“Amaçla sınırlılık” kişisel verilerin korunmasında hâkim olan en önemli ilkelerden biridir.
Kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Mevcutta olmayan
ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri toplanmamalıdır. Kişisel veri
işleme faaliyetinin gerçekleşmesi için gerekli olmayan ölçüde kişisel veri toplanmamalı
ve/ veya işlenmemelidir. Buna göre kişisel veriler yalnızca belirli amaçlar için ve gerektiği
kadar toplanmalı, amacın gerektirdiği yerlerde kullanılmalıdır.
Bu bakımdan, kişisel veriler toplandıktan sonra, ileride ortaya çıkabilecek yeni işleme
amaçları dâhilinde işleme yapılması için, verilerin ilk defa toplanması sırasında sağlanması
gereken şartlar yeni amaçlar için de tekrar aranmalıdır. Örneğin, bir taşımacılık firması
tarafından taşıma sözleşmesi kapsamında kaydedilen adres bilgileri, sonrasında pazarlama
faaliyeti için de kullanılacaksa, bu amaçla kullanım yapılabilmesi için kişisel veri işleme
şartlarının karşılanıp karşılanmadığının yeniden değerlendirilmesi gerekmektedir.
Bunun yanı sıra işlenen veri, sadece veri işleme amacının gerçekleştirilmesi için gerekli
olanla sınırlı tutulmalıdır. Örneğin, bir tekstil firması tarafından müşterilere ilişkin kimlik
ya da iletişim verilerinin tutulması satış işlemlerinin takibi vb. amaçlarla bağdaşırken,
müşterilerin finansal geçmişine ilişkin verilerin toplanmasının amaçla bağlantılı ve ölçülü
olduğu söylenemez.
Bunun yanında amaçla bağlantılı, sınırlı ve ölçülü olma şartının her ilgili kişi ve süreç için
ayrı ayrı değerlendirilmesi gerekmektedir. Çünkü belirli bir kişi ve süreç için gerekli olan
bilgi, bir diğer kişi için ölçüsüz olabilecektir. Bu hususa özellikle özel nitelikli kişisel veriler
konusunda dikkat edilmesi gerekir. Bir iş yerinde insan kaynakları birimince çalışanların
mali haklarının belirlenebilmesi için sendika üyeliği verisinin alınması ölçülü kabul
edilecekken, aynı iş yerinin AR-GE birimince söz konusu verinin alınması ölçülü olarak
kabul edilmeyecektir.