Amaçla Sınırlılık, Bağlantılı ve Ölçülü Olma İlkesi
“Amaçla Sınırlılık, Bağlantılı ve Ölçülü Olma” ilkesi, kişisel verilerin korunmasında en önemli temel ilkelerden biridir. Bu ilkeye göre kişisel veriler, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Yani veri toplanırken belirli bir amaç için toplanmalı ve ileride tamamen farklı amaçlar için kullanılmamalıdır.
Öngörülmeyen veya ileride gerçekleşmesi planlanan amaçlarla kişisel veri toplanmamalı, sadece belirli bir amaç için gerekli olan veriler toplanmalı ve işlenmelidir. Örneğin, bir taşımacılık firması tarafından taşıma sözleşmesi kapsamında kaydedilen adres bilgileri, sonrasında pazarlama faaliyetleri için kullanılacaksa, bu yeni amaçla kullanım için ayrıca izin alınmalıdır.
1. Amaçla Sınırlılık İlkesi Nedir?
Amaçla sınırlılık ilkesi, kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmasını ifade eder. Bu ilkeye göre kişisel veriler yalnızca belirli bir amaç için toplanmalı ve bu amaç dışında kullanılmamalıdır.
Öngörülmeyen veya ileride gerçekleşmesi planlanan amaçlarla kişisel veri toplanmamalıdır. Sadece belirli bir amaç için gerekli olan veriler toplanmalı ve işlenmelidir. Bu ilke, kişisel verilerin toplanması, saklanması ve kullanılması süreçlerinin denetlenebilir ve hesap verilebilir olmasını sağlar.
Kişisel veri işleme şartları, yeni amaçlar için de tekrar değerlendirilmelidir. Veriler, sadece işleme amacının gerçekleştirilmesi için gerekli olanla sınırlı tutulmalıdır. Farklı süreçler ve farklı ilgili kişiler için verilerin gerekliliği farklılık gösterebilir; bu nedenle her bir durum ayrı ayrı değerlendirilmelidir.
Özetle; veri sorumlusu, “Bu veriyi neden topluyorum, bu amaç için gerçekten gerekli mi ve daha az veriyle aynı sonucu elde edebilir miyim?” sorularına makul ve ispatlanabilir cevaplar verebilmelidir.
2. Veri Toplama Aşamasında Amaç Belirleme
Amaçla sınırlılık ilkesi, veri toplama aşamasında başlar. Veri toplama işlemi yapılmadan önce, net ve belirli bir amaç tanımlanmalıdır. Bu amaç, aydınlatma metinlerinde ve iç süreçlerde açık bir biçimde ifade edilmelidir.
Örneğin, bir e-ticaret şirketi müşterilerinin verilerini yalnızca siparişleri işlemek ve müşteri hizmetlerini yürütmek amacıyla toplamalı; bu verileri sadece bu amaç doğrultusunda kullanmalıdır.
Aynı şekilde, bir taşımacılık firması, taşıma sözleşmesi kapsamında aldığı adres bilgilerini öncelikle nakliye hizmetini yerine getirmek için kullanmalıdır. Bu adres bilgisinin sonradan farklı bir amaçla (örneğin pazarlama) kullanılması, amaçla sınırlılık ilkesinin ihlali anlamına gelir.
Kişisel verilerin hangi süreçte, hangi amaçla ve ne kadar süreyle işleneceği; veri envanteri ve saklama–imha politikalarında açıkça gösterilmelidir.
3. Yeni Amaçlar İçin İzin Alınması Gerekliliği
Kişisel veriler toplandıktan sonra farklı bir amaçla kullanılmak isteniyorsa, bu yeni amaç için kişisel veri işleme şartları tekrar değerlendirilmelidir. Pek çok durumda bu, ilgili kişiden yeniden açık rıza alınmasını gerektirecektir.
Örneğin, bir taşımacılık firması tarafından taşıma sözleşmesi kapsamında kaydedilen adres bilgilerinin, sonrasında pazarlama faaliyetleri için kullanılması; müşterilerden bu yeni amaç için ayrıca izin alınmasını gerektirir. Aksi takdirde verilerin amacı dışında kullanılması, kişisel verilerin korunması ilkesine aykırıdır ve hukuka uygun değildir.
Kişisel veri işleme şartları, yeni amaçlar için tek tek ele alınmalı; hangi hukuki sebebe dayanıldığı (açık rıza, sözleşme, hukuki yükümlülük, meşru menfaat vb.) netleştirilmelidir.
Yeni amaç; ilk amaçla uyumlu ve beklenebilir ise, her zaman yeni bir açık rıza gerekmeyebilir. Ancak bu durumda dahi ilgili kişiye şeffaf bilgilendirme yapılmalıdır.
4. Veri İşleme Şartları ve Gereklilik Değerlendirmesi
Kişisel verilerin işlenmesi şartları, yeni işlemler için de tekrar değerlendirilmelidir. Veriler, sadece işleme amacının gerçekleştirilmesi için gerekli olanla sınırlı olmalıdır.
Farklı süreçler ve farklı ilgili kişiler için veri gerekliliği değişebilir; bu nedenle her durum ayrı ayrı değerlendirilmelidir. Örneğin:
- İşe alım sürecinde talep edilen veriler ile bordrolama sürecinde işlenen veriler aynı olmak zorunda değildir.
- Müşteri hesap açılışı için gerekli veriler ile pazarlama iletişimi için gerekli veriler farklıdır.
Veri sorumlusu, kişisel veri işleme faaliyeti için daha dar kapsamlı bir veri seti ile aynı sonucu elde edebiliyorsa, gereğinden fazla veri toplamamalıdır. Bu, “ölçülülük” unsurunun doğal sonucudur.
Ölçülülük; “Ne olur ne olmaz, dursun” mantığıyla veri toplamayı reddeder. Her bir veri alanı için “Bu veri gerçekten gerekli mi?” sorusu sorulmalıdır.
5. Özel Nitelikli Kişisel Verilere Özel Dikkat
Özel nitelikli kişisel veriler; ilgili kişinin mağduriyetine veya ayrımcılığa uğrama riskini artıran hassas verilerdir. Bu sebeple, özel nitelikli kişisel verilerin diğer kişisel verilere göre çok daha sıkı bir şekilde korunması gerekmektedir.
Kanun, özel nitelikli kişisel verilere özel bir önem atfetmekte ve bu verilere yönelik farklı bir düzenleme getirmektedir. Sağlık verileri, cinsel hayata ilişkin veriler, din, mezhep, siyasi görüş gibi bilgiler, “özel nitelikli kişisel veri” veya “hassas veri” olarak kabul edilmektedir.
Bu veriler, ilgili kişinin açık rızası olmaksızın yalnızca Kanunda belirtilen sınırlı hallerde işlenebilir ve amaçla bağlantılı, sınırlı ve ölçülü şekilde kullanılmalıdır.
Örneğin; sağlık verileri gibi özel nitelikli veriler, yalnızca tedavi amacıyla veya sağlık hizmetlerinin planlanması ve yürütülmesi için kullanılabilir; pazarlama veya profil çıkarma gibi amaçlarla kullanılması ilkeye ve mevzuata aykırıdır.
Özel nitelikli kişisel verilerin işlenmesinde, Kanun’daki özel şartlara ek olarak Kurul tarafından belirlenen yeterli teknik ve idari tedbirlerin uygulanması (şifreleme, erişim kısıtlaması, ek politikalar vb.) zorunludur.
6. Uygulamada Amaçla Sınırlılık: Örnekler ve Teknik/Organizasyonel Tedbirler
Amaçla sınırlılık, yalnızca teorik bir ilke değil; günlük operasyonlarda gözlemlenebilen somut bir uyum gereğidir. Bu kapsamda veri sorumluları:
- Her süreç için net işleme amaçları belirlemeli,
- Veri toplama formlarını ve sistem alanlarını gözden geçirerek gereksiz veri alanlarını kaldırmalı,
- Yeni bir süreç devreye alındığında, mevcut verilerin bu süreçte kullanılabilirliğini hukuki açıdan tekrar değerlendirmeli,
- Amacın tamamlandığı veya değiştiği durumlarda saklama sürelerini gözden geçirerek verileri silmeli, yok etmeli veya anonimleştirmelidir.
Aynı zamanda veri sorumluları, amacın dışında kullanımı önlemek için gerekli teknik ve organizasyonel tedbirleri almakla yükümlüdür. Bunlara örnek olarak:
- Rol ve yetki matrisine dayalı erişim kısıtlamaları,
- İzleme ve loglama mekanizmaları,
- İş birimlerine yönelik periyodik KVKK ve bilgi güvenliği eğitimleri,
- Veri koruma etki değerlendirmesi (DPIA) benzeri analizler
gösterilebilir. Bu ilkenin uygulanması, kişisel verilerin korunması ve gizliliğinin sağlanması açısından büyük önem taşır ve hem veri sorumlularının hem de ilgili kişilerin hak ve menfaatlerinin korunmasına katkı sağlar.
Sık Sorulan Sorular: Amaçla Sınırlılık, Bağlantılı ve Ölçülü Olma İlkesi
Amaçla sınırlılık ilkesi ne anlama geliyor?
Amaçla sınırlılık ilkesi, kişisel verilerin yalnızca belirli, açık ve meşru amaçlar için toplanmasını ve bu amaçlarla bağlantılı, sınırlı ve ölçülü şekilde işlenmesini ifade eder. Veriler, toplanma amacının dışındaki amaçlarla kullanılamaz.
Topladığımız verileri sonradan pazarlama için kullanabilir miyiz?
Eğer veriler başlangıçta pazarlama amacıyla toplanmamışsa, bu yeni amaç için ayrıca hukuki dayanak gerekir. Çoğu durumda bu, ilgili kişiden yeni bir açık rıza alınmasını gerektirir. Aksi halde verilerin amacı dışında kullanımı hukuka aykırı olacaktır.
“Öngörülmeyen amaç” için veri toplamak neden sakıncalı?
Gelecekte belki lazım olur düşüncesiyle veri toplamak, ölçülülük ve amaçla sınırlılık ilkelerine aykırıdır. Kişisel veriler, yalnızca mevcut ve belirli bir amaç için gerekli olduğu ölçüde toplanmalı, “ne olur ne olmaz” mantığıyla genişletilmemelidir.
Özel nitelikli kişisel veriler için ilke nasıl uygulanır?
Özel nitelikli kişisel veriler (sağlık, cinsel hayat, din, mezhep vb.) daha katı kurallara tabidir. Bu veriler yalnızca Kanunda sayılan sınırlı hukuki sebeplerle ve ilgili amaçla sıkı sıkıya bağlı, sınırlı ve ölçülü biçimde işlenebilir. Örneğin sağlık verileri, yalnızca tedavi ve sağlık hizmetlerinin yönetimi amacıyla işlenmelidir.
Yeni amaç için her zaman açık rıza almak zorunda mıyız?
Her yeni amaç için mutlaka açık rıza gerekmeyebilir; ancak hukuki dayanak mutlaka bulunmalıdır. Yeni amaç, ilk amaçla uyumlu ve ilgili kişinin makul beklentileri içinde ise farklı bir işleme şartına (örneğin meşru menfaat) dayanmak mümkün olabilir. Bu durumda dahi şeffaf aydınlatma yapılması gerekir.
Amaçla sınırlılık ilkesine uyumu nasıl ispatlayabiliriz?
Veri envanteri, saklama–imha politikası, aydınlatma metinleri, süreç dokümanları ve erişim kayıtları ile; hangi verinin hangi amaçla, ne kadar süreyle ve hangi hukuki sebebe dayanarak işlendiğini göstere- bilmek gerekir. Bu kayıtlar, hem denetimlerde hem de olası uyuşmazlıklarda ispat aracı olarak işlev görür.
