Bilişim HukukuVeri Koruma Hukuku

Veri Minimizasyonu İlkesi

Yazar 22 Mayıs 2023Ekim 3rd, 2023No Comments7 dakikalık okuma
Veri Minimizasyonu İlkesi

“Veri minimizasyonu” ilkesi bir veri denetleyicisinin kişisel bilgilerin toplanmasını doğrudan ilgili ve belirli bir amaca ulaşmak için gerekli olanla sınırlaması gerektiği anlamına gelir. Ayrıca verileri yalnızca bu amacı gerçekleştirmek için gerekli olduğu sürece saklamalıdır. Diğer bir deyişle, veri sorumluları yalnızca gerçekten ihtiyaç duydukları kişisel verileri toplamalı ve yalnızca ihtiyaç duydukları sürece saklamalıdırlar.

Bir veri toplama ve işlemenin amaca uygun olacak şekilde yeterli, ilgili ve sadece gerek duyulan verilerle kısıtlı olmak üzere toplanması ve işlenmesi ilkesi “veri minimizasyonu ilkesi olarak nitelendirilmektedir. 

Veri minimizasyonu ilkesi, GDPR’nin 5(1)(c) maddesinde ve (AB) 2018/1725 sayılı Tüzüğün 4(1)(c) maddesinde ifade edilmektedir. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında yedi temel veri koruma ilkesinden biri olan Veri Minimizasyonu (Data Minimisation), veri gizliliğini desteklemek amacıyla toplanan ve işlenen verilerin, önceden açıkça belirtilen nedenlerle zorunlu olmadıkça tutulmaması, aktarılmaması ve kullanılmaması gerektiğini belirten bir ilkedir. Bir başka deyişle bu ilkeye göre veriler, toplama ve işleme amacına uygun olacak şekilde yeterli, ilgili ve işlendikleri amaçla sınırlı olmak üzere toplanmalı ve işlenmelidir.

Veri minimizasyonu ile amaçlanan, kişisel verilerin miktar ve çeşitliliği arttıkça, veri güvenliği açısından çıkacak risk ve zararları önlemektir. Bu sebeple amaç dışı ve alınması zorunluluk arz etmeyen veriler hiç toplanmamalı, artık kullanılmayacak olan veriler ise derhal silinmeli ya da anonimleştirilmelidir.

GDPR  5. ve (AB) 2018/1725 Sayılı Tüzüğün 4. Maddesi

 Kişisel veriler:

  1. veri konusuyla ilgili olarak yasal, adil ve şeffaf bir şekilde işlenir. (“yasaya uygunluk, adillik ve şeffaflık”);
  2. belirli, açık ve meşru amaçlar için toplanmalı ve bu amaçlarla bağdaşmayacak şekilde daha fazla işlenmemelidir; kamu yararına arşivleme amaçları, bilimsel veya tarihsel araştırma amaçları veya istatistiksel amaçlar için daha fazla işleme, Madde 89(1) uyarınca, başlangıç amaçlarıyla bağdaşmaz olarak değerlendirilmemelidir (“amaç sınırlaması”);
  3. işlendikleri amaçla ilgili olarak yeterli, ilgili ve gerekli olanla sınırlı (“veri minimizasyonu”);
  4. doğru ve gerektiğinde güncel tutulacak; işlenme amaçları dikkate alındığında yanlış olan kişisel verilerin silinmesini veya gecikmeden düzeltilmesini (“doğruluk”) sağlamak için her makul adım atılmalıdır;
  5. Kişisel verilerin işlenme amaçları için gerekli olan süreden daha uzun olmamak kaydıyla, veri konularının kimliğinin tespit edilmesine imkan verecek şekilde saklanması; kişisel veriler, uygun teknik ve organizasyonel önlemlerin uygulanmasına tabi olarak, Madde 89(1) uyarınca yalnızca kamu yararına arşivleme amaçları, bilimsel veya tarihsel araştırma amaçları veya istatistiksel amaçlar için işleneceği sürece, daha uzun süreler boyunca saklanabilir. veri konusunun hak ve özgürlüklerini korumak için bu Yönetmelik tarafından gerekli kılınan önlemler (‘saklama sınırlaması’);
  6. uygun teknik veya organizasyonel önlemler kullanılarak (“bütünlük ve gizlilik”) yetkisiz veya yasa dışı işlemeye ve kazara kayıp, imha veya hasara karşı koruma dahil olmak üzere kişisel verilerin uygun güvenliğini sağlayacak şekilde işlenir.

Denetleyici, 1. paragraftan (“hesap verebilirlik”) sorumlu olacak ve bunlara uyum gösterebilecektir.

KVKK Kapsamında “Veri Minimizasyonu” İlkesi

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle birlikte kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi, veri sorumlusunun hak ve yükümlülükleri ve açık rıza gibi pek çok uygulama da düzenlenmiştir. Zira Kanun’un ilk maddesinde bahsedildiği üzere Kanun’un amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Ülkemizde her ne kadar GDPR m.5 (1) (c)’de yer alan veri minimizasyonu, açık bir şekilde 6698 sayılı Kişisel Verilerin Korunması Kanunda (KVKK) geçmese de, KVKK’da yer alan m.4 (2) (ç) gereği, verilerin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması, m 4 (2) (d) gereği de verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerekmektedir. Kişisel Verileri Koruma Kurulu’nun da yer alan düzenlemelere aykırılık halinde veri sorumlularına idari para cezası yaptırımını uyguladığı bir kararı mevcuttur.

KVKK Madde 4:

  1. Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve  esaslara uygun olarak işlenebilir.
  2. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
  • Hukuka ve dürüstlük kurallarına uygun olma.
  • Doğru ve gerektiğinde güncel olma.
  • Belirli, açık ve meşru amaçlar için işlenme.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

İşlenme Amacının Gerektirdiğinden Fazla Kişisel Veri İşlenmesi/Aktarılması Kararı(Veri Minimizasyonu İlkesine Aykırılık)

Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunmasının;

– Kanunun 8 inci maddesinin (2) numaralı fıkrasında atıfta bulunulan Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer verilen hukuki yükümlülüğün yerine getirilmesi için zorunlu olması kapsamında değerlendirilemeyeceği,

– Kanunun 4 üncü maddesinin (1) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil ettiği,

dikkate alınarak, Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde ilgili kişiye ait kişisel verilerin güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

Sonuç itibariyle, veri işleme faaliyeti gerçekleştirilirken, ilgili kişiden, işlendikleri amaçla bağlantılı ve yeterli, hukuka uygun veri işleme faaliyeti amacına hizmet eden verilerin talep edilmesi gerekmektedir. Bu kapsamda kişisel verilerin korunması hakkındaki genel ilkeler de göz önünde bulundurularak, bu müesseseye en az müdahale edecek verilerin toplanması önem arz etmektedir. 

Bu yazımızda veri minimizasyonu ilkesine dair bilgilere yer verdik. Daha detaylı bilgilendirme için sizler de AEY Legal’e başvurabilir, sözleşmelerinizin hazırlanması konusunda da hukuki destek alabilirsiniz.

AEY Legal

AEY Legal, faaliyet göstermekte olduğu Fikri Mülkiyet Hukuku, E-Ticaret ve Bilişim Hukuku, Veri Koruma ve Siber Güvenlik Hukuku, Ticaret ve Şirketler Hukuku, Sözleşmeler Hukuku, Freelancer Hukuku, Tüketici Hukuku, Start-up Hukuku, Reklam ve Medya Hukuku başta olmak üzere birçok hukuk dalında ulusal ve uluslararası düzeydeki uyuşmazlık ve ihtilaflarla ilgili olarak Hukuki Danışmanlık, Uyum Yönetimi & Regülasyon, Dava Takibi & Uyuşmazlık Çözümü hizmetlerini müvekkillerine sunmaktadır.

Scan the code