Kişisel verilerin kaydedilmesi, elde edilmesi, değiştirilmesi, yeniden düzenlenmesi, aktarılması, açıklanması, devralınması, depolanması ve yedeklenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak kabul edilmiştir. Burada bahsedilen işlemeler, verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla yapılan işlemelerdir.
Kanunun 4.maddesinde de belirtildiği üzere kişisel verilerin işlenmesinde uyulması zorunlu genel ilkeler;
1. Hukuka ve dürüstlük kurallarına uygun olma.
Bu ilke diğer ilkeleri kapsayıcı bir niteliğe sahiptir. Hukuka uygunluk; hukuk normlarına, evrensel hukuk ilkelerine, kanunlara ve diğer düzenlemelerle getirilen kurallara uygun hareket etme gerekliliğidir.
Dürüstlük ise; veri sorumlusunun verileri işlerken kendi menfaati yanında ilgili kişilerin çıkar ve beklentilerini de dikkate almalıdır. Veri sorumlusu kendisine verilmiş veri işleme hakkını kötüye kullanmamalıdır. Özel hayatın gizliliği çerçevesinde makul olmayan verinin, ilgili kişiden talep edilmesi veya bunun veri sorumlusu tarafından dürüstlük kurallarına aykırı olarak işlenmesi bu ilkeye aykırıdır.
Örneğin; Verilere erişim yetkisine sahip, gerektiğinden fazla personel belirlenmesi ya da veri depolaması ve yedeklenmesi ile ilgili teknik işlerde çalışan personelin silinen verilere erişim sağlayabilmesi bu kapsamda hukuka ve dürüstlük kuralına aykırılık teşkil eder.
2. Doğru ve gerektiğinde güncel olma.
Yanlış veya güncel tutulmayan bilgiler nedeniyle ilgili kişi maddi manevi zarar görebilir. Bu nedenle veri sorumlusunun, kişisel verileri elde ettiği kaynaklar belirli olmalıdır. Bu kapsamda elindeki verilerin doğruluğunu test etmeli ve güncel olması için gerekli tedbirleri almalıdır. Bu ilkeye uygunluk veri sorumlusunun da menfaatinedir.
Örneğin; adres veya e-posta bilgisi yanlış kaydedilen ya da güncellenmeyen ilgili kişi, kendisine ait fatura/tebligatı zamanında alamayabilir.
3. Belirli, açık ve meşru amaçlar için işlenme.
Kişisel verilerin işleme amacı ve hangi hukuki gerekçeye dayanarak işlendiği kesin hatlarla belirlenmiş olmalıdır. İlgili kişi tarafından veri işleme faaliyeti açıkça anlaşılabilir olmalıdır. Sınırları belirlenmeyen amaçlarla kişisel veriler işlenemez. Örneğin “Daha iyi hizmet vermek amacıyla e-posta adresini istenmesi belirli ve açık bir amaç değildir.” Aynı şekilde bir online alışveriş sitesinde adres bilgisinin istenmesi meşru amaç kapsamında değerlendirilebilirken, anne kızlık soyadı bilgisinin istenmesi bu kapsamda değerlendirilemez.
4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
Veri işlenmesi neticesinde arzulanan amaç ile işlenen veriler arasında makul bir denge bulunmalıdır. Veri sorumlusu belirlemiş olduğu amaçları gerçekleştirmeye elverişli olmayan, ihtiyaç duymadığı verileri işlememelidir. Ayrıca sonradan ortaya çıkması muhtemel görülen ihtiyaçların karşılanmasına yönelik verileri de işlememelidir. Örneğin; internet üzerinden alışveriş yapılan bir sitede ad, soyadı, adres bilgileri meşru amaç kapsamında işlenebilir iken, din ve etnik kimliği gibi bilgiler bu anlamda değerlendirilemez.
5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Kanun ya da diğer mevzuatla saklanma süreleri bildirilmiş kişisel veriler bu hükümler göz önünde bulundurularak muhafaza edilmelidir. Örneğin bir şirket, çalışanlarının bazı verilerini (kimlik, banka ve sağlık bilgileri gibi) kanuni yükümlülüklerini yerine getirmek maksadıyla, çalışanı işyerinde bulunduğu süre zarfında tutabilir. Bu süreleri zamanaşımı ve yasal takip süreleri belirleyebilir. Sağlık muayene bilgilerinde bu süre 15 yıldır. Bu konularda veri sorumlusu idari ve teknik tedbirleri almakla yükümlüdür. Veri sorumluları; kişisel verilerin saklanma süreleri, saklanma koşulları ve imha süreçlerine ilişkin şartları belirlemek için “Saklama ve İmha Politikaları” oluşturmalıdır. Belirlenen süreler sonunda söz konusu veriler silinecek, imha edilecek ya da anonim hale getirilecektir. Ayrıca, veri sorumluları, VERBİS’e kayıt esnasında her bir veri için saklama sürelerini bildirmek zorundadır.