Geri Dön

Kişisel Verilerin Korunması Kanunu'nda istisna rejimi: AB uygulaması çerçevesinde bir inceleme

Restrictions In the Personal Data Protection Law: An analysis within the framework of EU practice

PDF İndir

  1. Tez No: 953837
  2. Yazar: ABDURRAHİM CENK KONUKPAY
  3. Danışmanlar: DOÇ. DR. DEMİRHAN BURAK ÇELİK
  4. Tez Türü: Doktora
  5. Konular: Hukuk, Law
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2025
  8. Dil: Türkçe
  9. Üniversite: Galatasaray Üniversitesi
  10. Enstitü: Sosyal Bilimler Enstitüsü
  11. Ana Bilim Dalı: Kamu Hukuku Ana Bilim Dalı
  12. Bilim Dalı: Belirtilmemiş.
  13. Sayfa Sayısı: 365

Özet

Bu çalışma, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 28. maddesinde düzenlenen istisna rejimini bütüncül bir yaklaşımla inceleyerek, kişisel verilerin korunması hakkının ne ölçüde ve hangi kriterler çerçevesinde sınırlanabileceğini ortaya koymayı amaçlamaktadır. 6698 sayılı Kanun'da yer alan yükümlülükler ve hakları devre dışı bırakan bu istisnalar, tam ve kısmi muafiyet öngörecek şekilde düzenlenmektedir. 6698 sayılı Kanun'un 28. maddesi, kişisel verilerin korunmasını isteme hakkı ile diğer temel hak ve özgürlükler veya devlete yüklenen birtakım ödevler arasındaki denge arayışını da düzenlemektedir. Tez çalışması, 28. maddede yer alan istisna hükümlerinin kapsamını ve pratik sonuçlarını inceleyerek, bunların gerek ulusal gerekse de Avrupa Birliği (AB) mevzuatıyla ne kadar uyumlu olduğunu araştırmaktadır. Çalışma kapsamında ilk olarak, temel hak ve özgürlüklerin sınırlandırılması rejimine değinilmiştir. Sonrasında 6698 sayılı Kanun'un ve Genel Veri Koruma Tüzüğü'nün genel sistematiğinde istisna hükümlerinin ele alınış biçimi ortaya konulmuştur. Buna ilave olarak tam istisna ile kısmi istisna hükümleri ayrı başlıklar altında sırasıyla ele alınmıştır. Bu plan, istisna hükümlerinin her birinin niteliği ve hangi durumlarda uygulanabileceği konusunda sistematik bir bakış sağlamaktadır. Çalışma boyunca bu hükümlerin yorumu ve uygulamasına ilişkin olarak yargı mercilerinin ve idari otoritelerin kararları da değerlendirilmiştir. Bu sayede, teorik ve pratik yönleriyle istisna hükümlerin işleyişi ortaya konulmaya çalışılmıştır. Çalışmanın yöntemsel çerçevesi büyük ölçüde karşılaştırmalı hukuka dayanmaktadır. Bu doğrultuda, bir taraftan Anayasa'da yer alan temel hak ve özgürlüklerin sınırlanması rejimine ilişkin özellikle ölçülülük, hakkın özüne dokunmama ve kanunilik kriterleri çerçevesinde, 6698 sayılı Kanun'un 28. maddesinin söz konusu anayasal ilkelerle tutarlılığı sorgulanmıştır. Öte yandan, AB düzenlemeleri özellikle Genel Veri Koruma Tüzüğü ışığında, benzer istisnaların hangi kapsamda öngörüldüğü ve hangi sınırlamalarla uygulandığı incelenmiştir. AB hukukunda istisnalara ilişkin yerleşik kriterler ve AB Adalet Divanı kararları da mercek altına alınarak, hangi noktalarda Türk ve AB hukukunun benzerlik gösterdiği, hangi noktalarda ise ayrıştığı ortaya konulmuştur. Böylece, 6698 sayılı Kanun'un hazırlanmasında esas alınan AB mevzuatına uygunluk düzeyine yönelik somut tespitler de ortaya konulmuştur. Tezde elde edilen en önemli bulgulardan biri, 6698 sayılı Kanun'da tam istisnalara tabi faaliyetlerin kapsamının oldukça geniş şekilde ve yeterli ölçüde belirlilikten uzak şekilde düzenlenmiş olmasıdır. Bu doğrultuda, kişilerin kendisi veya aile fertlerine yönelik faaliyetlerini ele alan istisnanın düzenlenme biçimi, bireylerin özel hayatına kişisel verilerin korunması amacıyla gereğinden fazla müdahale edilmesi riskini doğurabilecek bir niteliğe sahiptir. Kamu kurumlarının önleyici, koruyucu ve istihbari nitelikteki kişisel veri işleme faaliyetleri, geniş niteliğe sahip kavramlar ile Kanun'dan muaf tutulmakta; böylece kişilerin hak arama yolları daralmaktadır. Ayrıca 6698 sayılı Kanun'da yargılama faaliyetlerine ilişkin kapsamlı bir muafiyet tanınmış olmakla birlikte, AB hukukunda mahkemelerin bağımsızlığına saygı göstermek kaydıyla belirli veri koruma tedbirlerinin uygulanabildiği görülmektedir. Kişisel Verileri Koruma Kurulu'nun istisnanın kapsamını daraltmaya yönelik yaklaşımı da kimi hallerde, mahkemenin bağımsızlığı ile savunma hakkının kullanımına yönelik ölçüsüz bir kısıtlamaya yol açma riski barındırmaktadır. Resmî istatistik ve bilimsel araştırma istisnaları bakımından da benzer durum söz konusudur. AB hukukunda, özellikle kanunilik ve ölçülülük ilkeleri kapsamında öngörülen veri güvenliği tedbirleri ile istisna dışında bırakılan bazı haklar istisnanın kapsamını daraltmaktadır. Türk hukuku bu konuda daha katı bir muafiyet rejimine sahiptir. Kısmi istisnalara ilişkin olarak, öncelikle suç işlenmesinin önlenmesi veya suç soruşturması kapsamındaki kişisel veri işleme faaliyetlerine yönelik istisnanın büyük ölçüde kolluk tarafından yapılan işlemlere uygulanacağı söylenebilecek ise de buna ilişkin net kriterler bulunmamaktadır. Alenileştirme faaliyetlerine yönelik istisnanın AB düzenlemelerinden oldukça farklı şekilde düzenlendiği söylenebilecektir. Öte yandan alenileştirme kavramının Kişisel Verileri Koruma Kurulu'nun içtihadıyla kapsamının daraltılmaya çalışıldığı tespit edilmiştir. Kamu kurum ve kuruluşlarının denetleme, düzenleme ve disiplin süreçleri ile devletin ekonomik ve mali çıkarlarının korunmasına yönelik getirilen istisnaların da hangi kapsamda uygulanacağı, hangi koruyucu tedbirlerin mevcut olması gerektiği noktasında net sınırlara sahip olmadığı ifade edilebilecektir. Tüm bu bulgular çerçevesinde çalışma, 28. maddenin kapsam ve sınırlarının, AB düzenlemeleri ile daha uyumlu hâle getirilmesi gerektiği sonucuna varmaktadır. Öncelikle hangi faaliyetlerin tam istisnaya, hangilerinin kısmi istisnaya konu olduğuna dair yasal çerçevenin daha ayrıntılı ve belirli olması önerilmektedir. AB hukukunda olduğu şekilde, ilgili kişilerin hakları, kategorik bir muafiyete tabi olmak yerine ölçülülük kriteri temelinde sınırlandırılmalıdır. Veri sorumlularının özellikle ulusal güvenlik, kolluk ve yargılama faaliyetleri gibi konularda en azından asgari denetim önlemlerine tabi olması gerektiği vurgulanmaktadır. İstisnaların belirlilik, öngörülebilirlik ve ölçülülük kriterlerine uygun düzenlenmesi, bireylerin temel hakları ile kamu kurumlarının meşru amaçlarla gerçekleştirdikleri veri işleme faaliyetlerini daha dengeli bir zeminde uzlaştıracaktır. Nitekim AB hukukundaki yaklaşım, tam ya da kısmi istisnaların sınırlı şekilde uygulanmasını ve mutlaka ek güvencelerle desteklenmesini gerektirmektedir. Sonuç olarak, bu çalışma, 6698 sayılı KVKK'nin 28. maddesinde yer alan istisnaların geniş yorumlanması hâlinde kişisel verilerin korunması hakkına yönelik korumanın ciddi ölçüde zayıflayabileceğini göstermektedir. Zira istisna rejimi mevcut haliyle birçok etkin koruma mekanizmasını devre dışı bırakabilecek bir niteliğe sahiptir. Bu durumun önlenmesi adına gerek mevzuatsal değişikliklerin yapılması gerekse de yargı mercileri ve Kişisel Verileri Koruma Kurulu aracılığıyla ek kriterler konulması uygun olacaktır. Böylece, kamu yararı ve temel hakların korunması arasındaki dengenin sağlanması ve 6698 sayılı Kanun'un AB mevzuatıyla uyumunun artırılması mümkün olacaktır.

Özet (Çeviri)

This study aims to comprehensively examine the exemption regime stipulated in Article 28 of Law No. 6698 on the Protection of Personal Data, thereby revealing to what extent and under which criteria the right to protection of personal data can be restricted. These exemptions, which suspend the obligations and rights set forth in Law No. 6698, are structured to provide both full and partial exemptions. Moreover, Article 28 of Law No. 6698 regulates the pursuit of balance between the right to protection of personal data and other fundamental rights and freedoms, as well as certain obligations incumbent on the state. By examining the scope and practical outcomes of the exemption provisions contained in Article 28, this thesis seeks to determine the extent to which they align with both national and European Union (EU) legislation. Within the scope of the study, the regime of limiting fundamental rights and freedoms is initially addressed. Subsequently, the way exemption provisions are handled within the general framework of Law No. 6698 and the General Data Protection Regulation (GDPR) is presented. In addition, full and partial exemption provisions are discussed under separate headings in turn. This plan offers a systematic perspective on the nature of each exemption provision and the circumstances under which it may be applied. Throughout the study, judicial decisions and administrative authorities' rulings on the interpretation and implementation of these provisions are also examined. Accordingly, both theoretical and practical aspects of how the exemption provisions function have been brought to light. The methodological framework of the study is largely based on comparative law. In this regard, the consistency of Article 28 of Law No. 6698 with the relevant constitutional principles—particularly proportionality, non-violation of the essence of the right, and legality criteria found in the Constitution's regime for limiting fundamental rights and freedoms—is questioned. Meanwhile, EU regulations, especially the General Data Protection Regulation, are analyzed to determine how similar exemptions are envisaged and the restrictions under which they are applied. By also placing established exemption criteria in EU law and the Court of Justice of the EU case law under scrutiny, it is revealed where Turkish and EU law converge and where they diverge. Thus, concrete findings concerning the extent of compliance with EU legislation, which served as the main reference in the preparation of Law No. 6698, are presented. One of the most significant findings of this thesis is that the scope of activities subject to full exemptions in Law No. 6698 is arranged very broadly and with insufficient clarity. In this regard, the way the exemption addressing activities involving individuals themselves or their family members is regulated may pose a risk of excessively interfering with private life for the purpose of personal data protection. Personal data processing activities of public institutions that have a preventive, protective, or intelligence nature are exempted from the law through broad concepts, thus narrowing individuals' avenues for legal remedies. Additionally, although comprehensive exemption is granted in Law No. 6698 for judicial proceedings, it is observed that certain data protection measures can still be applied in EU law, provided that the independence of the judiciary is respected. The Personal Data Protection Board's approach, which seeks to narrow the scope of the exemption, occasionally risks causing a disproportionate restriction on judicial independence and the exercise of the right to defense. The same issue applies to official statistics and scientific research exemptions. Under EU law, certain data security measures required by the principles of legality and proportionality, as well as certain rights that remain outside the exemption, narrow the exemption's scope. Turkish law, however, adopts a stricter exemption regime in this regard. Regarding partial exemptions, it can be argued that the exemption for the processing of personal data in order to prevent or investigate crime largely applies to operations carried out by law enforcement, although there are no clear criteria for this. The exemption concerning disclosure activities is also regulated in a manner that significantly differs from EU regulations. On the other hand, the scope of the concept of disclosure has been restricted through the Board's case law. It can further be stated that the exemptions introduced for supervision, regulation, and disciplinary processes in public institutions and organizations, as well as for the protection of the state's economic and financial interests, do not have clear boundaries regarding how they will be applied or which protective measures must be in place. In light of all these findings, the study concludes that the scope and limits of Article 28 should be made more compatible with EU regulations. Primarily, the legal framework for which activities are subject to full exemptions and which are subject to partial exemptions should be more detailed and precise. As is the case in EU law, rather than entirely removing individuals' rights via a categorical exemption, such rights should be restricted based on proportionality. It is underscored that data controllers, especially in areas involving national security, law enforcement, and judicial activities, should be subject at least to a minimum level of oversight. Drafting exemptions in line with the criteria of clarity, predictability, and proportionality would better reconcile the fundamental rights of individuals with the legitimate data processing activities of public institutions. Indeed, the EU approach requires limited application of both full and partial exemptions, backed by additional safeguards. In conclusion, this study shows that the broad interpretation of exemptions in Article 28 of Law No. 6698 may significantly weaken the protection afforded to the right to personal data. Since, the exemption regime could disable many effective protective mechanisms, it is advisable for both legislative amendments to be made and additional criteria to be introduced through the judiciary and the Personal Data Protection Board. Thus, it will be possible to establish a balance between the public interest and the protection of fundamental rights, as well as to enhance the compatibility of Law No. 6698 with EU legislation.

Benzer Tezler

  1. Tez No

    583683

    Türk Ceza Kanunu'nda kişisel verilerin basın yayın yoluyla açıklanması suçu

    The crime of the processing of personal data by the press and broadcasting activity in the Turkish Penal Code

    CEREN YAKIŞIR

    Yüksek Lisans

    Türkçe

    Türkçe

    2019

    HukukYeditepe Üniversitesi

    PROF. DR. KÖKSAL BAYRAKTAR

  2. Tez No

    779827

    Kişisel verilerin korunması hakkı ve istisnalar

    The right to protection of personal data and exceptions

    DERYA DENİZ KÜTÜK

    Yüksek Lisans

    Türkçe

    Türkçe

    2022

    HukukGebze Teknik Üniversitesi

    Strateji Bilimi Ana Bilim Dalı

    DOÇ. DR. BULUT GÜRPINAR

  3. Tez No

    669794

    Banka çalışanlarının 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında müşteri sırlarını koruma yükümlülükleri

    Obligations of bank employees to protect customer secrets under Law No. 6698 on Protection of Personal Data

    GURBET ARİFE YILDIRIM

    Yüksek Lisans

    Türkçe

    Türkçe

    2021

    BankacılıkUfuk Üniversitesi

    İşletme Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ BERRİN ARZU EREN

  4. Tez No

    853210

    Çocuğun kişisel verilerinin korunması ve buna aykırılığın sonuçları

    Protection of children's personal data and consequences of contradiction to this

    BARKIN ÖZKAN

    Yüksek Lisans

    Türkçe

    Türkçe

    2023

    HukukBahçeşehir Üniversitesi

    Özel Hukuk Ana Bilim Dalı

    PROF. DR. SEDA ÖKTEM ÇEVİK

  5. Tez No

    712007

    Sağlık hizmetinin yürütülmesinde görevli sağlık kamu personelinin eylemlerinden kaynaklanan idarenin sorumluluk sebepleri

    Grounds for liability of the administration caused by the actions of the health public personnel in duty in the conduct of health service

    MUHARREM CİVAN

    Yüksek Lisans

    Türkçe

    Türkçe

    2022

    HukukGalatasaray Üniversitesi

    Kamu Hukuku Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ CİHAN YÜZBAŞIOĞLU

Geri Dön