← Önceki Madde [27]
[29] Sonraki Madde →
RESMİ METİN

İstisnalar

MADDE 28- (1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz: a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı 28/11/2017 tarihli ve 7061 sayılı Kanunun 119 uncu maddesiyle bu fıkrada yer alan “diğer kamu görevlileri kurumlarının muvafakati” ibaresinden sonra gelmek üzere “, hâkimler ve savcılar ise kendilerinin muvafakati” ibaresi eklenmiştir. 8

konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi. b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi. c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamından işlenmesi. ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi. d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. (2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz: a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi. c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması. ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

AKADEMİK YORUM VE ANALİZ

1. Maddenin Sistematiği ve Genel Açıklama

Bu madde, 6698 sayılı Kanun’un uygulama sınırlarını, egemenlik alanını ve istisnai rejimlerini düzenleyen "En Kritik Uygulama Eşiği" normudur. Kişisel verilerin korunması hakkı mutlak bir hak olmayıp; demokratik toplum düzeni, kamu güvenliği, basın özgürlüğü, yargısal bağımsızlık ve bireysel özel yaşam alanları gibi diğer anayasal hak ve menfaatlerle dengelenmek zorundadır.

Yasa koyucu bu dengeyi kurabilmek amacıyla, 28. maddede ikili bir "İstisnalar Taksonomisi" kurgulamıştır:

  1. Mutlak (Tam) İstisnalar (m. 28/1): Kanun hükümlerinin hiçbir şekilde uygulanmadığı, Kurul’un yetkisiz olduğu, KVKK ilkelerinin dahi devre dışı kaldığı (genel hukuk kuralları saklı kalmak kaydıyla) durumlardır.
  2. Kısmi İstisnalar (m. 28/2): Kanunun temel ilkelerinin ve Kurul’un yaptırım/denetim yetkisinin devam ettiği; ancak veri sorumlusunun Aydınlatma (m. 10), VERBİS (m. 16) ve İlgili Kişi Hakları (m. 11 - zarar tazmini hakkı hariç) yükümlülüklerinden muaf tutulduğu durumlardır. Bu muafiyetler uygulanırken de ölçülülük ve kanunun genel amaçlarına uygunluk şartı aranır.

2. Maddedeki Kavramların Analizi

A. Mutlak İstisnalar (m. 28/1)

  • Ev İçi / Kişisel Faaliyetler İstisnası (a bendi): Gerçek kişilerin tamamen şahsi veya aynı evde yaşadığı aile fertleriyle ilgili olarak yaptığı veri işleme faaliyetleridir (örn: aile fotoğraf albümü, kişisel telefon rehberi). Bu istisnanın uygulanabilmesi için iki katı kümülatif şart vardır:

    1. Verilerin kesinlikle üçüncü kişilere verilmemesi (paylaşılmaması).
    2. Veri güvenliği yükümlülüklerine riayet edilmesi. Kişisel rehberin veya aile fotoğrafının rızasız olarak sosyal medyada veya harici bir grupta yayımlanması anında bu istisna çöker ve ihlal doğar.

  • Sanatsal, Edebi, Bilimsel ve İfade Özgürlüğü İstisnası (c bendi): Anayasal ifade, bilim ve sanat özgürlüğünün korunması amacıyla getirilmiştir. Ancak bu istisna sınırsız değildir. Faaliyetin; milli güvenliği, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemesi ya da suç teşkil etmemesi şarttır. Basın özgürlüğü bu kapsamda değerlendirilir. Gazetecilik faaliyeti sınırları aşarak kişilerin özel hayatını ifşa edecek nitelikte magazinel veya intikam odaklı veri yaymaya dönüşürse, istisnadan yararlanılamaz.

  • Savunma, Güvenlik ve İstihbarat İstisnası (ç bendi): MİT, Emniyet İstihbarat veya Jandarma gibi kanunla açıkça yetkilendirilmiş kurumların yürüttüğü önleyici, koruyucu ve istihbari faaliyetlerdir. Bu kurumların adli görevleri dışındaki milli güvenliği korumaya dönük faaliyetleri KVKK kapsamı dışındadır.

  • Yargı Makamları ve İnfaz Mercilerinin Faaliyetleri (d bendi): Mahkemeler, savcılıklar ve icra/infaz dairelerinin adli görevleri (soruşturma, kovuşturma, yargılama, infaz) KVKK’dan tamamen muaftır. Amaç, adaletin gecikmeden ve engellenmeden tecelli etmesidir. Dava dosyasındaki verilerin silinmesi veya aydınlatma yapılması KVKK kapsamında mahkemeden talep edilemez. Ancak, baroların, avukatların kendi bürolarının veya mahkemelerin idari işler yapan birimlerinin (örn: adliye yemekhanesi veya personel girişindeki turnikeler) bu muafiyetten yararlanamayacağı doktrinde ittifakla kabul edilmektedir.

B. Kısmi İstisnalar (m. 28/2)

  • Alenileştirilmiş Verilerin İşlenmesi İstisnası (b bendi): Uygulamada en çok kötüye kullanılan hükümdür. Alenileştirme, ilgili kişinin kendi verisini bilerek ve isteyerek kamuya açık hale getirmesidir. Kurul ve Yargıtay kararlarına göre alenileştirme, mutlak bir "her amaçla kullanma" yetkisi (blank check) vermez. Alenileştirilen veri, ancak "alenileştirme amacına ve iradesine uygun" olarak işlenebilir. Örnek: Sahibinden.com sitesine arabasını satmak için telefon numarasını koyan (alenileştiren) bir kişinin verisi, sadece araba satışı amacıyla aranması için alenileşmiştir. Bir sigorta şirketinin bu numarayı çekerek "kasko satmak" amacıyla araması, alenileştirme amacına aykırıdır ve ağır bir KVKK ihlalidir.

  • Devletin Denetleme, Düzenleme ve Disiplin Görevleri (c bendi): BDDK, SPK, Rekabet Kurumu gibi düzenleyici kurumlar ile barolar gibi meslek kuruluşlarının denetim, soruşturma ve disiplin işlemleri bu kapsamdadır. Bu işlemler esnasında şüpheliden aydınlatma alınması veya veri silme hakkı tanınması denetimin doğasına aykırıdır.

  • Devletin Ekonomik ve Mali Çıkarlarının Korunması (ç bendi): Vergi incelemeleri, gümrük denetimleri, kaçakçılıkla mücadele ve bütçe kontrolleri esnasında Maliye Bakanlığı birimlerinin yaptığı veri işleme faaliyetlerinde aydınlatma ve veri erişim hakları askıya alınır.

3. Sistematik İlişkiler

Madde 28; Anayasa’nın 20. maddesiyle (Özel hayatın gizliliği), 26. maddesiyle (Düşünceyi açıklama ve yayma hürriyeti), 28. maddesiyle (Basın hürriyeti) ve 36. maddesiyle (Hak arama hürriyeti) doğrudan anayasal düzeyde temas halindedir. KVKK içinde m. 4 (temel ilkeler), m. 5 ve 6 (işleme şartları), m. 10 (aydınlatma), m. 11 (haklar) ve m. 16 (sicil) maddelerinin sınır çizgilerini çizer.

4. Uygulama: Kurul ve Yargıtay İçtihatları

  • Sosyal Medyadaki Verilerin Kazınması (Web Scraping): Kurul’un LinkedIn ve benzeri kariyer sitelerinden veri kazıyan (scraping) şirketlere verdiği cezalarda açıkça vurgulandığı üzere; kişilerin profillerini kamuya açık yapması (alenileştirmesi) bu verilerin ticari amaçla kazınarak yapay zeka modellerinde eğitilmesine veya reklam havuzlarına aktarılmasına onay verdikleri anlamına gelmez. Alenileştirme amacı katı bir şekilde yorumlanır.
  • Gazetecilik ve İfşa Sınırı: Yargıtay ceza daireleri, bir gazetecinin kamu yararını ilgilendiren bir yolsuzluk haberinde siyasetçinin adını ve görevini yazmasını ifade hürriyeti (m. 28/1-c) kapsamında görerek cezalandırmamaktadır. Ancak haberin hiçbir kamu yararı taşımayan, sadece kişiyi rezil etmeyi amaçlayan gizli ses kayıtlarının veya çıplak fotoğraflarının yayımlanması şeklinde olması durumunda, "kişilik haklarının ihlali" gerekçesiyle m. 28/1-c korumasından yararlandırılmamakta ve hapis cezası tesis edilmektedir.

5. Pratik Örnek Olaylar

Örnek 1 (WhatsApp Grubu İhlali - Ev İçi İstisnanın Sınırı): Gerçek kişi G, aile fertlerinin ve yakın akrabalarının bulunduğu 30 kişilik bir WhatsApp grubunda, teyzesinin rızası olmaksızın onun tc kimlik numarasını ve sağlık raporunu paylaşmıştır. G, bu eyleminin "aile içi faaliyet" (m. 28/1-a) kapsamında olduğunu iddia etmiştir. Ancak Kurul yaptığı incelemede, verilerin üçüncü kişilere (gruptaki diğer kişilere) aktarıldığını ve veri güvenliği önlemlerinin ihlal edildiğini tespit ederek, eylemin ev içi kullanım sınırlarını aştığına karar vermiş ve G hakkında idari yaptırım sürecini işletmiştir.

Örnek 2 (Avukat Bürosunda KVKK Uygulaması): Avukat V, müvekkili adına açtığı boşanma davasında karşı tarafın sadakatsizliğini kanıtlamak amacıyla mahkeme dosyasına karşı tarafın otel kayıtlarını delil olarak sunmuştur. Karşı taraf, avukat V hakkında verilerini hukuka aykırı işlediği gerekçesiyle KVKK'ya şikayette bulunmuştur. Kurul, yargı makamları önündeki adli işlemlerin (m. 28/1-d) mutlak istisna kapsamında olduğunu, ancak bu istisnanın sadece yargılama organlarını (mahkemeyi) koruduğunu; avukatın ise bir "veri sorumlusu" olarak bağımsız sorumluluğu bulunduğunu, delilin sunulmasının genel dava hakları çerçevesinde hukuka uygun olmakla birlikte, avukatların bürolarındaki müvekkil veri tabanları yönünden kanuna tamamen tabi olduğunu belirterek uyuşmazlığı çözmüştür.

6. Pratik Uygulama Notları

  • Web Scraping ve Lead Data Toplama Riskleri: Şirketlerin satış ekiplerinin, internetteki sarı sayfalardan, Google Haritalardan veya sosyal medya mecralarından "herkese açık" (alenileşmiş) e-posta ve telefon numaralarını toplayarak toplu pazarlama (cold calling/cold emailing) yapması ağır bir KVKK ihlalidir. Alenileştirme amacının sınırları dışına çıkıldığı için m. 12 ihlali ve m. 18 idari para cezası kaçınılmazdır.
  • Dava Dosyalarındaki Veriler: Bir davanın tarafı, dava dilekçesindeki veya bilirkişi raporundaki kişisel verilerinin silinmesini KVKK’ya dayanarak mahkeme hakiminden veya yazı işleri müdüründen talep edemez. Bu talepler ancak Hukuk/Ceza Muhakemesi kanunlarındaki usul kuralları (dosyaya erişimin kısıtlanması, gizlilik kararı alınması vb.) çerçevesinde mahkemeden talep edilebilir.

7. Eleştirel Değerlendirme

  • Kanunla Yetkilendirilmiş Önleyici Faaliyetlerdeki Denetimsizlik: Madde 28/1-ç uyarınca istihbarat ve güvenlik birimlerinin önleyici faaliyetlerinin KVKK’dan tamamen muaf tutulması, bu kurumların veri işleme süreçlerinin hiçbir bağımsız veri koruma otoritesi tarafından denetlenememesi sonucunu doğurmaktadır. GDPR ve AB direktiflerinde (Law Enforcement Directive - LED) dahi kolluk ve istihbarat birimlerinin veri işleme faaliyetleri özel kurallara ve bağımsız otoritelerin denetimine tabi kılınmışken, Türk hukukundaki bu mutlak cezasızlık/denetimsizlik alanı demokratik hukuk devleti standartları açısından ciddi bir gerilemedir. Bu kurumların da en azından veri güvenliği ve ölçülülük ilkeleri yönünden denetlenebileceği özel bir parlamento veya bağımsız Kurul komisyonu kurulması elzemdir.

Metodolojik Not

Bu akademik yorum ve analiz; kişisel veri hukukunun en hassas alanı olan istisnalar rejimini, mutlak ve kısmi istisna kategorilerinin dogmatik ayrımını, alenileştirme kavramının "amaçla sınırlılık" ilkesi çerçevesindeki katı yorumunu ve yargı muafiyetinin sınırlarını 6698 sayılı Kanun’un 28. maddesi ve anayasal hakların çatışması teorisi çerçevesinde Av. Fethi Güzel'in anayasa hukukçusu ve kıdemli regülasyon uzmanı kimliğiyle tahlil etmektedir.

← Önceki Madde [27]
[29] Sonraki Madde →

Metodolojik Not

Bu çalışma, Av. Fethi Güzel tarafından akademik dürüstlük ilkeleri çerçevesinde hazırlanmıştır. İçerik, güncel kanun değişiklikleri ve yüksek yargı kararları ışığında revize edilmektedir.