Belirli, Açık ve Meşru Olması İlkesi
• Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını,
• Kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini,
• Kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlamaktadır.
Kişisel verileri işleme amaçlarının sadece veri sorumlusu tarafından bilinmesi ya da tahmin edilebilir olması bu ilkeye aykırıdır. Kişisel veri işleme amaçlarının açıklandığı hukuki işlem ve metinlerde (açık rıza, aydınlatma, ilgili kişinin başvurularını cevaplama, veri sorumlusu siciline başvuru gibi) belirlilik ve açıklık ilkesine uyumda hassasiyet gösterilmeli, teknik ve hukuki terminoloji kullanımından kaçınılmalıdır. Bu esasa uygun davranma aynı zamanda dürüstlük ilkesine uyum bakımından da önemlidir.
Veri sorumlusunun, veri işleme amacının açık ve kesin olarak belirlemesini ve bu amacın meşru olmasını zorunlu kılmaktadır. Veri sorumlularının, belirtilen amaçlar dışında veri işlemeleri halinde, bu fiillerinden dolayı sorumlulukları doğacaktır. Amacın meşru olması; veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Örneğin, bir hazır giyim mağazasının, müşterilerinin kimlik ve iletişim bilgilerini işlemesi meşru amaç kapsamındayken, kan gruplarının işlemesi meşru amaç kapsamında değerlendirilemeyecektir.
Kişisel Verilerin, İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması İlkesi:
İşlenen kişisel verilerin, belirlenen amaçların gerçekleştirilebilmesine elverişli olmasını, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirmektedir. Sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işlenebilmesi için, kişisel verilerin işlenme şartlarının ayrıca sağlanmış olması gerekecektir. Yine işlenen veri, sadece amacın gerçekleştirilmesi için gerekli olanla sınırlı tutulacaktır.
Ölçülülük ilkesi, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması anlamına gelmektedir. Yani veri işlemenin, amacı gerçekleştirecek ölçüde olması demektir.
Örneğin, kredi kartı başvurusunda bulunan kişiden sosyal hayatına ve sosyal faaliyetlerine yönelik tercihleri konusunda bilgi talebinde bulunulması ölçülülük ilkesine aykırılık teşkil edecektir.
Kişisel verilerin, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi:
Bu ilkeye göre, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa veri sorumluları bu süreye uyacak, böyle bir düzenleme yoksa veri sorumluları verileri ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebilecektir. Bir kişisel verinin daha fazla saklanması için geçerli bir sebep olmaması durumunda, veri sorumlusu söz konusu veriyi silecek, yok edecek veya anonim hale getirilecektir. Gelecekte kullanma ihtimalinin varlığına dayanarak veri saklanamayacaktır. Veri sorumlusu, Kanunun 16 ncı maddesi uyarınca sicile kayıt için başvuru yaparken kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi bildirmek zorundadır.