Anasayfa/ Makale/ Avrupa Birliği Genel Veri Koruma Tüzüğü Kapsamında Veri İşleme İlkeleri

Avrupa Birliği Genel Veri Koruma Tüzüğü Kapsamında Veri İşleme İlkeleri

Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) uyarınca kişisel verilerin işlenmesi, hukuka uygunluk, adalet ve şeffaflık gibi temel ilkelere dayanmalıdır. Veri sorumluları, veri minimizasyonundan hesap verebilirliğe kadar katı yükümlülüklere tabidir. Bu makalede veri işleme ilkeleri ve veri sorumlusunun hukuki yükümlülükleri incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) KVKK VERİ İHLALİ AÇIK RIZA AYDINLATMA YÜKÜMLÜLÜĞÜ

Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), kişisel verilerin işlenmesi sürecinde uyulması gereken temel veri işleme ilkeleri ve yasal dayanakları oldukça ayrıntılı bir biçimde düzenlemektedir. Kişisel verilerin işlenmesi noktasında bir hukuka uygunluk hali bulunsa dahi, her veri işleme faaliyetinde bu temel prensiplere uyulması zorunludur. İşleme faaliyetini kanuni sınırların içine alan bu ilkeler, tüm veri koruma sistemine biçim veren temel yapı taşlarıdır. Bir veri sorumlusu, kişisel verileri hukuka aykırı, adil olmayan bir şekilde veya gizli tutarak işlerse, sistemin bütünlüğünü ihlal etmiş sayılır. Şeffaflık, hukuka uygunluk ve adalet ilkeleri birbirini tamamlayan ve ayrılmaz bir bütünlük gösteren kavramlardır. Bilişim hukuku uygulamaları bağlamında, veri sorumlularının bu ilkelere uyum sağlaması sadece hukuki bir gereklilik değil, aynı zamanda hesap verebilirlik mekanizmasının da temelidir. Kurumların, veri sahibi gerçek kişilerin haklarını zedelememek adına, faaliyetin başından sonuna kadar hukuki yükümlülüklerini titizlikle yerine getirmesi gerekmektedir.

Kişisel Verilerin İşlenmesinde Temel İlkeler

GDPR mevzuatında sayılan temel ilkeler, veri işleme yaklaşımının merkezinde yer alır. Sürecin öncelikli şartı olan hukuka uygunluk, adalet ve şeffaflık ilkesi, verilerin yalnızca yasal bir temele dayanarak ve ilgili kişilerin makul beklentilerine uygun biçimde kullanılmasını şart koşar. Aynı zamanda, veri sahiplerine karşı şeffaf olunmalı, aydınlatma yükümlülüğü eksiksiz şekilde yerine getirilmelidir. İşlenen verilerin belirli, açık ve meşru amaçlar için toplanmasını emreden amacın sınırlandırılması ilkesi gereğince, sonradan ortaya çıkabilecek ihtimaller için veri işlenemez. Toplanan veriler, yalnızca hedeflenen amaca ulaşmak için yeterli ve gerekli olanla sınırlı tutulmalı, hukuki süreçlerde tam veri minimizasyonu sağlanmalıdır. Veri sorumlusu, işlediği verilerin doğru ve güncel olmasını sağlamakla, amaca hizmet etmeyen veya yanlış olan verileri derhal silmekle yükümlüdür. Kişisel verilerin ancak işlenme amacının gerektirdiği süre boyunca saklanmasını ifade eden saklama süresinin sınırlandırılması ve verilerin yetkisiz erişimlere karşı korunmasını emreden bütünlük ve gizlilik ilkeleri de sistemin temel dayanaklarındandır.

Veri İşlemede Hukuka Uygunluk Halleri

Kişisel verilerin işlenmesi kural olarak hukuka aykırı bir eylem olup, eylemi yasal hale getiren açık bir dayanak bulunmalıdır. GDPR kapsamında en temel hukuka uygunluk nedeni, ilgili kişinin özgürce, spesifik bir konuya ilişkin ve bilgilendirilmiş olarak verdiği açık rıza beyanıdır. Veri işlemenin, ilgili kişinin taraf olduğu bir sözleşmenin kurulması veya ifası için zorunlu olması bir diğer meşru dayanaktır. Ayrıca, veri sorumlusunun tabi olduğu yasal bir yükümlülüğü yerine getirmesi, ilgili kişinin veya üçüncü şahısların yaşamsal çıkarlarının korunması, kamu yararına yürütülen bir görevin ifası ve veri sorumlusunun üstün meşru menfaati de uygunluk sebepleri arasında yer almaktadır. Üstün meşru menfaat hallerinde, veri sorumlusunun çıkarları ile ilgili kişinin temel hak ve özgürlükleri arasında sıkı bir denge testi yapılması ve bilhassa çocukların verileri söz konusu olduğunda azami özenin gösterilmesi kanuni bir zorunluluktur.

Veri Sorumlusunun Hukuki Yükümlülükleri

GDPR, veri işleyenlere ve veri sorumlularına, ilgili kişilerin haklarını etkin bir şekilde güvence altına almak maksadıyla oldukça sıkı yasal yükümlülükler yüklemiştir. Veri sorumlusunun tüm işlemlerinde en üst düzeyde uyumluluk sorumluluğu bulunmaktadır. Veri sorumlusu, işleme faaliyetinin taşıdığı riskleri göz önünde bulundurarak mevzuata uyumu kanıtlamak zorundadır. Bu bağlamda, uygun teknik ve idari tedbirleri alma yükümlülüğü, tasarımdan ve başlangıçtan itibaren veri koruma prensibiyle birleşmektedir. Veri sorumlusu, kendi talimatları doğrultusunda hareket edecek olan veri işleyeni seçerken de GDPR kurallarına tam uyum sağlayacak kişileri tercih etmek ve aralarındaki ilişkiyi yazılı bir sözleşme ile güvence altına almak zorundadır.

Öne Çıkan İdari ve Teknik Tedbirler

Veri sorumlusunun, hukuka aykırı veri işlemeyi önlemek ve hesap verebilirlik ilkesini hukuken temin etmek amacıyla yerine getirmesi gereken başlıca yükümlülükleri şu şekildedir:

  • Veri Koruma Etki Değerlendirmesi: Yüksek risk barındıran ve bilhassa yeni teknolojilerin kullanıldığı işleme faaliyetleri öncesinde, sürecin temel haklara etkisini detaylıca analiz etmek.
  • Veri Koruma Görevlisi Atanması: Kamu kuruluşları ile büyük çaplı ve düzenli veri işleme faaliyeti yapan şirketlerin, bağımsız olarak görev yapacak uzman bir veri koruma yetkilisi görevlendirmesi.
  • Veri İhlali Bildirimi: Herhangi bir siber saldırı veya kazara kayıp neticesinde oluşan güvenlik ihlallerini en geç 72 saat içinde yetkili denetim makamlarına ve riskliyse doğrudan veri sahibine raporlamak.
  • Kayıt Tutma Yükümlülüğü: Gerçekleştirilen tüm veri işleme faaliyetlerinin, uluslararası aktarımların ve alınan teknik güvenlik tedbirlerinin yazılı olarak kayıt altında tutulması.
Şirketler benden habersiz kişisel verilerimi kafasına göre işleyebilir mi? expand_more
Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında kişisel verilerin işlenmesi kural olarak hukuka aykırı kabul edilmekte olup, eylemi yasal hale getiren açık bir dayanak bulunmalıdır. Bir şirketin verilerinizi işleyebilmesi için kural olarak sizin bilgilendirilmiş ve özgürce verdiğiniz açık rıza beyanınız gerekmektedir. Ancak ilgili kişinin taraf olduğu bir sözleşmenin ifası, kanuni bir zorunluluk, hayati çıkarların korunması veya veri sorumlusunun üstün meşru menfaati gibi hukuka uygunluk hallerinde rızanız aranmaksızın da veri işlenebilir. Hangi yasal dayanağa dayanılırsa dayanılsın, her işleme faaliyetinde hukuka uygunluk, adalet ve şeffaflık ilkelerine riayet edilmesi ve aydınlatma yükümlülüğünün eksiksiz yerine getirilmesi yasal bir zorunluluktur.
Bir firma işi bitse bile kişisel bilgilerimi sonsuza kadar saklayabilir mi? expand_more
Hayır, GDPR mevzuatında temel bir yapı taşı olarak yer alan "saklama süresinin sınırlandırılması" ilkesi gereğince, kişisel veriler ancak işlenme amacının gerektirdiği süre boyunca muhafaza edilebilir. Hukuki süreçlerde tam veri minimizasyonu sağlanması esas olup, toplanan veriler yalnızca hedeflenen amaca ulaşmak için yeterli ve gerekli olanla sınırlı tutulmalıdır. Şirketler, işledikleri verilerin doğru ve güncel olmasını sağlamakla birlikte, amaca hizmet etmeyen veya gerekliliği ortadan kalkan verileri derhal silmekle yükümlüdür. Aksi takdirde, verileri sonradan ortaya çıkabilecek ihtimaller için saklamak "amacın sınırlandırılması" ilkesine aykırılık teşkil edecek ve veri sorumlusunun hukuki sorumluluğunu doğuracaktır.
Üye olduğum site hacklenirse ve verilerim çalınırsa hukuken ne olacak? expand_more
Herhangi bir siber saldırı, yetkisiz erişim veya kazara kayıp neticesinde veri güvenliği ihlali yaşanması durumunda şirketlerin hukuki olarak çok katı bildirim yükümlülükleri bulunmaktadır. GDPR kurallarına göre, veri sorumlusu şirketlerin oluşan bu güvenlik ihlalini en geç 72 saat içinde yetkili denetim makamlarına resmi olarak raporlaması gerekmektedir. Eğer meydana gelen veri sızıntısı sizin temel hak ve özgürlükleriniz açısından risk barındırıyorsa, bu durumun doğrudan size de bildirilmesi kanuni bir zorunluluktur. Veri sorumluları en baştan itibaren sistemin bütünlüğünü ve gizliliğini sağlamak için gerekli teknik ve idari tedbirleri almak zorundadır ve alınan tüm güvenlik tedbirleri kayıt altında tutulmalıdır.
Yeni teknolojiler kullanan riskli uygulamalarda bilgilerim güvende mi? expand_more
GDPR, yüksek risk barındıran ve bilhassa yeni teknolojilerin kullanıldığı veri işleme faaliyetlerinde şirketlere çok daha sıkı uyumluluk sorumlulukları ve idari tedbirler yüklemektedir. Bu tür durumlarda veri sorumlusu, faaliyete başlamadan önce sürecin temel haklara etkisini detaylıca analiz etmek amacıyla mutlaka bir Veri Koruma Etki Değerlendirmesi yapmak zorundadır. Ayrıca büyük çaplı veri işleyen yapıların, süreci denetlemesi adına bağımsız olarak görev yapacak uzman bir veri koruma yetkilisi ataması mevzuatın emredici bir hükmüdür. Tasarımdan ve başlangıçtan itibaren veri koruma prensibi uyarınca, veri sorumlusu işleme sürecinin risklerini analiz edip hesap verebilirlik ilkesini sağlayacak tüm standartları baştan inşa etmekle mükelleftir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir