Madde 4

Kanun'un dördüncü maddesi, kişisel veri işlemenin temel ilkelerini tanzim etmektedir. Bu ilkeler, tek başlarına bir hukuka uygunluk sebebi oluşturmamakla birlikte, her veri işleme faaliyetinde zorunlu olarak gözetilmesi gereken normatif standartları ifade etmektedir. Söz konusu ilkelere aykırı hareket, işleme faaliyetini hukuka aykırı kılmaktadır.

Madde 4 ilkelerinin, madde 5 ve 6'da düzenlenen hukuki dayanaklarla birlikte değerlendirilmesi gerekmektedir. Hukuki dayanak mevcut olsa dahi ilkelere aykırı işleme hukuka aykırılığını koruyacaktır. Bu perspektiften bakıldığında, madde 4 ila 9 arasındaki hükümler bütünleşik bir genel kaideler kataloğu olarak nitelendirilebilir.

Medeni Kanun'un başlangıç hükümlerinin diğer hükümlere ve uygun düştüğü ölçüde tüm hukuki ilişkilere uygulanması gibi, madde 4 ilkeleri de her türlü veri işleme faaliyetine sirayet etmektedir. Bu ilkeler kümülatif nitelik taşımakta; dolayısıyla her bir ilkeye ayrı ayrı ve eş zamanlı olarak riayet sağlanması zorunludur.

Madde 4/2(a)'da düzenlenen hukuka ve dürüstlük kurallarına uygunluk ilkesi, birbirini tamamlayan iki boyut içermektedir. Hukuka uygunluk boyutu, veri işlemenin madde 5 veya madde 6'da öngörülen şartlardan en az birine dayanmasını gerektirmektedir. Dürüstlük kuralı boyutu ise Türk Medeni Kanunu'nun 2. maddesinde ifade edilen genel dürüstlük ilkesinin kişisel verilerin korunması alanındaki özel yansımasını oluşturmaktadır.

Uygulamada bu ilke, veri işleme faaliyetlerinin ilgili kişinin makul beklentileriyle uyumlu, şeffaf ve dürüst biçimde yürütülmesini gerektirmektedir. İlgili kişinin beklentileriyle bağdaşmayan, şeffaf olmayan veya aldatıcı nitelikteki işlemler, dürüstlük kuralına aykırılık teşkil etmektedir.

Kişisel verilerin korunması hukukunun temelinde, veri işlemenin kural olarak yasak olduğu ilkesi yatmaktadır. Bu yasağın anayasal dayanağı, Anayasa'nın 20. maddesinin üçüncü fıkrasında açıkça ifade edilmektedir: kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir.

Kanun'un sistematik yorumunda da aynı sonuca ulaşılmaktadır. Madde 4/1, madde 5 ve madde 6 birlikte değerlendirildiğinde, veri işlemenin yalnızca Kanun'da belirlenen hukuki dayanakların varlığında mümkün olduğu, bunun dışında yasak olduğu açıkça anlaşılmaktadır.

Bu yasağı kaldıran meşru sebepler iki ana kategoride toplanabilir: ilgili kişinin açık rızası ve Kanun'da düzenlenen diğer hukuki dayanaklar. Buna ek olarak, Anayasa'nın 90. maddesinin beşinci fıkrası uyarınca, usulüne uygun şekilde yürürlüğe konulan uluslararası sözleşmelerden doğan yükümlülükler de kişisel veri işleme için meşru bir dayanak teşkil etmektedir.

Madde 4/1(c) ve (ç)'de düzenlenen amaçla sınırlılık ilkesi, verilerin belirli, açık ve meşru amaçlar doğrultusunda işlenmesini gerektirmekte; sonradan amaç değişikliğini kural olarak yasaklamaktadır. Bu yasağın istisnası, uyumlu amaç kavramıdır: orijinal işleme amacıyla bağdaşan ikincil kullanımlar meşru kabul edilebilmektedir.

Ölçülülük ilkesi ise veri minimizasyonu prensibini esas almaktadır. Buna göre yalnızca belirlenen amaç için gerekli olan asgari düzeyde veri toplanmalı; "ileride lazım olabilir" yaklaşımıyla fazla veri toplanması kesinlikle caiz değildir.

Somut bir örnek vermek gerekirse, iş başvurusu sürecinde aile bilgisi veya sağlık geçmişi gibi verilerin talep edilmesi, genellikle ölçülülük ilkesiyle bağdaşmamaktadır.

Kanun'un madde 4/2(a) hükmü, kişisel verilerin hukuka ve dürüstlük kurallarına uygun şekilde işlenmesini emretmektedir. Hukuka uygunluk şartı, hukuk devleti ilkesinin kişisel verilerin korunması alanındaki doğrudan yansımasını oluşturmaktadır.

Kanun, sistematik yapısı itibarıyla kişisel verilerin işlenmesini kural olarak yasaklamakta; ancak kanunda açıkça düzenlenen hallerde işlemeye cevaz vermektedir. Bu çerçevede madde 5 ila 9'da yer alan hükümler, veri işlemenin meşru hukuki dayanaklarını oluşturmaktadır. Önemle belirtmek gerekir ki hukuki dayanak mevcut olsa dahi, madde 4'te düzenlenen ilkelere uyum sağlanması ayrıca zorunludur; aksi halde işleme faaliyeti hukuka uygunluğunu yitirecektir.

Kanun'un madde 4/1(d) hükmü uyarınca kişisel veriler, yalnızca işlenme amacının gerektirdiği süre boyunca muhafaza edilebilmektedir. Saklama sürelerinin belirlenmesinde öncelikle ilgili mevzuatta öngörülen yasal süreler dikkate alınmalıdır; örneğin vergi mevzuatında beş yıl, iş hukuku alanında on yıl gibi süreler söz konusudur. Yasal bir süre öngörülmediği hallerde ise işleme amacının gerektirdiği makul süre esas alınacaktır.

Saklama süresinin dolmasıyla birlikte veriler, madde 7 uyarınca kendiliğinden silinmeli, yok edilmeli veya anonim hale getirilmelidir. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik, veri sorumlularının bu yükümlülüğü sistematik biçimde yerine getirmelerini sağlamak üzere saklama süresi politikası hazırlamalarını zorunlu kılmaktadır.

Dürüstlük kuralının temel işlevi, veri sorumlusunun veya onun adına veri işleyen üçüncü kişilerin, Kanun'un tanıdığı yetkileri suistimal etmelerini önlemektir. Bu ilke, Medeni Kanun madde 2/2'deki genel dürüstlük kuralıyla tam olarak örtüşmemekte; kişisel verilerin korunması bağlamında daha ziyade adil kullanım standardını ifade etmektedir.

Bu çerçevede veri işleme sürecine dahil olan aktörler, özellikle veri sorumluları, Kanun'dan kaynaklanan haklarını kullanırken ilgili kişilere karşı adil davranma yükümlülüğü altındadır. Söz konusu ilke, haklı beklenti ve meşru menfaat gibi tarafların çatışan çıkarlarını dengelemeye yönelik hükümler bağlamında özel önem taşımaktadır. Ayrıca rızanın özgür iradeye dayanıp dayanmadığı veya yeterli güvenlik tedbirlerinin alınıp alınmadığı gibi değerlendirmelerde de bu ilke belirleyici bir rol üstlenmektedir.

Amaca bağlılık ilkesi, kişisel verilerin korunmasına ilişkin hukuki düzenlemelerin temelini oluşturmaktadır. Kanun, bu ilkeyi madde 3(a) ve madde 4/2(c) hükümlerinde pozitif bir çerçeveye kavuşturmuştur. Açık rızanın belirli bir konuyla sınırlandırılması ve verilerin işlendikleri amaçla bağlantılı olması gerekliliği, bu ilkenin somut tezahürleri olarak değerlendirilmelidir.

İlkenin işlevi çift yönlüdür: bir yandan işlenme amaçlarının baştan belirlenmesi yoluyla ilgili kişinin neye rıza gösterdiğini bilmesini sağlamakta, diğer yandan veri sorumlusunun yalnızca beyan ettiği amaç çerçevesinde zorunlu ve orantılı miktarda veri işlemesini güvence altına almaktadır. Bu nedenle veri sorumlusunun, hangi amaç veya amaçlar için veri işleyeceğini özenle belirlemesi büyük önem taşımaktadır.

Veri işleme faaliyetinin hukuka uygunluğu değerlendirilirken, işlemenin belirlenen amaç sınırları içinde kalıp kalmadığı belirleyici rol oynamaktadır. Amaç dahilindeki işleme hukuka uygun kabul edilirken, amaç dışına çıkıldığı hallerde hukuka aykırılık gündeme gelmektedir.

Şeffaflık ilkesi, kişisel verilerin korunması sisteminin işlevselliğini sağlayan temel bir kaide olarak değerlendirilmelidir. Bu ilkenin özü, ilgili kişinin verileri üzerindeki hâkimiyetini kaybetmesini önlemek ve gerektiğinde bu kontrolü yeniden elde etme imkânını güvence altına almaktır.

Kanun, şeffaflık ilkesini çok boyutlu bir yapıda düzenlemiştir: madde 4/2(a)'da doğrudan, madde 4/2(c) ile madde 10 ve 11'de ise dolaylı olarak bu ilkeye atıf yapılmaktadır. Şeffaflık ilkesinin diğer ilkelerle sıkı bir bağlantı içinde olduğu bu sistematik düzenlemeden açıkça anlaşılmaktadır. Zira şeffaflık, ilgili kişinin neye rıza gösterdiğini bilmesini, veri işleme faaliyetinin meşru bir dayanağa kavuşmasını ve nihayetinde ilgili kişinin işleme süreci üzerinde etkin bir kontrol kurabilmesini mümkün kılmaktadır.

Kişisel verilerin korunması, bu bilgilerin doğruluğunu ve güncelliğini de kapsamaktadır. Veri sorumlusu, verilerin hatasız ve eksiksiz olması için makul ölçüde beklenebilecek tedbirleri almakla yükümlüdür. Kanun'un madde 11/1(d) hükmünde düzenlenen, ilgili kişinin yanlış bilgilerinin düzeltilmesini talep hakkı, bu ilkenin somut bir yansımasını oluşturmaktadır.

Kanun'daki "gerektiğinde güncel olma" ifadesi, somut olayın koşullarına göre değerlendirme yapılması gerektiğine işaret etmektedir. Nitekim bazı hallerde, özellikle delil muhafazası amacıyla, verilerin güncellenmemesi veya eski verilerin de saklanması zorunlu olabilmektedir.

Bu ilke, çift yönlü bir koruma işlevi görmektedir: hem veri sorumlusunun hem de ilgili kişinin menfaatlerini güvence altına almaktadır. Zira verilerin doğru veya güncel olmaması, potansiyel bir veri ihlali riski yaratmaktadır.

Ölçülülük ilkesi, belirtilen amaca alternatif araçlarla ulaşılabildiği ve bu araçların temel hak ve özgürlüklere daha az müdahale ettiği veya hiç müdahale etmediği hallerde, kişisel veri işleme yolunun tercih edilmemesini gerektirmektedir.

Veri işlemenin amaca ulaştıran tek araç olduğu durumlarda ise kişisel verilerin işlenmesi, ölçülülük ilkesi çerçevesinde meşru ve gerekli kabul edilecektir. Ancak bu durumda dahi işlenecek veri miktarı, amaca ulaşmak için zorunlu olan asgari seviyede tutulmalıdır. Belirtilen amaca hizmet etmeyen verilerin toplanması, bu ilkeyle doğrudan çelişmektedir.

Karşılaştırmalı hukuk perspektifinden bakıldığında, GVKT'nin 25. maddesi bu ilkenin işlevsel uygulanmasını düzenlemekte; özellikle veri minimizasyonunun teknik ve organizasyonel önlemlerle güvence altına alınmasını emretmektedir. Tasarımda mahremiyet (privacy by design) ve varsayılan değer olarak mahremiyet (privacy by default) kavramları, bu çerçevede teknolojinin geliştirilme aşamasından itibaren asgari veri işleme ilkesinin gözetilmesini öngörmektedir.

Kanun'un madde 4/1(b) hükmü uyarınca kişisel veriler, belirli, açık ve meşru amaçlar doğrultusunda işlenmelidir. Sonradan ortaya çıkan bir amaç değişikliği, ilgili kişinin yeniden bilgilendirilmesini veya açık rızasının alınmasını gerektirebilmektedir.1

Bu noktada ilk toplama amacı ile sonraki işleme amacı arasındaki uyumluluk değerlendirmesi kritik önem taşımaktadır. Söz konusu değerlendirmede işlenme amacıyla bağlantı, verilerin toplandığı bağlam, veri türleri, ilgili kişi açısından olası sonuçlar ve alınan güvenceler gibi faktörler dikkate alınmalıdır.2