1. Maddenin Sistematiği ve Genel Açıklama
Bu madde, kişisel verilerin korunması hukukunun "Anayasası" ve tüm veri işleme faaliyetlerinin uymak zorunda olduğu beş temel emredici sütunu kuran "Genel İlkeler" normudur. Madde 4'ün en kritik sistematik özelliği, bu ilkelerin mutlak ve kaçınılmaz olmasıdır. Veri sorumlusu, ilgili kişiden açık rıza almış olsa veya kanundaki diğer işleme şartlarına (m. 5-6) dayanıyor olsa dahi; eğer bu beş ilkeden tek birine bile aykırılık varsa, yapılan veri işleme faaliyeti baştan itibaren hukuka aykırı ve geçersizdir. İlkeler, veri sorumlularına rehberlik eden soyut tavsiyeler değil; yargısal denetimde hakimin doğrudan uygulayacağı emredici hukuk kurallarıdır.
2. Maddedeki Kavramların Analizi
- Hukuka ve Dürüstlük Kurallarına Uygun Olma (m. 4/2-a): Veri işlemenin sadece kanun metnine şeklen uygun olması yetmez; Türk Medeni Kanunu m. 2'de düzenlenen genel dürüstlük kuralına (şeffaflık, dürüstlük, hakkaniyet) da uygun olması gerekir. Veri sorumlusu ilgili kişiyi aldatmamalı, yanıltmamalı, gizli gözetim yapmamalı ve verileri toplarken dürüst bir iş ortağı gibi şeffaf aydınlatma yapmalıdır.
- Doğru ve Gerektiğinde Güncel Olma (m. 4/2-b): Veri doğruluğu, veri sahibinin haklarının zarar görmemesi (örn: borcunu ödemiş bir müşterinin banka sisteminde halen "borçlu/takipte" görünerek kredi alamaması gibi durumlar) için zorunludur. Veri sorumlusu, verilerin doğruluğunu denetleyecek mekanizmaları kurmalı ve veri sahibine bilgilerini güncelleme/düzeltme imkanı (m. 11) tanımalıdır.
- Belirli, Açık ve Meşru Amaçlar için İşlenme (m. 4/2-c): Verilerin hangi amaçla işleneceği, işleme faaliyeti başlamadan önce net ve anlaşılır biçimde belirlenmelidir. Amacın yasal ve ahlaki olması (meşruiyet) şarttır. "Gelecekte belki lazım olur" veya "Genel şirket faaliyetlerimizi geliştirmek için" gibi ucu açık, muğlak ve belirsiz amaçlarla veri toplanamaz.
- İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma (m. 4/2-ç - Proportionality): Doktrinde "Veri Minimizasyonu" (Data Minimization) olarak adlandırılan altın kuraldır. Amaç için gerekli olandan tek bir kelime fazla veri dahi toplanamaz. İstenen veri ile ulaşılmak istenen amaç arasında adil ve makul bir oran (ölçülülük) bulunmalıdır.
- Süre Sınırı ve Muhafaza Rejimi (m. 4/2-d): Kişisel veriler sonsuza kadar saklanamaz. Veriler, ya kanunlarda öngörülen süre (örn: Borçlar Kanunu'ndaki 10 yıllık genel zamanaşımı) ya da işleme amacının gerektirdiği süre kadar muhafaza edilebilir. Amaç ortadan kalktığında veya yasal süre dolduğunda veriler derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir (m. 7).
3. Sistematik İlişkiler
Madde 4; AB Genel Veri Koruma Tüzüğü'nün (GDPR) 5. maddesiyle (Principles) birebir uyumludur. Türk Medeni Kanunu'nun 2. maddesi (Dürüstlük), KVKK m. 5-6 (İşleme Şartları), m. 7 (Silme), m. 10 (Aydınlatma yükümlülüğü), m. 12 (Veri Güvenliği) ve m. 18 (yaptırımlar) hükümleriyle doğrudan bir yargı zinciri oluşturur.
4. Uygulama: Yargıtay / Bölge Adliye Mahkemesi (BAM) İçtihadı
- Ölçülülük İlkesinin Mutlaklığı ve Biyometrik Veri Yasakları: Danıştay ve KVKK Kurulu kararlarında, ölçülülük ilkesi en sık uygulanan denetim aracıdır. Spor salonlarının üye girişlerinde, işverenlerin ise personel mesai takibinde "parmak izi, el damar izi, yüz tanıma" gibi hassas biyometrik verileri kullanması; kartla giriş veya şifre gibi daha az müdahaleci yöntemlerle aynı amaca ulaşılabileceğinden "ölçüsüz" (m. 4/2-ç'ye aykırı) bulunmuş ve yasaklanarak ağır idari para cezalarına konu edilmiştir.
- Dürüstlük Kuralı ve Gizli Veri Toplama: Yargıtay kararlarında, işverenin işyerine gizli kamera koyarak veya personelin kurumsal e-postasını önceden açık bildirim yapmaksızın gizlice tarayarak veri işlemesi, dürüstlük kuralına (m. 4/2-a) açık aykırılık teşkil ettiği gerekçesiyle hukuka aykırı bulunmakta ve bu veriler mahkemelerde delil olarak kabul edilmemektedir.
5. Pratik Örnek Olaylar
Örnek 1 (Ölçüsüzlük): Bir mobil e-ticaret uygulaması, sadece kullanıcılara kıyafet satışı yapmaktadır. Uygulama kurulurken kullanıcılardan konum bilgisine (GPS) ve telefon rehberine erişim izni talep etmektedir. Kıyafet siparişi ve teslimatı için rehber verisi ve anlık GPS konum verisi tamamen gereksizdir (adres yazılması yeterlidir). Bu veri toplama faaliyeti, kullanıcı izin (açık rıza) vermiş olsa dahi, "amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesine aykırı olduğundan hukuka aykırıdır.
Örnek 2 (Süre Sınırı İhlali): Tüketici T, 2015 yılında bir bankadaki hesabını kapatmış ve tüm borçlarını ödemiştir. Bankacılık Kanunu ve Türk Borçlar Kanunu uyarınca yasal saklama ve zamanaşımı süresi en fazla 10 yıldır. Bankanın 2026 yılında halen T'nin mali verilerini aktif veritabanında saklamaya ve ona reklam SMS'leri göndermeye devam etmesi, "amaç için gerekli olan süre kadar muhafaza edilme" (m. 4/2-d) ilkesinin açık ihlalidir. Banka bu verileri silmek zorundadır.
6. Pratik Uygulama Notları
- Veri Minimizasyonu Denetimi Yapın: Veri sorumluları, formlarında veya sistemlerinde topladıkları her veri alanını (örn: medeni hal, cinsiyet, meslek) şu soruyla denetlemelidir: "Bu veriyi almazsam ana işimi/amacımı yapamaz mıyım?" Cevap "yapabilirim" ise o veri alanı derhal formlardan çıkarılmalıdır.
7. Eleştirel Değerlendirme
- "Gerektiğinde Güncel Olma" Yükümlülüğünün Sınırları: Kanun, veri sorumlusuna verileri "doğru ve güncel tutma" görevi yüklemiştir. Ancak veri sorumlusunun, veri sahibinin izni veya bildirimi olmaksızın onun verilerini güncelleyebilmek için sürekli dış kaynaklardan sorgulama yapması (örn: kişinin adresini MERNİS'ten sürekli takip etmesi), kendi içinde yeni bir mahremiyet ihlali ve gizli gözetim riski yaratmaktadır. Yasal bir revizyonla, güncel tutma yükümlülüğünün "ilgili kişinin bildirimi veya kolayca erişebileceği güncelleme panellerinin sunulması" şartıyla sınırlandırılması, idari ve pratik dengenin kurulması açısından isabetli olacaktır.
Metodolojik Not
Bu akademik yorum ve analiz, kişisel verilerin işlenmesindeki beş altın ilkeyi, veri minimizasyonu (ölçülülük) teorisini, dürüstlük kuralının mahremiyet hukukundaki izdüşümlerini 6698 sayılı Kanun'un 4. maddesi ve İsviçre/AB doktrini ışığında Av. Fethi Güzel'in derin usuli analizleriyle ele almaktadır.
1. Maddenin Sistematiği ve Genel Açıklama
Bu madde, kişisel verilerin korunması hukukunun "Anayasası" ve tüm veri işleme faaliyetlerinin uymak zorunda olduğu beş temel emredici sütunu kuran "Genel İlkeler" normudur. Madde 4'ün en kritik sistematik özelliği, bu ilkelerin mutlak ve kaçınılmaz olmasıdır. Veri sorumlusu, ilgili kişiden açık rıza almış olsa veya kanundaki diğer işleme şartlarına (m. 5-6) dayanıyor olsa dahi; eğer bu beş ilkeden tek birine bile aykırılık varsa, yapılan veri işleme faaliyeti baştan itibaren hukuka aykırı ve geçersizdir. İlkeler, veri sorumlularına rehberlik eden soyut tavsiyeler değil; yargısal denetimde hakimin doğrudan uygulayacağı emredici hukuk kurallarıdır.
2. Maddedeki Kavramların Analizi
3. Sistematik İlişkiler
Madde 4; AB Genel Veri Koruma Tüzüğü'nün (GDPR) 5. maddesiyle (Principles) birebir uyumludur. Türk Medeni Kanunu'nun 2. maddesi (Dürüstlük), KVKK m. 5-6 (İşleme Şartları), m. 7 (Silme), m. 10 (Aydınlatma yükümlülüğü), m. 12 (Veri Güvenliği) ve m. 18 (yaptırımlar) hükümleriyle doğrudan bir yargı zinciri oluşturur.
4. Uygulama: Yargıtay / Bölge Adliye Mahkemesi (BAM) İçtihadı
5. Pratik Örnek Olaylar
Örnek 1 (Ölçüsüzlük): Bir mobil e-ticaret uygulaması, sadece kullanıcılara kıyafet satışı yapmaktadır. Uygulama kurulurken kullanıcılardan konum bilgisine (GPS) ve telefon rehberine erişim izni talep etmektedir. Kıyafet siparişi ve teslimatı için rehber verisi ve anlık GPS konum verisi tamamen gereksizdir (adres yazılması yeterlidir). Bu veri toplama faaliyeti, kullanıcı izin (açık rıza) vermiş olsa dahi, "amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesine aykırı olduğundan hukuka aykırıdır.
Örnek 2 (Süre Sınırı İhlali): Tüketici T, 2015 yılında bir bankadaki hesabını kapatmış ve tüm borçlarını ödemiştir. Bankacılık Kanunu ve Türk Borçlar Kanunu uyarınca yasal saklama ve zamanaşımı süresi en fazla 10 yıldır. Bankanın 2026 yılında halen T'nin mali verilerini aktif veritabanında saklamaya ve ona reklam SMS'leri göndermeye devam etmesi, "amaç için gerekli olan süre kadar muhafaza edilme" (m. 4/2-d) ilkesinin açık ihlalidir. Banka bu verileri silmek zorundadır.
6. Pratik Uygulama Notları
7. Eleştirel Değerlendirme
Metodolojik Not
Bu akademik yorum ve analiz, kişisel verilerin işlenmesindeki beş altın ilkeyi, veri minimizasyonu (ölçülülük) teorisini, dürüstlük kuralının mahremiyet hukukundaki izdüşümlerini 6698 sayılı Kanun'un 4. maddesi ve İsviçre/AB doktrini ışığında Av. Fethi Güzel'in derin usuli analizleriyle ele almaktadır.