Veri, kurumların en yakın dostu mu yoksa en büyük düşmanı mı?
“Big Data”, “veri yeni çağın petrolü”, “veri en değerli kaynak”; bunlar son yıllarda hemen her mecrada duyduğumuz kalıplar. Tüm organizasyonlar için veri altın değerinde; kullanıcıların, müşterilerin özellikle dijital mecralardaki her hareketi izleniyor, işleniyor ve depolanıyor.
Peki gerçekten “çok veri = çok kâr/çok fayda” mı?
Kişisel verilerin korunması perspektifinden baktığımızda cevap net: Hayır. Nitekim işlenen ve depolanan veriler arttıkça verilerin gizliliğini ve güvenliğini sağlamanın, şeffaf ve hesap verilebilir bir veri işleme politikasına sahip olmanın, (verileri işlenen) ilgili kişilerin talep ve sorularını eksiksiz, şeffaf ve zamanında yanıtlamanın daha da zorlaşacağı aşikâr.
Bununla beraber, business perspektifinden bakıldığında da esasen “çok veri = çok kâr/çok fayda” denkleminin doğru olmadığı noktalar var. Zira şirketler performanslarını optimize etmek ve müşterilerine daha iyi hizmet vermek vb. amaçlar için veri topluyor. Ancak, “bunları gerçekten anlamlı ve doğru bir bir analize tabi tutmak her zaman mümkün oluyor mu, tüm bu verilerin toplanma ve depolanma maliyetleri dikkate alındığında katlanılan bu maliyet karşısında şirketin bu verileri işleme ile elde ettiği fayda orantılı mı?”sorularını da sormak gerekiyor.
Örneğin müşterilerin dijital satın almalarda üyelik ya da bilgi formlarında istenen bilgiler arttıkça satın alma kararından vazgeçtiğini gösteren çokça çalışma bulunuyor.
Bu noktada dikkate alınması gereken önemli bir prensip var: veri minimizasyonu.
“Veri Minimizasyonu” Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (“GDPR”) yer alan yedi veri koruma prensibinden biri. Buna karşın Türk mevzuatına baktığımızda Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ikincil mevzuatta veri minimizasyonu ilkesi açıkça yer almıyor.
Bununla birlikte GDPR madde 5’te açıkça («data minimisation») zikredilen bu ilke her ne kadar Kanun’da açıkça yazmasa da, «doğru ve gerektiğinde güncel olma» ve «işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma» ilkeleri doğrultusunda esasen Kişsel Verileri Koruma Kurumu’nun (“Kurum”) da bu ilkeyi benimsediği söylenebilir.
Nitekim Kurum, alınması gereken teknik ve idari tedbirlere yer verdiği “Kişisel Veri Güvenliği Rehberi”nde «Kişisel Verilerin Mümkün Olduğunca Azaltılması» başlığı altında özetle ihtiyaç duyulmayan verilerin imha edilmesini önermiştir.
Bununla beraber Kurum’un, internet sitesinde “İşlenme Amacının Gerektirdiğinden Fazla Kişisel Veri İşlenmesi/Aktarılması (Veri Minimizasyonu İlkesine Aykırılık)” başlığıyla yayınlanan bir kararında da mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edildiği ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunması üzerine veri sorumlusu hakkında idari yaptırım uygunladığı anlaşılmaktadır.
Bu bilgiler ışığında işletmelerin veri işleme faaliyetlerinde veri minimizasyonunu mutlaka göz önünde bulundurmaları gerektiğini söylemek isabetli olacaktır.
GDPR m. 5(1)(c) bendinde yer alan veri minimizasyonu ilkesine göre, kişisel veriler, işlendikleri amaçlarla ilişkili olarak yeterli, ilgili ve gerekli olanla sınırlı olmalıdır.
“adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’)”
Bu kapsamda veri işleme süreçlerini bu ilkeye uygun hale getirmek için;
- Yeterli olma (kişisel verilerin işlendikleri amaç kapsamında yeterli olması): İşleme amacını gerçekleştirmek için gerekli olandan fazla veri toplanmaması ve işlenmemesi gerekir.
- Amaçla ilgili olma (kişisel verilerin doğrudan işleme amacıyla ilgili olması): Toplanan ve işlenen kişisel veriler işleme amacıyla alakalı olmalı, işleme amacıyla makul bir bağlantısı olmayan veriler işlenmemeli/toplanmamalıdır.
- Gerekli olma (kişisel verilerin doğrudan işleme amacıyla ilgili olması):Yalnızca işleme amacı ile ilişkili olarak gerekli olanla sınırlı kişisel veriler toplanmalı/işlenmelidir.
Veri minimizasyonu ilkesinin bir başka sonucu da toplanan ve işlenen verilerin gereğinden uzun süre saklanmaması, kişisel verilerin işlenme amaçlarının gerekli olduğu süreyi aşmadan muhafaza edilmesidir. Kişisel veriler sadece işleme amaçlarının gerektirdiği veya mevzuatta belirtilen süre boyunca saklanmalı, periyodik olarak gözden geçirilmeli ve gerekli olmayan veriler yok edilmelidir.
Anonimleştirme ve takma ad kullanımı önlemleri de veri minimizasyonu ilkesine uygunluğun sağlanmasında etkili önlemlerdir. Nitekim bu yöntemlerle verilerin asgari düzeyde işlenmesinin sağlanması mümkündür. Bu açıdan işletmelerin teknik imkanlar dahilinde verileri anonimleştirerek işleme yöntemlerini de değerlendirmesi ve mümkünse süreçlerini bu yöntemlerle tasarlamaları son derece önemlidir.
İşletmeler açısından süreçlerini veri minimzasyonu ilkesini dikkate alarak tasarlamak kişisel verilerin korunmasına ilişkin düzenlemelere uyum sağlarken bir yandan da veri güvenliği açısından da avantaj sağlar. Neticede ne kadar az veri-o kadar az veri sızma riski!
Veri işlemenin hemen hemen tüm işletmelerin gündemi olduğu bu dönemde, veri minimizasyonu ilkesi hem kişisel veri düzenlemelerine uyum sağlamak, hem veri güvenliği risklerini azaltmak hem de -daha ilgili, gerekli ve güncel veri kullanılacağı için- daha doğru sonuçlar veren işlemeler yaparak rekabetçi avantajlar kazanmak açısından bir fırsat olarak görülmelidir.
Veri minimizasyonunda doğru politikalar benimsemek ve verinin bir dost mu yoksa düşman mı olduğunu belirlemek işletmelerin elindedir.
Yazar: Av. LLM. Didem Kalaycıoğlu Birol
DKB-LEGAL (c) 2022, Istanbul
