Makale
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 28. maddesinin ikinci fıkrasında düzenlenen kısmi istisna halleri, aydınlatma yükümlülüğü ile ilgili kişi haklarının belirli şartlar altında sınırlandırılmasını ifade eder. Bu makale, suç soruşturmasından alenileştirmeye kadar söz konusu istisnaların hukuki çerçevesini incelemektedir.
KVKK Madde 28/2 Kapsamında Kısmi İstisna Halleri ve Etkileri
6698 sayılı Kişisel Verilerin Korunması Kanunu uygulamasında, veri sorumlularının temel yükümlülükleri ve ilgili kişilerin hakları açısından hayati bir öneme sahip olan kısmi istisna halleri, Kanun’un 28. maddesinin ikinci fıkrasında düzenlenmiştir. Bu istisna rejimi, Kanun’un bütününün değil yalnızca belirli maddelerinin uygulama dışı bırakıldığı özel bir hukuki alanı ifade etmektedir. Söz konusu hüküm uyarınca, fıkrada sayılan faaliyetlerin gerçekleştirilmesi durumunda aydınlatma yükümlülüğü, zararın giderilmesini talep etme hakkı hariç olmak üzere ilgili kişinin hakları ve Veri Sorumluları Siciline kayıt yükümlülüğü uygulanmamaktadır. Ancak bu istisnaların keyfi olarak uygulanamayacağı açıktır; zira kanun koyucu, bu muafiyetlerin yalnızca Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla geçerli olacağını açıkça belirtmiştir. Bu bağlamda, istisna rejiminin doğru yorumlanması, hem veri sorumlularının hukuki risklerini en aza indirmesi hem de bireylerin hakları ile idari süreçler arasındaki adil dengenin tesis edilmesi bakımından büyük bir önem taşımaktadır.
Kısmi İstisna Rejiminde Uygulanmayan Kanun Hükümleri
KVKK'nın ilgili fıkrası kapsamında sayılan hallerin varlığı durumunda, Kanun'un bütünü değil, yalnızca sınırları kesin olarak çizilmiş belirli maddeleri uygulama alanı bulmamaktadır. Bu durum, genel veri işleme kurallarından ayrılan özel bir rejim yaratmaktadır. Söz konusu istisna faaliyetlerinin tatbik edildiği durumlarda, süreçlerin doğası gereği veri sorumluları tarafından aydınlatma yükümlülüğünün yerine getirilmesine gerek bulunmamaktadır. Aynı şekilde, ilgili kişilerin bilgi talep etme, silme veya itiraz etme gibi hakları kısıtlanmakla birlikte, kişilerin zararın giderilmesini talep etme hakkı kanun koyucu tarafından istisnai olarak korunmaya devam etmektedir. Ek olarak, bu spesifik faaliyetleri yürüten veri sorumluları, Veri Sorumluları Siciline kayıt yükümlülüğünden de yasal olarak muaf tutulmaktadır. Bahsi geçen kısıtlamaların kapsamı ve uygulandığı kanun maddeleri aşağıda yer alan tabloda sistematik olarak özetlenmiştir.
| Uygulanmayan KVKK Hükmü | Kapsamı ve Hukuki Etkisi | İstisna Dışında Kalan Hak |
|---|---|---|
| Madde 10 | Veri sorumlusunun aydınlatma yükümlülüğü aranmaz. | Yok |
| Madde 11 | İlgili kişinin bilgi alma, silme, düzeltme hakları kullanılamaz. | Zararın giderilmesini talep etme hakkı |
| Madde 16 | Veri Sorumluları Siciline kayıt yükümlülüğü doğmaz. | Yok |
Suç İşlenmesinin Önlenmesi ve Suç Soruşturması
Mevzuatın (a) bendi kapsamında, kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması hali en temel kısmi istisnalardan biri olarak düzenlenmiştir. Bu düzenleme, ağırlıklı olarak kolluk kuvvetleri tarafından yürütülen adli ve önleyici faaliyetleri yakından ilgilendirmekte ve suçla mücadele süreçlerinin etkinliğini artırmayı hedeflemektedir. İstisna kapsamında, özellikle kamu düzeninin sağlanmasına yönelik olarak yürütülen süreçlerde veri işlemenin zorunluluğu yasal bir gereklilik olarak ortaya çıkmaktadır. Örneğin, bir suç şüphesi üzerine emniyet birimlerinin şüphelinin verilerini işlemesi bu kapsama girmektedir; zira bu aşamada şüpheliye aydınlatma yükümlülüğünün yerine getirilmesi, delillerin karartılması veya soruşturmanın tehlikeye düşmesi gibi olumsuz sonuçlar doğurabilir. Hükmün hukuka uygun şekilde uygulanabilmesi için faaliyetin mutlaka bu amaçla görevli kamu kurumları tarafından icra edilmesi ve ölçülülük ilkesi ile temel veri işleme ilkelerinin her somut olayda gözetilmesi şarttır.
İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Veriler
Günlük hayatta ve ticari ilişkilerde sıkça karşılaşılan bir diğer önemli istisna, ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi durumudur. Kişisel Verileri Koruma Kurulu kararlarında da istikrarlı biçimde vurgulandığı üzere, alenileştirme basitçe verinin herkesin ulaşabileceği bir mecrada bulunması demek değildir; ilgili kişinin bilerek, isteyerek ve belirli bir amaç doğrultusunda verisini kamuoyuna sunma durumu, yani bir alenileştirme iradesi şarttır. Örneğin, bir uzmanın iletişim bilgilerini hizmet sunmak maksadıyla internet üzerinden yayınlaması bilinçli bir alenileştirmedir. Ancak bu verilerin alenileştirme amacı dışında kullanılması kanuna açıkça aykırılık teşkil etmektedir. Dolayısıyla, internette veya dijital platformlarda yer alan her bilgi aleni sayılarak keyfi şekilde işlenemez; veri sorumlusunun amaca bağlılık ve sınırlılık ilkelerine sıkı sıkıya riayet etmesi, toplanan verileri genel ilkelere aykırı bir biçimde farklı amaçlar için kullanmaması gerekmektedir.
Kamu Kurumlarınca Yürütülen Denetim ve Disiplin Süreçleri
Kanun’un 28/2-c bendi, görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca kanunun verdiği yetkiye dayanılarak yürütülen denetleme veya düzenleme görevleri ile disiplin soruşturma veya kovuşturması işlemlerini kısmi istisna şemsiyesi altına almaktadır. Düzenleyici kurulların veya idari birimlerin personeline ve piyasa aktörlerine yönelik yürüttüğü hukuki incelemelerde bu özel hüküm devreye girmektedir. Bu idari faaliyetlerin doğası gereği, hakkındaki iddialar incelenen bir personelin veya kurumun önceden süreç hakkında bilgilendirilmesi tahkikatın selametini riske atabileceğinden aydınlatma yükümlülüğü devre dışı kalmaktadır. Fakat bu idari muafiyetin uygulanabilmesi için söz konusu denetim faaliyetinin mutlak surette kanuni bir yetkiye dayanması ve idare tarafından yetkinin sınırları belirli, öngörülebilir ve ölçülü bir şekilde kullanılması hukuki bir zorunluluktur. Yetki aşımı veya orantısız veri işleme halleri idari işlemlerin sakatlanmasına yol açabilecektir.
Devletin Ekonomik ve Mali Çıkarlarının Korunması
Kanunda belirtilen istisna hallerinin sonuncusu, kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması durumudur. Bu güvence, doğrudan vergi otoriteleri, bütçe hazırlayıcı kurumlar ve finansal regülatörler gibi kurumların yürüttüğü vergi incelemeleri, mali denetimler ve bütçe planlama süreçleri esnasında işlenen verileri hukuki güvence altına almaktadır. İstisnanın yasal olarak uygulanabilmesi için veri işleme faaliyetinin doğrudan devletin mali bir konusuna ilişkin olması ve kamunun ekonomik çıkarlarını koruma amacı taşıyarak hukuken gerekli ve ölçülü olması aranmaktadır. Kurul içtihatlarında da net bir biçimde ifade edildiği üzere, kamu idarelerinin bu tür incelemeleri yürütürken Kanun'un vazgeçilmez temel prensiplerinden olan amaca bağlılık ve veri minimizasyonu kurallarından tamamen muaf oldukları kesinlikle iddia edilemez. Zira söz konusu istisnanın asıl amacı denetimden kurtulmak değil, tamamen kamu yararının gerektirdiği durumlarda vergi ve mali sistemin bütünlüğüne zarar verebilecek fiilleri engellemektir.