Makale

Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), kişisel verilerin işlenmesi sürecinde uyulması gereken temel veri işleme ilkeleri ve yasal dayanakları oldukça ayrıntılı bir biçimde düzenlemektedir. Kişisel verilerin işlenmesi noktasında bir hukuka uygunluk hali bulunsa dahi, her veri işleme faaliyetinde bu temel prensiplere uyulması zorunludur. İşleme faaliyetini kanuni sınırların içine alan bu ilkeler, tüm veri koruma sistemine biçim veren temel yapı taşlarıdır. Bir veri sorumlusu, kişisel verileri hukuka aykırı, adil olmayan bir şekilde veya gizli tutarak işlerse, sistemin bütünlüğünü ihlal etmiş sayılır. Şeffaflık, hukuka uygunluk ve adalet ilkeleri birbirini tamamlayan ve ayrılmaz bir bütünlük gösteren kavramlardır. Bilişim hukuku uygulamaları bağlamında, veri sorumlularının bu ilkelere uyum sağlaması sadece hukuki bir gereklilik değil, aynı zamanda hesap verebilirlik mekanizmasının da temelidir. Kurumların, veri sahibi gerçek kişilerin haklarını zedelememek adına, faaliyetin başından sonuna kadar hukuki yükümlülüklerini titizlikle yerine getirmesi gerekmektedir.

Kişisel Verilerin İşlenmesinde Temel İlkeler

GDPR mevzuatında sayılan temel ilkeler, veri işleme yaklaşımının merkezinde yer alır. Sürecin öncelikli şartı olan hukuka uygunluk, adalet ve şeffaflık ilkesi, verilerin yalnızca yasal bir temele dayanarak ve ilgili kişilerin makul beklentilerine uygun biçimde kullanılmasını şart koşar. Aynı zamanda, veri sahiplerine karşı şeffaf olunmalı, aydınlatma yükümlülüğü eksiksiz şekilde yerine getirilmelidir. İşlenen verilerin belirli, açık ve meşru amaçlar için toplanmasını emreden amacın sınırlandırılması ilkesi gereğince, sonradan ortaya çıkabilecek ihtimaller için veri işlenemez. Toplanan veriler, yalnızca hedeflenen amaca ulaşmak için yeterli ve gerekli olanla sınırlı tutulmalı, hukuki süreçlerde tam veri minimizasyonu sağlanmalıdır. Veri sorumlusu, işlediği verilerin doğru ve güncel olmasını sağlamakla, amaca hizmet etmeyen veya yanlış olan verileri derhal silmekle yükümlüdür. Kişisel verilerin ancak işlenme amacının gerektirdiği süre boyunca saklanmasını ifade eden saklama süresinin sınırlandırılması ve verilerin yetkisiz erişimlere karşı korunmasını emreden bütünlük ve gizlilik ilkeleri de sistemin temel dayanaklarındandır.

Veri İşlemede Hukuka Uygunluk Halleri

Kişisel verilerin işlenmesi kural olarak hukuka aykırı bir eylem olup, eylemi yasal hale getiren açık bir dayanak bulunmalıdır. GDPR kapsamında en temel hukuka uygunluk nedeni, ilgili kişinin özgürce, spesifik bir konuya ilişkin ve bilgilendirilmiş olarak verdiği açık rıza beyanıdır. Veri işlemenin, ilgili kişinin taraf olduğu bir sözleşmenin kurulması veya ifası için zorunlu olması bir diğer meşru dayanaktır. Ayrıca, veri sorumlusunun tabi olduğu yasal bir yükümlülüğü yerine getirmesi, ilgili kişinin veya üçüncü şahısların yaşamsal çıkarlarının korunması, kamu yararına yürütülen bir görevin ifası ve veri sorumlusunun üstün meşru menfaati de uygunluk sebepleri arasında yer almaktadır. Üstün meşru menfaat hallerinde, veri sorumlusunun çıkarları ile ilgili kişinin temel hak ve özgürlükleri arasında sıkı bir denge testi yapılması ve bilhassa çocukların verileri söz konusu olduğunda azami özenin gösterilmesi kanuni bir zorunluluktur.

Veri Sorumlusunun Hukuki Yükümlülükleri

GDPR, veri işleyenlere ve veri sorumlularına, ilgili kişilerin haklarını etkin bir şekilde güvence altına almak maksadıyla oldukça sıkı yasal yükümlülükler yüklemiştir. Veri sorumlusunun tüm işlemlerinde en üst düzeyde uyumluluk sorumluluğu bulunmaktadır. Veri sorumlusu, işleme faaliyetinin taşıdığı riskleri göz önünde bulundurarak mevzuata uyumu kanıtlamak zorundadır. Bu bağlamda, uygun teknik ve idari tedbirleri alma yükümlülüğü, tasarımdan ve başlangıçtan itibaren veri koruma prensibiyle birleşmektedir. Veri sorumlusu, kendi talimatları doğrultusunda hareket edecek olan veri işleyeni seçerken de GDPR kurallarına tam uyum sağlayacak kişileri tercih etmek ve aralarındaki ilişkiyi yazılı bir sözleşme ile güvence altına almak zorundadır.

Öne Çıkan İdari ve Teknik Tedbirler

Veri sorumlusunun, hukuka aykırı veri işlemeyi önlemek ve hesap verebilirlik ilkesini hukuken temin etmek amacıyla yerine getirmesi gereken başlıca yükümlülükleri şu şekildedir:

• Veri Koruma Etki Değerlendirmesi: Yüksek risk barındıran ve bilhassa yeni teknolojilerin kullanıldığı işleme faaliyetleri öncesinde, sürecin temel haklara etkisini detaylıca analiz etmek.
• Veri Koruma Görevlisi Atanması: Kamu kuruluşları ile büyük çaplı ve düzenli veri işleme faaliyeti yapan şirketlerin, bağımsız olarak görev yapacak uzman bir veri koruma yetkilisi görevlendirmesi.
• Veri İhlali Bildirimi: Herhangi bir siber saldırı veya kazara kayıp neticesinde oluşan güvenlik ihlallerini en geç 72 saat içinde yetkili denetim makamlarına ve riskliyse doğrudan veri sahibine raporlamak.
• Kayıt Tutma Yükümlülüğü: Gerçekleştirilen tüm veri işleme faaliyetlerinin, uluslararası aktarımların ve alınan teknik güvenlik tedbirlerinin yazılı olarak kayıt altında tutulması.