2020 KVKK & GDPR Kasım Bülteni Başlıkları

Ayın Karar
Özetleri

Ayın Önemli Karar Özetleri Hakkında Detaylı Bilgi Almak için

Tıklayınız

Bilgilendirme
Rehberi

Ayın Bilgilendirme Rehberi Hakkında Detaylı Bilgi için

Tıklayınız

Mevzuat
Analizi

Ayın Mevzuat Analizi Hakkında Detaylı Bilgi Almak için

Tıklayınız

VERBİS Kaydınızı Tamamladınız mı?

VERBİS Nedir?

Veri Sorumluları Sicil Bilgi Sistemi Hakkında Detaylı Bilgi için

Tıklayınız

2020 KVKK & GDPR Kasım Bülteni Ayın Karar Özetleri ve Haberleri

  • Açık Rızası Olmaksızın İlgili Kişiye SMS Gönderimi Yapan Dernek Hakkında Kurul Kararı
  • UPİ Trans Dış Ticaret A.Ş. - Veri İhlali Bildirimi
  • Kale Holding A.Ş. ve Grup Şirketleri- Veri İhlali Bildirimi
  • Çizgi Telekomünikasyon A.Ş. - Veri İhlali Bildirimi
  • EDPB GDPR’ın 65. Maddesi Kapsamında Üye Ülkelerin Veri Koruma Kurumları Arasındaki Uyuşmazlık Çözümüne İlişkin İlk Kararını Verdi
  • İtalya Veri Koruma Otoritesi Vodafone’a Ceza Verdi
  • İspanya Veri Koruma Otoritesi Telefónica Móviles España’ya Ceza Verdi
  • Norveç Veri Koruma Otoritesi Østfold HF Hastanesi’ne Para Cezası Verdi

2020 KVKK & GDPR Kasım Bülteni Mevzuat Analizi

KVKK 4. Maddesi ile GDPR 5. Maddesi Çerçevesinde Amaçla Sınırlı Kullanım İlkesi

KVKK m.4 - Genel ilkeler

...

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

...

c) Belirli, açık ve meşru amaçlar için işlenme.

*** 

GDPR m.5 - Kişisel verilerin işlenmesine ilişkin ilkeler

1. Kişisel veriler:

...

(b) belirtilen, açık ve meşru amaçlara yönelik olarak toplanır ve bu amaçlara uygun olmayan bir şekilde işlenmez; … (‘amacın sınırlandırılması’)

*** 

Kişisel verilerin korunmasına ilişkin kuralların temelinde belirlenmiş ilkeler vardır. Bu ilkeler, kişisel verilerin korunmasında tüm kuralları çevreleyen, kuralların muhataplarının her bir faaliyetine etki eden çatıyı oluşturur. İlkelere uygun hareket etmek genel bir yükümlülük olup, ihlali ilgili kurallara ilişkin cezalara muhatap kılar. Amaç sınırlaması da KVKK’nın 4. maddesi ile GDPR’ın 5. maddesinde yer alan bu ilkelerden biridir.

Amaç sınırlaması ilkesine göre veri sorumlularının yalnızca belirli, meşru ve açık olan amaçlarla veri işlemeleri gerekmektedir. Veri sorumluları veri işleme faaliyetleriyle ilgili açık olmalı, veriler üzerindeki işlemleri ilgili kişi beklentileri doğrultusunda olmalıdır. Bu yönde ise veri sorumluları gerek iç kayıtlarında gerekse ilgili kişi bilgilendirmelerinde veri işlemeye yönelik amaçlarını açıkça belirtmelidir.

Amaçla sınırlama ilkesi dürüstlük kuralına uygunluk, hukuka uygunluk, hesap verilebilirlik ve şeffaflık ilkeleri ile son derece bağlantılıdır. Verilerin hangi amaçlarla işlendiğinin belirli ve açık olması, bahsedilen bu diğer ilkelerin de şartlarının oluşmasını sağlar, öte yandan amaçla sınırlı kullanmama bahsedilen ilkelere uyumsuzluk meydana getirir.

Buna göre veri sorumluları:

  • İlgili kişisel verileri neden ve ne için topladığı konusunda açık olmalı,
  • Amaçların açıkça belirtildiği gerekli dokümantasyonları hazırlamalı ve kayıtlarında bulundurmalı,
  • Amaçlara ilişkin ilgili kişilere karşı şeffaf olmalı,
  • Verilerin elde edildiği amaçtan farklı bir amacın ortaya çıkması halinde bu ikinci amacın hukuka uygun olduğundan emin olmalıdır.