Değerli okuyucularımız sizlere daha önceki bir yazımızda (Bkz. ilgili yazımız…) 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) hakkında genel bilgilendirmelerde bulunmuştuk. Bu yazımızda ise özel olarak kişisel verinin işlenmesinden ne anlaşılması gerektiğini ve bu verilerin işlenmesindeki genel ilkelerin neler olduğunu açıklamaya çalışacağız. Bu konuda yeni yürürlük kazanmış bir kanunun varlığı, açıklamalarımızın dayanağının her defasında KVKK olmasını gerektirecek.
Öncelikle kişisel verinin işlenmesinden ne anlayacağız? Bunun yanıtı; KVKK madde 3’de tanımlarda şöyle düzenlenmiştir: “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,”
Tanımdan da anlaşılacağı üzere, kişisel verinin işlenmesinden; çok genel olarak verinin tümüyle ya da kısmen otomatik ya da otomatik olmayan yollarla elde edilip her türlü kayıt, depolama, muhafaza, değiştirilme, aktarım, devir gibi eyleme tabi tutulmasını hatta kullanımının engellenmesine kadar üzerinde müdahalede bulunulmasını anlamaktayız.
KVKK madde 4 kişisel verilerin işlenmesinin genel prensiplerini ikiye ayırarak belirlemiştir.
- fıkrada “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.”demek suretiyle hem KVKK hem de özel başka Kanun ve mevzuatta ayrıca bir sınırlama bulunursa onlara da uyulmak koşuluyla ancak veri işlemenin gerçekleşebileceği hükme bağlanmıştır. Elbette bu fıkradan genel kanunlarda düzenlenen bu konuyla ilişkilendirilebilecek temel prensipleri de anlamak mümkündür. Örneğin Türk Ceza Kanunu, Bankacılık Kanunu, Türk Ticaret Kanunu gibi…
- fıkrada tek tek prensipleri sayan kanunkoyucu bunlara uyulmasını zorunlu hale getirerek hükme emredici karakter kazandırmıştır. Bu ilkeler fıkrayla uyumlu olarak şöyledir: “a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.”
Madde lafzı oldukça net ve tartışmaya mahal bırakmayacak biçimde kaleme alınmıştır. Kişisel bir verinin işlenmesi durumunda a, b ve c bentlerinin uygulamada anlaşılması ve yorumlanmasında sıkıntı çıkacağını düşünmemekteyiz. Zira, işlemenin hukuka ve dürüstlük kurallarına uygunluğu, doğru ve güncellik şartı taşıması, belli-açık-meşru amaca yönelik olması genel içtihatlarla da hatları belirli hukuki terimlerdir. Yalnız ç) bendinde örneğin bir kişisel verinin amacıyla ne kadar bağlantılı, ne ölçüde sınırlı ve orantısında işlendiğinin tartışmaya mahal verme riski gündeme geleceği gibi, yine örneğin bir kişisel veri diyelim ki depolandı, bunun ne kadar süre depolanabileceği veri sahibi ile veriyi depolayan arasında ihtilaf konusu olabilecektir. Açıkça yazılı olarak sözleşmeye ya da bir taahhütnameye ve yahut da izne/onaya bağlanmadığı müddetçe, KVKK bundan “gerekli olan süre kadar” muhafazadan bahsetmekte olduğundan, buradan yorum yapılacaktır. Net bir çerçevede o gereken sürenin ne kadar olduğunun tespiti bakımından ihtilaf yargılamayla ancak çözülebilecektir.
Hukuk Desteği
iletisim: [email protected]
