KVKK Kapsamında Veri Minimizasyonu İlkesi

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’nun yürürlüğe girmesi ile beraber; kişisel verilen hangi amaçla işleneceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, kişisel verilerin kimlere ve ne amaçla aktarılabileceği, veri sahibinin sahip olduğu haklara ilişkin gerekli gerekli aydınlatmaların yapılması ve kanunda yazan istisnai hallere girmediği takdirde açık rıza alınmasına ilişkin uygulamalar oldukça önem teşkil etmektedir.

Bu kapsamda, kişisel verileri işleme faaliyetinde hangi verilerin işlendiği ve veri sahibinden hangi verilerin talep edildiği önem arz etmektedir. Zira Kanun’un amacı, kişisel verileri korumak ve mümkün olduğu ölçüde yeterli olacak kadar veri işlenmesini sağlamaktır.

Nitekim bu veri toplama ve işlemenin amaca uygun olacak şekilde yeterli, ilgili ve sadece gerek duyulan verilerle kısıtlı olmak üzere toplanması ve işlenmesi ilkesi “Veri Minimizasyonu İlkesi” olarak nitelendirilmektedir.

Genel Olarak Veri Minimizasyonu İlkesi

Genel itibari ile veri minimizasyonu ilkesi, amaca uygun işleme ilkesine bağlı bir ilkedir. Amaca uygun olma ilkesi bir bakıma ölçülülüğü de ifade etmektedir. Veri işleme faaliyetinin, işlendikleri amaç kapsamında veri sahibinin korunması gereken temel hak ve özgürlüklerine ne derece müdahale ettiği değerlendirilmelidir. Bir başka anlatımla; elde edilen kişisel verilerin hukuka uygun elde edilip edilmediği, elde edilen kişisel verinin veri işleme amacına hizmet edip etmediği ve yeterli olup olmadığı göz önünde bulundurulmalıdır. Bu noktada önemli olan, kişisel verilerin korunması müessesesine en az müdahale edecek yöntemin tercih edilmesidir. 

Önemle belirtmek gerekir ki; veri minimizasyonu ilkesine aykırı şekilde, amaca hizmet edenden fazla veri işlendiyse veri işleme faaliyeti ilgili kişinin rızasına dayansa dahi işleme faaliyeti genel ilkelere uygun hale gelmeyecektir.

Bu duruma örnek olarak; iş yerlerine ya da spor salonlarına girişlerde parmak izi alınması verilebilir. Eğer iş yerinde yoğun güvenlik önlemlerine ihtiyaç duyulacak bir faaliyet gerçekleşmiyorsa, keza spor salonlarında zaten böyle bir durum mevcut olmayacaktır, girişlerde parmak izi alınmasının ölçülülük ilkesine aykırı olduğunun kabulü gerekir. Bu kapsamda, mümkün olduğu ölçüde giriş-çıkış denetimlerinin farklı yöntemler (kart sistemi, liste tutulması) tercih edilerek yapılması tavsiye edilmektedir. Nitekim parmak izi, biyometrik veri olduğundan özel nitelikli kişisel veri sıfatını haizdir.

Bu kapsamda; gerçek ve tüzel kişiler tarafından, Kanun’da yer alan veri işleme koşullarına ve genel ilkelere aykırı olan kişisel veriler işlenmemesi önem arz etmektedir. Açık rıza alınmasını gerektiren bir hal var is açık rızanın gelecekte ihtiyaç duyulabilecek kişisel veriler için önceden değil, zamanında ve gerektiği hallerde alınması gerekmektedir. Bu hususlara dikkat edilmemesi halinde veri minimizasyonu ilkesine ve dürüstlük kurallarına aykırı hareket edilmiş olacaktır.

Covid-19 Döneminde Veri Minimizasyonu İlkesi 

Esasen yukarıda bahsedilen ilkeler Covid-19 dönemi için de geçerlidir. Veri işleme faaliyeti bu dönemde de amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilmeli, gerektiğinden fazla veri işlenmesinin önüne geçilmelidir.

Kamu sağlığının korunması adına HES kodu ile denetimlerin arttırılması konusunda ise, HES kodunun anlık olarak kontrol edilmesi ve bu sonuçların işlenmemesi, kaydedilmemesi tavsiye edilmektedir. Gerekli kontrollerin yapılması akabinde sağlık verisi işlenmeyen ilgili, riskli bir durum görüldüğü takdirde derhal sağlık kuruluşuna yönlendirilmelidir. Nitekim işin gerektirmediği hallerde, kamu sağlığı gerekçesi ile gereğinden fazla sağlık verisi işlenmesi, işleme faaliyetini genel ilkelere uygun hale getirmeyecektir.

Nitekim Kişisel Verileri Koruma Kurumu’nun “İşlenme Amacının Gerektirdiğinden Fazla Kişisel Veri İşlenmesi/Aktarılması (Veri Minimizasyonu İlkesine Aykırılık)” başlıklı kararı uyarınca;  

Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunmasının;

-      Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması kapsamında değerlendirilemeyeceği,

 -      İşlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil ettiği

dikkate alınarak, Kurul tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde ilgili kişiye ait kişisel verilerin güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18’inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

Sonuç

Netice itibariyle; veri işleme faaliyeti gerçekleştirilirken, ilgili kişiden yalnızca işlendikleri amaçla bağlantılı ve yeterli, hukuka uygun ve veri işleme faaliyeti amacına hizmet eden verilerin talep edilmesi gerekmektedir. Bu kapsamda, kişisel verilerin korunması hakkındaki genel ilkeler de göz önünde bulundurularak, bu müesseseye en az müdahale edecek verilerin toplanması önem arz etmektedir.  

Başka bir ifade ile; veri işleme faaliyetini gerçekleştiren gerçek ve tüzel kişiler tarafından, Kanun’da yer alan veri işleme koşullarına ve genel ilkelere aykırı olan kişisel veriler işlenmemeli, açık rıza alınmasını gerektiren bir durum var ise bu rızanın zamanında ve hukuka uygun koşullarda alınması gerekmektedir. Aksi halde, veri minimizasyonu ilkesine ve dürüstlük kurallarına aykırı veri işleme faaliyeti gerçekleşmiş olacaktır.