Makale
İdari kolluğun terörle mücadele ve istihbarat faaliyetleri kapsamında işlediği kişisel veriler, 6698 sayılı KVKK'nın 28. maddesi uyarınca kanun kapsamı dışında tutulmuştur. Bu istisna, milli güvenlik ve kamu düzeninin korunması amacını taşısa da, temel hak ve özgürlüklerin ihlal edilmemesi için katı hukuki sınırlara ve güvencelere tabi olmalıdır.
İstihbarat Faaliyetlerinde KVKK İstisnası ve Hukuki Sınırlar
Demokratik bir hukuk devletinde, kamu düzeninin sağlanması ve terör gibi ağır tehlikelerin önlenmesi amacıyla idari kolluk ve istihbarat birimlerine bilgi toplama yetkisi verilmesi kaçınılmazdır. Bu süreçte elde edilen bilgilerin büyük bir kısmı doğrudan kişisel veri niteliği taşımaktadır. Ancak, istihbarat amacıyla kişisel verilerin toplanması, işlenmesi ve saklanması, bireylerin özel hayatın gizliliği hakkına doğrudan bir müdahale oluşturmaktadır. Ülkemizde bu müdahalenin yasal dayanağı ve sınırları, 6698 sayılı Kişisel Verilerin Korunması Kanunu içerisinde özel bir istisna kuralı ile şekillendirilmiştir. Devletin milli güvenliği sağlama yükümlülüğü ile bireyin temel hak ve özgürlükleri arasındaki hassas denge, istihbarat faaliyetlerinin hukuki denetime ve belirli güvencelere tabi olmasını zorunlu kılmaktadır. Aşağıda, KVKK sistematiği içerisinde istihbarat faaliyetlerine tanınan muafiyetin kapsamı, Avrupa İnsan Hakları Mahkemesi içtihatları ışığında bu istisnanın hukuki sınırları detaylı bir biçimde incelenmektedir.
İstihbari Faaliyetlerde KVKK Kapsamındaki İstisnanın Temeli
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 28. maddesi, kanunun tamamen veya kısmen uygulanmayacağı istisnai halleri düzenlemektedir. Bu hükme göre, kişisel verilerin milli güvenlik, kamu düzeni ve kamu güvenliğinin korunması amacına yönelik olarak, kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi durumunda, KVKK hükümleri uygulanmamaktadır. İdari kolluğun ve yetkili istihbarat birimlerinin suç işlenmesini önlemek ve terörle mücadele etmek amacıyla yürüttüğü veri işleme faaliyetleri bu tam istisna kuralı kapsamında değerlendirilmektedir. Dolayısıyla, istihbarat amaçlı işlenen veriler bakımından, KVKK'nın getirdiği aydınlatma yükümlülüğü, veri güvenliğini sağlama yükümlülükleri ve ilgili kişinin haklarını kullanması gibi temel koruma mekanizmaları devre dışı kalmaktadır. Bu yasal muafiyet, devletin güvenlik reflekslerini hızlı ve esnek bir biçimde kullanabilmesi için öngörülmüş olsa da, idareye sınırları çizilmemiş ve denetimsiz bir veri işleme serbestisi verildiği anlamı taşımamaktadır.
AİHM İçtihatları Işığında İstihbarat ve Kanunilik Sınırı
KVKK kapsamında getirilen bu istisnanın, temel hak ve özgürlüklere yönelik orantısız bir müdahaleye dönüşmemesi için Avrupa İnsan Hakları Mahkemesi içtihatları ile belirlenen evrensel hukuk standartlarına uygun hareket edilmesi gerekmektedir. AİHM, devletlerin terörle mücadele ve istihbarat toplama amacıyla kamunun ulaşamadığı kayıtlara erişme yetkisine sahip olmasını makul karşılamakla birlikte, bu yetkinin mutlak surette kanunilik ilkesine uygun olmasını aramaktadır. Mahkemenin kararlarına göre kanunilik ölçütü, sadece şekli bir yasanın varlığını değil, kanuni düzenlemelerin açık, erişilebilir ve öngörülebilir olmasını, aynı zamanda keyfi uygulamaların önüne geçecek usulü güvenceleri içermesini gerektirmektedir. AİHM'e göre, istihbarat amaçlı dahi olsa kamu otoritelerine tanınan veri işlemeye yönelik yetkiler sınırsız bir takdir hakkı barındırmamalı, uygulanan tedbirler demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine sıkı sıkıya bağlı kalmalıdır. Aksi bir durum doğrudan temel hak ihlallerine zemin hazırlayacaktır.
Verilerin İmhası ve Hukuki Boşluklar
İstihbarat istisnası bağlamında uygulamada en çok tartışılan hukuki sorunların başında, elde edilen verilerin saklanma süreleri ve imha usulleri gelmektedir. KVKK'nın 28. maddesindeki istisna nedeniyle, istihbarat maksadıyla işlenen veriler kanunun genel korumasından ve ilgili alt mevzuat olan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerinden mahrum kalmaktadır. Mevzuatımızda idari kolluğa tanınan istihbarat toplama yetkilerinde, işlenen verilerin imha süreleri net ve yeknesak bir biçimde belirlenmemiştir. Bu mevzuat eksikliği, kişisel verilerin idare tarafından süresiz ve devamlı surette saklanabileceği sonucunu doğurarak hukuk devleti ilkesini ciddi şekilde zedelemektedir. İdari kolluğun istihbarat amaçlı topladığı verilerin başka amaçlarla kullanılmaması ve veri işleme gerekliliği ortadan kalktığında bu kayıtların derhal silinmesi veya yok edilmesi için açık, denetlenebilir ve ihlali halinde cezai yaptırıma bağlanmış spesifik yasal düzenlemelere şiddetle ihtiyaç duyulmaktadır.
İstihbarat Verilerinde Aranan Asgari Hukuki Standartlar
KVKK istisnası kapsamında hareket eden istihbarat birimlerinin veri işleme faaliyetleri, Anayasa'da yer alan özel hayatın gizliliği ve kişisel verilerin korunması ilkeleriyle doğrudan bağlantılı bir şekilde ele alınmalıdır. Gerekli hukuki güvencelerin sağlanabilmesi adına istihbarat ve veri işleme yetkisinin sınırları şu temel şartlara harfiyen uygun olmalıdır:
- Kanuni Dayanağın Belirliliği: İstihbarat amaçlı veri toplama yetkisi muğlak ifadelerden uzak tutulmalı ve sınırları net bir şekilde çizilmiş yasal kurallarla çerçevelenmelidir.
- Ölçülülük ve Zorunluluk: Yapılan veri işleme faaliyeti, hedeflenen milli güvenlik veya terörle mücadele amacı ile sıkı bir orantı içinde bulunmalı ve demokratik bir toplumda mecburi kabul edilmelidir.
- Bağımsız Denetim: İstihbarat süreçlerinde elde edilen verilerin hukuka uygun kullanımı ve güvenli bir şekilde saklanması, etkin bir yargısal veya tam bağımsız idari denetim mekanizmasına tabi tutulmalıdır.
- İmha Yükümlülüğü: İstihbari faaliyet kapsamında öngörülen meşru veri işleme amacı ortadan kalktığı veya tehlike bertaraf edildiği anda, söz konusu kişisel veriler gecikmeksizin ve geri döndürülemez biçimde yok edilmelidir.