6698 sayılı KVKK'nın 28. maddesi, kanunun bazı istisnalarını düzenlemektedir. Maddenin 1. ve 2. fıkralarında düzenlenen istisnalar arasında kapsam ve sonuçları bakımından ne gibi temel bir fark vardır? 'Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması' (m.28/2-a) hali, veri sorumlusunu hangi yükümlülüklerden muaf tutar, hangilerinden tutmaz?

KVKK m.28'in 1. ve 2. fıkraları arasında kapsam ve sonuçları açısından temel bir fark vardır. Madde 28/1'de sayılan haller (örn: aile içi kişisel kullanım, anonimleştirilmiş veriler, milli savunma, yargısal faaliyetler) 'tam istisna' niteliğindedir. Bu hallerde, KVKK hükümleri 'uygulanmaz', yani veri sorumlusu kanunun hiçbir yükümlülüğüne tabi değildir. Madde 28/2'de sayılan haller ise 'kısmi istisna' niteliğindedir. Bu hallerde kanun tamamen devre dışı kalmaz, sadece belirli maddeleri uygulanmaz. Bu maddeler; aydınlatma yükümlülüğünü düzenleyen 10. madde, zararın giderilmesini talep etme hakkı hariç ilgili kişinin haklarını düzenleyen 11. madde ve VERBİS'e kayıt yükümlülüğünü düzenleyen 16. maddedir. 'Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması' (m.28/2-a) hali de bu kısmi istisnalardan biridir. Bu durumda bir veri sorumlusu (örneğin bir kolluk birimi), bir suç soruşturması için veri işlerken; ilgili kişiye aydınlatma yapma (m.10), ilgili kişinin bilgi talep etme, silinmesini isteme gibi haklarını (m.11) yerine getirme ve VERBİS'e kaydolma (m.16) yükümlülüklerinden muaftır. Ancak, bu muafiyet mutlak değildir. Veri sorumlusu, bu istisnaya rağmen KVKK'nın genel ilkelerine (m.4), veri güvenliğine ilişkin yükümlülüklere (m.12) ve verilerin kanuna aykırı işlenmesi nedeniyle zarara uğrayanların tazminat hakkına (m.11/1-ğ) ilişkin hükümlere uymak zorundadır. Yani, kolluk birimi dahi olsa, soruşturma için topladığı verilerin güvenliğini sağlamakla yükümlüdür.