1. Hukuka ve Dürüstlük Kurallarına Uygun Olma
2. Doğru ve Gerektiğinde Güncel Olma
3. Belirli, Açık ve Meşru Amaçlar İçin İşlenme
4. İşlendikçe Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
5. İlgili Mevzuatta Öngörülen veya İşlendikçe Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme

Hukuka ve Dürüstlük Kurallarına Uygun Olma

Hukuka ve dürüstlük kuralına uygun olma, kişisel
verilerin işlenmesinde kanunlarla ve diğer hukuksal
düzenlemelerle getirilen ilkelere uygun hareket edilmesi
zorunluluğunu ifade etmektedir. Dürüstlük kuralına uygun
olma ilkesi uyarınca veri sorumlusu, veri işlemedeki
hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve
makul beklentilerini dikkate almalıdır. Diğer bir ifade ile,
ilgili kişinin beklemediği ve beklemesinin de gerekmediği
sonuçların ortaya çıkmasını önleyici şekilde hareket
etmesi gerekmektedir. İlke uyarınca ayrıca ilgili kişi için
söz konusu veri işleme faaliyetinin şeffaf olması ve veri
sorumlusunun bilgilendirme ve uyarı yükümlülüklerine
uygun hareket etmesi gerekmektedir.
Hukuka ve dürüstlük kuralına uygun olma ilkesi,
diğer ilkeleri de kapsayıcı bir özelliğe sahiptir. Hukuka
uygunluk, genel olarak hukuk normlarına ve evrensel
hukuk ilkelerine uygunluktur. Hukuka uygunluğun
kapsamı geniştir, mevzuata uygunluk da buna dahildir.
Örneğin, kanuna aykırı bir uygulama aynı zamanda
hukuka aykırılığı beraberinde getirir.

Dürüstlük kurallarına uygunluk ise hukukumuzda,
Medeni Kanunun 2. maddesinde düzenlenen dürüstlük
kuralının, kişisel veriler işlenirken ihlal edilmemesidir. Bu
ilke kişisel veriler işlenirken, hakkın kötüye kullanılmasına
ilişkin yasağa uyulmasını gerektirmektedir. Dürüstlük
kuralı, kişilerin haklarını kullanırken güven kurallarına
uygun ve makul bir kimseden beklenen şekilde
davranılmasını ifade eder. Dürüstlük kuralının sınırları,
her somut olayda objektif bir kimseden beklenecek
davranışa göre belirlenir, kişilerin subjektif durumu
göz önüne alınmaz. Dürüstlük kuralına aykırılığın söz
konusu olduğu durumlarda kişi, hakkını kullanmakta
ve bu hakkın sınırları içinde davranmakta, ancak hakkın
amacına aykırı şekilde hareket etmektedir.
Kişisel verilerin korunması açısından ise dürüstlük
kuralı, kişilerin kendilerine veri işleme konusunda
izin ya da emir veren hukuk kurallarına dayanarak
gerçekleştirdikleri fiillerde, bu hukuk kuralının amacına
göre mümkün olan en az miktarda veri işlemeleri, ilgili
kişilerin öngöremeyeceği biçimde hareket etmemeleri
gibi davranışları gerektirir.
Veri sorumlularının, ilgili kişilerin çıkarlarını ve makul
beklentilerini göz önüne almaları dürüstlük kuralının
gereğidir. Haklı bir gerekçe olmaksızın ilgili kişinin özel
hayatının gizliliğini, onurunu ihlal edecek şekilde veri
işlenmesi, şüphesiz bu ilkeye aykırılık teşkil edecektir.
Örneğin, özel hayatın gizliliği çerçevesinde makul
olmayan verinin, ilgili kişiden talep edilmesi veya bunun
veri sorumlusu tarafından dürüstlük kurallarına aykırı
olarak işlenmesi bu ilkeye aykırıdır.
Dürüstlük kuralı, veri korumanın diğer ilkeleri aracılığı
ile somutlaştırılmıştır. Bu ilkelere uyulmaksızın veri
işlenmesi dürüstlük kuralına dolayısıyla hukuka uygun
veri işlenmesine aykırı olacaktır.
Örneğin, bir tüzel kişilik nezdinde kişisel verilerin silinmesi
halinde verilerin teknik olarak depolanması, korunması ve
yedeklenmesinden sorumlu olan kişiler tarafından verilere
erişim sağlanması mümkün olmakla birlikte, bahse konu
tüzel kişilik içerisinde verilerin depolanması, korunması ve
yedeklenmesinden sorumlu kişi sayısının gerektiğinden
fazla belirlenmesi durumunda bu kişilerce silinen kişisel
verilere erişim sağlanması dürüstlük kuralına aykırılık
teşkil edecektir.
Bu ilkenin uygulanabilir olup olmadığının, öncelikle
Anayasanın temel hak ve özgürlükler rejimi kapsamında
değerlendirilmesi gerekir. Kişisel verilerin işlenmesi,
kişinin temel haklarına müdahale edilmesi anlamına
gelir ve bu müdahalenin dürüst ve hukuka uygun kabul
edilebilmesi için, Anayasanın temel hak ve özgürlüklerin
kısıtlanmasıyla ilgili düzenlemelerine uygun olması
zorunludur. Hukuka uygunlukla ilgili vurgulanması
gereken en önemli noktalardan biri, bu kavramın tüm
hukuk sistemini kastettiğidir. Bir veri işlemenin kanun
tarafından izin verilmiş, hatta emredilmiş olması onun
hukuka uygun olduğuna karinedir.

Doğru ve Gerektiğinde Güncel Olma

Kişisel verilerin doğruluğunun ve güncelliğinin önemini
vurgulayan bu ilke ile Kanunda öngörülen ilgili kişinin
verilerin düzeltilmesini talep etme hakkı uyumludur.
Kişisel verilerin doğru ve güncel bir şekilde tutulması,
veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin
temel hak ve özgürlüklerinin korunması açısından da
gereklidir. Kişisel verilerin doğru ve gerektiğinde güncel
olmasının sağlanması noktasında aktif özen yükümlülüğü;
veri sorumlusu eğer bu verilere dayalı olarak ilgili kişiyle
alakalı bir sonuç ortaya koyuyor ise geçerlidir (örneğin
kredi verme işlemleri). Bunun dışında veri sorumlusu her
zaman ilgili kişinin bilgilerini doğru ve güncel olmasını
temin edecek kanalları açık tutmalıdır.
Kişilerin, güncel olmayan veya yanlış tutulan kişisel
verileri nedeniyle maddi ve manevi zarar görmesi
mümkündür. Örneğin bir kişinin veri sorumlusunun
sisteminde kayıtlı telefon numarasının doğru olmaması
ya da artık ilgili kişi tarafından kullanılmıyor oluşu, o
kişiye ilişkin gerçek bir veriyi yansıtmadığından hatalı
sonuçların ortaya çıkmasına neden olabilmektedir.
Yine, adres bilgisi yanlış kaydedilen bir kişinin kendisine
ait tebligatları zamanında alamaması veya yanlış bir
kişiye tebliğ edilmesi durumlarında ilgili kişi maddi ve
manevi zarar görebilir. Bu ilke, ilgili kişinin haklarını
koruduğu gibi, veri sorumlusunun da menfaatlerine
yöneliktir. Kişisel verilerin doğru ve güncel tutulabilmesini
temin etmek amacıyla; kişisel verilerin elde edildiği
kaynaklar belirli olmalı, kişisel verilerin toplandığı
kaynağın doğruluğu tespit edilmeli, kişisel verilerin
doğru olmamasından kaynaklı talepler göz önünde
bulundurulmalı ve bu kapsamda makul önlemler
alınmalıdır.

Belirli, Açık ve Meşru Amaçlar İçin İşlenme

Kişisel verilerin işlenme amaçlarının belirli, meşru ve
açık olması ilkesi;
•Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından
açık bir şekilde anlaşılabilir olmasını,
•Kişisel veri işleme faaliyetlerinin hangi hukuki
işleme şartına dayalı olarak gerçekleştirildiğinin tespit
edilmesini,
•Kişisel veri işleme faaliyetinin ve bu faaliyetin
gerçekleştirilme amacının belirliliğini sağlayacak
detayda ortaya konulmasını
sağlamaktadır.
Bu ilke, veri sorumlusunun veri işleme amacını açık
ve kesin olarak belirlemesini ve bu amacın meşru
olmasını zorunlu kılmaktadır. Veri sorumlularının, ilgili
kişiye belirttikleri amaçlar dışında, başka amaçlarla veri
işlemeleri halinde, bu fiillerinden dolayı sorumlulukları
doğacaktır. Amacın meşru olması, veri sorumlusunun
işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu
hizmetle bağlantılı ve bunlar için gerekli olması anlamına
gelmektedir. Örneğin, bir hazır giyim mağazasının,
müşterilerinin ad – soyad bilgilerini işlemesi meşru
amaç kapsamındayken, anne kızlık soyadını işlemesi
meşru amaç kapsamında değerlendirilemeyecektir.
Kişisel verileri işleme amaçlarının sadece veri sorumlusu
bakımından bilinmesi ya da tahmin edilebilir olması bu
ilkeye aykırıdır. Bu itibarla, kişisel veri işleme amaçlarının
açıklandığı hukuki işlem ve metinlerde (açık rıza,
aydınlatma, ilgili kişinin başvurularını cevaplama, Veri
Sorumluları Siciline kayıt gibi) belirlilik ve açıklık ilkesine
uyumda hassasiyet gösterilmeli ve anlaşılması güç,
teknik – hukuki ifadelerin kullanımından kaçınılmalıdır.
Bu esasa uygun davranma aynı zamanda dürüstlük
ilkesine uyum bakımından da son derece önemlidir.

İşlendikçe Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

İşlenen verilerin belirlenen amaçların
gerçekleştirilebilmesine elverişli olması, amacın
gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç
duyulmayan kişisel verilerin işlenmesinden kaçınılmasını
gerektirmektedir. Sonradan ortaya çıkması muhtemel
ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi
yoluna gidilmemelidir. Çünkü muhtemel ihtiyaçlara
yönelik veri işlenmesi, yeni bir veri işleme faaliyeti anlamına
gelecektir. Bu durumda, Kanunun 5. maddesinde
düzenlenmiş olan kişisel verilerin işlenme şartlarından
birinin gerçekleşmesi gerekecektir. Ayrıca işlenen veri,
sadece amacın gerçekleştirilmesi için gerekli olan kişisel
verilerle sınırlı tutulacaktır. Amaç için gerekli olanın
dışında veri işlenmesi, sınırlı tutulma ilkesine aykırılık teşkil
edecektir. Burada önemli olan, amacı gerçekleştirmeye
yönelik yeterli verinin temin edilmesi, bunun dışındaki
amaç için gerekli olmayan veri işlemeden kaçınılmasıdır.
Mevcutta olmayan ve sonradan gerçekleşmesi düşünülen
amaçlarla kişisel veri toplanmamalı veya işlenmemelidir.
Ölçülülük ilkesi, veri işleme ile gerçekleştirilmesi
istenen amaç arasında makul bir dengenin kurulması
anlamına gelmektedir. Yani veri işlemenin, amacı
gerçekleştirecek ölçüde olması demektir. Örneğin,
kredi kartı başvurusunda bulunan kişiden sosyal
hayatına ve sosyal faaliyetlerine yönelik tercihleri
konusunda bilgi talebinde bulunulması ölçülülük
ilkesine aykırılık teşkil edebilecektir.

İlgili Mevzuatta Öngörülen veya İşlendikçe Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme

Kişisel verilerin “amaçla sınırlılık ilkesi” nin bir gereği
olarak işlendikleri amaç için gerekli olan süreye
uygun olarak muhafaza edilmesi gerekir. Bu konuda,
veri sorumlusu, idari ve teknik tedbirleri almakla
yükümlüdür. Kanunun 12. maddesinde de belirtildiği
gibi veri sorumlusu; kişisel verilerin hukuka aykırı
olarak işlenmesini önlemek, kişisel verilere hukuka
aykırı olarak erişilmesini önlemek ve kişisel verilerin
muhafazasını sağlamak amacıyla uygun güvenlik
düzeyini temin etmeye yönelik gerekli her türlü teknik
ve idari tedbirleri almak zorundadır.
Bununla ilgili olarak veri sorumlusu, gerekli teknik ve
idari tedbirleri belirlemek ve kişisel verilerin bu esaslara
uygun olarak muhafazasını sağlamakla yükümlüdür.
Kişisel veri saklama ve imha politikası hazırlamakla
yükümlü olan (Sicile kayıt yükümlülüğü bulunanlar) veri
sorumluları da bu esaslara uygun bir şekilde hareket
etmelidir.
Kişisel verilerin saklanması için amaçla sınırlılık ilkesi
uyarınca veri sorumlusu tarafından belirlenen saklama
sürelerinin yanı sıra, veri sorumlusunun tabi olduğu ilgili
mevzuat kapsamında da belirlenmiş saklama süreleri
mevcuttur. Buna göre; veri sorumluları, ilgili kişisel veriler
için mevzuatta öngörülmüş bir süre varsa bu süreye
uyacak; eğer böyle bir süre öngörülmemişse verileri
ancak işlendikleri amaç için gerekli olan süre kadar
saklayabilecektir. Bir verinin daha fazla saklanması için
geçerli bir sebep bulunmaması halinde, o veri silinecek,
yok edilecek veya anonim hale getirilecektir. İleride
tekrar kullanılabileceği düşünülerek ya da herhangi bir
başka gerekçe ile kişisel verilerin muhafaza edilmesi
yoluna gidilemeyecektir.
Ayrıca veri sorumlusu, Kanunun 16. maddesi uyarınca
Sicile kayıt için başvuru yaparken kişisel verilerin
işlenme amacı için gerekli olan azami süreyi Veri
Sorumluları Sicili Hakkında Yönetmeliğin 9. maddesini
göz önünde bulundurarak tespit etmek ve bu süreyi
Veri Sorumluları Sicil Bilgi Sistemine (VERBİS)
bildirmek zorundadır.
Veri sorumlusu tarafından Sicile bildirilen veri
kategorilerinin işleme amaçları ve bu amaçlara dayalı
olarak işlenmeleri için gerekli olan azami muhafaza
edilme süreleri ile mevzuatta öngörülen süreler farklı
olabilir. Bu durumda mevzuatta azami muhafaza
edilme süresi öngörülmüşse bu süre, yoksa bunlardan
en uzun süre esas alınarak bu veri kategorisi için Sicile
bildirim yapılır.
Burada önemle belirtmek gerekir ki; mevzuat
kapsamında öngörülen bu sürelere uyum için
yapılan saklama faaliyetleri veri sorumlusu tarafından
belirlenen saklama sürelerini aşıyorsa, bu faaliyetler
yalnızca ilgili mevzuatta belirtilen yükümlülükleri
yerine getirmekle sınırlı bir saklama ve işleme faaliyeti
olarak yürütülmelidir. Hem veri sorumlusunun
hukuki yükümlülükleri gereği tabi olduğu mevzuat
kapsamında öngörülen sürelerin, hem de veri
sorumlusunun belirlediği saklama sürelerinin aşılması
durumunda, kişisel verilerin veri sorumlusu tarafından
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim
Hale Getirilmesi Hakkında Yönetmeliğe göre silinmesi,
yok edilmesi veya anonim hale getirilmesi gerekir.