Uluslararası metinlere değindiğimde onlarda yer alan temel ilkelerden kısaca bahsetmiştim, burada ise KVKK ve GDPR merkezli olarak Kişisel Verilerin Korunması’nda temel ilkelere değinmenin faydalı olacağını düşünüyorum. Bunlardan ilki hukuka ve dürüstlük kuralına uygun işleme olarak ifade edilebilir. Daha önce veri işlemenin hangi işlemleri içerdiğini anlatmıştık bu kapsamda kişisel veriyle yapılan her türlü faaliyet hukuk kurallarına ve dürüstlük kuralına uygun olmalıdır. Hukuka uygunluk yalnızca KVKK ve benzeri mevzuat değil tüm hukuk kurallarını içermektedir, örneğin Sosyal Güvenlik Mevzuatına göre özlük dosyalarının işçi işten ayrıldıktan sonra 10 yıl muhafaza edileceğine ilişkin kural gereği tutulan özlük dosyaları süre sınırını KVKK’dan değil sosyal güvenlik mevzuatından almakta ve bu kurala da uygun olması gerekmektedir. Dürüstlük kuralına uygun olma ise muğlak gibi gelse de hukuk kuralları içerisinde önemli bir yer tutmakta olup bu konuya ilişkin olarak karşılıklı güven ilişkisi içerisinde amaca uygun davranma ve aldatmama gibi iki temel üzerine inşa edilebilir. Bu anlamda veri sorumlularının, veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almaları, onları bilgilendirmeleri ve o bilgi ışığında amaca uygun olarak işleme faaliyetlerini yerine getirmeleri gerekmektedir. Bu anlamda bu ilkenin görünümlerinden biri de ilgilinin bilgilendirilme hakkıdır. Bilgilendirme hakkı kapsamında ilgilinin bilgilendirilmesi, kişinin diğer tüm haklarını kullanabilmesinin ve ilkelerin uygulanıp uygulanmadığını sorgulayabilmesinin temelinde yer almaktadır. Bu bilgilendirme en azından veri sorumlusunun ünvanı ve iletişim bilgilerini, hangi verileri topladıklarını, bu verilerle hangi veri işleme faaliyetlerinde bulunacaklarını ve bunların amacını, aktarım olacaksa kimlere neden aktarılacağını, ne kadar süre saklayacaklarını ve bu süreçte alınan önlemleri ve sürenin sonunda silme işleminin sürecini, kişinin haklarını ve sürece ilişkin başvuru yollarını açıklıkla anlatmalı ve tüm bu süreçlerle ilgili bilgilendirme yapmalıdır. Bilgilendirme hakkının bir diğer görünümü ise ilgili kişinin bilgiye erişim hakkıdır diyebiliriz. Kendisi hakkında tutulan bilgilerin kimler tarafından ne şekilde nerede tutulduğunu bilmeyen biri onların geleceği ile ilgili bir öngörüde bulunamayacağı gibi, bilgilerin doğruluğunu denetleme, düzeltme, sildirme gibi haklarını da kullanamayacaktır.
İkinci ilke ise veri işleme süreçlerinde belirli, açık ve meşru amaçlar doğrultusunda hareket edilmesidir. Bir veri sorumlusu mesela bir şirket, bir tüketiciden verilerini alırken hangi verileri hangi amaçlarla aldığını ve bu amaçların hangi yükümlülüğü yerine getireceğini açık bir şekilde tüketiciye aktarmalı, daha sonra olası bir kullanım için herhangi bir veri almamalı, muğlak ifadelerle “ve benzeri amaçlarla” gibi belirsiz ifadelerle ilgili kişiden verilerini talep etmemelidir. Açık ifade ettiği amaçların ise meşru yani hem yasal hem de tüketicinin yapacağı işlem ile alınan verinin işlenmesi arasında bir çıkar dengesi olması gerekmektedir. Bu anlamda alınan verinin meşru olması ile ilgili ilgili kişinin rızasının olması, ilgili kişinin taraf olduğu bir sözleşmenin yerine getirilmesi veya istemleri dolayısıyla işlemenin gerekli olması, yasal bir zorunluluk olması, ilgili kişinin hayati tehlikesi olması, işlemenin kamu yararı/kamu güvenliği için zorunlu olması gibi sebepler belirlenmiştir.
Üçüncü ilke kişisel verilerin işlenmesi işlenme amacı ile bağlantılı, sınırlı ve ölçülü olmalıdır. Bu ilke kapsamında temelde veri sadeleştirilmesi ve ölçülülük kriteri akla gelmektedir. Veri sorumlusu ilgili verinin alınması ve ilgili işlemin yapılmasının iş için zorunlu olup olmadığını muhakeme etmeli ve sadece amaca uygun veriyi alıp fazlasını almamalı, eğer birlikte birden çok veri alındıysa gerekli olmayanları silmeli veya anonim olarak kullanmak mümkünse anonimleştirmelidir. Amaçla bağlantılı ve ölçülü olma konusundaki en güzel örneğin iş başvurularında istenen adli sicil kaydı olduğunu düşünüyorum. Normalde belirli bir sayının üzerindeki şirketlerde eski hükümlü çalıştırma zorunluluğu ile uygulamaya giren başvuru süreçlerinde adli sicil kaydı isteme alışkanlığı bu yükümlülük kalkmasına rağmen istenmekte ve daha önce hükümlü olanların çıkarına iken artık hükümlü olan birinin iş bulamamasına sebep olabilmektedir. Bu anlamda iş gereği bir zorunluluk bulunmuyorsa çalışan adayından adli sicil belgesi istenmesi veri sadeleştirme ile uyuşmayacak ve bu ilkeye aykırılık teşkil edebilecektir.
Doğru ve güncel olma ise dördüncü ilkemiz. Bu ilke ile bağlantılı en önemli husus ise ilgili kişinin bilgi alma hakkıdır. Eğer kişi hakkında hangi bilgilerin tutulduğunu öğrenemezse bilgilerin doğru veya güncel olup olmadığını da kontrol edemez. Bu anlamda ilgili kişi veri sorumlusuna başvurarak hakkında hangi bilgilerin tutulduğuna ilişkin bilgi alabilir. Doğru tutulmayan veriler hem veriyi tutan veri sorumlusunun ilgili veriden gerektiği şekilde yararlanmasını engelleyeceği gibi ilgili kişinin de zarar görmesine yol açabilir. Bunun yanında güncel olma ilkesi ile ilgili veri sorumlusu ilgili kişiyi belirli aralıklarla bilgilendirmeli ve kişiye hakkındaki verileri güncelleyebilme olanağı sunmalıdır. Bu ilkenin görünümü ise kişinin hakkındaki bilgileri düzeltebilme hakkıdır. Özellikle eksik, yanlış ve güncel olmayan bilgilerin talep halinde değiştirilmesi ve düzeltilmesi hakkı hem uluslararası düzenlemelerde hem de Türk hukukunda düzenlenmiştir.
Amaca ve ilgili mevzuata uygun süre ile verilerin tutulmasına ilişkin ilke aslında ölçülülük ilkesinin bir görünümü gibi ancak süre sınırlamasına ayrıca değinilmesinin önemli olduğunu düşünüyorum. Bu bakışla kişisel verilerin tutulması kendi başına önemli bir risk oluşturmakta ve her ne kadar güvenlik tedbirleri alınsa da bu bilgiler sızabilmektedir. Bu nedenle ilgili amaç gerçekleştiğinde veya ortadan kalktığında ilgili veri silinerek veya yok edilerek erişim engellenmeli ve süre ölçülü bir şekilde belirlenmelidir. Bunun yanında işleme süreçlerine yönelik bir ilke olmamakla beraber bizim hukukumuzda bir yükümlülük olarak düzenlenmiş AB hukukunda ilke olarak kendine yer bulmuş Veri Güvenliği İlkesine değinmenin faydalı olacağını düşünüyorum. Veri Güvenliği ilkesi kapsamında, ilgili veri sorumlusunun yani verilerle ilgili işlemleri yapan şirket, kurum veya kişinin gerekli teknik, teknolojik, organizasyonel, idari ve hukuki tedbirleri alarak kendisine emanet edilen verilerin kendisinde bulunduğu süre içerisinde güvenliğini sağlaması gerektiği ifade edilmektedir.
KVKK’da yer almayan ama GDPR’da yer alan diğer bir ilke ise Hesap Verebilirlik İlkesi’dir. Bu ilke ise ilgili veri sorumlularının tüm bu ilkelere uygun davranmaları gerektiğini ve bunu şeffaf bir şekilde yansıtmaları gerektiğini düzenlemektedir.
