Kişisel Verilerin Korunması Kapsamında 'Veri Minimizasyonu' Nedir?

26.01.2022 - 14:42 Yayınlanma

03.05.2024 - 11:00 Güncelleme

Kişisel Verilerin Korunması Kapsamında 'Veri Minimizasyonu' Nedir?

Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında yedi temel veri koruma ilkesinden biri olan Veri Minimizasyonu (Data Minimisation), veri gizliliğini desteklemek amacıyla toplanan ve işlenen verilerin, önceden açıkça belirtilen nedenlerle zorunlu olmadıkça tutulmaması, aktarılmaması ve kullanılmaması gerektiğini belirten bir ilkedir. Bir başka deyişle bu ilkeye göre veriler, toplama ve işleme amacına uygun olacak şekilde yeterli, ilgili ve işlendikleri amaçla sınırlı olmak üzere toplanmalı ve işlenmelidir. Örneğin spor salonlarına girişte parmak izinin talep edilmesi hem kanuna, hem de veri minimizasyonu ilkesine aykırı olacaktır çünkü spor salonları parmak izinin alınmasını gerektirecek şekilde yoğun güvenlik gerektiren ortamlardan değildir. Bu noktada, ölçülülüğü sağlamak amacıyla ilgili kişiden bir veri talep ederken, veri sorumlusunun kendisine “İlgili kişi verisini topladığımı biliyor mu?”, “Bu verileri nasıl kullanmayı planlıyorum?”, “İlgili kişi verisini neden topladığımı biliyor mu?”, “Verileri toplamak zorunda kalmadan bu amaca ulaşmanın bir yolu var mı?”, “Amaca ulaşmak için verilere ne kadar süreyle ihtiyacım olacak?” sorularını sorması ve buna göre verileri toplayıp toplamayacağına karar vermesi, toplayacaksa da kullanacağı amaç ve süreyi belirlemesi gerekmektedir.

Veri minimizasyonu ile amaçlanan, kişisel verilerin miktar ve çeşitliliği arttıkça, veri güvenliği açısından çıkacak risk ve zararları önlemektir. Bu sebeple amaç dışı ve alınması zorunluluk arz etmeyen veriler hiç toplanmamalı, artık kullanılmayacak olan veriler ise derhal silinmeli ya da anonimleştirilmelidir.

Ülkemizde her ne kadar GDPR m.5 (1) (c)’de yer alan veri minimizasyonu, açık bir şekilde 6698 sayılı Kişisel Verilerin Korunması Kanunda (KVKK) geçmese de, KVKK’da yer alan m.4 (2) (ç) gereği, verilerin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması, m 4 (2) (d) gereği de verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerekmektedir. Kişisel Verileri Koruma Kurulu’nun da yer alan düzenlemelere aykırılık halinde veri sorumlularına idari para cezası yaptırımını uyguladığı bir kararı mevcuttur.

“İşlenme Amacının Gerektirdiğinden Fazla Kişisel Veri İşlenmesi/Aktarılması (Veri Minimizasyonu İlkesine Aykırılık)” başlıklı karar gereği;

Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunmasının;

- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması kapsamında değerlendirilemeyeceği,

- İşlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil ettiği dikkate alınarak,

Kurul tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde ilgili kişiye ait kişisel verilerin güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18’inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.