Bu çalışma, veri minimizasyonu ilkesinin Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (Tüzük m.5(1)(c)) yer alan “yeterlilik, ilgililik, gerekli olanla sınırlı olma” unsurları ile Kişisel Verilerin Korunması Kanunu’nda (KVKK m.4(2)(ç)) düzenlenen “amaçla bağlantılı, sınırlı ve ölçülü olma” unsurları arasındaki kavramsal ve normatif farklılıkları incelemektedir. Bu inceleme, temel hak ve özgürlüklerin sınırlandırılması rejiminin kavramı olan ölçülülük ilkesi bağlamında yapılmakta olup, veri minimizasyonunun Avrupa Birliği (AB) hukukunda “katı gereklilik” testine dayanan sistematik yapısıyla, KVKK’de ise daha çok kanun gerekçesi, uygulama kararları ve rehberler üzerinden şekillenen dağınık görünümü arasındaki ayrımı ortaya koymayı amaçlamaktadır. Bu kapsamda çalışma, Avrupa Birliği Adalet Divanı (ABAD) içtihadı, ilgili rehberler ve literatürdeki gereklilik-ölçülülük tartışmalarından yararlanarak veri minimizasyonu ilkesine AB düzeyinde nasıl somut içerik kazandırıldığını incelemekte; buna karşılık KVKK uygulamasında “bağlantılılık, sınırlılık, ölçülülük” unsurlarının nasıl yorumlandığını ve hangi açılardan kavramsal bütünlüğe ulaşıp ulaşamadığını tartışmaktadır. Bu karşılaştırma üzerinden çalışmada, KVKK bakımından veri minimizasyonu ilkesi için uygulanabilir, ölçülebilir ve somut kriterler geliştirilmesine yönelik bir çerçeve önerisi sunulmaktadır.
This article examines the conceptual and normative differences between the elements of the data minimisation principle set out in art.5(1)(c) of the General Data Protection Regulation (GDPR) - “adequate, relevant and limited to what is necessary” - and those provided in art.4(2)(ç) of the Turkish Personal Data Protection Law (KVKK) - “being relevant, limited and proportionate to the purposes for which they are processed”. The analysis is conducted within the framework of the principle of proportionality, a central concept in the regime governing limitations on fundamental rights, and seeks to clarify the contrast between, on the one hand, the more systematic structure of data minimisation in European Union (EU) law, which is anchored in a “strict necessity” test, and, on the other hand, the more practice-driven and fragmented configuration of the principle under the KVKK, where it is shaped primarily through the law’s explanatory memorandum, decisions of the Data Protection Board and secondary guidance. In this context, the study draws on CJEU case law, relevant guidelines and scholarly debates on necessity and proportionality to explore how the data minimisation principle is given concrete content at EU level, while, in contrast, analysing how the elements of “relevance, limitation and proportionality” are interpreted in KVKK practice and to what extent they achieve conceptual coherence. Building on this comparison, the article proposes a framework aimed at developing applicable, measurable and concrete criteria for data minimisation under the KVKK.
