KVKK’DA İSTİSNALAR VE İLKELERİN DENGELENMESİ: KRİTİK BİR ANALİZ

Öz

6698 Sayılı Kişisel Verilerin Korunması Kanununun (KVKK) amacı, kişisel verilerin işlenmesi sırasında kişilerin temel hak ve özgürlüklerini korumak ve veri sorumlularının yükümlülüklerini tanımlamaktır. Kişisel verilerin hukuka uygun işlenmesini sağlayan kanunda belirtilen temel ilkeler, veri işleme faaliyetlerinde kritik rol oynamaktadır. Ancak kanunun 28. maddesi, özellikle kamu ve ekonomik güvenliğe ilişkin bazı istisnalar getirmekte ve belirli durumlarda muafiyet sağlamaktadır. Uygulamada bu istisnaların hukukun genel ilkelerine uygun olmasının sağlanması hukuki bir zorunluluk olarak değerlendirilmektedir. Bu makalede KVKK'nın 28. maddesinde belirtilen istisnaların kanunun genel ilkeleriyle nasıl dengelenmesi gerektiği incelenmektedir. Bu istisnaların özellikle kamu ve ekonomik güvenliğe ilişkin veri işleme faaliyetlerinde uygulanmasının pratik zorlukları, Emniyet Genel Müdürlüğü (EGM) ve Mali Suçları Araştırma Kurulu (MASAK) gibi kurumların da dahil olduğu somut örnekler üzerinden değerlendiriliyor. Ayrıca, Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) ve Kaliforniya Tüketici Gizliliği Yasası (CCPA) gibi ABD yasaları ile karşılaştırmalı bir analiz yapılarak KVKK'nın uluslararası veri koruma standartlarına uyumu vurgulanıyor. Türkiye'nin KVKK'sı küresel standartlara uyum sağlamasına rağmen istisna hükümlerinin uygulanmasında, özellikle mahremiyet ile kamu güvenliğinin dengelenmesinde pratik zorluklarla mücadele ediyor Son olarak gözetim mekanizmalarının güçlendirilmesi, veri işlemede şeffaflığın artırılması ve kişisel verilerin daha iyi korunmasının sağlanmasına yönelik önerilere yer verilmiştir.

Anahtar Kelimeler

• KVKK
• Genel İlkeler
• İstisna
• Kamu Güvenliği
• Uluslararası Karşılaştırma

BALANCING EXCEPTIONS AND PRINCIPLES IN KVKK: A CRITICAL ANALYSIS

Abstract

The purpose of the Law on the Protection of Personal Data No. 6698 (KVKK) is to protect individuals' fundamental rights and freedoms during the processing of personal data and to define the obligations of data controllers. The fundamental principles outlined by the law, ensuring the lawful processing of personal data, play a critical role in data processing activities. However, Article 28 of the law introduces certain exceptions, particularly concerning public and economic security, providing exemptions in specific cases. In practice, ensuring that these exceptions align with the general principles of the law is considered a legal necessity. This article examines how the exceptions outlined in Article 28 of KVKK should be balanced with the law’s general principles. The practical challenges of applying these exceptions, especially in data processing activities related to public and economic security, are evaluated through concrete examples involving institutions such as the General Directorate of Security (EGM) and the Financial Crimes Investigation Board (MASAK). Additionally, a comparative analysis is conducted with the General Data Protection Regulation (GDPR) of the European Union and U.S. laws such as the California Consumer Privacy Act (CCPA), highlighting KVKK’s alignment with international data protection standards. Despite aligning with global standards, Turkey's KVKK struggles with practical challenges in applying exception provisions, especially in balancing privacy with public security Lastly, recommendations are provided for strengthening oversight mechanisms, increasing transparency in data processing, and ensuring better protection of personal data.

Keywords

• KVKK
• General Principles
• Exception
• Public Security
• International Comparison

Kaynakça

1. Aşıkoğlu, Ş. İ. (2019). Veri Sorumlularının Aydınlatma Yükümlülüğü -Avrupa Birliği ve Türk Hukukunda-. Kişisel Verileri Koruma Dergisi, 1(2), 41-65.
2. Akkaş, A. H., & Doğan, N. (2023). YARGI KARARLARINDA GÜVENLİK SORUŞTURMASI VE ARŞİV ARAŞTIRMASI. Adalet Dergisi, (71), 853-878.
3. Atlı, T. (2019). Kişisel verilerin önleyici, koruyucu ve istihbari faaliyetler amacıyla işlenmesi. Necmettin Erbakan Üniversitesi Hukuk Fakültesi Dergisi, 2(1), 4-22.
4. Aydın, İ. (2024). AİHM Kararları Işığında Terörle Mücadelede İdari Kolluğun Genel İzleme ve Takip Yetkisi ve Özel Hayatın Korunması. Firat University Journal of Social Sciences, 34(1), 217-235.
5. Barın, T., & Uslu, M. T. (2024). ANAYASA MAHKEMESİNİN İPTAL KARARLARININ YÜRÜRLÜĞÜNÜN ERTELENMESİ KURUMU VE CUMHURBAŞKANLIĞI KARARNAMELERİNDE GÖRÜNÜMÜ. Türkiye Adalet Akademisi Dergisi, (59), 51-90. Bentham, J. (1791). Panopticon: or, The Inspection-House.
6. Bertoni, E. (2021). Convention 108 and the GDPR: Trends and perspectives in Latin America. Comput. Law Secur. Rev., 40, 105516.
7. California Legislature. (2018). California Consumer Privacy Act (CCPA) of 2018.
8. Council of Europe. (1981). Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data (Convention 108).

9. Court of Justice of the European Union. (2016, December 21). Tele2 Sverige AB v. Post- och telestyrelsen and Secretary of State for the Home Department v. Tom Watson and Others (Joined Cases C-203/15 and C-698/15). EUR-Lex.
10. Çubukcu, Z. (2024). Dijital çağda kişisel verilerin korunmasında veri koruma otoritelerinin rolü. Toplum, Ekonomi ve Yönetim Dergisi (Journal of Society, Economics and Management), 5(3), 455.
11. Foucault, M. (1975). Discipline and Punish: The Birth of the Prison.
12. Gözler, K. (2012, Eylül 29). Hukuk Yorum İlkeleri. Kamu Hukukçuları Platformu ve Türkiye Barolar Birliği tarafından düzenlenen “Anayasa Hukukunda Yorum ve Norm Somutlaşması” toplantısında sunulan bildiri, Ankara.
13. Işık, O. (2022). Kişisel verilerin korunması kanunu kapsamında veri sorumlusu olarak sosyal güvenlik kurumu. Erciyes Üniversitesi Hukuk Fakültesi Dergisi, 17(2), 263-362.
14. Kaya, İ. S., & Tolun, Y. (2020). Uygulayıcılar için Türkiye'de ve Avrupa'da kişisel verilerin işlenmesi KVKK-GDPR karşılaştırması. Kitap. Ankara: Adalet Yayınevi.
15. Kişisel Verileri Koruma Kurumu. KVKK Madde 4 - Genel İlkeler. Retrieved June 20, 2024, from https://www.kvkkarar.com/kvkk-madde-04/ Nitelikli Veri. Kişisel Verilerin Korunması ile İlgili Temel Bilgiler. Nitelikli Veri. https://nitelikliveri.com
16. Oğuz, S. (2018). Kişisel Verilerin Korunması Hukukunun Genel İlkeleri. Bilgi Ekonomisi ve Yönetimi Dergisi, 13(2), 121-138.
17. Özkaya, Ö., & Toprak, İ. (2022). Türkiye’de Güvenlik Faaliyetleri Kapsamında Kişisel Verilerin İşlenmesi. MANAS Sosyal Araştırmalar Dergisi, 11(3), 1291-1305.
18. Propp, K. (2020, February 21). Putting privacy limits on national security mass surveillance: The European Court of Justice intervenes. Atlantic Council. Retrieved June 20, 2024, from https://www.politico.eu/article/data-retention-europe-mass-surveillance/
19. Savaş, R. N., Zaim, A. H., & Aydın, M. A. (2020). KVKK ve GDPR Kapsamında Firmaların Mevcut Durum Analizi Üzerine Bir İnceleme. İstanbul Ticaret Üniversitesi Fen Bilimleri Dergisi, 19(38), 208-223.
20. Şen, E., & Efe, E. (2024, January 15). İstihbari bilgilerin tutanağa bağlanması ve ihbarcının duruşmada dinlenmesi. Ersan Şen Hukuk ve Danışmanlık. Retrieved from https://sen.av.tr/tr/makale/istihbari-bilgilerin-tutanaga-baglanmasi-ve-ihbarcinin-durusmada-dinlenmesi
21. T24. (2024, June 20). Sanık Demirbaş’tan Sinan Ateş’in bilgilerini Ülkü Ocakları Başkanı’na neden gönderdin sorusuna cevap: Pankart asacaktık. T24. https://t24.com.tr/haber/sanik-demirbas-tan-sinan-ates-in-bilgilerini-ulku-ocaklari-baskani-na-neden-gonderdin-sorusuna-cevap-pankart-asacaktik,1169940 U.S. Department of Health and Human Services. (1996). Health Insurance Portability and Accountability Act (HIPAA).
22. Yosif, U. (2021). Kişisel Verilerin İşlenmesi Şartları Ve 6698 Sayılı Kişisel Verilerin Korunması Kanununun Ruhu Olarak Genel İlkeler. Selçuk Üniversitesi Adalet Meslek Yüksekokulu Dergisi, 4(1), 1-22.
23. Yücedağ, N. (2019). Kişisel verilerin korunması kanunu kapsamında genel ilkeler. Kişisel Verileri Koruma Dergisi, 1(1), 47-63.