Gereksiz Belge Talebi ve Ölçülülük İlkesi: KVKK Genel İlkelerine Aykırılık Kararı
Kişisel Verileri Koruma Kurulu, 2 Ağustos 2018 tarihli bu karar özetiyle, veri sorumlularının müşterilerinden talep ettikleri bilgi ve belgelerin sınırlarını çizmektedir. Karar, “işlemin gerektirmediği” bir belgenin istenmesini sadece bürokratik bir fazlalık değil, doğrudan Kanun’un temel ilkelerine bir saldırı olarak nitelendirmiştir.
1. Olayın Özeti: Amacı Aşan Belge Talebi
Olay: Bir veri sorumlusu, müşterisinin (ilgili kişi) talebi üzerine bir işlem gerçekleştirecektir. Ancak bu işlem sırasında veri sorumlusu, müşterisinden işlemin mahiyetiyle hiçbir ilgisi olmayan ve kişisel veri içeren bir belge ibraz etmesini istemiştir.
Müşterinin şikayeti üzerine yapılan incelemede, istenen bu belgenin:
- İlgili mevzuatta (kanun, yönetmelik vb.) yer almadığı,
- Yapılmak istenen işlemle (amaçla) hiçbir bağının bulunmadığı tespit edilmiştir.
2. Kurulun Hukuki Değerlendirmesi: Genel İlkelere İhanet
Kurul, bu veri işleme faaliyetini Kanun’un “anayasası” sayılan 4. maddedeki genel ilkeler üzerinden mahkûm etmiştir:
- Hukuka ve Dürüstlük Kurallarına Uygun Olma (Md. 4/2-a): Veri sorumlusu, müşterisine karşı dürüst davranmalı ve kanunun kendisine tanımadığı bir yetkiyi kullanarak fazladan veri toplamamalıdır. İhtiyaç duyulmayan verinin istenmesi dürüstlük kuralına aykırıdır.
- Belirli, Açık ve Meşru Amaçlar İçin İşleme (Md. 4/2-c): Veri işlemenin meşru bir amacı olmalı ve bu amaç kişiye açıklanmalıdır. Somut olayda, işlemin gerektirmediği bir belge istenerek meşru amaç sınırları aşılmıştır.
- Veri Güvenliği Yükümlülüğü (Md. 12/1): Kurul, gereksiz veri toplamanın aynı zamanda bir veri güvenliği riski olduğunu vurgulamıştır. Toplanan her fazla veri, korunması gereken ek bir yük ve olası bir sızıntıda daha büyük bir zarar demektir.
[Image showing a form with excessive personal information fields being stamped with a red “NOT PROPORTIONAL” alert, representing a breach of data minimization principles]
3. Karar Sonucu: İdari Para Cezası
Kurul, gereksiz belge talep ederek veri güvenliğini sağlama yükümlülüğünü ve genel ilkeleri ihlal eden veri sorumlusu hakkında KVKK Madde 18 uyarınca idari yaptırım uygulanmasına karar vermiştir.
4. Özgür Eralp Perspektifi: “Az Veri, Az Risk”
Bilişim hukuku alanındaki tecrübemizde, kurumların “ne olur ne olmaz, elimizde bulunsun” mantığıyla veri toplama alışkanlığının (data hoarding) en büyük hukuki tuzak olduğunu gördük. KVKK bir “istifçilik” yasası değil, bir “ölçülülük” yasasıdır. Bir abonelik iptali için ikametgâh belgesi istemek veya basit bir teknik destek için T.C. kimlik kartı sureti talep etmek, dijital çağda kabul edilemez bir “veri obezitesidir”.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketler, iş süreçlerinde istedikleri her bir belgeyi “Bu belge gerçekten bu işlem için şart mı?” ve “Yasal bir dayanağım var mı?” sorularıyla süzgeçten geçirmelidir. İhtiyacınız olmayan her veri, kucağınızda patlamaya hazır bir bombadır. Kurul bu kararla, veri sorumlularına “Sadece işine yarayanı al, fazlasına dokunma” demiştir.
Sıkça Sorulan Sorular
1. Bir şirket benden işlemle ilgisi olmayan bir belge isterse vermeli miyim?
Hukuki olarak bu talebin dayanağını (mevzuattaki yerini) sorma hakkınız vardır. Eğer belge işlemin doğasına aykırı ise vermeme ve bu durumu bir şikayet konusu yapma hakkınız saklıdır.
2. “Ölçülülük ilkesi” tam olarak ne anlama gelir?
Veri sorumlusunun, ulaşmak istediği amaç için “yeterli olan en az veriyi” işlemesidir. Amaca hizmet etmeyen veya amaçtan fazla olan her veri işleme “ölçüsüzdür”.
3. Şirket “Prosedürümüz böyle” diyerek kendini savunabilir mi?
Hayır. Şirket içi prosedürler Kanun’un genel ilkelerinin üzerinde olamaz. Eğer prosedür Kanun’a aykırıysa, bu durum şirketin idari tedbirlerinin zayıf olduğunu kanıtlar.
4. Gereksiz belge istenmesi nasıl bir “Veri Güvenliği” sorunudur?
Veri minimizasyonu (veriyi asgari düzeyde tutma) en önemli güvenlik tedbiridir. Gereksiz veri toplamak, olası bir veri sızıntısında etkilenen veri miktarını artırır ve bireye verilen zararı büyütür.
5. Bu karar bankalar veya operatörler için ne ifade ediyor?
Müşteriden istenen her türlü ek evrakın (imza sirküleri, fotokopi, sicil gazetesi vb.) yasal bir karşılığı olmalıdır. Aksi halde bu kurumlar sistematik bir ihlal riskiyle karşı karşıyadır.
Kaynaklar
- KVKK Kurumu Duyurusu – 2 Ağustos 2018
- 6698 Sayılı KVKK (Madde 4, 12 ve 18)
- Kişisel Veri İşleme Genel İlkeleri Rehberi
Etiketler
KVKK, Genel İlkeler, Ölçülülük İlkesi, Dürüstlük Kuralı, Veri Minimizasyonu, İdari Para Cezası, Belirli ve Meşru Amaç, Bilişim Hukuku, Özgür Eralp, Veri Sorumlusu, Gereksiz Belge Talebi, Hukuka Uygunluk, Müşteri Hakları
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),