüm ilkelere uyduğunu somut belgeler ve risk analizleri ile ispat etmesini emreder. KVKK metninde bu ilke açıkça sayılmasa da kurum kararlarında benimsenmiştir.
  • Veri Güvenliği (Bütünlük ve Gizlilik): GDPR, veri güvenliğini doğrudan temel bir veri işleme ilkesi olarak konumlandırırken; KVKK, güvenlik ve muhafaza yükümlülüklerini idari ve teknik tedbirler kapsamında teknik bir zorunluluk olarak düzenlemiştir.
5 dk okuma Yayınlanma: Güncelleme: