Kişisel verilerin korunmasının temelinde, kişisel verilerin işlenmesine hakim olan uluslararası alanda kabul görmüş bazı ilkeler bulunmaktadır. AB düzenlemeleri ile uyumlu olarak 6698 sayılı Kanun’un 4. maddesinde bu ilkeler aşağıdaki şekilde gösterilmektedir;
149https://www.termsfeed.com/blog/privacy-policy-analytics-sdk/ Erişim Tarihi : 15.03.2020 150Madde 29 Çalışma Grubu ‘nun 27 Şubat 2013 tarih ve 02/2013 sayılı “Akıllı Cihaz Uygulamaları”
Şekil 3.2. 6698 Sayılı Kanun’un 4. Maddesinde Bulunan İlkeler
GVKT’nde 95/46 Sayılı Direktif’ten farklı olarak bu ilkelere uyulmaması halinde veri sorumlusunun sorumlu olacağına ilişkin “hesap verilebilirlik” ilkesi tesis edilmiştir. 6698 Sayılı Kanun’da bu ilkeye yer verilmemiştir ancak ilgili kanunun 4. maddesine aykırı olarak veri işlemesi halinde kanunun 11/ğ maddesi kapsamında veri sorumlusundan zararını talep edilebileceği düzenlenmiştir151.
3.6.1. Mobil Uygulamalarda Kişisel Veri İşlenmesinde Hukuka ve Dürüstlük Kurallarına Uygun Olma
Kişisel verilerin işlenmesine yönelik düzenlemelerde yer alan birinci ilke, kişisel verilerin hukuka ve dürüstlük kuralına uygun şekilde işlenmesidir152. Bu ilke,
kişisel verilerin işlenme sürecinin başından sonuna kadar başta 6698 Sayılı Kanun olmak üzere diğer hukuki düzenlemeler doğrultusunda gerçekeştirilmesi anlamına gelir. Kişisel veriler işlenirken mutlaka hukuki bir temele dayanması gerekir. 6698 Sayılı Kanun’un 5. maddesinde kişisel verilerin açık rıza olmadan işlenemeyeceği devamında ise açık rıza gerektirmeyen haller tek tek sayılarak bunlardan birinin varlığı halinde işlenebileceği düzenlenmiştir. Diğer yandan kişisel verilerin meşru bir sebep olmaksızın bireyler aleyhine sonuçlar doğuracak şekilde kullanılmaması, kişisel verilerin işlenmesinde şeffaflığın ilke edinilmesi ve kişilerin bu bağlamda bilgilendirilmesi, kişisel verilerin, bireylerin makul beklentileri ve öngörüleri doğrultusunda işlenmesi gerekir 153.
151 Taştan, s. 45
152 Ayözger, s.124, Küzeci, Kişisel Veriler, s.196
153 https://www.kisiselverilerinkorunmasi.org/kanunu-6698-sayili/ Erişim Tarihi : 08.12.2019
4. MADDE Hukuka ve Dürüstlük Kurallarına Uygun Olma Doğru ve Gerektiğinde Güncel Olma
Belirli, Açık ve Meşru Amaçlarla İşlenme
İşlendikleri Amaç için Gerekli Olan Süre Kadar Muahafaza
3.6.2. Doğru ve Gerektiğinde Güncel Olma
Bu ilke, kişisel verileri işlenen kişilerin verilerinin gerçeğe uygun olarak işlenmesini ifade eder. Kişilere, verilerinin gerçeğe uygun olarak işlendiğini kontrol etme ve dönem dönem verilerinin güncelliğini sağlama imkanının verilmesi gerekmektedir. 6698 Sayılı Kanun’un 11. maddesinin d bendinde düzenlenen “kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme” hakkı da bu ilke ile ilgilidir154. Bu ilkenin uygulanması için veri sorumlusu
kişisel verileri toplarken ve işlerken verilerin doğru ve güncel olduğuna ilişkin gerekli tedbirleri alması ve ilgili kişiye bunları doğrulama ve güncelleme imkanı sağlaması gerekmektedir.
3.6.3. Belirli, Açık ve Meşru Amaçlar İçin İşlenme
Kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi esas olup kişisel verilerin bir gün lazım olur diye saklanması kabul edilemez155. İleride ortaya çıkması muhtemel bir amaç için kişisel verilerin işlenmesi bu ilkeye aykırılık teşkil edecektir. Bu ilke doğrultusunda veri sorumlusuna veri işleme amacını kesin ve açık bir şekilde belirleme yükümlülüğü getirilmiştir. Veri sorumlusu belirlediği amaç dışında veri işlediği takdirde sorumlu olacaktır. Aynı şekilde kişisel veriler işlenirken de kişinin belirli, açık ve meşru bir amaç için rıza verdiği varsayılır. Bu nedenle amacın sonradan değişmesi halinde kişisel verisi işlenen kişiden bu kapsamda kişiye karşı aydınlatma yükümlülüğü yerine getirilerek yeniden rıza alınması gerekecektir156.
3.6.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Bu ilke ile kişisel verilerin sadece işleme amacı ile bağlantılı olarak sınırlı ve ölçülü işlenebileceği belirtilmiştir. İşleme amacı ile ilgili olmayan veya amacın gerçekleştirilmesi için ihtiyaç duyulmayan kişisel verilerin işlenmesi bu ilkeye
154 Taştan, s.47
155 Taştan, s. 48, Küzeci, s.198 156 Taştan, s.48
aykırılık teşkil edecektir. Ayrıca bu ilke kapsamında amacın gerçekleştirilmesi için minimum verinin işlenmesi gerekmektedir. Bu ilke Unutulma Hakkı ile de yakından ilgilidir. Bu hak ile kişisel verilerin durumun gerektirdiği ölçüde ve en kısa süreliğine depolanmasını ihtiva etmektedir157. Kullanıcıların verilerinin nasıl
işleneceği konusunda veri sorumlusu ve veri işleyene güvenmesi açısından önemli bir ilkedir. Bu durumda kullanıcı hangi tür verisinin işleneceği konusunda bilgilendirilerek vermiş olduğu rızayı sadece o amaçla işleneceğini anlayarak bilinçli bir şekilde vermiş olacaktır. Bilgilendirilme ve kullanıcı kontrolü bu ilkenin iki önemli unsurudur. Bu ilke sebebi ile hangi verilerin işleneceğinin iyi ve normal bir insanın anlayacağı şekilde açık ve teknik terimlerden uzak olarak tanımlanması şarttır. Bu ilke ile uygulama geliştiricilerden kullanıcılardan veri toplamadan önce yapılacak işin niteliğini ve amacını iyi belirlemeleri beklenmektedir. Kişisel veri ancak hukuka uygun olarak kanunun belirlediği ölçüde işlenebilir bu yüzden işleme amacının veri işlenmesinden önce belirtilmiş olması şarttır.
Ancak bu ilke, veri işleme durumlarındaki ani değişikliklerde uygulanmamaktadır. Örneğin, bir uygulama ilk versiyonunda kullanıcıların birbirlerine e-posta göndermelerine izin vermekteyken uygulama geliştirici iş modelini değiştirerek e- posta adreslerini başka bir uygulamanın telefon numarası ile birleştirdiği takdirde bu durumda ilgili veri sorumlusu tek tek ilgili tüm kullanıcılara ulaşarak ve onlardan şüpheye mahal vermeyecek açıklıkta rızasını almak zorunda kalacaktır158.
Ölçülü ve sınırlı veri işleme ilkesi gereğince de uygulama geliştirici uygulamanın gereği gibi işlemesi için hangi verilerin ne sıklıkla işlenmesi gerektiği konusunda bilgili olmalıdır.
Uygulamalar, cihazlarda yer alan sensörlere de erişim sağlamaktadırlar bu sebeple de SMS göndermek, fotoğraflara erişim ve tüm adres rehberi de dahil olmak üzere birden fazla işlem yapabilmektedirler. Birçok uygulama mağazası otomatik
157 Taştan, s.49
158Madde 29 Çalışma Grubu ‘nun 27 Şubat 2013 tarih ve 02/2013 sayılı “Akıllı Cihaz Uygulamaları” hakkındaki görüşü, s.17
güncelleşmeyi desteklediğinden kullanıcının dahili olmaksızın veya çok az aksiyonda bulunduğu şekilde yeni özellikleri entegre edebilmektedir 159.
3.6.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Edilme
Bu ilkeye göre kişisel veriler sadece işlenme amacı kadar veya mevzuatta belirtilen süre için muhafaza edilmeli işlenme amacı ortadan kalktıktan sonra kişisel veriler artık saklanmamalıdır. Veri sorumlusu, bu ilke gereğince gerekli olan sürenin bitiminde verileri silmeli, yok etmeli ya da anonim hale getirmelidir. Ayrıca 6698 Sayılı Kanunun 16. maddesi uyarınca veri sorumluları, sicile kayıt başvurusunda bulunurken kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi de belirtilmelidir.