Kişisel verilerin korunması hukukunun temel ilkeleri -2

Anonim veriler, kişisel verilerin korunması mevzuatının dışında yer alır. Buna karşın, takma adların birey ile bağlantısı bulunduğu için bunlar, halen veri koruma hukukunun konusu olmayı sürdürür.

 

Geçtiğimiz sayıda Kişisel verilerin korunması hukukunun temel ilkelerine giriş yapmış, konuyu; kişisel verilerin niteliğine ilişkin ilkeler, hukuka ve dürüstlük kurallarına uygun işleme, belirli, açık ve meşru amaçlar için toplanma başlıkları altında incelemiştik.

 

VERİLERİN DAHA SONRA İŞLENME AMAÇLARININ TOPLANMA AMACI İLE UYUMLU OLMASI

 

Kişisel verilerin korunmasına yönelik AB Yönergesi bu noktada bir istisna tanımıştır. İlgili hüküm uyarınca “üye devletlerin uygun önlemleri alması koşuluyla, tarihsel, istatistiksel ve bilimsel amaçlarla sonradan işlemelerin uygunsuz olduğu düşünülmeyecektir”. Bu varsayım ile Yönergeyi hazırlayanların, tarihsel, bilimsel ve istatistiksel amaçlarla yapılan araştırmalar ile belirtilen ilke arasında yaşanabilecek çatışmaya bir ölçüde de olsa çözüm bulmayı amaçladıkları söylenebilir. Ancak burada üye devletlerin uygun önlemleri almasının bir zorunluluk olduğunu belirtmek gerekir.

 

TOPLANMA VE SONRASINDA İŞLENME AMAÇLARINA UYGUN, İLGİLİ BULUNMA, AŞIRI OLMAMA

 

095/46/AT sayılı Yönergenin 6/1,c hükmü uyarınca kişisel veriler, “toplanma ve/veya bunu izleyen işleme amaçları açısından yeterli ve onlarla ilgili olacak ve aşırı olmayacaktır”. 108 sayılı AK Sözleşmesi’nde ise bu ilkenin, AB Yönergesi ile hemen hemen aynı ifadelerle yer aldığı görülür. Ancak her iki hüküm arasında dikkat çekilmesi gereken bir farklılık da bulunur. Sözleşme’nin 5/c hükmüne göre otomatik yollarla işlenen kişisel veriler “saklanma amacı için yeterli, onunla ilgili olacak ve aşırı olmayacaktır.” 108 sayılı AK Sözleşmesi’nde ise yalnızca otomatik işlenen verilerin korunmasına hasredilmiştir. Buradaki farklılık AB Yönergesinde ölçüt, “toplama ve/veya daha sonra işleme amaçları” ile bağlantısı açısından geliştirilirken, AK Sözleşmesi’nde “saklanma amacı” dikkate alınarak belirlenmesidir. Burada anonimleştirme konusun kısaca açıklık getirmekte fayda vardır. Tam anlamıyla anonim olan verilerin gerçek kişilerle ilişkisi koptuğu, yani belirlenebilir bir birey ile arasında bir bağ kurmak olanaklı bulunmadığı için bunlar, kişisel veri olarak değerlendirilemezler. Dolayısıyla anonim veriler, kişisel verilerin korunması mevzuatının dışında yer alır. Buna karşın, takma adların birey ile bağlantısı bulunduğu için bunlar, halen veri koruma hukukunun konusu olmayı sürdürür.

 

DOĞRU VE EĞER GEREKLİ İSE GÜNCEL OLARAK TUTULMA

 

AB Yönergesinin 6/1,d, Avrupa Konseyi Sözleşmesi’nin 5/d maddesinde bu ilke hüküm altına alınmıştır. Her iki metinde de kişisel verilerin “doğru ve gereken durumlarda güncel olması” gerektiğinden söz edilmektedir. Ancak kişisel verilerin korunmasına ilişkin her metinde ilkenin bu şekilde ifade edilmediği de belirtilmelidir. OECD Rehber İlkeleri’nin 8 inci maddesinde “doğruluk” ve “güncellik”in yanında, kişisel verilerin “tamlığı”na da (completeness) da bir zorunluluk olarak yer verilmiştir. Bu noktada AB Yönergesi’nin 6/1,d hükmünün alınmasında fayda vardır. Burada kişisel verilerin, “doğru ve eğer gerekli ise güncel olarak tutulması” zorunluluğunun hemen ardından ikinci bir gereklilik daha belirlenmiştir: buna göre üye devletlerde 31 “toplanma amaçları veya sonradan işleme için yanlış veya eksik verinin silinmesi veya düzeltilmesi için makul olan bütün adımlar atılacaktır.”

 

AMACI GEREKTİRDİĞİNDE DAHA UZUN SÜRE TUTULMAMA

 

Kişisel verilerin gerektiğinden uzun süre tutulmaması gerekir. AB Veri Koruma Yönergesi’nin 6/1,e hükmü uyarınca, ilgili kişinin teşhis edilmesine olanak tanıyacak şekilde, kişisel verilerin toplandığı veya daha sonra işlendiği amaçlar için gerekli olandan daha uzun süre tutulmaması gerekir. Kişisel verilerin amaç açısından gereksiz duruma gelmesi birkaç olasılıkta söz konusu olabilir:

• Kişisel verilerin işlenmesi ile hedeflenen amaç ortadan kalkabilir

• Amaca ulaşmak için kişisel verinin işlenmesinin gereksiz olduğu anlaşılabilir

• Amaca ulaşıldığı için artık kişisel verinin tutulması gerekliliği ortadan kalkabilir. Avrupa sisteminde, kişisel verilerin korunması bağlamında, verilere artık gereksinim duyulmadığı noktada iki yoldan biri tercih edilmek durumundadır: kişisel veriler

• Ortadan kaldırılmaktadır

• Anonimleştirilerek saklanmaktadır. Bunun yanında AB Yönergesi, üye devletlerin uygun güvenceleri sağlamaları kaydıyla bilimsel, tarihi ve istatistikî amaçlarla verilerin daha uzun süre saklanmasını da olanaklı kılmıştır