Avrupa Birliği Genel Veri Koruma Tüzüğü 5(1)(c) maddesinde “kişisel veriler işlendikleri amaçlarla ilgili olarak yeterli, yerinde ve gerekli olanla sınırlıdır” hükmüne yer verilmiştir. Bu ifadeyle aslında “veri minimizasyonu” prensibi düzenlenmektedir. Bu prensip ile veri sorumlusunun amacına ulaşmak için gerekenden fazla veri temin etmemesi ve kişisel verilerin işlenmesinin şart olup olmadığını değerlendirmesi, şart olmadığı sonucuna varması halinde ise, yani kişisel verilerin sadece bir kısmın kullanarak veya hiç kullanmayarak amacına ulaşması mümkünse, öncelikli olarak bu yolu tercih etmesi gerekliliğini ifade eder. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda ise bu ilke “işledikleri amaçla bağlantılı, sınırlı ve ölçülü olma” şeklinde benzer olarak ifade edilmiştir. (1)
Türk Borçlar Kanunu’nun 419. maddesinde ise bu ilke hizmet sözleşmeleri açısından kendine yer bulmuştur. Buna göre, “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir” denilmiştir. (2)
Veri minimizasyonu ilkesi bir bakıma veri sorumlusuna ait bir takım yükümlülükleri ifade etmektedir. Belirtildiği üzere veri sorumlusu hakikaten ihtiyaç duyduğu kişisel verileri sınırlı şekilde işlemesi gerekmektedir. Bu hususun sağlanabilmesi için veri sorumlusu talep edeceği kişisel veri kategorilerini azaltma yollarını bulmalı ve bu kapsamda anonim veri işlenmesinin mümkün olup olmadığı da araştırmalıdır. Bu çerçevede yine veri sorumlusu varsayılan ayarlar kapsamında kişisel verilerin işlenmesini sadece ihtiyaç duyulan verilerle sınırlandırmalıdır. Yine iş süreçlerinde kişisel veriye ihtiyaç duymayan yazılımlar ya da işleme süreçleri, veri maskeleme yöntemleri ile otomatik engelleme ve silme işlemleri tercih edilmelidir. Ayrıca bu çerçevede silme politikaları hazırlanmalı ve uygulanmalı, veri işleme süreçlerinin değişmesi halinde denetim mekanizmaları oluşturulmalıdır. (3)
KVKK 4(2)(d) hükmüne göre, kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmek zorundadır. Bu ilke, veri minimizasyonu ilkesinin zamansal bir görünüm biçimi olup, bu ilkenin ayrı bir ilke olarak düzenlenmesi, kanun koyucunun bu ilkeye özel bir önem vermesinden kaynaklanmaktadır. (4)
Veri minimizasyonu konusunda Kişisel Verileri Koruma Kurulu’nun almış olduğu “İşlenme Amacının Gerektirdiğinden Fazla Kişisel Veri İşlenmesi/Aktarılması (Veri Minimizasyonu İlkesine Aykırılık)” başlıklı kararda mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunmasının; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması kapsamında değerlendirilemeyeceği ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil ettiği nedeniyle Kanun’un 18’inci maddesi uyarınca idari para yaptırım uygulanmasına karar vermiştir.
Veri minimizasyonu ilkesini ve bu ilkenin işlevini daha iyi anlayabilmek için bazı örnekler vermek gerekirse:
Bir spor salonuna girişte güvenliğin sağlanması amacıyla ilgili kişilerden parmak izi alınması durumunda işleme faaliyeti, ilgili amaç kapsamında ilgili kişinin kişisel verilerinin korunması hakkına yoğun şekilde müdahale etmektedir. Spor salonuna girişte güvenliğin sağlanması amacıyla ilgili kişi üzerinde daha az etki doğuracak bir işleme yönteminin seçilmesi (kart sistemi ile giriş) imkan dahilindedir. Bu nedenle bu tür bir işleme faaliyeti, veri minimizasyonu ilkesine aykırılık teşkil edecektir. İşleme ilgili kişinin rızasına dayansa da işlenen veri, işleme amacı kapsamında yeterli olanın ötesindeyse işleme genel ilkelere aykırı kabul edilecektir. (5)
Keza, evcil köpekler ve sahiplerinin kayıtlı olduğu bir sicil öngörülmüşse, ölçülülük ilkesi uyarınca köpek sahiplerinin uyuşturucu bağımlısı olup olmadıkları yönünde verilerin bu sicillerde bulunmaması gerekir. Zira bu sicillerin tutulma amacı köpeklerin, yetiştirilme şartlarına ve saldırgan davranışlarına karşı önlemler alıp kamu güvenliğinin sağlanmasıdır. (6)
Fransa’da CNIL de, benzer bir şekilde, bir kolejde giriş çıkışların rahat yapılması için kolej çalışanlarının ve öğrencilerin parmak izlerinin alınmasını ölçülülük ilkesine aykırı kabul etmiştir. (7)
Kaynakça
(1) Opinion of the European Data Protection Supervisor on the Data Protection Reform Package, Par. 114.
(2) Develioğlu, H. Murat (2017), 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Karşılaştırmalı Olarak Avrupa Birliği Genel Veri Koruma Tüzüğü Uyarınca Kişisel Verilerin Korunması Hukuku, İstanbul: On İki Levha Yayıncılık.
(3) Çekin, M. Serdar (2020), Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması Hukuku, İstanbul: On İki Levha Yayıncılık.
(4) Yücedağ, Nafiye (2019), “Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler”, Kişisel Verileri Koruma Dergisi, 1/1.
(5) Develioğlu, 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Karşılaştırmalı Olarak Avrupa Birliği Genel Veri Koruma Tüzüğü Uyarınca Kişisel Verilerin Korunması Hukuku, s.47
(6) Develioğlu, 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Karşılaştırmalı Olarak Avrupa Birliği Genel Veri Koruma Tüzüğü Uyarınca Kişisel Verilerin Korunması Hukuku, s.47
(7) Develioğlu, 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Karşılaştırmalı Olarak Avrupa Birliği Genel Veri Koruma Tüzüğü Uyarınca Kişisel Verilerin Korunması Hukuku, s.47