Av. Sevcen CAN & Av. Yasemin ÇORAK
Kişisel verilerin korunmasına ilişkin ilk yasal düzenlemeler 1970’li yıllardan itibaren yapılmaya başlanmış, teknolojinin gelişmesiyle birlikte globalleşmenin hayatın her alanına yansımasının sonucu olarak, Dünya üzerindeki hemen her ülkenin kendi veri koruma politikasını belirlemesi gerekmiştir. Günümüzde, kendi veri koruma mevzuatı olmayan hemen hemen hiçbir ülke kalmamıştır. Bununla birlikte, her ülkenin hukuksal dinamiklerinin ve hatta hukuk sistemlerinin birbirinden çok farklı olabileceği, bu nedenle ülkelerin veri koruma politikalarını belirlerken veya kendi mevzuatlarını düzenlerken global anlamda yeknesaklıktan uzaklaşmamaları gerektiğinin önemi de açıktır. Yeknesaklığın sağlanması adına şimdiye değin birçok uluslararası kuruluş veri koruma konusunda temel ilkeler yayınlamış, birçok ülke kendi veri koruma mevzuatını bu ilkeler ışığında oluşturmuştur.
Bahsedilen uluslararası ilkelerden en önemlisinin, Ekonomik Kalkınma İşbirliği Örgütü’nün (“OECD”) yayınladığı Sınırötesi Veri Akışları Hakkında Yönlendirici İlkeler (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data) olduğu söylenebilir. En son 2013 yılında revize edilen bu ilkeler aşağıda açıklanacaktır:
1) Kişisel Verilerin Toplanmasının Sınırlı Olması İlkesi (Collection Limitation Principle)
Kişisel verilerin toplanmasında birtakım sınırlandırmalar olmalı, kişisel verilerin toplanması hukuka uygun olmalı, veri sahibinin bilgi ve onayı dahilinde gerçekleşmelidir.
2) Veri Kalitesi İlkesi (Data Quality Principle)
Kişisel veriler kullanılacakları amaçlarla ilgili olmalı ve bu amaçlar için gerekli olduğu ölçüde doğru, eksiksik ve güncel tutulmalıdır.
3) Kişisel Verilerin Toplanma ve İşlenme Amacının Belirlenmesi İlkesi (Purpose Specification Principle)
Kişisel verilerin toplanma amaçları, verilerin toplanmasından önce belirlenmiş olmalı ve kişisel verilerin kullanımı bu amaçlarla ve bu amaçlar daha sonradan değişirse, başlangıçta belirtilen amaçlarla uyumsuz olmamak ve veri sahibine bildirilmek kaydıyla değişen amaçlarla sınırlı tutulmalıdır.
4) Kişisel Verilerin Amaca Uygun Kullanımı İlkesi (Use Limitation Principle)
Kişisel veriler bir önceki ilkede tanımlanan amaçlara uygun olarak, veri sahibinin rızasıyla ve hukuka uygun şekilde açıklanmalı, sunulmalı ya da kullanılmalıdır.
5) Kişisel Verilerin Korunması İlkesi (Security Safeguards Principle)
Kişisel verilerin korunması amacıyla veri kaybı, verilerin yetkisiz şekilde erişimi, imha edilmesi, kullanılması, değiştirilmesi veya ifşa edilmesi gibi risklere karşı makul seviyede tedbirler alınmalıdır.
6) Açıklık İlkesi (Openness Principle)
Kişisel verilerle ilgili gelişmeler, uygulamalar, politikalar hakkında genel bir açıklık politikası ve kişisel verilerin varlığını ve niteliğini, kullanma amaçlarını, veri denetleyicisinin kimliğini ve adresini tespit etmeye yarar araçlar mevcut olmalıdır.
7) Bireysel Katılım İlkesi (Individual Participation Principle)
Kişisel veri sahibi, bir veri denetleyicisinden kendisiyle ilgili kişisel veriye sahip olup olmadığını öğrenme ve bunların silinmesini, düzeltilmesini, eksikse tamamlanmasını ve değiştirilmesini talep etme hakkına sahip olmalıdır.
8) Hesap Verebilirlik İlkesi (Accountability Principle)
Veri denetleyicisi, yukarıda sayılan ilkeler üzerinde etkili olabilecek tüm tedbirlere uymakla yükümlü olmalıdır.
İlgili yazılarımız için;
Kişisel Veri – Kişisel Verilerin Korunması
Kişisel Verilerin Korunması Kanunu Neleri Kapsar?
Kişisel Verilerin Korunmasının İhlal Edilmesi Halinde Uygulanacak Yaptırımlar
Kişisel Verilerin Korunması Kanunu Kapsamında Başvuru ve Şikayet
Kişisel Verilerin Korunması Kapsamında İlgili Kişilerin Hakları Nelerdir?
Kişisel Verilerin Korunması Kanunu
Kişisel Verilerin İşlenmesi ve Genel İlkeler
Kişisel Verilerin İşlenme Şartları
Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi