KVKK (Kişisel Verilerin Korunması Kanunu) ve GDPR (Genel Veri Koruma Tüzüğü), kişisel verilerin işlenmesi sırasında veri minimizasyonu ilkesine çok önem verir. Bu ilke sayesinde sadece gerektiği kadar veri işlenir ayrıca gereksiz ve aşırı veri işlenmesinin de önüne geçilir. Veri minimizasyonu, kişisel verilerin yalnızca belirlenen, açık ve meşru amaçlar için gerekli olanlarla sınırlı olarak toplanması ve işlenmesi gerektiğini ifade eder. Gelin hep birlikte konunun detaylarına inelim;
GDPR’de Veri Minimizasyonu
GDPR, 25 Mayıs 2018’de yürürlüğe girmiş ve Avrupa Birliği genelinde kişisel verilerin korunmasını düzenleyen bir yasadır. GDPR’ın 5. maddesinde veri minimizasyonu ilkesi şu şekilde tanımlanır:
- Gereklilik ve Uygunluk: Kişisel veriler, işlendikleri amaçlar için “gerekli, ilgili ve sınırlı” olmalıdır. Bu, verilerin yalnızca belirli ve meşru bir amaca hizmet ettiği ölçüde toplanması gerektiği anlamına gelir.
- Amaç Sınırlaması: Veriler, belirli, açık ve meşru amaçlarla toplanmalı ve bu amaçlar dışında işlenmemelidir.
- Süre Sınırlaması: Kişisel veriler, işlendikleri amaç için gerekli olan süreden daha uzun süre saklanmamalıdır. Bu süre sonunda veriler silinmeli veya anonim hale getirilmelidir.
KVKK’da Veri Minimizasyonu
KVKK, 7 Nisan 2016 tarihinde yürürlüğe giren ve Türkiye’de kişisel verilerin korunmasını amaçlayan bir kanundur. KVKK’da veri minimizasyonu ilkesine benzer şekilde vurgu yapılır:
- Gereklilik: Kişisel veriler, işlenme amaçları için “gerekli, ilgili ve sınırlı” olmalıdır. Bu, yalnızca işlenme amacıyla doğrudan bağlantılı verilerin toplanması anlamına gelir.
- Amaç Sınırlaması: Kişisel veriler, belirli, açık ve meşru amaçlar için toplanmalı ve bu amaçlar dışında kullanılmamalıdır.
- Süre Sınırlaması: Kişisel veriler, işlenme amaçlarının gerektirdiği süre boyunca saklanmalı ve bu sürenin sonunda imha edilmeli veya anonim hale getirilmelidir.
Uygulama Örnekleriyle Konuyu Netleştirelim;
Aslında düzenlemelerin her ikisinde de veri minimizasyonu ilkesine sıkı sıkıya bağlılık mevcuttur ve gerektiğinden fazla kişisel veri işlenmez. Örneğin, bir şirket müşterilerine bir hizmet sunarken, yalnızca hizmetin sağlanması için gerekli olan bilgileri toplamalı ve topladığı bilgileri de belirlenen süre kadar depolamalıdır.
Bu tarafta konuyu örneklendirirken üç ana başlıkta ele alabiliriz. Bunlar, Veri Toplama, Veri Depolama ve Anonimleştirme şeklindedir:
- Veri Toplama Formları: İlgili formlar yalnızca gerekli bilgileri içermelidir. Örneğin, bir müşteri destek formu yalnızca isim, e-posta ve konuya dair soruların ayrıntılarını isteyebilir; ancak telefon numarası gibi ek bilgiler gereksiz olabilir.
- Veri Depolama: Verilerin saklanma süresi sınırlı olmalı ve sadece gerekli süre boyunca saklanmalıdır. Verilerin saklanma sürelerine dair bilgiler ise Kayıt İmha Prosedürü’nde belirtilmelidir.
- Anonimleştirme: İhtiyaç olmadığında veriler anonim hale getirilmeli veya belirli bir kişiyi tanımlamayacak şekilde düzenlenmelidir.
Stratejik Silme;
Tüm bu süreçlere ek olarak sunuculardan düzenli periyotlarla eski verileri temizlediğinizde, erişilen verilerin gerçekten değerli olduğunu ve güvenlik tehdidi oluşturmadığını garantilersiniz. Bu nedenle, tüm veri minimizasyon planları silme protokolleri içermelidir.
Son olarak şunu belirtmek isterim ki bu ilkenin uygulanmaması, GDPR ve KVKK kapsamında ciddi cezalarla sonuçlanabilir. Veri işleyen tüm kurumların, veri minimizasyonu ilkesini içeren Veri Koruma Politikalarını oluşturması ve ilgili politikalara uygun hareket etmesi büyük önem taşır.
