Kişisel Verilerin İşlenmesine Hâkim Olan İlkeler
Anayasanın ‘’Özel Hayatın Gizliliği’’ başlıklı 20. maddesinde ‘’Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.
Hukuka ve Dürüstlük Kuralına Uygun İşlenmesi
Avrupa Birliği Veri Koruma Direktifinin 6/1(a) maddesinde işlemenin hukuka uygun ve dürüstlük kurallarına uygun olması gerektiği, Avrupa Birliği Veri Koruma Tüzüğünün (ABVKGT) 5/1(a)‘maddesinde işlemenin hukuka ve dürüstlük kurallarına uygun olması ve şeffaf olması gerektiği düzenlenmiştir. Ülkemizde Kişisel Verilerin Korunması Kanunu’nun (KVKK) 4/2(a) maddesinde işlemenin hukuka ve dürüstlük kurallarına uygun olması gerektiği ifade edilmiştir.
Kişisel verilerin hukuka uygun işlenmesinden ve dürüstlük kurallarına uygun işlenmesinden ne anlaşılmalıdır? Kişisel verilerin hukuka uygun işlenmesi için öncelikle T.C Anayasasının 13. ve 20. Maddelerindeki düzenlemelere bakmamız gerekmektedir. Anayasanın ‘’Özel Hayatın Gizliliği’’ başlıklı 20. maddesinde ‘’Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz. Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.’’ düzenlemesi mevcuttur. Madde metninden açıkça kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği hüküm altına alınmıştır. Anayasanın 13. Maddesinde ise ‘’Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve laik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz.” düzenlemesi mevcuttur. Bu düzenlemeden de özel hayata saygı gösterilmesini isteme hakkına ancak kanunla sınırlama getirileceği ve bu sınırlamanın da demokratik toplum düzenine aykırı olamayacağı anlaşılmaktadır.
Yukarıda ifade edilen düzenlemelerden da anlaşılacağı üzere, kişisel verilerin işlenmesinde ya kişisel veri sahibinin açık rızası ya da kanunun bahse konu verinin işlenmesine izin vermiş olması gerekmektedir. KVKK 5. maddesinde ise kanunlarda açıkça öngörülmesi halinde veya 5. maddede belirlenen diğer sebeplerle işlenebileceği açıkça düzenlenmiştir. Kanunun 4. maddesinde ‘’Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.’’ düzenlemesi mevcuttur.
Bütün yukarıda açıklanan düzenlemeler birlikte dikkate alındığında, kişisel verilerin hukuka uygun işlenebilmesi için ya kişisel veri sahibinin açık rızası olması, açık rıza bulunmadığı durumlarda ise kişisel verilerin işlenebilmesi için kanunun işlenmeye açıkça izin vermesi veya kişisel verinin işlenebileceği hususunun kanunda açıkça düzenlenmiş olması gerekmektedir. Kişisel verinin hukuka uygun işlenebilmesi için ayrıca açık rıza veya kanunda açıkça düzenlenme dışında, kişisel verilerin KVKK’da veya diğer kanunlarda belirtilen usul ve esaslara göre işlenmesi gerekmektedir.
Kişisel verilerin dürüstlük kuralına uygun işlenmesi ne anlama gelmektedir? sorusuna cevap aradığımızda kişisel verilerin işlenmesinde dürüstlük kuralının yalnız başına kullanılmadığını, kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi gerektiği yönünde düzenlemeler olduğunu görürüz. Ayrıca ABGVKT kişisel verilerin hukuka ve dürüstlük kuralına uygun olarak “şeffaf” bir şekilde uygulanması gerektiği yönünde düzenleme mevcuttur. Bu durumda dürüstlük kuralını uygun kişisel verilerin işlenmesi ilkesi bağımsız bir ilke olmayıp, hukuka uygunluk ilkesi ile birlikte uygulanması gereken bir ilkedir. Bu ilke hukuka uygun olarak kişisel veriler işlenirken, hukukun verdiği yetki kötüye kullanılmaması gerektiğini ifade etmektedir. Dürüstlük ilkesi Türk Meddi Kanunun 2. maddesinde “Bir hakkın açıkça kötüye kullanılmasını hukuk düzeni korumaz.’’ şeklinde ifade edilmiştir. Burada açıkça ifade edilen husus kanunda kişisel verilerin kullanılmasına ilişkin açık bir düzenleme olduğunda veya kişisel veri taşıyıcısının açık rızası olduğunda, ‘’kişisel veriyi işlemeye ihtiyaç var mı?’’, bu soruya verilecek cevap ‘’evet’’ ise ‘’kullanılan usul ve esas kanunda belirlenen esaslar içerisinde en uygun ve kişisel veri taşıyıcısının özel hayatına gösterilmesi gereken saygı hakkını en az kısıtlayacak usul mü? gibi sorulara “evet’’ durumlarda kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlediğini kabul edebiliriz. Kanunda kişisel verilerin işlenebileceği açıkça düzenlenmiş olduğu veya veri taşıyıcısının açık rızasının olduğu durumlarda da, kişisel veri işlenirken veri taşıyıcısı ilgili kişinin “haklı beklentileri’’ ve ‘’haklı menfaatleri’’ veri işleyen ile veri taşıyıcısının çatışan değerlerini dengeleyecek bir veri işleme eylemi gerçekleştirmek, kişisel veri işlemede hukuka uygunluk ve dürüstlük ilkesinin gereğidir.[1]
Kişisel verilerin hukuka ve dürüstlük kuralına uygun işlenmesi ilkesini şeffaflık ilkesi ile birlikte değerlendirmek gerekmektedir. Kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenip işlenmediğini en iyi denetleyebilecek olan kişisel verinin taşıyıcısı olan bireydir. Kişisel verilerin hukuka ve dürüstlük kuralına uygun işlenmesinde veri taşıyıcısının haklı menfaati ve çıkarı zarar görmeyecektir. Haklı menfaati ve çıkarının zarar görüp görmediğini denetleyebilmek için veri taşıyıcısının, kişisel verilerinin hangilerinin işlendiğini, hakkındaki verilerin doğru olup olmadığını ve hangi usul ve esaslarla işlendiğini görebilmesi ve denetleyebilmesi gerekmektedir. KVKK’nun 11. maddesinde veri taşıyıcısının hakları sayma yöntemiyle belirlenmiştir. Kişisel veri taşıyıcısı kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin düzeltildiği, silindiği ve yok edildiği durumlarda işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir. Kişisel veri taşıyıcısına sağlanan bu haklar, veri taşıyıcısının hukuka ve dürüstlük kurallarına aykırı veri işlenmesini tespit etme ve böylelikle hukuka ve dürüstlük kurallarına aykırı işlemenin devamın önlenmesi ve zararının giderilmesi talep ederek hukuka ve dürüstlük kuralına uygun işlenme ilkesinin uygulanmasına olanak sağlamaktadır. Veri işlemede uygulanması gereken hukuka ve dürüstlük kurallarına uygunluk ilkesiyle birlikte uygulanacak şeffaflık ilkesi sadece veri taşıyıcısına karşı veri işleyenin şeffaf olmasını gerekli kılmaktadır.
İlgilinin Açık Rızasının Alınması
Kişisel verilerin işlenebilmesi için öncelikle veri taşıyıcısının açık rızasına ihtiyaç vardır. Bu husus tüm kişisel veriler için KVKK 5/1 ve özel nitelikli kişisel veriler için ise 6/2. maddelerinde açıkça düzenlenmiştir. Kanunun 8/1. maddesinde kişisel verilerin, ilgili kişinin açık rızası olmaksızın aktarılamayacağı, 9/1. maddesinde, madde metninde belirtilen istisnalar dışında kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı hususu düzenlenmiştir. Oysa kişisel verilerin başkasına veya yurt dışına aktarılma eyleminin de KVKK 3/1(e) maddesi tanımı içerinde kişisel verilerin işlenmesi kapsamında olduğu değerlendirildiğinde kanun koyucunun neden böyle bir düzenleme yapmış olduğu sorusunu akla getirmektedir. Açık rızanın olmadığı durumlarda kişisel veriler ancak kanunda açıkça öngörüldüğünde işlenebilecektir. KVKK 5/2.maddesinde kanunda belirlenen haller kapsamında sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması durumunda, sözleşmenin kurulması için, kişisel verinin taşıyıcısı tarafından alenileştirilmesi durumunda, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması durumunda, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması durumunda, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için kişisel verilerin açık rıza olmaksızın da işlenebileceği düzenlenmiştir. Rıza olmaksızın kişisel verilerin hangi durumlarda işlenebileceğine ilişkin düzenleme ABGVKT’nün 6. maddesinde düzenlenmiştir. Her ne kadar düzenleme genel hatlarıyla benzer olsa da kişisel verinin taşıyıcısı tarafından alenileştirilmesi durumunda kişisel verilerin kullanılacağına ilişkin düzenlemenin ABGVKT’de mevcut olmadığı, kamu menfaati için resmi makamlarca işlenebileceği düzenlemesinin ise ABGVKT’de mevcut olduğu görülmektedir.
KVKK 3/1(a) da Kanun koyucu açık rızanın tanımını “Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder’’ şeklinde tanımlamıştır. Maddenin gerekçesi “Açık rıza, 95/46 EC sayılı Direktif dikkate alınarak tanımlanmaktadır. Buna göre, açık rıza ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır.’’ şeklindedir. Tanımdan da anlaşıldığı üzere rıza alınmadan önce belirli bir konuda bilgilendirme yapılması gerektiği ve bilgilendirme sonrası özgür iradeye dayanan rızanın alınması gerektiği açıkça görülmektedir. Burada açıkça rıza alınmadan önce kişisel verinin hangi konuya ilişkin alındığının belirli olması, veri taşıyıcısının bilgilendirilmesi ve sonrasında özgür iradesiyle yanıltılmaksızın ve iradesi sakatlanmaksızın rızasının alınması gerektiği anlaşılmaktadır.
ABGVKT 4/11 maddesinde veri taşıyıcısının rızası ‘’ veri taşıyıcısının kendisiyle ilgili kişisel verilerinin işlenmesi anlaşmasını içeren, belirli bir konuda bilgilendirildiğini kesin olarak belirten özgür iradesiyle verilmiş bir beyan veya onaylayıcı bir eylemdir ‘’ şeklinde tanımlanmıştır. Kişisel verilerin korunması kapsamında rıza konusunda, insanın vazgeçemeyeceği temel hak ve özgürlükler içerinde yer alan kişisel hayata saygı hakkına ilişkin bireylerin, kendi iradeleriyle nereye kadar bu hakkını sınırlayabilecekleri, sınırlayamayacakları ve vazgeçemeyecekleri bir alanın olup olmadığı hususunun irdelenmesi gerekmektedir. İnsan haklarına yukarıda temellendirmeye çalıştığımız insanın olanaklarının değeri, diğer biri ifadeyle insanın onuru yaklaşımıyla baktığımızda bireylerin bu olanaklardan tamamen vazgeçememesi, zira insan olmamızın zorunlu gereği olarak bu olanaklara sahip olmamız gerektiği ortadadır. “Bu durumda bireylerin üzerinde tasarruf hakkına sahip olmadıkları rıza ile dahi işlenmeleri mümkün olmayan kişisel veriler var mıdır?” “Kişisel veri taşıyıcısının rızası olsa dahi işlenmesinin hukuka uygun olmayacağı kişisel veriler var mıdır?” Farklı bir yaklaşımla hangi tür kişisel verilerin rıza ile işlenmesi durumunda özel hayata saygı hakkının ihlali sonucu doğabilecektir. “Diğer taraftan kişisel verilerin rıza olmadan işlenebildiği kanunla belirtilen durumlarda özel hayata saygı hakkının ihlal edileceği durumlar olabilir mi?” Soruları akla gelmektedir. Temel hak ve özgürlüklerimize ait olan özel hayata saygı hakkı sınırları içerisinde kalan kişisel veriler, verilecek rıza ile dahi işlenemeyecek türden olan kişisel veriler olacaktır. Bu tür kişisel verilerin işlenmesini ahlak düzeni ve hukuk düzeni açık rıza karşısında dahi korumayacaktır. Bazen rıza olmasa dahi kişinin diğer temel hak ve özgürlükleri tehlike altına girdiğinde, kişisel verilerin rıza olmaksızın işlenmesi mecburiyeti de doğmaktadır. “Bu kapsamda hangi tür kişisel verilerin açık rıza ile işlenebilecekleri, hangi tür kişisel verilerin rıza ile işlenemeyeceğini belirleyen kriter ne olmalıdır?” Diğer taraftan temel hak ve özgürlüklerden vazgeçemeyeceğimiz, insan olmanın değerinin bu haklara sahip olmak olduğu düşünüldüğünde rıza olmaksızın bu haklara ilişkin korunma sağlanacak bir alanın belirlenmesi gerektiği, bu alanda rızanın geçerli olmayacağı, fakat temel hak ve özgürlükler alanına girmeyen bazı kişisel verilerin işlenmesine rıza gösterilebileceği ortaya çıkmaktadır.
Açık rızanın hukuki niteliği konusunda mukayeseli hukukta değişik görüşler ileri sürülmüştür. Bu görüşler hukuki işlem olduğu, maddi fiil olduğu ve hukuki işlem benzeri olduğu yönünde görüşlerdir. Hukuki işlem olarak kabul edilmesi durumunda hukuki işlemlere yönelik düzenlemeler uygulama alanı bulacak ve dolayısıyla yanıltma, aldatma gibi durumlarda geriye etkili olarak söz konusu hukuki işlem ortadan kaldırılabilecektir. Genel itibariye hukuki işlem hukuki sonuç doğurma amacını güden öyle irade bayanı ve beyanlarıdır ki, bu irade beyanlarına dayanarak hukuk düzeni, irade beyanına uygun hukuki sonucu gerçekleştirir. Açık rıza maddi fiil olarak kabul edildiğinde hukuki işlemlere yönelik düzenlemeler uygulama alanı bulmayacaktır. Burada rızanın amacı hukuki alemde sonuç doğurmak değildir. Kişilik hakkına yapılan müdahaleye rıza gösteren kişi bu bağlamda bir temel hakkı üzerinde tasarrufta bulunmaktadır. Hukuki işlem benzeri fiillerde ise irade “doğrudan doğruya fiili bir sonuca yönelmiş olduğu halde, hukuk düzeni bu irade açığa vurmasına bir hukuki sonuç bağlar.”
Rıza gösteren kişinin mutlaka ayırt etme gücüne sahip olması gerektiği, 18 yaşından küçüklerinde, ayırt etme gücüne sahip oldukları takdirde rızanın geçerli olacağı kabul edilmektedir. ABGVKT 8. maddesinde 16 yaşını doldurmuş olan çocukların rızalarının veri işleme faaliyetini meşru hale getireceği düzenlenmiştir. Rıza veri işlenmeden önce verilmiş olmalıdır. Veri işleme sonrası verilen rıza işlemi meşru kılmamaktadır. Verilerin işlenmesi aşamasında ilk basamak olarak kabul edilecek eylem verinin elde edilmesidir. KVKK 10. maddesinde aydınlatma yükümlülüğü kapsamında veri taşıyıcılarına veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve diğer hakları, konusunda bilgi vermekle yükümlü oldukları düzenlenmiştir. Bu kapsamda rızanın veri elde edilmesi aşamasından önce aydınlatma yükümlülüğü yerine getirildikten sonra alınması gerektiği anlaşılmaktadır.
Rızanın şekli konusunda kanunda açık bir düzenleme mevcut değildir. Açık rızanın temel hak ve hürriyetlere yapılan bir müdahaleyi meşru hale getirdiği düşünüldüğünde rızanın varlığını ispat külfetinin veri taşıyıcısının değil veri sorumlusunun olması gerektiği yönünde şüphe yoktur. Rızanın ne zaman alındığı, nasıl alındığı, ne tür bir aydınlatma sonrası rızanın alındığı, rızanın kim tarafından alındığı rızanın kim tarafından alındığı veri sorumlusunca kayıt altına alınmalı ve ispat edilmelidir. ABVKT‘nün gerekçesinde rızanın yazılı sözlü veya elektronik ortamda verilebileceğinden bahsetmektedir. Özellikle internet ortamında internet sitesine girerken işaretlenen kutucuklarda elektronik ortamda rıza olarak kabul edildiği uygulamalar yaygındır. Sessiz kalınmakla, işaretlenmemekle veya önceden işaretlenmiş kutucuklarla rızanın alınmış olduğu kabul edilmeyecektir. Elektronik ortamda kişisel verilerin kullanılmasına yönelik rıza talebi talep açık ve sade olmalıdır.
İradenin özgür olması, kişinin gerçekten bir seçim hakkına sahip olması gerekmektedir. Bu seçimin sonucunu etkileyebilecek herhangi bir uygunsuz baskı veya etki unsuru rızayı geçersiz kılar. Zorla yada tehdit altında rıza beyanında bulunulması durumunda özgür iradeden bahsedilemeyecektir. Bu kapsamda incelenmesi gereken konu veri sorumlusu ile veri taşıyıcısı arasındaki ekonomik dengesizlik yada bağımlılık ilişkisidir. ABGVKT 7/4. maddesinde sözleşme kapsamında hizmetin verilmesi için kişisel verilerin işlenmesi şarta bağlandığında, eğer kişisel verilerin paylaşılması hizmetin yürütülmesi için gerekli değilse rızanın özgür rıza olmadığı kabul edilmiştir. Bağlantı yasağı kapsamında veri taşıyıcısının hizmeti başkasından alması mümkünse ve tekel oluşturulmamışsa zorla kişisel verilerin işlenmesine rıza gösterilmediği de savunulmaktadır.
Rızaya ilişkin diğer bir hal ise birden çok işleme süreci için tek rıza talep edilmesi durumundur. Veri sorumlusu farklı süreçlerde farklı rıza talebinde bulunabilecekken, ilgili kişiyi bütün bir süreç için toptan rıza vermeye zorlamaktadır. Bu durumda bağlantı yasağına aykırılık teşkil edebilecektir. Veri sorumlusu verileri işlerken sürekli süreci kontrol etmeli ve ihtiyaç halinde rıza alınmasını her durum ile ilgili olarak yenilemelidir. Rıza alınmadan önce rızanın geçerli olabilmesi için veri taşıyıcısına kişisel veri üzerinde yapılacak işlemin içeriği, bu işlemin ne kadar süreceği, kişisel verilerin nerelerde kullanılacağı hakkında ayrıntılı bilgi verilmelidir. Veri taşıyıcısının aydınlatılmasında bir metin kullanılmış ise bu metnin anlaşılır olması gerekmektedir. Herkesin anlayamayacağı hukuki bir metin, ilgili kişilerin bilgilendirilmesi amacına hizmet etmeyeceğinden bu doğrultuda verilen rızanın geçerli olmayacağı açıktır. ABGVKT ‘nün 7/2. maddesinde bütün hususları içeren genel yazılı bir rızanın verilmesi durumunda, kişisel verilerin işlenebilmesi için talep edilecek rızanın diğerlerinden ayrı, anlaşılır, kolayca ulaşılabilir, açık ve sade bir dille istenmesi gerektiği düzenlenmiştir. Aksi takdirde rıza geçerli olmayacaktır. 21 Eylül 2012 tarihinde Hamburg Veri Koruma Komisyonu, Facebook aleyhinde yüz tanıma yoluyla arkadaş bulma sistemine ilişkin idari bir karar vermiştir. Facebook abonelik esnasında yeni kullanıcılar tarafından açıkça onaylanması gereken kullanım şartları ve koşullarında, arkadaş bulmak için yüzün tanınmasına rıza gösterilmesine yer vermiştir. Hamburg Veri Koruma Komisyonu, standart şartlar ve koşullarda atıfta bulunulmasının açık bilgilendirilmiş onay olarak kabul edilmeyeceği görüşündedir. Komisyon söz konusu idari kararın verilen sürede yerine getirilmemesi halinde, Facebookun biyometrik profil veri tabanının silinmesi kararını vermiştir. Facebook, kararı yerine getirdiğini 7 Şubat 2013’te bildirmiştir.[2]
Amaca Bağlılık
KVKK 4/2. maddesinde kişisel verilerin belirli, açık ve meşru amaçlar için, bu amaçlarla bağlantılı sınırlı ve ölçülü işlenebilecekleri, işlendikleri amaç için gerekli olan süre kadar muhafaza edilecekleri ifade edilmiştir. Madde düzenlemesinde kişisel verilerin bir amaç doğrultusunda işlenebilecekleri, bu amacın açık belirli ve meşru bir amaç olması gerektiği, kişisel verilerin sadece bu amaca ulaşacak oranda ve sınırlılıkta işlenebileceği, amaç ortadan kalktıktan sonra ise işlenemeyecekleri ve amaca ulaşma süresi içerinde muhafaza edilebilecekleri, düzenlenmiştir. Kişisel verilerin işlenme ve muhafaza süresini açık belirli ve meşru olan araç belirlemektedir. Kişisel verilerin işlenebilecekleri sınırı da belirli açık meşru amaç belirlemektedir. Farklı bir yaklaşımla amaca bağlılık ilkesi hangi verilerin toplanacağını, bu veriler üzerinde hangi işlemlerin yapılabileceğini ne kadar süre verilerin elde tutulacağını ve depolanabileceğini amaca bağlılık ilkesi belirlemektedir. Amaca bağlılık ilkesi veri işleme faaliyetlerine amaç ile bağlantılı sınırlama getirmektedir. Bir mağazanın yeni ürünler geldiğinde bildirim yapmak amacıyla topladığı kişisel verileri, başka mağaza ve şirketlere devredememesi, faaliyetine son verdiğinde bu verileri yok etmesi örneği bunu açıklar niteliktedir. KVKK’nun ‘’Veri Sorumlusunun Aydınlatma Yükümlülüğü’’ başlıklı 10.maddesinde Kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği konusunda veri sorumlusunun aydınlatma yükümlülüğü mevcuttur. Kanunun 4 ve 10. maddeleri birlikte değerlendirildiğinde veri sorumlusunun veri taşıyıcısına veri işleme basamağının eşiği olan toplama aşamasından önce amaç konusunda aydınlatma yapması amacın belirli ve açık olması ve bahse konu amacın meşru olması gerektiği anlaşılmaktadır. Amaç yeterince belirli ve açık olunca veri taşıyıcısının da hangi verilerinin işlenmesine rıza göstereceği hususu da açık ve belirgin hale gelmiş olacaktır.
Amaç bir veya birden fazla amaç olabilecektir. Veri sorumlusu hangi amaç veya amaçlarla verileri işleyecekse bu konuda amacın veya amaçların önceden veri taşıyıcısına bildirilmesi gerekmektedir. Kişisel veriler hangi amaç için toplanmışlarsa o amacı gerçekleştirmek için işlenebileceklerdir. Veri sorumlusu sonradan amacının değişmesinde de aydınlatma yükümlülüğünü yerine getirerek belirli ve açık amacını veri taşıyıcısına bildirerek aydınlatma yükümlülüğünü yerine getirdikten sonra veri taşıyıcısının rızasını almak zorundadır. Aksi takdirde amacın sınırlayıcı fonksiyonu yerine getirilmemiş olur. Sonradan ortaya yeni bir amacın çıkması durumunda, yeniden aydınlatma yükümlülüğünün yerine getirilmesi hususu kanunun gerekçesinde ‘’sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işlenebilmesi için, işlemeye ilk kez başlıyor gibi, 5 inci maddede düzenlenmiş olan kişisel verilerin işlenme şartlarından birinin gerçekleşmesi gerekecektir. Ayrıca işlenen veri, sadece amacın gerçekleştirilmesi için gerekli olanla sınırlı tutulacaktır.’’ şeklinde ifade edilmiştir.
Amacın açık ve belirgin olması gerekmektedir. İhtiyaç duyulduğunda kullanılmak amacıyla, yeri geldiğinde kullanmak amacıyla, araştırma amacıyla, reklam ve pazarlama amacıyla vb. genel geçer ifadeler amacı belirgin ve açık yapmaktan uzaktır. Bu kapsamda amacın somut olarak belirtilmesi, belirsiz ucu açık ifadelerden ve amaçlardan uzak durulması gerekmektedir. Amaca ilişkin bir diğer husus ise amacın meşru amaç olmasıdır. Amacın meşru olması, kanunun gerekçesinde ‘’veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Örneğin, bir hazır giyim mağazasının, müşterilerinin kimlik ve iletişim bilgilerini işlemesi meşru amaç kapsamındayken, kan gruplarını işlemesi meşru amaç kapsamında değerlendirilemeyecektir.’’ şeklinde ifade edilmiştir. Verilerin toplanmasının meşru bir amaca dayanabilmesi için veri işleme eylemine gerekçe olabilecek hukuki bir temelin bulunması gerekmektedir. Veri işlenmesine olanak sağlayan durumlar, veri taşıyıcısının açık rızası yada kanunda belirtilen hallerdir. Rızanın alınmasına gerek olmaksızın kişisel verilerin işlenebileceği kanunun öngördüğü durumlarda da amacı kanun belirlemiş olup, bu durumlarda kanunun belirlemiş olduğu amaca aykırı olmaksızın kişisel veriler işlenebilecektir. Açık rıza ile işlenebilecek verilerde ise kişisel verileri işleme amacının da meşru olması gerekmektedir. Meşru olmayan amaçlar için açık rıza alınamayacağı gibi, sadece açık rızanın alınmış olması da amacı meşru hale getirmeyecektir.
KVKK 16. maddesinde ‘’kişisel verileri işleyen gerçek ve tüzel kişilerin, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorunda oldukları, Veri Sorumluları Siciline kayıt başvurusunda kişisel verilerin hangi amaçla işleneceği ve kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin ne olduğu, hususunda bildirimde bulunmaları gerektiği düzenlenmiştir. Bu düzenlemeden veri sorumlularının bildirimde bulundukları amaç dışında kişisel verileri işleyemeyecekleri ve kişisel verileri bildirdikleri süre kadar muhafaza edebilecekleri anlaşılmaktadır. Kanunun 16. maddesinin gerekçesi ‘’Kişisel verilerin, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi zorunludur. Buna göre, veri sorumluları, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uyacak; yoksa verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebilecektir. Bir verinin daha fazla saklanması için geçerli bir sebep olmaması durumunda, o veri silinecek veya anonim hale getirilecektir. Gelecekte kullanma ihtimalinin varlığına dayanarak veri saklanamayacaktır.’’ şeklindedir. Kişisel verilerin bir gün gerekli olur düşüncesiyle, anonimleştirilmeden depolanması amaca aykırılık oluşturacaktır. Kişisel verilerin amacın dışına çıkılarak işlenmesi Kişinin maddi ve manevi bütünlüğü, kişiliğini geliştirme hakkı, bireysel özerkliği gibi çağdaş demokratik toplumun temel değerlerine zarar verebilecektir.[3]
Orantılılık
Orantılılık ilkesi veri toplanmasını gerekli kılan amaca yönelik en az kişisel verinin toplanmasını, kişisel verilerin işlenmesinde en az veriyi işleyecek metodun seçilmesini, verilerin işlenmesi aşamasında veri taşıyıcısının mahremiyetini, özel hayatını, özerkliğini en fazla koruyacak metot ve yöntemlerin seçilmesini ve gerekli tedbirlerin alınmasını zorunlu kılmaktadır. Amaca yönelik olmak ile orantılı olmak ilkeleri birbirini tamamlayan ilkelerdir. Belirli bir amaca yönelik olarak veri toplanmasında ve işlenmesinde , bahse konu amacı gerçekleştirecek bütün veriler yerine , asgari verinin toplanması, örneğin bir bildirimin gerçekleştirilebilmesi için, sabit telefon numarası, mobil telefon numarası, elektronik posta adresi, diğer adres bilgileri yenine bildirimin gerçekleştirilebileceği tek bir adres bilgisinin alınarak kaydedilmesi, örneğin telefon dinlemesi yoluyla suç ve suçlu takibi yapılırken, suç ve suçluyla irtibatı olmayan diğer kişilerin bilgilerinin toplanmaması, gibi konular örnek olarak verilebilir.
Her somut olayda, verinin işlenmesinde seçilen işleme yönteminin amaca ulaşmada yararlı olup olmayacağı, en az veri gerektiren yöntem olup olmadığı konusu ayrı ayrı değerlendirilmelidir. Örneğin hırsızlığın önlenmesi için dükkân dışına konulan bir kamera sadece dükkanın önünü de gördüğünde bu amaca hizmet edebilecek, dükkanın önünden başka çok geniş bir alanı da gördüğünde aynı amaca hizmet edebilecektir. Bu durumda geniş alanı gören kamera amaca uygun olsa da orantılı bir kamera olmayabilecektir. Örneğin işyeri giriş ve çıkışlarını kontrol altında tutmak için işyerine giriş ve çıkışlarda parmak izini kaydedip tanıyan bir sistemde, kimlik kartını okuyup tanıyan bir sistemde aynı amaca hizmet edecektir. Parmak izini vermek istemeyen bir çalışanın bu talebi orantılılık ilkesi kapsamında haklı görülebilecektir.
Verilerin Doğru ve Güncel Olması
KVKK 4 /(b) ‘de Kişisel verilerin işlenmesinde doğru ve gerektiğinde güncel olma. İlkesine uyulmasının zorunlu olduğu ifade edilmiştir. KVKK 4/(b) ‘deki düzenleme EHSKVİY 4/1(ç) maddesinde de kişisel verilerin işlenmesinde verilerin doğru olması ve gerektiğinde güncellenmesi gerektiği ilkesine paralel bir düzenlemedir. Her kişisel verinin işlenmesinde belirli açık ve meşru bir amaç vardır. Bu amaca ulaşmak ancak doğru ve güncel veri ile mümkün olacaktır. Verinin doğru ve güncel olmaması veri sorumlusunun amacına ulaşmasını engelleyeceği gibi, veri taşıyıcısının maddi ve manevi kişiliğinin, temel hak ve özgürlüklerinin, bazen de ekonomik menfaatlerinin zarar görmesine sebep olabilecektir. AİHM, Rotarou/Romanya kararında avukat olan ve öğrenci iken yazdığı iki mektup nedeniyle mahkûm olan davacı hakkında elli yıldan uzun süre tutulan bilgilerin yanlış tutulmasının davacının itibarını zedelemesi nedeniyle Sözleşmenin 8. Maddesinin ihlal edildiğine karar vermiştir. [4] Verilerin doğruluğu ilkesi kişisel verilere ulaşım hakkı ile çok yakından ilgilidir. Kişisel verilere ulaşılmadığı zaman, verilerin doğru ve güncel olup olmadığı da anlaşılamayacaktır. Bu nedenle KVKK 11/1(a) maddesindeki a) Kişisel veri işlenip işlenmediğini öğrenme hakkı önem kazanmaktadır. Kişisel verilerinin doğru ve güncel olup olmadığını denetleyecek olan veri taşıyıcısı, verilerin doğru ve güncel olmadığını öğrenen veri taşıyıcısı Kanunun 11/1(ç)maddesindeki hakkını kullanarak verinin düzeltilmesini isteme hakkına sahiptir. Kanunun 11/1(ç) Veri taşıyıcısının veri sorumlusuna başvurarak ‘’kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme’’ hakkı düzenlenmiştir.
Kişisel verilerin doğru ve güncel tutulması veri denetçisine yönelik bir yükümlülüktür ve devredilemez. Ancak bu ilkeyi kişisel verilerin güncelliğini saptayabilmek için veri denetçilerinin zorla ve sürekli olarak ilgili kişilerin içinde bulunduğu yeni durumları araştırması olarak algılamak makul değildir. Bu durumda ilgilinin kişisel bilgilerine ilişkin bir değişiklik oluştuğunda veri denetçisini bilgilendirmesi gerektiğini de kabul etmek gerekecektir. Avrupa Birliği Veri Koruma Direktifi 6/d maddesinde ‘’kişisel verilerin doğru ve gerektiğinde güncel tutulması; toplanma amaçlarına bakılmaksızın veya işlendikleri amaçlara bakılmaksızın yanlış veya eksik olan verilerin silinmesini veya düzeltilmesini sağlamak için her türlü makul adım atılmalıdır’’ düzenlemesi mevcuttur. Fakat direktifte buna aykırı eylemin bir yaptırımı yoktur. Bu düzenlemeyi Almanya, Veri Koruma Kanununa almamıştır. Bunun aksine Avusturya ve İsviçre bu düzenlemeyi kendi Veri Koruma Kanunlarına almışlardır. Avrupa Adalet Divanı verilerin doğruluğuna ilişkin konuyu Google kararında verilerin niteliklerini vurgulamış ve bu konuda hiçbir gerekçeyi kabul etmeyeceğini Veri Koruma Direktifinin 6. maddesini gerekçe göstererek belirtmiştir. Avrupa Birliği Adalet Divanı, unutulma hakkının temelini oluşturan bu kararında doğru olan bir veri hukuka uygun olarak yayımlanmış olsa bile (somut olayda gazete haberi olarak), zamanın geçmesiyle, güncelliğini yitirmesiyle bu verinin yayılması hukuka aykırı hale gelebileceğine hükmetmiştir. Bu doğrultuda da arama motoru işletmecilerine, böyle verileri içeren web sitelerine ilişkin bağlantıları arama sonuçlarından kaldırma yükümlülüğü getirilmiştir. Verilerin doğruluğuna ilişkin ilk düzenleme 1974 yılında yürürlüğe giren Amerika Birleşik Devletleri Mahremiyet Kanunundan gelmektedir. 1974 yılından sonra 2001 yılından Amerika Birleşik Devletleri’nde yürürlüğe giren Veri Kalitesi Kanununda aynı ilke bulunmaktadır. Bahse konu kanunda veri işlemede doğruluğun, güncelliğinin, tamlığın adalet için gerekli olduğu ifade edilmektedir. VKD’den GVKT’ne geçiş yapılırken, bu kurala uyulmamasına yaptırım getirilmiş ve para cezası öngörülmüştür. Tüzüğün 5/1/d fıkrasında direktifte bulunan düzenleme benzer şekilde Direktifin 6/d maddesindeki düzenlemeyle nerdeyse aynıdır. Fakat Tüzüğün 83/5. maddesinde 5/1/d maddesindeki yükümlülüğün ihlali için para cezası öngörülmüştür.[5]
Dipnotlar
[1] ÇEKİN, s. 45.
[2] Ayazgör. S. 126
[3] Küzeci s.215
[4] Akgül, s.139
[5] Hoeren Thomas. (2018) Big Data and Data Quality. In: Hoeren T., Kolany-Raiser B. (eds) Big Data in Context. SpringerBriefs in Law. Springer, Chams., s