Makale
Kişisel verilerin işlenmesi; hukuka ve dürüstlük kurallarına uygunluk, doğruluk, güncellik, belirli ve meşru amaçlar ile sınırlı muhafaza ilkelerine tabidir. İşleme faaliyetinin açık rıza, sözleşmenin ifası veya yasal yükümlülük gibi meşru hukuki temele dayanması, ilgili kişinin haklarının korunması bakımından mutlak bir zorunluluktur.
Kişisel Veri İşleme İlkeleri ve Hukuki Şartları
Günümüzde dijitalleşmenin hız kazanmasıyla birlikte, bireylere ait bilgilerin toplanması, kaydedilmesi, depolanması, aktarılması veya yok edilmesi gibi her türlü işlemi kapsayan kişisel verilerin işlenmesi, hukuki bir çerçeveye oturtulmuştur. Kanun koyucu, bireylerin temel hak ve özgürlüklerini güvence altına almak amacıyla veri işleme faaliyetlerini katı kurallara bağlamıştır. Bu kapsamda, verilerin keyfi olarak toplanmasını engellemek için işleme süreçlerinin belirli ilkelere ve meşru şartlara uygun olarak yürütülmesi emredilmiştir. Veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için sadece temel ilkelere uyum sağlanması yeterli olmayıp, aynı zamanda kanunda açıkça belirtilen işleme şartlarından en az birine dayanması zorunludur. İşletmelerin ve kurumların veri koruma mevzuatına uyum sağlaması, hem ağır idari yaptırımlardan kaçınmaları hem de kurumsal itibarın korunması açısından büyük önem taşımaktadır.
Kişisel Veri İşleme Faaliyetine Hâkim Olan Temel İlkeler
Kişisel verilerin işlenmesi sürecinde uyulması gereken temel prensipler, veri koruma hukukunun omurgasını oluşturmaktadır. İlk olarak, hukuka ve dürüstlük kurallarına uyma ilkesi, veri işleme süreçlerinin şeffaflığı ve yasalara uygunluğunu şart koşar. Veri toplanırken, saklanırken ve kullanılırken ilgili kişinin haklarına saygı gösterilmeli ve adil işleme adımları atılmalıdır. Bir diğer önemli kriter olan doğru ve güncel olma ilkesi, işlenen verilerin gerçeği yansıtmasını ve değişen durumlara göre güncellenmesini gerektirir; zira hatalı veriler yanlış kararlara ve güvenlik risklerine yol açabilir. Ayrıca veriler, belirli, açık ve meşru amaçlar için işlenme ilkesi doğrultusunda toplanmalıdır. İşleme amacı önceden net bir şekilde tespit edilmeli ve ilgili kişilere şeffafça bildirilmelidir. Toplanan bu verilerin, belirlenen amaçla bağlantılı, sınırlı ve ölçülü olması da zorunludur. İhtiyaç duyulmayan gereksiz verilerin toplanmasından kaçınılmalı, sadece amaca hizmet eden orantılı veriler işlenmelidir. Son olarak, işlenen veriler amaç tamamlandığında veya yasal süreler dolduğunda imha edilmek üzere belirli ve sınırlı süre muhafaza edilme ilkesine tabi tutulmalıdır.
Veri İşleme Sürecinde Orantılılık ve Muhafaza Süreleri
Veri minimizasyonu olarak da bilinen ölçülülük ve sınırlılık prensibi, veri koruma hukukunda kilit bir rol oynar. Herhangi bir hizmetin veya sözleşmenin ifası için hangi bilgiler zaruri ise, yalnızca o bilgilerin toplanması hukuka uygun kabul edilir. Gereğinden fazla veya gelecekte kullanılabileceği varsayımıyla veri depolamak, hukuka aykırı veri işleme faaliyetine vücut verir. Bununla bağlantılı olarak, amaca ulaşılmasının ardından verilerin süresiz olarak elde tutulması yasaklanmıştır. Belirli ve sınırlı süre muhafaza ilkesi gereğince, ilgili hukuki süreçler tamamlandığında söz konusu kişisel verilerin güvenli yöntemlerle silinmesi, yok edilmesi veya anonim hale getirilmesi şarttır. Aksi takdirde, gereksiz veri birikimi siber saldırı ve veri sızıntısı risklerini artıracağı gibi, ilgili kişinin mahremiyetini de doğrudan tehdit edecektir.
Kişisel Verilerin İşlenmesini Hukuka Uygun Kılan Şartlar
Kişisel verilerin işlenebilmesi için temel ilkelere uyumun yanı sıra meşru bir hukuki işleme şartının varlığı aranmaktadır. Kural olarak, verilerin işlenmesi bireyin açık, bilgilendirilmiş ve özgür iradesiyle verdiği rıza beyanına dayanmalıdır. Açık rıza; belirli bir konuya ilişkin olmalı, şeffaf bilgilendirme neticesinde alınmalı ve kişi tarafından dilediği zaman geri çekilebilir nitelikte olmalıdır. Ancak mevzuat, açık rızanın alınmasının mümkün olmadığı veya hayatın olağan akışını zorlaştırdığı durumlarda, rıza aranmaksızın veri işlenebilecek istisnai hukuki temeller de öngörmüştür. Örneğin, taraflar arasında akdedilen bir ticari anlaşmanın gerekliliklerinin yerine getirilmesi veya devlet kurumlarına yapılacak resmi bildirimler gibi durumlarda, açık rıza şartı aranmadan doğrudan yasal dayanaklarla işlem yapılabilmektedir. Bu meşru zeminlerin doğru tayin edilmesi, ileride karşılaşılabilecek hukuki ihtilafların önüne geçer. Açık rıza dışında veri işlemeyi hukuka uygun hale getiren başlıca meşru sebepler aşağıda sıralanmıştır:
- Sözleşmenin ifası zorunluluğu: Bir sözleşmenin fiilen kurulması veya gereklerinin yerine getirilmesi için işlemenin kaçınılmaz olması durumu.
- Hukuki yükümlülüğün tesisi: Veri sorumlusunun yasalardan doğan bağlayıcı zorunluluklarını tam ve eksiksiz olarak icra edebilmesi.
- Veri sorumlusunun meşru menfaati: Bireyin temel hak ve özgürlüklerine hiçbir şekilde zarar vermemek ön koşuluyla, kurumun ticari veya idari çıkarları için zorunluluk arz etmesi.
- Kamu görevinin ifası: Kamu sağlığının, toplumsal düzenin veya genel idari faydanın tesis edilmesi maksadıyla eylemin gerçekleştirilmesi.