Genel ilkeler

MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olma.

b) Doğru ve gerektiğinde güncel olma.

c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

a) Hukuka ve dürüstlük kurallarına uygun olma.

Dürüstlük kuralı, kişilerin haklarını kullanırken güven kurallarına uygun ve makul bir kimseden beklenen şekilde davranılmasını ifade eder. Dürüstlük kuralının sınırları, her somut olayda objektif kriterlere göre bir kimseden beklenecek davranışa göre belirlenir, kişilerin subjektif durumu göz önüne alınmaz.

Kişisel verilerin korunması açısından ise dürüstlük kuralı, kişilerin kendilerine veri işleme konusunda izin ya da emir veren hukuk kurallarına dayanarak gerçekleştirdikleri fiillerde, bu hukuk kuralının amacına göre mümkün olan en az miktarda veri işlemeleri, ilgili kişilerin öngöremeyeceği biçimde hareket etmemeleri, ilgili kişilerin çıkarlarını ve makul beklentilerini göz önüne almaları, haklı bir gerekçe olmaksızın ilgili kişinin özel hayatının gizliliğini, onurunu ihlal edecek şekilde veri işlenmemesi gibi davranışları gerektirir.

b) Doğru ve Gerektiğinde Güncel Olma

Doğru ve gerektiğinde güncel olma ilkesi, ilgili kişinin verilerin düzeltilmesini talep etme hakkı ile bağlantılıdır. Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğü veri sorumlusunun verilere dayalı olarak ilgili kişiye ilişkin sonuç ortaya çıkarması halinde geçerlidir. (Örneğin kredi verme işlemleri). Kişisel verilerin doğru ve güncel tutulabilmesini teminen; kişisel verilerin elde edildiği kaynaklar belirli olmalı, kişisel verilerin toplandığı kaynağın doğruluğu test edilmeli, kişisel verilerin doğru olmamasından kaynaklı talepler göz önünde bulundurulmalı ve bu kapsamda makul önlemler alınmalıdır.

c) Belirli, Açık ve Meşru Amaçlar İçin İşlenme

Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir.

Kişisel verilerin işlenme amaçlarının belirli, meşru ve açık olması ilkesi ;

• Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını,

• Kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini,

• Kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlamaktadır.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

Amaç için gerekli olanın dışında veri işlenmesi, sınırlı tutulma ilkesine aykırılık teşkil edecektir. Mevcutta olmayan ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri toplanmamalı veya işlenmemelidir.

Bu bakımdan, kişisel veriler toplandıktan sonra, ileride ortaya çıkabilecek yeni işleme amaçları dâhilinde işleme yapılması için, verilerin ilk defa toplanması sırasında sağlanması gereken şartlar yeni amaçlar için de tekrar aranmalıdır. Örneğin, bir taşımacılık firması tarafından taşıma sözleşmesi kapsamında kaydedilen adres bilgileri, sonrasında pazarlama faaliyeti için de kullanılacaksa, bu amaçla kullanım yapılabilmesi için kişisel veri işleme şartlarının karşılanıp karşılanmadığının yeniden değerlendirilmesi gerekmektedir.

d. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi

Kişisel verilerin amaçla sınırlılık ilkesinin ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesinin gereği olarak Kanunun 12.maddesine uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Bununla ilgili olarak veri sorumlusu, kişisel veri saklama ve imha politikası ve esaslarını oluşturmak, saklama süreleri ve muhafazada uygulamaya alınacak teknik ve idari tedbirleri belirlemek ve kişisel verilerin bu esaslara uygun olarak muhafazasını sağlamakla yükümlüdür. Veri Sorumluları Sicili Hakkında Yönetmeliğin 9. maddesini göz önünde bulundurarak, kişisel verilerin saklanacağı süreyi tespit etmek ve bu süreyi bildirmek zorundadır. Burada önemle belirtmek gerekir ki, mevzuat kapsamında öngörülen bu sürelere uyum için yapılan saklama faaliyetleri veri sorumlusu tarafından belirlenen saklama sürelerini aşıyorsa, bu faaliyetler yalnızca ilgili mevzuatta belirtilen yükümlülükleri yerine getirmekle sınırlı bir saklama ve işleme faaliyeti olarak yürütülmelidir. Hem veri sorumlusunun hukuki yükümlülükleri gereği tabi olduğu mevzuat kapsamında öngörülen sürelerin, hem de veri sorumlusunun belirlediği saklama sürelerinin aşılması durumunda, kişisel verilerin veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi gerekecek, ileride tekrar kullanılabileceği düşünülerek ya da herhangi bir başka gerekçe ile kişisel verilerin muhafaza edilmesi yoluna gidilemeyecektir.