VERİ MİNİMİZASYONU İLKESİ NEDİR?

 Hazırlayan: Kübra DURMUŞ

2016/679 Sayılı Genel Veri Koruma Tüzüğü’nün (“GVKT”) “Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler” başlıklı 5(1)(c) bendinde, kişisel verilerin, “işlendikleri amaçlarla ilgili olarak sınırlı ve ölçülü bir şekilde işlenmesi” öngörülmüş, aynı ilke 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 4(2)(ç) bendinde de benimsenmiştir.

GVKT’nin 5(1)(c) bendi uyarınca, veri sorumlusu tarafından ilgili kişilerden toplanacak kişisel verilerin hukuka uygun bir şekilde toplandığının kabul edilebilmesi için, (i) “doğrudan işleme amacıyla ilgili olması”, (ii) “işlendikleri amaçla ilgili yeterli olması” ve (iii) “işlendikleri amaç için gerekli olması” şeklinde üç şartı karşılaması gerektiği söylenebilir. Veri sorumlusu tarafından toplanan verilerin sahip olması gereken bu üç özellik şu şekilde açıklanabilir:

1. Kişisel Verilerin Doğrudan İşleme Amacıyla İlgili Olması: Toplanan kişisel verilerin, doğrudan kişisel veri toplama amacıyla ilgili olması, yani işlenen kişisel veri ile işleme amacı arasında makul bir bağlantı olması gerekir. Örneğin, bir kişinin medeni durumuna ilişkin kişisel veri işlenmesi, veri sorumlusunun yürüteceği faaliyetle doğrudan ilgili olmamasına rağmen veri sorumlusu, yine de bu veriyi topluyor ise bu tür bir kişisel verinin toplanıyor olması hukuka aykırılık teşkil edecektir.
2. Kişisel Verilerin İşlendikleri Amaçla İlgili Yeterli Olması: Yeterlilikle kastedilen, toplanan kişisel verinin, kişisel veri işleme amacını yerine getirmek için yeterli olması ve gerekenden fazla veri toplanmamasıdır. Bu konuda, kişisel veri miktarı kadar toplanan kişisel verinin niteliğinin de amaç bakımından uygun ve amacı yerine getirme bağlamında yerinde olması gerekir. Bir kişi hakkında karar verilen durumlarda gerçeklerin tam olarak anlaşılması için yetersiz veri işlenmişse bu durum da bu ilkeye aykırılık teşkil edecektir[1].
3. Kişisel Verilerin İşlendikleri Amaç İçin Gerekli Olması: Kişisel veri toplanmaya başlamadan önce başlangıçta öngörülen amacı aşan bir şekilde kişisel veri toplanması hukuka aykırıdır. Yalnızca işleme amacının gerektirdiği sınırlar çerçevesinde kişisel veri toplanmalıdır.

Bu üç şartın somut olay özelinde doğru olarak tespit edilebilmesi için öncelikle kişisel verilerin hangi amaçla toplandığı net ve doğru bir şekilde belirlenmelidir. Bu nedenledir ki amaca bağlılık ilkesi ile veri minimizasyonu ilkesi arasında sıkı bir ilişki bulunmaktadır. Her iki ilke bakımından da gelecekte kullanılabileceği “tahmin edilen” kişisel verilerin toplanması hukuka aykırıdır; öyle ki kişisel verinin yukarıda belirtilen şartlar çerçevesinde somut işleme faaliyeti dikkate alınarak belirlenecek amaçla sınırlı olarak toplanması durumunda hukuka uygun hareket edilmiş olacaktır. Amacın açık ve belirli olması, aynı zamanda (gerekli olması halinde) açık rızası alınacak ilgili kişilerin verdiği rızanın geçerliliği bakımından da oldukça önemlidir. 

Veri minimizasyonu ilkesinin yakın ilişkili olduğu bir diğer ilke ise, ölçülülük ilkesidir. Ölçülülük ilkesi gereği, kişisel veri işleme amacına kişisel veriler işlenmeden, başka bir yol ile ulaşılabiliyorsa o zaman hak ve özgürlüklere daha az müdahale edilen bu yolun tercih edilmesi gerekmektedir[2].

Kişisel Verileri Koruma Kurulu, veri sorumlusunun gereğinden fazla kişisel veri aktarımı yaptığını değerlendirdiği bir olayda, bu aktarım faaliyetinin veri minimizasyonu ilkesine aykırılık olduğunu belirterek veri sorumlusu hakkında idari yaptırım uygulanmasına karar vermiştir[3]. Finlandiya Veri Koruma Otoritesi ise, bir çocuğun minyatürleştirilmiş fotoğrafının anaokulu faturasında yer aldığı olayda, fotoğrafın faturaya eklenmesinin ödeme veya güvenlik amaçları bakımından gerekli olmadığını belirterek veri minimizasyonu ilkesinin ihlal edildiğine karar vermiştir[4].

Veri minimizasyonu, GVKT’nin 9. maddesinde ve KVKK’nin 6. maddesinde sınırlı olarak sayılan özel nitelikli (hassas) kişisel veriler bakımından daha da önem arz etmektedir. Kişisel Verileri Koruma Kurulu, bir kararında, spor salonu hizmeti sunan veri sorumlusunun, üyelerin salona giriş çıkışını biyometrik veri işleyerek kontrol etmesini ölçülülük ilkesi ve veri minimizasyonu ilkesine aykırı bulmuştur. Bahse konu kararda “… ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği, kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı” gerekçesiyle veri minimizasyonu ilkesinin ihlal edildiği belirtilerek veri sorumlusu aleyhinde idari para cezasına hükmedilmiştir[5].

Yukarıda detaylarıyla açıklandığı şekilde, veri sorumlusu tarafından asgari düzeyde kişisel veri toplanması ve amaca hizmet etmeyecek nitelikteki kişisel verilerin toplanmaması bu ilkeden doğan ilk sonuçtur.

Toplanacak verilerin mümkün olduğu kadar az süre ile depolanması bu ilkenin ikinci sonucu olarak değerlendirilebilir. Kişisel veriler, işlenme amaçlarının gerektirdiği veya mevzuatta belirlenen süre boyunca veri sorumlusu tarafından saklanmalı, gereğinden uzun süre saklanmaması için veriler periyodik olarak gözden geçirilmeli, artık gerekli olmayan verilerle ilgili yok etme prosedürleri belirlenmelidir[6]. Nitekim bu sonuç, KVKK’nın 7. maddesinde ve GVKT’nin 17. maddesinde hüküm altına alınmıştır.

Veri minimizasyonu ilkesinin bir diğer sonucu, asgari düzeyde toplanan kişisel verilerin yine asgari düzeyde işlenmesi gerekliliğidir. Bu kapsamda, anonimleştirme ve takma ad kullanımları da veri minimizasyonu ilkesine uyum sağlanması çerçevesinde veri sorumluları tarafından mutlaka dikkate alınmalıdır[7]. Avrupa Veri Koruma Kurulu (“EDPB”) tarafından 13 Kasım 2019’da kabul edilen bir rehberde, bir taşıma şirketinin; teslimat süreleri, yakıt tüketimi, iş planlaması vb. pek çok amaç için sürücülere ve müşterilere ilişkin pek çok kişisel veriyi işlediği belirtilerek müşterilerin ve sürücülerin takip edilmesi gibi birçok risk doğduğu belirtilmiştir. Bu risklerin önüne geçebilmek için sürücülere ve müşterilere ait kişisel verilere takma ad verilmesiyle veri işleme sürecinin en düşük düzeyde gerçekleştirilebileceği belirtilmiştir[8].

Sonuç olarak; kişisel veri işleme amacının gerektirmediği şekilde kişisel veri toplanması, amacın gerçekleştirilmesi için gerekenden daha uzun sürelerle kişisel verinin saklanması ve amacın gerektirdiği kapsamdan daha fazla kişisel veri işlenmesi; diğer prosedürler hukuka uygun olsa dahi, başlı başına bir hukuka aykırılık teşkil etmektedir. Bu nedenle veri sorumlularının, kişisel verileri hangi amaçla topladıklarını sağlıklı bir şekilde tespit etmesi ve buna uygun olarak amaçla sınırlı şekilde kişisel veri toplaması ve işlemesi önem arz etmektedir.

Veri minimizasyonu ilkesine uyulması, bir yandan kişisel verisi işlenen kişiler bakımından güvence sağlarken diğer yandan veri sorumlusu ve veri işleyen kişilerin süreçle ilgili risklerini de azaltmaktadır.

[1] ICO, Principle (c) Data Minimisation, https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/data-minimisation/#how_do_we_decide, Erişim Tarihi: 09.05.2022

[2] Mesut Serdar Çekin (2020), Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması, On İki Levha Yayıncılık, 3. Baskı., s. 81.

[3] KVKK (2020), https://www.kvkk.gov.tr/Icerik/5413/Islenme-Amacinin-Gerektirdiginden-Fazla-Kisisel-Veri-Islenmesi-Aktarilmasi-Veri-Minimizasyonu-Ilkesine-Aykirilik , Erişim Tarihi: 09.05.2022

[4] Tietosuojavaltuutetun toimisto (Finlandiya Veri Koruma Otoritesi), 6609/163/19, gdprhub.eu/index.php?title= Tietosuojavaltuutetun_toimisto_-_6609/163/19 Erişim Tarihi: 09.05.2022

[5] KVKK, 27.02.2020 tarihli 2020/167 sayılı kararı, https://www.kvkk.gov.tr/Icerik/6738/2020-167 ,Erişim Tarihi: 09.05.2022

[6] ICO, Principle (e): Storage Limitation, https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/storage-limitation/, Erişim Tarihi: 10.05.2022

[7] Nafiye Yücedağ (2019), Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler, Kişisel Verileri Koruma Dergisi, C.1, S.1, s. 60.

[8] EDBP (2019), Guidelines 4/2019 on Article 25: Data Protection by Design and by Default, https://edpb.europa.eu/sites/default/files/consultation/edpb_guidelines_201904_dataprotection_by_design_and_by_default.pdf , Erişim Tarihi: 11.05.2022