KVKK m.28 Nedir? Tam İstisna ve Kısmi İstisna Halleri, Kapsamı ve Kurumsal Yükümlülükler

KVKK · m.28 · Tam ve Kısmi İstisna

KVKK m.28: Tam İstisna ve Kısmi İstisna Halleri, Kapsamı ve Kurumsal Yorum

Veri koruma ve gizlilik, modern dijital toplumun ve iş dünyasının vazgeçilmez bileşenleri hâline gelmiş durumda. Özellikle kişisel verilerin toplanması, işlenmesi, saklanması ve paylaşılması gibi faaliyetler, bireylerin temel hak ve özgürlüklerini korumayı amaçlayan güçlü yasal çerçeveler gerektiriyor. Türkiye’de bu çerçevenin merkezinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) yer alıyor.

KVKK’nın 28. maddesi, veri koruma rejiminde kritik bir rol oynar. Bu madde, veri işleme faaliyetlerinde “tam istisna” ve “kısmi istisna” halleri tanımlayarak, bir yandan kişisel verilerin korunmasını güvence altına alırken, diğer yandan da kamu yararı, ifade özgürlüğü, güvenlik ve adaletin sağlanması gibi üstün menfaatler için gerekli olan esneklik alanlarını oluşturur. Madde, veri sorumlularının ve veri işleyenlerin sorumluluklarını netleştirirken, ilgili kişinin haklarının hangi durumlarda ve ne ölçüde kullanılabileceğini de belirginleştirir.

KVKK m.28 Genel Çerçeveyi Gör Tam İstisna / Kısmi İstisna Tablosu

İçindekiler 1. KVKK m.28’in Genel Çerçevesi ve Amacı 2. Tam İstisna Nedir? Kapsamı ve Örnekler 3. Kısmi İstisna Nedir? Hakların Korunduğu Durumlar 4. Veri Sorumlusu ve Veri İşleyen Açısından m.28’in Anlamı 5. KVKK m.28 Kapsamında Kurumsal Uyum ve Risk Yönetimi 6. Sonuç: Esneklik – Koruma Dengesi 7. Sıkça Sorulan Sorular

Hızlı Özet

KVKK m.28; kişisel verilerin işlenmesinde genel kurallara getirilen istisnaları düzenler. Tam istisna halleriyle bazı faaliyetler Kanun’un belirli hükümlerinden tamamen muaf olabilirken; kısmi istisna hallerinde ise aydınlatma yükümlülüğü, veri güvenliği ve zararın giderilmesini talep hakkı gibi temel hak ve yükümlülükler korunmaya devam eder.

KVKK m.28 Tam İstisna Kısmi İstisna Veri Sorumlusu Yükümlülükleri Veri Sahibi Hakları

Referans: Detaylı mevzuat incelemesi ve SSS için KVKK Kurumu’nun resmi internet sitesinde yer alan “Kişisel Verilerin Korunması Kanunu Hakkında Sıkça Sorulan Sorular” bölümüne başvurulmalıdır.

1. KVKK m.28’in Genel Çerçevesi ve Amacı

KVKK’nın 28. maddesi, Kanun’un uygulanmayacağı veya sınırlı uygulanacağı durumları düzenler. Böylelikle, kişisel verilerin korunması ile:

Milli güvenlik, kamu düzeni ve kamu güvenliği,
Suçla mücadele ve adaletin sağlanması,
İfade özgürlüğü, sanat ve bilim özgürlüğü,
Resmi istatistik, planlama ve politika geliştirme ihtiyaçları

arasında bir denge mekanizması kurulması amaçlanır.

Madde, veri işleme faaliyetlerinde düz bir yasaklama yaklaşımı yerine, risk temelli ve bağlama duyarlı bir model öngörür. Bu kapsamda:

Tam istisna halleri ile bazı faaliyetler Kanun’un belirli hükümlerinden bütünüyle muaf olabilir,
Kısmi istisna halleri ile ise bazı yükümlülüklerden esneklik sağlanırken, özellikle ilgili kişinin haklarına ilişkin çekirdek korumalar devam eder.

1.1. Neden İstisna Hükümleri Var?

Kişisel verilerin korunması, modern hukuki sistemlerde vazgeçilmez bir ilkedir; ancak:

Toplumun güvenliği,
Devletin varlığı ve bütünlüğü,
Ekonomik düzenin ve kamu maliyesinin korunması,
Sanat, tarih ve bilimin gelişimi

gibi üst düzey menfaatler söz konusu olduğunda katı ve mutlak bir yasak modeli uygulanamaz. KVKK m.28, tam da bu nedenle, Kanun’un amacını zedelemeden zorunlu esneklik alanlarını tanımlar.

2. Tam İstisna Nedir? Kapsamı ve Örnekler

Tam istisna, belirli faaliyet türleri için KVKK’nın bazı hükümlerinin hiç uygulanmaması veya oldukça sınırlı uygulanması anlamına gelir. Bu hallerde:

Veri işleme faaliyeti, Kanun’un pek çok maddesinin kapsamı dışına çıkar,
Veri sorumlusuna, Kanun çerçevesinde daha geniş bir hareket alanı tanınır,
Yine de ölçülülük, hukuk devleti ilkesi ve temel haklara saygı korunmak zorundadır.

2.1. Tam İstisna Haline İlişkin Tipik Örnekler

KVKK’nın tam istisna alanları genel olarak aşağıdaki faaliyet grupları etrafında şekillenir (detaylar ilgili maddede ve ikincil düzenlemelerde yer alır):

Faaliyet Alanı	Açıklama	Tipik Örnek
Aile İçi ve Kişisel Faaliyetler	Gerçek kişilerin sadece kendileri veya aynı konutta yaşayan aile bireyleriyle ilgili, üçüncü kişilere aktarılmayan kişisel kullanım amaçlı veri işlemleri.	Aile bütçe tablosu, kişisel telefon rehberi, paylaşıma kapalı aile fotoğraf arşivi.
Resmi İstatistik ve Anonim Veri	Resmi istatistiklerin oluşturulması ve araştırma amaçlı olarak verilerin anonim hâle getirilerek işlenmesi.	TÜİK tarafından anonimleştirilmiş demografik veri setlerinin istatistiksel analizlerde kullanılması.
Güvenlik ve İstihbarat Faaliyetleri	Milli savunma, milli güvenlik, kamu düzeni, kamu güvenliği veya ekonomik güvenliğin sağlanmasına yönelik kanunla yetkili kamu kurum ve kuruluşlarının faaliyetleri.	Terörle mücadele kapsamında yürütülen istihbarat çalışmaları, kritik altyapı güvenliği analizleri.
Yargılama ve İnfaz Süreçleri	Soruşturma, kovuşturma, yargılama ve infaz faaliyetlerinde yargı makamları veya infaz mercileri tarafından gerçekleştirilen veri işleme faaliyetleri.	Ceza yargılamasında delil dosyalarının oluşturulması, hükümlü takibine ilişkin infaz kayıtları.

Tam istisna hallerinde dahi, ilgili faaliyetler mevzuatın geri kalan hükümleri, yargı içtihatları ve anayasal güvenceler çerçevesinde denetime tabidir. Başka bir ifadeyle, “istisna” hukuksuzluk alanı yaratmaz.

3. Kısmi İstisna Nedir? Hakların Korunduğu Durumlar

Kısmi istisna, KVKK’nın belirli hükümlerinin uygulanmadığı, ancak diğer koruma mekanizmalarının devam ettiği durumlardır. Bu hallerde, veri işleme faaliyetleri için belirli esneklikler tanınmakla birlikte:

Aydınlatma yükümlülüğü,
Veri güvenliği yükümlülükleri,
Zararın giderilmesini talep hakkı gibi çekirdek haklar

çoğu durumda korunmaya devam eder.

3.1. Kısmi İstisna – Esneklik ve Koruma Dengesi

Kısmi istisnada Kanun, veri sorumlularına belirli alanlarda:

Daha hızlı hareket edebilme,
Bazı bildirim ve prosedürel yükümlülüklerden sınırlı ölçüde muafiyet,
Özel bağlamlarda daha geniş takdir alanı

tanırken, ilgili kişinin temel hak ve özgürlüklerinden feragat edilmesine izin vermez.

Örneğin; bazı denetim, inceleme veya idari soruşturma süreçlerinde veri işleme faaliyetleri kısmi istisna kapsamında değerlendirilebilir; buna rağmen, ilgili kişi uğradığı zararın tazmini için mahkemeye başvurma hakkını veya veri güvenliği tedbirlerinin alınmasını talep etme hakkını kaybetmez.

Önemli: Kısmi istisna, veri sorumlusunun “yükümlülükten kaçış” aracı değildir. Her somut olayda gereklilik, ölçülülük ve amaçla bağlantılılık ilkeleri ayrıca değerlendirilmelidir.

4. Veri Sorumlusu ve Veri İşleyen Açısından KVKK m.28’in Anlamı

KVKK m.28, sadece ilgili kişiler için değil; veri sorumluları ve veri işleyenler için de sorumlulukların sınırlarını ve kapsamını anlamak açısından kritik bir rehber niteliğindedir.

4.1. Veri Sorumlusu Perspektifi

Veri sorumlusu, m.28 kapsamında:

Hangi faaliyetlerin tam istisna, hangilerinin kısmi istisna alanına girdiğini doğru sınıflandırmalı,
İstisna alanlarına giren süreçler için ayrı politika ve prosedürler geliştirmeli,
İstisnaya dayanılarak yürütülen işlemlerde dahi veri güvenliği yükümlülüklerini sürdürmelidir.

4.2. Veri İşleyen Perspektifi

Veri işleyenler açısından bakıldığında:

İstisna hükmüne dayanarak yürütülen işlemlerde dahi veri işleyen, veri sorumlusunun talimatlarına uygun hareket etmekten ve güvenlik tedbirlerini uygulamaktan sorumludur.
İstisna, veri işleyeni otomatik olarak hukuki sorumluluk alanının dışına çıkarmaz; işlenen verinin niteliğine, işleme amacına ve işleme şekline göre sorumluluk devam eder.

Bu nedenle, veri sorumlusu–veri işleyen ilişkisi, m.28 kapsamındaki faaliyetlerde mutlaka sözleşmesel hükümlere ve kayıt altına alınmış süreçlere dayandırılmalıdır.

5. KVKK m.28 Kapsamında Kurumsal Uyum ve Risk Yönetimi

Kurumlar açısından KVKK m.28, sadece bir “istisna listesi” değil, aynı zamanda uyum programı ve risk yönetimi perspektifinden ele alınması gereken stratejik bir başlıktır.

5.1. Uygulamada Dikkat Edilmesi Gereken Başlıca Noktalar

Envanter Seviyesinde Sınıflandırma: Veri envanteri hazırlanırken, m.28 kapsamına girebilecek süreçler ayrıca işaretlenmeli; hangi verilerin hangi istisnaya dayanılarak işlendiği netleştirilmelidir.
Politika ve Prosedürler: Tam ve kısmi istisna hallerine özgü, yazılı ve denetlenebilir iç politika ve talimatlar oluşturulmalıdır.
Şeffaflık ve Belgelendirme: İstisna hükümlerine dayanan işlemler için karar alma süreci, değerlendirmeler ve gerekçeler mutlaka yazılı olarak kayıt altına alınmalıdır.
Denetim ve Gözden Geçirme: Uyum ekipleri ve iç denetim birimleri, istisna alanındaki işleme faaliyetlerini periyodik olarak gözden geçirmelidir.

5.2. İlgili Kişi Hakları ve İletişim Kanalları

Kısmi istisna hallerinde, ilgili kişilerin:

Bilgilendirilme,
Veriye erişim,
Düzeltme, silme, kısıtlama,
Zararın giderilmesini talep etme

gibi haklarına yönelik başvuru süreçleri; istisna hükümlerine uygun ama işletilebilir ve ulaşılabilir kanallarla desteklenmelidir.

Öneri: KVKK m.28 kapsamındaki senaryolar için, genel KVKK politikalarından bağımsız olacak şekilde “İstisna Yönetimi Prosedürü” oluşturulması, regülatif denetimlerde önemli bir uyum göstergesi olarak öne çıkar.

6. Sonuç: Esneklik ve Koruma Arasında İnce Denge

KVKK’nın 28. maddesi; veri koruma hukukunun esneklik ve koruma ekseninde nasıl dengelendiğini somut biçimde gösteren bir hükümdür. Madde sayesinde:

Kişisel verilerin sınırsız ve keyfi biçimde işlenmesinin önüne geçilir,
Öte yandan, toplumun güvenliği, kamu düzeni, adalet, sanat ve bilim gibi alanlar için gerekli hareket alanı korunur.

Sonuç olarak KVKK m.28, veri sorumluları ve veri işleyenler açısından:

İstisna hükümlerini doğru anlamayı,
Her istisna kullanımında gerekçe ve ölçülülük analizi yapmayı,
İlgili kişilerin haklarına saygıyı temel ilke olarak benimsemeyi

gerektiren kritik bir normdur. İyi tasarlanmış bir KVKK uyum programı, m.28’i sadece teorik bir madde olarak değil, önceden tanımlanmış süreçler ve kontroller ile yönetilen bir işlevsel alan olarak ele almalıdır.

Bu sayede veri işleme faaliyetleri; hem Kanun’un ruhuna uygun, hem de kurumsal ihtiyaçları karşılayan dengeli bir çerçevede yürütülebilir.

7. Sıkça Sorulan Sorular

KVKK m.28’deki tam istisna, Kanun’un hiçbir hükmünün uygulanmayacağı anlamına mı gelir?

Hayır. Tam istisna; belirli faaliyet türleri bakımından KVKK’nın bazı hükümlerinin uygulanmamasını ifade eder. Buna rağmen, anayasal güvenceler, diğer özel kanunlar ve temel haklara saygı yükümlülüğü devam eder. İstisna, hukukun tamamen devre dışı bırakılması anlamına gelmez.

Kısmi istisna hallerinde ilgili kişi zararın giderilmesini talep edebilir mi?

Evet. Kısmi istisna, Kanun’un bazı maddelerinin uygulanmamasını öngörse de; çoğu durumda zararın giderilmesini talep hakkı, veri güvenliği yükümlülükleri ve bazı temel haklar korunmaya devam eder. Bu nedenle ilgili kişi, uğradığı zarar için veri sorumlusuna veya yetkili mercilere başvurabilir.

Veri sorumlusu, “istisnaya dayanıyorum” diyerek aydınlatma yükümlülüğünü tamamen yok sayabilir mi?

Hayır. Özellikle kısmi istisna hallerinde aydınlatma yükümlülüğü tamamen ortadan kalkmaz; belirli bağlamlarda sınırlı uygulanabilir veya ertelenebilir. Ancak bu durum somut olayın niteliğine göre değerlendirilmelidir; genel geçer bir “istisnaya dayanma” yaklaşımı hukuki risk yaratır.

KVKK m.28 sadece kamu kurumları için mi geçerlidir?

Hayır. Her ne kadar milli güvenlik, kamu düzeni ve yargılama süreçleri gibi alanlarda kamu kurumları ön planda olsa da; aile içi faaliyetler, sanatsal ve bilimsel çalışmalar gibi düzenlemeler gerçek ve tüzel kişilerin geniş bir yelpazesi için geçerlidir.

KVKK m.28’e ilişkin detaylı resmi açıklamalara nereden ulaşabilirim?

KVKK m.28’e ilişkin daha detaylı açıklamalar ve uygulama örnekleri için Kişisel Verileri Koruma Kurumu’nun resmi internet sitesinde yer alan “Kişisel Verilerin Korunması Kanunu Hakkında Sıkça Sorulan Sorular” bölümüne başvurabilirsiniz.

KVKK 28. Madde Tam İstisna Halleri Kısmi İstisna Halleri Veri Sorumlusu Yükümlülükleri Kişisel Veri Sahibi Hakları KVKK Uyum Programı