Veri minimizasyonu

Kişisel verilerin korunması hukuku kapsamında verilerin işlenmesi sürecinde uyulması ve dikkat edilmesi gereken bazı temel ilkeler var. Bu ilkeler Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Avrupa Genel Veri Koruma Tüzüğü (“Tüzük”) ile ilgili direktiften yararlanılarak verilerin işlenmesinde hukuki sınırların çizilmesi amacıyla belirlenmiştir. Bu kapsamda temel ilkeler başlıca şu şekilde sıralanabilir:
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Bu noktada veri işleyenin en temelde topladığı verileri hukuka ve dürüstlük kuralına uygun olarak saklaması ve işlemesi gerekiyor.
Veri minimizasyonu ilkesi veri koruma yasalarında temel ilkelerden biri olarak sayılmasa da temel ilkelerin izdüşümü olarak her bir ilkenin ayrılmaz bir parçası niteliğinde karşımıza çıkmakta. Diğer bir deyişle temel ilkelerden herhangi birine aykırılık, esasında veri minimizasyonuna aykırılık yaratabilir. Bu yönde veri işleme sürecinin hukuka uygun ve sağlıklı bir şekilde yürütülebilmesi için gereken en önemli ilkelerden biri olduğu da kabul ebilebilmekte. Ayrıca bu ilke kişisel verileri işlenen gerçek kişiler olarak bizleri de günlük hayatta yakından ilgilendiriyor.
Nitekim günlük hayatımızda farkında olmadan da olsa belirli hizmetleri alabilmek adına kişisel verilerimizin toplanmasına ve işlenmesine onay vermekteyiz. Ancak genellikle alınan hizmet ile eş zamanlı olarak verilerimizin işleneceğine dair verdiğimiz onayın hangi verilerimizi kapsadığının bilinci her zaman mevcut olmayabilmekte. Şöyle ki bu temel ilkeler kapsamında, bir verinin gelecekte kullanılabileceği “tahmin edilen” bir veri olması itibariyle elde edilmesi hukuka aykırı olabilecektir. Yani veriyi toplayan ve işleyenlerin o an ihtiyacı olmasa dahi gelecekte ihtiyacı olabileceği tahminine dayanarak fazladan veri toplaması hukuka aykırı bir uygulama olarak karşımıza çıkıyor. Bu noktada ancak veri toplarken belirlenen meşru amaç çerçevesinde veri toplama ve işleme faaliyeti yapılabilecektir.
Ölçülülük ilkesi çerçevesinde ise veri minimizasyonu ilkesi temelde iki görünüm olarak ortaya çıkabilmekte. İlk olarak, kişisel veri işleme amacına kişisel veriler elde edilmeksizin, başka bir yöntemle ulaşılabiliyorsa bu yöntem tercih edilmeli. Böylece amaç ve menfaat dışı veri elde etme işlemi yapılmayacak. İkinci olarak veri elde etme gereği kaçınılmaz ise de bu noktada menfaatin dışına çıkılmadan, yalnızca işleme faaliyeti kapsamında gereken verilerin elde edilmesi gerekiyor. Bu kapsamda veri sorumlusunun gereğinden fazla kişisel veri işlemesi veya aktarması yasalara aykırı olmakta.
Günlük hayatta veri minimizasyonu
Günlük ticari ve sosyal ilişkilerimizde de veri minimizasyonu ilkesinin gerekliliğini çokça hissediyoruz. Örneğin; bazen yapılacak olan ticari faaliyet kapsamında bir kişinin T.C. kimlik numarasına gerek olmasa da bu verinin alındığına şahit oluyoruz. Bu gibi durumlarda söz konusu verinin neden bizden istendiğini sormamız en doğal haklarımızdan birisi. Böylece zaman zaman hassas verilerimizin dahi alınabildiği durumların önüne geçebiliriz.
Nitekim Finlandiya Veri Koruma Otoritesi incelediği bir kararda çocuğun minyatürleşmiş fotoğrafının anaokulu faturasında yer almasının ödeme veya güvenlik amaçları bakımından gerekli olmadığından bahisle veri minimizasyonu ilkesinin ihlal edildiğine karar verdi.
Tüzük’e aykırılık kapsamında bu yönde verilmiş benzer kararlar da bulunuyor.
Örneğin Litvanya Veri Koruma Kurumu uluslararası olarak finansal operasyon hizmetleri sunan bir şirkete gereğinden fazla toplanan veriyi ihtiyaç duyulandan fazla süreyle sakladığı iddiasıyla yürüttüğü soruşturmada ekran görüntülerinde kişisel verilerin uygunsuz şekilde işlenmesine ilişkin olarak Tüzük’e aykırılıktan ceza verdi.
Türkiye'de veri minimizasyonu
Veri minimizasyonu ilkesi ülkemizde de Kurul’un özellikle göz önünde bulundurduğu ilkelerden birisi.
Kurul tarafından incelenen bir olayda işlenme amacından daha fazla kişisel verinin işlenmesinin Kanun m. 5/2-ç altında düzenlenen “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.” kapsamında değerlendirilemeyeceği ve Kanun m. 4/1-ç uyarınca amaçla bağlılık ve sınırlı/ölçülü olma ilkelerine aykırılık oluşturduğuna karar verildi.
Veri sorumluları ne yapmalı?
Tüm bu sebeplerle, verileri toplayan ve işleyen veri sorumlusunun amaca hizmet eden, meşru menfaat çerçevesinde ve asgari düzeyde veri toplaması gerekmekte. Bu noktada en az seviyede veri toplamak ve işlemek gerekiyor. Buna ek olarak toplanan verilerin de veri işleme faaliyetiyle sınırlı olacak süreyle, veri sorumlusunun belirlenmiş olduğu politikalar doğrultusunda saklanması ve akabinde de imha edilmesi gerekiyor. Aksi halde verilerin ihtiyaç duyulandan daha fazla süre ile saklanması, veri işlemenin de yasalara aykırı olması sonucunu doğurabilir. Bu bağlamda veri sorumlusunun, verilerin işlendikleri amaçlar göz önünde tutularak, doğru olmayan kişisel verileri gecikmeye mahal vermeksizin silmesi veya düzeltilmesini sağlamasıyla ilgili makul tüm adımları atması bir zorunluluk olarak karşımıza çıkıyor.
Bizler ne yapmalıyız?
Bizler elbette kişisel verilerimizi işleyen bir şirketin veri minimizasyonu ilkesine uygun hareket edip etmediğini ilk bakışta göremeyebiliriz. Ama bunun bazı ipuçlarını görebiliriz.
Örneğin bir e-ticaret sayfasına üye olmak istediniz; sizden adınız, soyadınız, e-posta adresiniz ve telefon numaranız dışında ev adresiniz, TC kimlik numaranız gibi bazı ek bilgiler de istendi. Burada biraz sorgulamalı, sadece internet sitesine üyelik yaparken TC kimlik numarası, ev adresi gibi bilgilerin neden alındığını merak etmeliyiz.
Sorularımızın cevabı, üyelik formunun genellikle en altında yer alan aydınlatma metinlerinde saklıdır! Eğer aydınlatma metni yoksa o siteden koşarak uzaklaşmanızı öneririz :)
Aydınlatma metnini okudunuz, ama pek bir şey anlamadınız; çok normal, üzülmeyin. Genellikle şirketler, bazı kişisel verileri neden toplamak istediklerini bilmediklerinden ya da gerçek amaçlarını sizinle paylaşmak istemediklerinden böyle muğlak, genel ifadelerle dolu ve anlaşılması güç metinler hazırlayabilirler. Bu durumda da ya koşarak uzaklaşmanızı ya da o metni hazırlayan şirketten KVKK'dan kaynaklanan veri sorumlusuna başvuru hakkınızı kullanıp daha fazla detay talep edebilirsiniz.
Bu yüzden fiziki ya da online bir form doldururken, telefonda kişisel verilerinizi verirken mutlaka kişisel verilerinizin hangilerini, neden vermekte olduğunuzu önce kendinize sorun. Eğer bazı kişisel verilerinizin toplanmak istemesi size şüpheli ya da nihai amaç için "fazlaca" gelirse; mutlaka aydınlatma metinlerini detaylı olarak inceleyin. İçinize sinmediyse veri sorumlusuna başvurun.
Ceyda Macit
Kaydet
Okuma listesine ekle
Paylaş
İLGİLİ BAŞLIKLAR
NEREDE YAYIMLANDI?
Getir, BiTaksi, Sahibinden... veri ihlalleri, Meta vs. Schrems: açık rıza savaşları, artık avukatlar da online olarak Kurul'a şikayet yapabilecek, Anayasa Mahkemesi, tüzel kişilerin de verilerin korunması hakkına sahip olduğunu belirtti...
03 Nis 2023

YAZARLAR

Veri Koruma ve Mahremiyet Gündemi
Sivil toplum kuruluşu Verini Koru'nun ekibi, Türkiye'de ve dünyada kişisel verilerin korunması alanında yaşanan gelişmeleri yakından takip ediyor ve her Pazartesi sizlerle buluşturmak için bültenler hâline getiriyor.
İLGİLİ OKUMALAR


