KVKK Genel İlkeler: Kişisel Verilerin İşlenmesinde Uyulması Gereken Esaslar (Madde 4)

KVKK · Genel İlkeler · Madde 4

Kişisel Verilerin İşlenmesinde Genel İlkeler

Q: KVKK genel ilkeleri hangi maddede düzenlenmiştir?

KVKK genel ilkeleri, 6698 sayılı Kanun’un 4. maddesinde düzenlenmiştir. Bu maddede; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli–açık–meşru amaçlar için işlenme, amaçla bağlantılı–sınırlı–ölçülü olma ve saklama süresine uygun muhafaza ilkeleri sayılmıştır.

Q: Doğru ve güncel olmayan verileri tutmak KVKK’ya aykırı mı?

Evet. KVKK, kişisel verilerin işlenmesinde doğru ve gerektiğinde güncel olma ilkesini öngörür. Veri sorumlusu, verilerin güncelliğini sağlamak için makul önlemleri almakla ve ilgili kişinin düzeltme taleplerini dikkate almakla yükümlüdür. Yanlış veya eski verilere dayalı işlemler, hak kaybına yol açabilir ve uyumsuzluk riski oluşturur.

Q: Meşru amaç ile meşru menfaat aynı şey midir?

Hayır. Meşru amaç, verinin neden işlendiğiyle; meşru menfaat ise veri sorumlusunun veri işleme sonucunda elde edeceği haklı çıkarla ilgilidir. Bir veri işleme faaliyeti hem meşru bir amaca dayanmalı hem de (meşru menfaat şartı kullanılıyorsa) ilgili kişinin temel hak ve özgürlükleriyle dengeli olmalıdır.

Q: Amaç değişirse verileri yeniden işlemek için ne yapmak gerekir?

Veri işleme amacı değiştiğinde, yeni amaç KVKK genel ilkeleri çerçevesinde yeniden değerlendirilmelidir. Eski amaç kapsamında toplanan verilerin yeni amaçla bağlantılı, sınırlı ve ölçülü olup olmadığı incelenmeli; gerekiyorsa ilgili kişiden yeni bir aydınlatma ve/veya açık rıza alınmalıdır.

Q: Saklama süresi bittiğinde veriler mutlaka silinmek zorunda mı?

Evet. Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilebilir. Amaç ortadan kalktığında veya süre dolduğunda, verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi zorunludur.

Q: Genel ilkelere aykırılık hukuki sorumluluk doğurur mu?

Evet. KVKK genel ilkelerine aykırı veri işleme, Kanun ihlali anlamına gelir ve idari para cezası, tazminat talebi ve bazı durumlarda cezai sorumlulukla karşı karşıya kalmaya yol açabilir.

Kişisel verilerin işlenmesinde her zaman KVKK’da ortaya konulan genel ilkelere uygun davranılması zorunludur. Kanunun 4. maddesi; hukuka ve dürüstlük kurallarına uygunluk, verilerin doğru ve gerektiğinde güncel olması, belirli–açık–meşru amaç, amaçla bağlantılı–sınırlı–ölçülü olma ve saklama sürelerine uyum ilkelerini açıkça sayar. Bu ilkeler, tüm veri işleme faaliyetlerinin temel çerçevesini oluşturur.

Bu rehberde; KVKK genel ilkelerinin her birini ayrı ayrı ele alarak, uygulamada ne anlama geldiklerini, tipik örnekleri ve kurumsal uyum için atılması gereken adımları özetliyoruz. Böylece hem veri sorumlularının risklerini azaltmayı hem de ilgili kişilerin temel hak ve özgürlüklerinin etkin biçimde korunmasını hedefliyoruz.

KVKK madde 4 ilkeleri veri işleme politikanıza gerçekten yansıyor mu?
Genel ilkelere uyumsuzluk, sadece idari para cezası riski değil; haksız veri işleme, itibar kaybı ve hukuki uyuşmazlıklar anlamına gelir. Veri envanteri, saklama politikaları ve aydınlatma metinlerinin bu çerçeveyle uyumlu olması kritik önem taşır.

1. KVKK Genel İlkeler Özeti

Kişisel verilerin işlenmesinde her zaman Kanunda ortaya konulan genel ilkelere uygun davranılmalıdır. KVKK madde 4’e göre tüm kişisel veri işleme faaliyetleri aşağıdaki ilkelere tabidir:

Hukuka ve dürüstlük kurallarına uygun olma
Doğru ve gerektiğinde güncel olma
Belirli, açık ve meşru amaçlar için işlenme
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Bu ilkeler, hangi hukuki dayanağa (açık rıza, sözleşme, hukuki yükümlülük, meşru menfaat vb.) dayanılırsa dayanulsın tüm veri işleme faaliyetleri için geçerlidir. Başka bir deyişle, doğru hukuki dayanağa sahip olmak tek başına yeterli değildir; işleme şeklinin de bu ilkelere uygun olması gerekir.

Unutmayın: İlkeler, KVKK uyum projelerinde “başlangıç noktası”dır. Veri envanteri, aydınlatma metni, saklama politikası veya açık rıza metni hazırlanırken her adımda bu beş ilke referans alınmalıdır.

2. Hukuka ve Dürüstlük Kurallarına Uygun Olma

Hukuka ve dürüstlük kurallarına uygun olma ilkesi, kişisel verilerin yalnızca yürürlükteki mevzuata ve genel güven ilkelerine uygun şekilde işlenmesini ifade eder. Veri sorumlusu, veri işleme faaliyetlerini planlarken ve yürütürken hem KVKK’ya hem de ilgili sektörel düzenlemelere uygun hareket etmek zorundadır.

Bu ilke, veri sorumlusunun sadece “yasa ne diyorsa onu yapmakla” sınırlı kalmamasını; aynı zamanda dürüstlük, şeffaflık ve makul beklentiler çerçevesinde hareket etmesini de gerektirir.

2.1 Hukuka Uygunluk Boyutu

Kişisel verileri işlerken KVKK, ikincil mevzuat ve sektörel düzenlemelere uyum,
Veri işleme için Kanunda sayılan hukuki sebeplerden (madde 5–6) en az birine dayanma,
Veri sahibinin haklarına (madde 11) müdahale etmeyecek şekilde süreç tasarımı,
Uygulamada haksız rekabet, hile, aldatma gibi davranışlardan kaçınma.

2.2 Dürüstlük Kurallarına Uygunluk Boyutu

Dürüstlük ilkesi, veri sorumlusunun ilgili kişiye karşı açık, öngörülebilir ve adil davranmasını gerektirir. Örneğin:

Aydınlatma metninde belirtilmeyen amaçlar için veri toplamamak,
Açık rıza gerekmeyen durumlarda gereksiz rıza metinleriyle kişiyi yanıltmamak,
Veri sahibinin makul olarak beklemediği profil çıkarımı veya gizli izleme yöntemlerinden kaçınmak.

Dürüstlük kuralı, pek çok gri alanın değerlendirilmesinde rehberdir. “İlgili kişi bu işleme faaliyetini makul olarak bekler miydi?” sorusu, çoğu durumda yol gösterici olacaktır.

3. Doğru ve Gerektiğinde Güncel Olma

Kişisel verilerin doğru ve gerektiğinde güncel tutulması, KVKK’da öngörülen ve ilgili kişinin verilerin düzeltilmesini talep etme hakkı ile uyumlu bir ilkedir. Yanlış veya güncel olmayan veriler; hem veri sorumlusunun aldığı kararları olumsuz etkileyebilir hem de ilgili kişiye maddi ve manevi zarar verebilir.

3.1 Doğruluk ve Güncellik Neden Önemli?

Hak ve yükümlülükler: Yanlış adres veya telefon bilgilerinin sistemde kayıtlı olması; tebligatların ulaşmaması, bildirimlerin yanlış kişiye gitmesi gibi sonuçlara yol açabilir.
Risk ve itibar: Kredi, sigorta, insan kaynakları gibi alanlarda yanlış veri üzerinden karar alınması, hem ilgili kişi hem de kurum için ciddi riskler doğurabilir.
KVKK uyumu: İlgili kişinin verilerini düzeltme, güncelleme ve silme taleplerinin dikkate alınmaması, uyumsuzluk ve şikâyet riski anlamına gelir.

3.2 Veri Sorumlusunun Yükümlülükleri

Veri sorumlusu, kişisel verilerin doğru ve güncel olmasını sağlamak için:

Veri kaynağını ve elde etme yöntemini kayıt altına almalı,
Ele alınan verilerin doğruluğunu makul ölçüde test etmeli,
İlgili kişiye bilgilerini güncellemesi için kolay erişilebilir kanallar sunmalı,
Güncelleme taleplerini düzenli süreçlere bağlayarak sistemsel düzeltmeleri yapmalıdır.

Örnek: Uzun süredir güncellenmeyen müşteri veritabanına dayanarak pazarlama iletişimi yapmak; yanlış kişilere SMS/e-posta gönderilmesi, eski numaraların başka kişilere ait olması gibi riskleri beraberinde getirir.

4. Belirli, Açık ve Meşru Amaçlar İçin İşlenme

Kişisel veriler, belirli, açık ve meşru amaçlar için toplanmalı ve işlenmelidir. İşleme faaliyeti başlamadan önce amacın netleştirilmesi, hem aydınlatma yükümlülüğünün doğru şekilde yerine getirilmesini hem de amaç dışı kullanımların önlenmesini sağlar.

4.1 Belirli ve Açık Amaç

Veri işleme amacı, mümkün olduğunca somut tanımlanmalıdır (örn. “müşteri sadakat programı üyelik süreçlerinin yürütülmesi”).
Aydınlatma metinlerinde belirsiz, çok genel ifadelerden (“her türlü pazarlama faaliyeti için kullanılacaktır” gibi) kaçınılmalıdır.
İleride düşünülebilecek belirsiz amaçlar için şimdiden veri toplanmamalıdır.

4.2 Meşru Amaç

Bir amacın meşru sayılabilmesi için; veri sorumlusunun yürüttüğü faaliyetlerle bağlantılı, hukuka uygun, makul ve ilgili kişinin temel hak ve özgürlükleriyle çelişmeyen bir nitelikte olması gerekir.

Örneğin, bir hazır giyim mağazasının, müşterinin kimlik ve iletişim bilgilerini; siparişin teslimi, faturalama ve satış sonrası destek için işlemesi meşru kabul edilir. Buna karşılık, aynı mağazanın müşterilerinin anne kızlık soyadını işlemesi, sunulan hizmetle ilgili ve meşru bir amaç olarak değerlendirilemeyecektir.

Amaç tanımı ne kadar net ve meşru ise, veri işleme sürecinin denetlenmesi ve KVKK uyumunun belgelenmesi o kadar kolay olur.

5. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi, veri sorumlusunun “gerektiğinden daha fazla veri” toplamamasını ve veriyi amaç dışı kullanmamasını zorunlu kılar. Toplanan veriler, yalnızca belirlenen amaç için gerekli olanla sınırlı tutulmalıdır.

5.1 Amaçla Bağlantı

Toplanan her bir veri kategorisinin, beyan edilen amaçla doğrudan bağlantısı olmalıdır.
Aynı anda birden fazla süreç için veri toplanıyorsa, her süreç için ayrı amaç tanımı yapılmalıdır.

5.2 Sınırlı ve Ölçülü Olma

Ölçülülük, belirli bir amaç için “gerektiğinden fazla veri” toplamamayı gerektirir. Örneğin:

Bir taşımacılık firmasının taşıma sözleşmesi kapsamında adres bilgisini alması ölçülüdür; ancak ek olarak gereksiz detaylı aile bilgisi istemesi ölçülü olmayacaktır.
Basit bir e-bülten üyeliği için T.C. kimlik numarası alınması genellikle ölçülü sayılmaz.

Pratik öneri: Veri toplama formlarını tasarlarken her alan için “Bu veri, belirlediğimiz amaçlar için gerçekten gerekli mi?” sorusunu sormak, ölçülülük ilkesinin hayata geçirilmesine yardımcı olur.

6. Saklama Süresi: Mevzuata Öngörülen Süre Kadar Muhafaza

Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Süre dolduğunda veya işleme amacı ortadan kalktığında, verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir.

6.1 Mevzuata Öngörülen Süreler

Bazı kanunlar, belirli kayıt türleri için asgari veya azami saklama süreleri öngörür (örneğin vergi, ticaret, iş hukuku kayıtları).
Bu süreler, veri sorumlusunun belirlediği saklama sürelerinden her zaman önceliklidir.

6.2 Saklama Politikası ve Sicil Bildirimi

Veri sorumluları, Veri Sorumluları Siciline başvururken; kişisel verilerin işlenme amacı için gerekli olan azami saklama sürelerini bildirmek zorundadır. Bu süre:

İlgili mevzuatta açıkça belirtilmişse, o süre esas alınır.
Mevzuatta süre yoksa, veri sorumlusu işin niteliğine göre makul bir azami süre belirler ve bunu saklama-imha politikasına yansıtır.

6.3 Süre Sonunda Yapılması Gerekenler

Verilerin sistemlerden silinmesi veya geri döndürülemez şekilde yok edilmesi,
Analitik amaçlarla kullanılacaksa anonim hale getirilmesi,
Bu işlemlerin KVKK’ya uygun şekilde kayıt altına alınması.

Gereğinden uzun süre veri saklamak; hem ihlal ve sızıntı risklerini artırır hem de KVKK ve ikincil mevzuata aykırılık teşkil edebilir. “İhtiyaç yoksa saklama” prensibi, veri güvenliğinin temelidir.

7. Uygulamada KVKK İlkelerine Uygun Veri İşleme Örnekleri

Genel ilkeler soyut gibi görünse de, günlük operasyonlara doğrudan etki eder. Aşağıda farklı süreçler için tipik örnekler yer almaktadır:

7.1 E-Ticaret Sipariş Süreci

Amaç: Siparişin oluşturulması, faturalama, teslimat ve satış sonrası destek.
Gereken veriler: İsim, iletişim bilgisi, teslimat adresi, ödeme bilgisi.
Uygulama: Sipariş amacı dışında (örneğin agresif pazarlama kampanyaları) ek izin olmaksızın kullanımdan kaçınılması, süresi dolan verilerin anonimleştirilmesi.

7.2 İnsan Kaynakları Süreçleri

Amaç: İş başvurularının değerlendirilmesi, aday havuzu oluşturma, çalışan özlük dosyalarının yönetimi.
İlkeler: Başvuru süreci bittiğinde gereksiz olan verilerin saklanmaması; performans değerlendirmelerinde doğru ve güncel bilgiler kullanılması; özel nitelikli veriler için ek koruma tedbirleri.

7.3 Kamera Kayıtları (CCTV)

Amaç: Fiziksel güvenliğin sağlanması ve olası uyuşmazlıklarda delil niteliği.
İlkeler: Makul saklama süresi (aylar değil yıllar boyunca gereksiz saklama yapmamak), kamera alanları hakkında aydınlatma yapmak, görüntülerin amaç dışında kullanılmaması.

Sektöre özel KVKK uyum planları hazırlanırken; her süreç için “hangi ilke hangi risk noktasında devreye giriyor?” sorusuyla ilerlemek, hem dokümantasyonu hem de uygulamayı kolaylaştırır.

8. Kurumsal Uyum, Denetim ve İspat Yükümlülüğü

KVKK genel ilkeleri, sadece “teorik bir çerçeve” değil; aynı zamanda veri sorumlusunun ispat yükümlülüğünü doğrudan etkileyen kurallardır. Kurul nezdinde veya yargı süreçlerinde, veri sorumlusu bu ilkelere uyduğunu göstermekle yükümlüdür.

8.1 Kurumsal Uyum Bileşenleri

Güncel veri envanteri ve işleme faaliyetleri listesi,
KVKK uyumlu aydınlatma metinleri ve açık rıza yönetimi,
Saklama ve imha politikasının yazılı hale getirilmesi,
Düzenli iç denetimler ve kayıt altına alınan sonuçlar,
Çalışan eğitimleri ve farkındalık çalışmaları.

8.2 İspat Yükümlülüğü

Veri sorumlusu, kişisel verilerin işlendiği her durumda:

Hangi hukuki sebebe dayandığını,
Genel ilkelere nasıl uyduğunu,
Verilerin ne kadar süre saklandığını ve ne zaman imha edildiğini

belgelerle gösterebilmelidir. Bu anlamda KVKK uyumu, yalnızca “uygulama” değil aynı zamanda dokümantasyon gerektiren bir süreçtir.

Kurumsal ölçekte KVKK projelerinde, ilkelerin somut süreçlere çevrilmesi; hukuki, teknik ve organizasyonel ekiplerin birlikte çalışmasını gerektirir.

Sık Sorulan Sorular: KVKK Genel İlkeler

KVKK genel ilkeleri hangi maddede düzenlenmiştir?

KVKK genel ilkeleri, 6698 sayılı Kanun’un 4. maddesinde düzenlenmiştir. Bu maddede; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli–açık–meşru amaçlar için işlenme, amaçla bağlantılı–sınırlı–ölçülü olma ve saklama süresine uygun muhafaza ilkeleri sayılmıştır.

Doğru ve güncel olmayan verileri tutmak KVKK’ya aykırı mı?

Evet. Kişisel verilerin işlenmesinde doğru ve gerektiğinde güncel olma ilkesi geçerlidir. Veri sorumlusu, verilerin güncelliğini sağlamak için makul önlemleri almakla ve ilgili kişinin düzeltme taleplerini dikkate almakla yükümlüdür. Yanlış veya eski verilere dayalı işlemler, hak kaybına yol açabilir.

Meşru amaç ile meşru menfaat aynı şey midir?

Hayır. Meşru amaç, verinin neden işlendiğiyle; meşru menfaat ise veri sorumlusunun veri işleme sonucunda elde edeceği haklı çıkarla ilgilidir. Bir veri işleme faaliyeti hem meşru bir amaca dayanmalı hem de (meşru menfaat şartı kullanılıyorsa) ilgili kişinin temel hak ve özgürlükleriyle dengeli olmalıdır.

Amaç değişirse verileri yeniden işlemek için ne yapmak gerekir?

İşleme amacı değiştiğinde; yeni amaç, ilkeler yönünden yeniden değerlendirilmelidir. Eski amaç kapsamında toplanan verilerin yeni amaçla bağlantılı, sınırlı ve ölçülü olup olmadığı incelenmeli; gerekiyorsa ilgili kişiden yeni bir aydınlatma ve/veya açık rıza alınmalıdır.

Saklama süresi bittiğinde veriler mutlaka silinmek zorunda mı?

Evet. İşleme amacı ortadan kalktığında veya mevzuatta öngörülen saklama süresi dolduğunda, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir. Bu süreç, “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”e uygun olarak yürütülmelidir.

Genel ilkelere aykırılık, hukuki sorumluluk doğurur mu?

Evet. Genel ilkelere aykırı veri işleme, KVKK’nın ihlali anlamına gelir ve idari para cezası, tazminat talepleri, hatta bazı durumlarda cezai sorumluluk gündeme gelebilir. Bu nedenle ilkeler, sadece “öneri” değil, bağlayıcı kurallar olarak değerlendirilmelidir.