Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında yedi temel veri koruma ilkesinden biri olan Veri Minimizasyonu (Data Minimisation), veri gizliliğini desteklemek amacıyla toplanan ve işlenen verilerin, önceden açıkça belirtilen nedenlerle zorunlu olmadıkça tutulmaması, aktarılmaması ve kullanılmaması gerektiğini belirten bir ilkedir. Bir başka deyişle bu ilkeye göre veriler, toplama ve işleme amacına uygun olacak şekilde yeterli, ilgili ve işlendikleri amaçla sınırlı olmak üzere toplanmalı ve işlenmelidir. Örneğin spor salonlarına girişte parmak izinin talep edilmesi hem kanuna, hem de veri minimizasyonu ilkesine aykırı olacaktır çünkü spor salonları parmak izinin alınmasını gerektirecek şekilde yoğun güvenlik gerektiren ortamlardan değildir. Bu noktada, ölçülülüğü sağlamak amacıyla ilgili kişiden bir veri talep ederken, veri sorumlusunun kendisine “İlgili kişi verisini topladığımı biliyor mu?”, “Bu verileri nasıl kullanmayı planlıyorum?”, “İlgili kişi verisini neden topladığımı biliyor mu?”, “Verileri toplamak zorunda kalmadan bu amaca ulaşmanın bir yolu var mı?”, “Amaca ulaşmak için verilere ne kadar süreyle ihtiyacım olacak?” sorularını sorması ve buna göre verileri toplayıp toplamayacağına karar vermesi, toplayacaksa da kullanacağı amaç ve süreyi belirlemesi gerekmektedir.

Veri minimizasyonu ile amaçlanan, kişisel verilerin miktar ve çeşitliliği arttıkça, veri güvenliği açısından çıkacak risk ve zararları önlemektir. Bu sebeple amaç dışı ve alınması zorunluluk arz etmeyen veriler hiç toplanmamalı, artık kullanılmayacak olan veriler ise derhal silinmeli ya da anonimleştirilmelidir.

Ülkemizde her ne kadar GDPR m.5 (1) (c)’de yer alan veri minimizasyonu, açık bir şekilde 6698 sayılı Kişisel Verilerin Korunması Kanunda (KVKK) geçmese de, KVKK’da yer alan m.4 (2) (ç) gereği, verilerin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması, m 4 (2) (d) gereği de verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerekmektedir. Kişisel Verileri Koruma Kurulu’nun da yer alan düzenlemelere aykırılık halinde veri sorumlularına idari para cezası yaptırımını uyguladığı bir kararı mevcuttur.

“İşlenme Amacının Gerektirdiğinden Fazla Kişisel Veri İşlenmesi/Aktarılması (Veri Minimizasyonu İlkesine Aykırılık)” başlıklı karar gereği;

Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunmasının;

• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması kapsamında değerlendirilemeyeceği,
• İşlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil ettiği dikkate alınarak,

Kurul tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde ilgili kişiye ait kişisel verilerin güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18’inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

Y A Z A R

İPEK SARICA

KIDEMLİ AVUKAT

1995, İzmir doğumlu İpek Sarıca, 2013 yılında Yaşar Üniversitesi Hukuk Fakültesi'nde yarı burslu olarak hukuk eğitimine başlamış, hukuk eğitiminin ikinci yılında İşletme çift anadal programına tam burslu olarak kabul edilmiştir. 2017 yılında Hukuk, 2018 yılında işletmeden mezun olan İpek Sarıca, işletme eğitimi sürecinde İngilizce becerilerini geliştirmiş ve IELTS C1 seviyesinde İngilizce belgesini almıştır.

Staj bitiminde meslek hayatına Ahmet Yiğit Hukuk Bürosu'nda çalışmaya başlayan İpek Sarıca, iş hayatına atıldıktan sonra Paris Sciences Po Üniversitesi'nde Ekonomi ve Fransızca eğitimi almış ve daha sonra Galatasaray Üniversitesi'nde Ekonomi Hukuku alanında yüksek lisans yaparak, “Kişisel Verilerin Korunması Alanında Unutulma Hakkı” konulu tezi ile başarıyla mezun olmuştur.

İpek Sarıca, Ahmet Yiğit Hukuk Bürosu'ndaki deneyimleri ile ekonomi hukuku alanındaki eğitimini birleştirerek 2018 yılından beri ofisimizde “Kıdemli Avukat” olarak hizmet sunmaktadır. Ekim 2022’den itibaren aynı zamanda Adli Yeminli Tercümanlık yapan İpek Sarıca’nın faaliyet gösterdiği uzmanlık alanları ise; şirketler hukuku ve iş hukukudur.

KAYNAKÇA

1. https://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf
2. https://www.kvkk.gov.tr/Icerik/5413/Islenme-Amacinin-Gerektirdiginden-Fazla-Kisisel-Veri-Islenmesi-Aktarilmasi-Veri-Minimizasyonu-Ilkesine-Aykirilik-
3. https://www.erdemirozmen.com/hukukta-gundem/makaleler/kvkk-kapsaminda-veri-minimizasyonu-ilkesi
4. https://dergipark.org.tr/tr/download/article-file/737938
5. https://www.experian.co.uk/business/glossary/dataminimisation/#:~:text=Data%20Minimisation%20is%20a%20principle,Adequate
6. ÇELİKEL, Serdar, Kişisel Verilerin Korunması Hukuku Kapsamında Veri Sorumlusu Ve Veri Sorumlusunun Yükümlülükleri, Ankara, 2021