+90 212 500 05 05
(Kişisel Verilerin Korunması Kanunun Uygulanmayacağı İstisnai Hallerden KVKK.m.28/1-ç’nin Değerlendirilmesi)
Kişisel Verilerin Korunması Kanunu kapsamında, gerçek kişilere ait verilerin ne şekilde işleneceği ve kanunun istisnai olarak tamamen veya kısmen uygulama alanı bulmayacağı haller belirtilmiştir. KVKK.m.28/1’de sayılan haller tam istisna halleridir ve bu hallerde söz konusu kanun hiçbir şekilde uygulama alanı bulmayacaktır. Aynı maddenin 2. Fıkrasında ise kısmi istisna halleri düzenlenmiş olup, belirli durumlarda kanunun ne şekilde uygulama alanı bulup bulmayacağı yer almaktadır.
Tam istisnai hallerinin düzenlendiği KVKK.m.28/1-ç kapsamında; ‘’Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici koruyucu ve istihbari faaliyetler kapsamında işlenmesi’’ hususu düzenlenmiştir. Bu durumda KVKK.m.5’de düzenlenen ‘’kişisel verilerin işlenme şartları’’ arasında sayılan; ilgili kişinin rızası ve ikinci fıkrada sayılan işlenme şartlarının oluşup oluşmadığına bakılmaksızın, tam istisna hallerinin varlığı halinde, kişisel verilerin işlenmesine ilişkin temel ilkeler saklı kalmak üzere, veri işleme faaliyeti KVKK’na bağlı kalınmaksızın yetkili kurum ve kuruluşlarca gerçekleştirilecektir. Bu bağlamda suç oluşturabilecek durumların önlenmesi amacıyla yürütülecek faaliyetlerde bu istisna halleri kapsamında sayılacaktır, zira kurum yayımlamış olduğu kitapçıkta KVKK.m.28/1ç hükmünü açıklarken; ‘’suç gelirlerinin aklanması, terörizmin finansmanının önlenmesi ve mali suçların araştırılması konusunda yetkili birimlerce veri toplamak, mali istihbarat elde etmek, şüpheli işlem bildirimleri almak ve analiz ederek ilgili kurumlarla paylaşmak amacıyla yürütülen faaliyetler kapsamında işlenen verilerin kapsam dışında kalacağını’’ belirtmiştir. Bu istisnalar kapsamında kişisel verilerin, kamu menfaatinin tesisi bakımından işlenmesi hususu; yine bu faaliyetlerin yetkili organlarca yapılması halinde hukuka uygun olacaktır. Bu noktada kamu düzeni, milli güvenlik gibi kavramların açıklanması ve önleyici, koruyucu ve istihbari haller kapsamına nelerinin gireceğinin irdelenmesi gerekmektedir zira söz konusu ifadelerin muğlaklığı; hukuki güvenliğin varlığının ispatını zorlaştıracaktır.
Kamu düzeni her disiplin tarafından farklı şekilde açıklanmaktadır. Bu durum, kamu düzeninin içeriği itibariyle subjektif bir kavram olmasından kaynaklanmaktadır. Kaldı ki, özel hukuk ve kamu hukuku kapsamında dahi farklı şekillerde tanımlanan bu kavramın; hem özel hem de yer yer kamu hukuku kapsamında değerlendirilebilecek kişisel verilerin korunması hukuku bazında net bir tanımının yapılması mümkün değildir. Milli güvenlik, milli savunma, kamu güvenliği kavramlarını da içinde barındıran ve idare hukukunun temelini oluşturan, kamu düzeni kavramı ele alındığında, içerisinde maddi olarak üç farklı kavramı barındırdığı görülecektir: kamu güvenliği, kamu huzuru/refahı ve kamu sağlığı. Bu durumda içerisinde kamu güvenliğini barındıran bu kavramın gereği gibi tesis edilebilmesi adına devletin pozitif yükümlülüğünü yerine getirmek üzere araç olan, kolluk devreye girecektir. Kamu güvenliğinin ve nihayetinde kamu düzeninin sağlanması adına temel hak ve özgürlüklere müdahale olarak nitelendirilebilecek kolluk faaliyetlerinin KVKK.m.28/1-ç bakımından istisna teşkil etmesinin sebebi de budur. Öyle ki, kimliği belirli ya da belirlenebilir gerçek kişiye dair her türlü bilgi anlamına gelen kişisel veri kavramı, KVKK.m.1’de yer aldığı üzere özel hayatın gizliliği ve kişilerin hak ve özgürlüklerinin korunması amacını özünde barındırır. Bu sebeple kanunda düzenlenen istisnai hallerin geniş yorumlanması; hukuki güvenliğin sorgulanmasına sebep olacak aynı zamanda kişi hak ve özgürlüklerinin ruhuna ters düşecektir. Bu durumda KVKK.m.28’de sayılan kavramların dar yorumlanması ve dolayısıyla söz konusu hallerinde bu yoruma uygun olarak değerlendirilip, kanunun uygulama alanının dışına çıkılması kişi hak ve özgürlüklerinin korunması bakımından elzemdir.
Bu ihtimalin ortadan kalkması adına; kurum tarafından yayınlanan kitapçıkta; tüm kişisel veri işleme faaliyetlerinin özünde temel ilkelerin yer alması zorunluluğu dile getirilmiş ve bu sebeple her ne kadar çeşitli faaliyetler bazında, kanunda tam ve kısmi istisna halleri yer alsa da, temel ilkelere uygun ve orantılı olmak kaydıyla kişisel verilerin işleneceğine dikkat çekilmiştir. Dolayısıyla;
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,
ilkeleri söz konusu istisnai durumlarda da geçerliliğini koruyacaktır.
Kanun hükmünde yer alan ‘’önleyici, koruyucu ve istihbari faaliyetler’’ ile kastedilen ise; kanun hükmünde bahsedilen milli savunma, milli güvenlik, kamu güvenliği, kamu düzeni ve ekonomik düzeni sağlamak adına devlet tarafından yürütülen faaliyetlerdir. Bu faaliyetler yine kolluk tarafından yürütülecektir. Kamu güvenliğini tehlikeye düşürebilecek hallerin yani suçların oluşmasını önlemek adına atılan adımlar önleyici, koruyucu ve istihbari faaliyetler kapsamında değerlendirilebilecektir zira PVSK.m.2 uyarınca “Kanunlara, Cumhurbaşkanlığı kararnamelerine, yönetmeliklere, Hükümet emirlerine ve kamu düzenine uygun olmayan hareketlerin işlenmesinden önce bu kanun hükümleri dairesinde önünü almak…” denilmek suretiyle kamu düzenine aykırı nitelikte hallerin önlenmesi yetkisi kolluk güçlerine verilmiştir. Bu durumda; PVSK.m.4’de sayılan durum ve şartların gerçekleşmesi halinde parmak izi veya fotoğraf almak, PVSK ek madde 7/1 uyarınca sanal ortamlarda bilgi toplama, değerlendirme vb. haller kamu düzenini sağlamak üzere uygulanan faaliyetler kapsamında yer aldığından istisnai hal olarak değerlendirilecek ve aynı zamanda TCK.135’de yer alan kişisel verilerin kaydedilmesi suçu bakımından hukuka uygunluk nedeni oluşturacaktır.
KVKK.m.28/1-ç maddesinin iptali için Anayasa Mahkemesi’ne E.2016/125., K.2017/143 28.09.2017 tarihli açılan davada; kişisel verilerin önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesinin Anayasa ve hukuka uygun olduğu gerekçesiyle red kararı verilmiştir. Dava dilekçesinde söz konusu kanun hükmünde yer alan ifadelerin muğlak olması sebebiyle temel hak ve özgürlüklerin keyfi olarak ihlal edileceği, kişinin özel hayatının gizliliği hakkının özüne zarar vereceği gerekçesiyle AY.m.2.,13.,20. ve 90. Maddelerine aykırı olduğu iddia edilmiştir. AYM ise: ‘’…Getirilen sınırlama milli güvenlik, kamu düzeni ve suç işlenmesinin önlenmesi amacı olduğundan “demokratik toplum düzeni” kapsamında değerlendirilerek sınırlamanın makul olduğu ifade edilmektedir. İptal talebinde yer alan kamu düzeni, milli güvenlik, kamu güvenliği, milli savunma gibi kavramların soyut olduğu iddiası yerinde görülmemiştir. Bu kavramlar soyut ve genel olmakla birlikte kuralı belirsiz ve bilinemez hale getirmemektedir. Bunun sebebi kanun yapma tekniğinin doğal zorunluluğudur.’’ demek suretiyle kanunda yer alan istisnanın dar yorumlanarak, ölçülülük ilkesine uygun şekilde verilerin işlenebileceğini dolayısıyla bu istisnaların uygulama alanının ve şeklinin sınırsız olmadığına vurgu yapılmıştır.
Özetle; KVKK.m.28/1-ç’de düzenlenmiş olan, kişisel verilerin önleyici, koruyucu ve istihbari sebeplerle işlenmesi istisnasının milli güvenlik, milli savunma, kamu düzeni ve ekonomik güvenlik gibi kavramlar sebebiyle muğlak olduğu ileri sürülse de, AYM’nin söz konusunda kararında açıkladığı üzere ‘’demokratik toplum düzeni gereklilikleri’’ kapsamında dar yorumlanarak, Anayasa ile güvence altına alınmış temel hak ve özgürlüklerin korunacağına dikkat çekilmiştir. Aynı zamanda kişisel verilerin korunması hukuku kapsamında çıkabilecek olası uyuşmazlıklarda gündeme gelecek olan Kurul kararları, söz konusu istisnaların çerçevesini belirleyecek ve ilerleyen süreçte temel hak ve özgürlüklerin ihlalini engellemeye yönelik önlemler alınabilecektir.