7 Nisan 2016 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Verileri Koruma Kanunu pek çok yeniliği beraberinde getirmiştir. Kanun’a uyum kapsamında veri sorumlularının pek çok yükümlülüğü bulunmaktadır. Bunlar asgari düzeyde çalışanlarını biliçlendirmek, veri işleme faaliyeti kapsamında genel ilkelere uymak ve gerekli prosedürleri tamamlayarak bir veri envanteri oluşturmak olarak sıralanabilir. Uyumluluk süreçlerinin ilk aşamasını oluşturan ve Kanun’da bahsi geçen terimleri açıklayarak daha anlaşılır hale getiren “Kişisel Verilerin Korunması Kanunu Ve Temel Kavramlar” isimli blog yazımıza buradan ulaşabilirsiniz.
Bahsettiğimiz üzere kişisel verilerin işlenmesine yönelik bazı temel ilkeler bulunmaktadır. Kanunun 4. maddesinde kişisel verilerin işlenmesine ilişkin usul ve esaslar 108 sayılı Avrupa Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine ve 95/46/EC sayılı Avrupa Birliği Veri Koruma Direktifine paralel şekilde düzenlenmiştir. Buna göre; Kanunda kişisel verilerin işlenmesinde sayılan genel ilkeler şunlardır:
Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin temelinde bulunması gerekmektedir.
Hukuka ve Dürüstlük Kurallarına Uygun Olma İlkesi
Hukuka ve dürüstlük kuralına uygun olma ilkesi, diğer ilkeleri de kapsayan bir niteliğe sahiptir. Kişisel verilerin işlenmesinde kanunlarla ve hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğu hukuka ve dürüstlük kuralına uygun olma ilkesi ile ifade edilir.
Dürüstlük kuralına uygun olma ilkesi gereğince veri sorumluları, veri işlerken kişilerin çıkarlarına ve beklentilerine önem vermelilerdir. Veri işlerken, ilgili kişilerin beklemediği sonuçların önüne geçilmesi gerekmektedir. Ayrıca ilgili kişiler için sürecin şeffaf ilerlemesi, veri sorumlusunun da buna göre faaliyet göstermesi gerekir.
Doğru ve Gerektiğinde Güncel Olma İlkesi
Bu ilke kişisel verilerin doğruluğunun ve güncelliğinin önemini vurgulamaktadır. Bu ilke ile kanunda öngörülen ilgili kişinin, verilerin düzeltilmesini isteme hakkı uyumludur.
Kişisel verilen doğruluğu ve güncelliği hem veri sorumlusunun hem de ilgili kişinin hakları açısından önemlidir. Çünkü kişilerin güncelliğini korumayan veya yanlış veriler sebebiyle zarar görme ihtimali vardır. Örneğin, veri sistemine kayıtlı telefonun yanlış olması, adresin güncel olmaması gibi sorunlar, tebligat gibi önemli evrakların kişiye ulaşmasına engel olur.
Belirli, Açık ve Meşru Amaçlar İçin İşlenme İlkesi
Kişisel veri işleme süreçlerinin ilgili kişi tarafından anlaşılabilir olmasını, dayalı olarak gerçekleştirildiği hukuki işlem şartının belirlenmesi ve veri işleme faaliyetinin amacının ayrıntılarının netliğini sağlar. Veri sorumluları belirttikleri amaçlar dışında farklı amaçlarla faaliyetlerini devam ettirirlerse bu durum farklı sorumluluklara yol açacaktır.
İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi
İşlenen kişisel veriler, yalnıza amacın sağlanabilmesi için gerekli olan veriler ile sınırlı olmalıdır. İhtiyaç olmayan verilerin işlenilmesinden uzak durulmalıdır. Sınırlı tutulma ilkesine göre, amacı dışında veri işlenmesi hukuka aykırıdır.
Ölçülülük ilkesine göre, veri işleme amaç arasında bir ölçü olması gerekmektedir. Veri amacı gerçekleştirecek ölçüde olmalıdır.
İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi
Kişisel veriler, işlendikleri amaca göre belirli bir süre muhafaza edilmelidir. Bu durum amaçla sınırlılık ilkesi ile çerçevelenmiştir.
Veri sorumluları bu ilke kapsamında önlemler almakla sorumludur. Veri sorumluları, kişisel verilerin ne kadar süreyle saklanacağı ve yok edileceğine dair çalışmalar geliştirmekle yükümlüdürler. Bununla birlikte veri sorumlusu, Veri Sorumluları Sicili Hakkında Yönetmeliği’nin 9. maddesi uyarınca veri işlerken gerekli süreyi bildirmekle de yükümlüdür.