Makale
6698 sayılı KVKK'nın 28. maddesinin 1. fıkrası, kanunun koruma alanından tamamen çıkarılan ve tam istisna olarak adlandırılan veri işleme faaliyetlerini düzenler. Bu makalede, aile içi faaliyetlerden yargısal işlemlere kadar uzanan tam istisna hallerinin kapsamı, hukuki şartları ve sınırları uzman bir avukat perspektifiyle incelenmektedir.
KVKK Madde 28/1: Kişisel Verilerin İşlenmesinde Tam İstisna Halleri
6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumayı amaçlar. Ancak kanun koyucu, bazı hukuki menfaatlerin üstünlüğünü gözeterek belirli veri işleme faaliyetlerini kanunun kapsamı dışında bırakmıştır. Bu bağlamda, KVKK 28. maddesinin 1. fıkrası, kanundaki hak ve yükümlülüklerin hiçbirinin uygulanmadığı tam istisna hallerini düzenlemektedir. Bu hallerin varlığı durumunda, veri sorumlularının aydınlatma yükümlülüğü, veri güvenliği tedbirlerinin bir kısmı ve ilgili kişi hakları gibi temel güvenceler tamamen devre dışı kalmaktadır. Tam istisna rejimi, doğası gereği kişisel verilerin korunması hakkına yönelik kapsamlı bir müdahale alanı yarattığından, hükümlerin oldukça dar ve sınırlı yorumlanması hukuki bir zorunluluktur. Uygulamada, Kişisel Verileri Koruma Kurulu (KVKK Kurulu) kararları ve yargı içtihatları incelendiğinde, bu faaliyetlerin sınırlarının titizlikle çizildiği görülmektedir. Hukuk uygulamaları bağlamında, tam istisna hallerinin her somut olay özelinde kanunilik, ölçülülük ve amaca uygunluk kriterleri çerçevesinde değerlendirilmesi gerekmektedir.
Kişisel ve Ev İçi Faaliyetler İstisnası
KVKK 28/1-a bendi uyarınca, kişisel verilerin üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla, gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi tam istisna kabul edilmiştir. Bu hüküm, literatürde "de minimis" kuralı olarak da adlandırılır ve bireylerin şahsi veya ailevi mahremiyet alanlarındaki günlük eylemlerini hukuki bir yükümlülükten kurtarmayı amaçlar. İstisnanın uygulanabilmesi için faaliyetin kesinlikle mesleki veya ticari bir nitelik taşımaması gerekir. Uygulamada KVK Kurulu, bu istisnayı dar yorumlamakta olup, örneğin aile içi çekilen bir fotoğrafın sosyal medya gibi belirsiz veya geniş bir kitlenin erişimine sunulması durumunda istisnanın ortadan kalkacağını belirtmektedir. Verilerin üçüncü kişilerle paylaşılmaması şartı, bu faaliyetin sadece bireyin kendi kontrolünde kalmasını garanti altına alır. Dolayısıyla, salt kişisel veya ev içi faaliyetler, belirtilen sınırlara riayet edildiği sürece kanunun katı yaptırım ve kurallarından tamamen muaf tutulmuştur.
Resmi İstatistik ve Araştırma Faaliyetleri
Kanun’un 28/1-b bendi, kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesini tam istisna kapsamına almıştır. İstatistiki veriler, kamusal planlama ve politikaların oluşturulmasında hayati bir rol oynadığından, bu faaliyetler kanun kapsamı dışında tutularak idarenin hareket alanı genişletilmiştir. Resmi istatistik faaliyetlerinin Türkiye İstatistik Kurumu (TÜİK) veya ilgili kanunlarla yetkilendirilmiş kurumlar tarafından yürütülmesi temel kuraldır. Bununla birlikte, verilerin anonim hale getirilerek işlenmesi şartı, kişilerin doğrudan veya dolaylı olarak kimliklerinin tespit edilmesini engelleyen bir güvenlik bariyeridir. Uygulamada, anonimleştirme şartı sıkı bir denetime tabidir; nitekim KVK Kurulu bir kararında, verilerin yalnızca "kimliksizleştirme (pseudonymisation)" yöntemiyle tutulmasını tam bir anonimleştirme olarak kabul etmemiş ve faaliyeti istisna dışında bırakmıştır. Bu nedenle, araştırma şirketlerinin veya idari makamların veri setlerini oluştururken ilgili kişilerin kimliğini hiçbir şekilde tespit edilemez hale getirmeleri zorunludur.
Sanat, Bilim ve İfade Özgürlüğü
KVKK 28/1-c bendi, ifade özgürlüğü ile sanat, tarih, edebiyat veya bilimsel amaçlarla yürütülen veri işleme faaliyetlerini düzenler. Bu istisnanın uygulanabilmesi; faaliyetin millî savunma, millî güvenlik, kamu güvenliği, kamu düzeni, ekonomik güvenlik, özel hayatın gizliliği veya kişilik haklarını ihlal etmemesi ve suç teşkil etmemesi şartlarına bağlanmıştır. Anayasal güvence altındaki basın ve ifade özgürlüğü ile kişisel verilerin korunması hakkı arasındaki hassas dengenin kurulması bu fıkra çerçevesinde sağlanır. KVK Kurulu ve yargı makamları, özellikle gazetecilik faaliyetleri ve haber yayınları bağlamında bu istisnayı değerlendirirken kamu yararı, haberin güncelliği ve özle biçim arasındaki denge gibi kriterleri dikkate almaktadır. Bir basın kuruluşunun, kamuoyunu ilgilendirmeyen ve sadece merak duygusunu tatmin etmeye yönelik özel nitelikli kişisel verileri ifşa etmesi durumunda, Kurul istisnanın uygulanamayacağına hükmetmektedir. Bilimsel araştırma faaliyetlerinde ise, verilerin kamu sağlığı veya akademik ilerleme amacıyla işlenmesinde yine ilgili mevzuattaki sınırların ve kişilik haklarının korunmasının ihlal edilmemesi aranmaktadır.
Önleyici, Koruyucu ve İstihbari Faaliyetler
Milli güvenlik ve kamu düzeninin temini amacıyla getirilen 28/1-ç bendi, kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında kişisel verilerin işlenmesini kapsam dışı bırakır. Bu istisnanın uygulanabilmesi için şu şartların kümülatif olarak bulunması şarttır:
- Faaliyetin önleyici, koruyucu veya istihbari nitelikte olması,
- İşlemin millî savunma, millî güvenlik veya kamu düzenini sağlama amacı taşıması,
- Faaliyeti yürüten kurumun kanunla açıkça görevlendirilmiş ve yetkilendirilmiş olması.
Anayasa Mahkemesi kararlarında da vurgulandığı üzere, idareye verilen bilgi toplama ve istihbarat yetkilerinin geniş ve soyut kavramlarla donatılmış olması, keyfi uygulamalara yol açmamalıdır. Veri sorumlusu konumundaki yetkili idari makamların, faaliyetlerini orantılılık ve demokratik toplum düzeninin gerekleri sınırları içerisinde yürütmesi, temel hak ve hürriyetlerin özüne dokunmamaları hukuk devletinin mutlak bir gereğidir.
Yargı Makamları ve İnfaz Mercilerinin Faaliyetleri
Tam istisna hallerinin sonuncusu olan KVKK 28/1-d bendi uyarınca, kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi kanun kapsamından muaf tutulmuştur. Bu düzenlemenin amacı, bağımsız ve tarafsız mahkemelerin adli süreçleri yürütürken prosedürel engellerle karşılaşmasının ve yargı mekanizmasının işleyişinin sekteye uğramasının engellenmesidir. Ancak bu istisna, yargılama faaliyetine katılan her aktör için geçerli değildir; tarafların veya avukatların salt kendi inisiyatifleriyle sundukları deliller bağlamında Kurul, bu verilerin sunuluş şeklini ve hukuka uygunluğunu KVKK kapsamında denetleyebilmektedir. Ayrıca, Cumhuriyet Başsavcılığı makamı da soruşturma evresindeki görevleri itibarıyla yargı makamı kapsamında değerlendirilmekte ve bu mercilerin infaz dahil yürüttükleri idari takdir yetkisini aşan adli işlemleri tam istisnadan yararlanmaktadır. Uygulamada KVK Kurulu, istisnanın sınırlarını belirlerken veri minimizasyonu ilkesi ihlallerinde, doğrudan mahkemeden ziyade veriyi sunan taraflara yönelik idari yaptırımlar uygulayarak yargı bağımsızlığına halel getirmeden veri koruma dengesini tesis etmeye çalışmaktadır.