Kişisel Veri İşleme İlkeleri ve Hukuki Şartları

5 dk okuma Yayınlanma: 30.05.2025 Güncelleme: 02.06.2026

TEHDİT AÇIK RIZA

Günümüzde dijitalleşmenin hız kazanmasıyla birlikte, bireylere ait bilgilerin toplanması, kaydedilmesi, depolanması, aktarılması veya yok edilmesi gibi her türlü işlemi kapsayan kişisel verilerin işlenmesi, hukuki bir çerçeveye oturtulmuştur. Kanun koyucu, bireylerin temel hak ve özgürlüklerini güvence altına almak amacıyla veri işleme faaliyetlerini katı kurallara bağlamıştır. Bu kapsamda, verilerin keyfi olarak toplanmasını engellemek için işleme süreçlerinin belirli ilkelere ve meşru şartlara uygun olarak yürütülmesi emredilmiştir. Veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için sadece temel ilkelere uyum sağlanması yeterli olmayıp, aynı zamanda kanunda açıkça belirtilen işleme şartlarından en az birine dayanması zorunludur. İşletmelerin ve kurumların veri koruma mevzuatına uyum sağlaması, hem ağır idari yaptırımlardan kaçınmaları hem de kurumsal itibarın korunması açısından büyük önem taşımaktadır.

Kişisel Veri İşleme Faaliyetine Hâkim Olan Temel İlkeler

Kişisel verilerin işlenmesi sürecinde uyulması gereken temel prensipler, veri koruma hukukunun omurgasını oluşturmaktadır. İlk olarak, hukuka ve dürüstlük kurallarına uyma ilkesi, veri işleme süreçlerinin şeffaflığı ve yasalara uygunluğunu şart koşar. Veri toplanırken, saklanırken ve kullanılırken ilgili kişinin haklarına saygı gösterilmeli ve adil işleme adımları atılmalıdır. Bir diğer önemli kriter olan doğru ve güncel olma ilkesi, işlenen verilerin gerçeği yansıtmasını ve değişen durumlara göre güncellenmesini gerektirir; zira hatalı veriler yanlış kararlara ve güvenlik risklerine yol açabilir. Ayrıca veriler, belirli, açık ve meşru amaçlar için işlenme ilkesi doğrultusunda toplanmalıdır. İşleme amacı önceden net bir şekilde tespit edilmeli ve ilgili kişilere şeffafça bildirilmelidir. Toplanan bu verilerin, belirlenen amaçla bağlantılı, sınırlı ve ölçülü olması da zorunludur. İhtiyaç duyulmayan gereksiz verilerin toplanmasından kaçınılmalı, sadece amaca hizmet eden orantılı veriler işlenmelidir. Son olarak, işlenen veriler amaç tamamlandığında veya yasal süreler dolduğunda imha edilmek üzere belirli ve sınırlı süre muhafaza edilme ilkesine tabi tutulmalıdır.

Veri İşleme Sürecinde Orantılılık ve Muhafaza Süreleri

Veri minimizasyonu olarak da bilinen ölçülülük ve sınırlılık prensibi, veri koruma hukukunda kilit bir rol oynar. Herhangi bir hizmetin veya sözleşmenin ifası için hangi bilgiler zaruri ise, yalnızca o bilgilerin toplanması hukuka uygun kabul edilir. Gereğinden fazla veya gelecekte kullanılabileceği varsayımıyla veri depolamak, hukuka aykırı veri işleme faaliyetine vücut verir. Bununla bağlantılı olarak, amaca ulaşılmasının ardından verilerin süresiz olarak elde tutulması yasaklanmıştır. Belirli ve sınırlı süre muhafaza ilkesi gereğince, ilgili hukuki süreçler tamamlandığında söz konusu kişisel verilerin güvenli yöntemlerle silinmesi, yok edilmesi veya anonim hale getirilmesi şarttır. Aksi takdirde, gereksiz veri birikimi siber saldırı ve veri sızıntısı risklerini artıracağı gibi, ilgili kişinin mahremiyetini de doğrudan tehdit edecektir.

Kişisel Verilerin İşlenmesini Hukuka Uygun Kılan Şartlar

Kişisel verilerin işlenebilmesi için temel ilkelere uyumun yanı sıra meşru bir hukuki işleme şartının varlığı aranmaktadır. Kural olarak, verilerin işlenmesi bireyin açık, bilgilendirilmiş ve özgür iradesiyle verdiği rıza beyanına dayanmalıdır. Açık rıza; belirli bir konuya ilişkin olmalı, şeffaf bilgilendirme neticesinde alınmalı ve kişi tarafından dilediği zaman geri çekilebilir nitelikte olmalıdır. Ancak mevzuat, açık rızanın alınmasının mümkün olmadığı veya hayatın olağan akışını zorlaştırdığı durumlarda, rıza aranmaksızın veri işlenebilecek istisnai hukuki temeller de öngörmüştür. Örneğin, taraflar arasında akdedilen bir ticari anlaşmanın gerekliliklerinin yerine getirilmesi veya devlet kurumlarına yapılacak resmi bildirimler gibi durumlarda, açık rıza şartı aranmadan doğrudan yasal dayanaklarla işlem yapılabilmektedir. Bu meşru zeminlerin doğru tayin edilmesi, ileride karşılaşılabilecek hukuki ihtilafların önüne geçer. Açık rıza dışında veri işlemeyi hukuka uygun hale getiren başlıca meşru sebepler aşağıda sıralanmıştır:

Sözleşmenin ifası zorunluluğu: Bir sözleşmenin fiilen kurulması veya gereklerinin yerine getirilmesi için işlemenin kaçınılmaz olması durumu.
Hukuki yükümlülüğün tesisi: Veri sorumlusunun yasalardan doğan bağlayıcı zorunluluklarını tam ve eksiksiz olarak icra edebilmesi.
Veri sorumlusunun meşru menfaati: Bireyin temel hak ve özgürlüklerine hiçbir şekilde zarar vermemek ön koşuluyla, kurumun ticari veya idari çıkarları için zorunluluk arz etmesi.
Kamu görevinin ifası: Kamu sağlığının, toplumsal düzenin veya genel idari faydanın tesis edilmesi maksadıyla eylemin gerçekleştirilmesi.

Şirketler benden neden alakasız bir sürü bilgi istiyor, buna hakları var mı? expand_more

Hukuken kurumların sizden gereğinden fazla veya "ileride lazım olur" düşüncesiyle kişisel veri talep etmesi kanuna aykırıdır. Kişisel verilerin işlenmesinde veri minimizasyonu olarak da bilinen ölçülülük ve sınırlılık prensibi kilit bir rol oynamaktadır. Sunulan hizmetin veya kurulan sözleşmenin ifası için hangi bilgiler zaruri ise, veri sorumlusunun yalnızca o bilgileri toplaması hukuka uygun kabul edilir. İhtiyacı aşan ve amaca hizmet etmeyen gereksiz verilerin toplanmasından kaçınılması mutlak bir yasal zorunluluktur.

Üye olduğum site bilgilerimi sonsuza kadar elinde tutabilir mi? expand_more

Hayır, kişisel verilerinizin amacı tamamlandıktan sonra süresiz olarak saklanması mevzuata açıkça aykırıdır. Veri koruma hukuku gereğince, işlenen verilerin belirli ve sınırlı süre muhafaza edilme ilkesine tabi tutulması zorunludur. İlgili hukuki süreçler bittiğinde veya yasal süreler dolduğunda bu verilerin güvenli bir şekilde silinmesi, yok edilmesi veya anonim hale getirilmesi şarttır. Aksi takdirde, gereksiz veri birikimi siber güvenlik risklerini artıracağı gibi kişisel mahremiyetinizi de doğrudan ihlal edecektir.

Benden onay almadan kişisel verilerimi kullanmaları yasal olabilir mi? expand_more

Kural olarak kişisel verilerinizin işlenebilmesi için açık, bilgilendirilmiş ve özgür iradenizle vermiş olduğunuz bir rıza beyanı gerekmektedir. Ancak mevzuat, rıza alınmasının mümkün olmadığı veya hayatın olağan akışını zorlaştırdığı bazı durumlarda rıza aranmaksızın veri işlenebilecek istisnai hukuki temeller de öngörmüştür. Örneğin; taraf olduğunuz bir sözleşmenin gereklerinin yerine getirilmesi, kamu görevinin ifası veya kurumun meşru menfaatinin zorunlu kıldığı hallerde rızanız aranmadan işlem yapılabilmektedir. Bu istisnai durumlarda dahi temel hak ve özgürlüklerinize kesinlikle zarar verilmemesi hukuki bir zorunluluktur.

Önceden verdiğim veri işleme onayını sonradan iptal edebilir miyim? expand_more

Evet, hukuka uygun bir şekilde vermiş olduğunuz açık rıza beyanını dilediğiniz zaman tek taraflı olarak geri çekme hakkına sahipsiniz. Kanun uyarınca geçerli bir açık rızanın en temel özelliklerinden biri, kişi tarafından özgürce verilebilmesinin yanı sıra yine kişi tarafından istenildiği an geri çekilebilir nitelikte olmasıdır. Rızanın alınması esnasında sağlanan şeffaf bilgilendirme süreci, bu rızanın geri alınabilirliği kuralını hiçbir şekilde ortadan kaldırmaz.

Av. Hanifi Bayrı | İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama

star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir