Makale
Kişisel verilerin hukuki niteliği, mülkiyet hakkı ile kişisel hak yaklaşımları ekseninde şekillenmektedir. Bu makalede, kişisel verilerin korunması hukukunda geçerli olan temel işleme ilkeleri, veri minimizasyonu ve amaca bağlılık gibi evrensel kurallar hukuki bir perspektifle incelenmektedir.
Kişisel Verilerin Hukuki Rejimi ve İşleme İlkeleri
Günümüz hukuk dünyasında, kişisel verilerin korunması hakkı ve bu verilerin tabi olduğu hukuki rejim, hem ulusal hem de uluslararası düzeyde büyük bir önem taşımaktadır. Bireylere ait her türlü bilginin dijitalleştiği modern çağda, kişisel verilerin hukuki niteliği konusunda doktrinde farklı yaklaşımlar bulunmaktadır. Anglo-Amerikan hukuk sisteminde daha çok ekonomik temelli bir mülkiyet hakkı olarak değerlendirilen kişisel veriler, Kıta Avrupası ve Türk hukuk sisteminde bireye sıkı sıkıya bağlı temel bir kişisel hak olarak kabul görmektedir. Bu koruyucu yaklaşım, bireyin varlığının metalaştırılmasını engellemeyi ve insan onurunu güvence altına almayı amaçlar. 6698 sayılı Kişisel Verilerin Korunması Kanunu da bu yaklaşımı benimseyerek, kişisel verilerin hukuka uygun bir şekilde işlenebilmesi için birtakım katı şartlar ve genel ilkeler belirlemiştir. Veri sorumlularının, kişisel verileri işlerken yalnızca hukuka uygunluk sebeplerine dayanmaları yeterli olmayıp, aynı zamanda evrensel nitelik taşıyan genel işleme ilkelerine de mutlak surette riayet etmeleri yasal bir zorunluluktur.
Kişisel Verilerin Hukuki Niteliği ve Rejimi
Kişisel verilerin hangi hukuk rejimine tabi olacağının belirlenmesi, hakkın kullanımını ve korunma sınırlarını doğrudan etkilemektedir. Hukuk sistemlerinde ekonomik hak yaklaşımı ve kişisel hak yaklaşımı olmak üzere iki temel görüş öne çıkmaktadır. Ekonomik hak yaklaşımı, verileri ticari bir ürün veya fikri mülkiyet nesnesi gibi değerlendirerek bireylere verileri üzerinde sınırsız bir tasarruf yetkisi tanınmasını savunur. Ancak bu durum, uluslararası büyük şirketler ile bireyler arasındaki güç dengesizliğini artırarak bireyi savunmasız bırakma tehlikesi taşır. Buna karşılık, hukuk sistemimizin de benimsediği kişisel hak yaklaşımı, kişisel verileri insan onurunun ve kişilik hakkının ayrılmaz bir parçası olarak değerlendirir. Bu koruyucu hukuki rejim, bireylere verileri üzerinde mutlak ve sınırsız bir tasarruf yetkisi vermeyerek, rızaya dayalı işlemlerde bile koruyucu sınırlar çizer. Bireyin rızası bulunsa dahi, veri işlemenin genel ilkelere aykırı olması hukuka aykırılık sonucunu doğurur.
Kişisel Verilerin İşlenmesinde Temel İlkeler
6698 sayılı Kanun, kişisel verilerin işlenebilmesi için yalnızca açık rıza veya diğer hukuka uygunluk şartlarının varlığını yeterli görmemiş, tüm işleme faaliyetlerinin genel ilkelere uygun olmasını emretmiştir. Veri işleme şartlarından biri sağlansa bile, bu ilkelere aykırı bir veri işleme faaliyeti doğrudan hukuka aykırı hale gelecektir. Kanun'un ilgili maddesinde düzenlenen bu ilkeler, veri sorumluları için aşılması yasak olan hukuki sınırları ifade eder. İşleme sürecinin en başından verilerin imha edilmesine kadar geçen tüm yaşam döngüsünde, bu ilkelere uyumluluk esastır. Bu kapsamda, bir sözleşmenin ifası veya veri sorumlusunun meşru menfaati gibi bir nedene dayanılsa dahi, işleme faaliyetinin şeffaf, adil ve ilgili mevzuatla çizilen amaç çerçevesinde kalması hukuki bir zorunluluktur.
Hukuka, Dürüstlük Kurallarına Uygunluk ve
Veri işlemede hukuka ve dürüstlük kurallarına uygun olma ilkesi, işleme sürecinin şeffaf olmasını ve veri sahibinin makul beklentilerinin dışına çıkılmamasını gerektirir. Veri sorumlusu, topladığı verileri dürüstlük kuralı gereği ilgili kişinin aleyhine veya onu şaşırtacak şekilde, gizli amaçlarla kullanamaz. Şeffaflık yükümlülüğü, aynı zamanda veri sahibinin aydınlatılmasını da kapsar. Bununla birlikte, işlenen verilerin doğru ve güncel olması ilkesi, bireylerin yanlış veri analizi sonucu maddi veya manevi zarara uğramasını engeller. Özellikle kredi notu gibi kişiyi doğrudan etkileyen profilleme ve analiz süreçlerinde verilerin doğruluğu, kişilik haklarının ihlal edilmemesi için kritik öneme sahiptir. Veri sorumlusu, hatalı verileri silmek veya düzeltmek için makul önlemleri almakla yükümlüdür.
Amaca Bağlılık, Ölçülülük ve Sınırlı Süre
Kişisel verilerin işlenmesi sürecinde uyulması gereken diğer kritik sınırlar, amaca bağlılık, ölçülülük ve süre ile sınırlı olma ilkeleridir. Bu ilkeler, veri işleme faaliyetinin çerçevesini şu şekilde belirler:
- Belirli, açık ve meşru amaçlar için işlenme: Verilerin hangi amaçla kullanılacağı, işleme faaliyeti başlamadan önce net ve hukuka uygun bir şekilde belirlenmeli, ilgili kişiye şeffaf bir biçimde sunulmalıdır.
- Amaçla bağlantılı, sınırlı ve ölçülü olma: Hukukta veri minimizasyonu olarak da bilinen bu ilke, yalnızca amaca ulaşmak için zorunlu olan verilerin işlenmesini emreder. Amacı aşan nitelikte veri toplanması hukuka aykırılık teşkil eder.
- Gerekli olan süre kadar muhafaza edilme: Kişisel veriler, işlenme amacının ortadan kalkması durumunda süresiz saklanamaz. Veri sorumlusu, yasal saklama süreleri dolduğunda veya işleme amacı bittiğinde verileri silmek, yok etmek veya anonim hale getirmekle yükümlüdür.