KVKK ve GDPR kapsamında bilimsel yayınlar veri işleme faaliyetlerinin istisnası olarak belirtilmiştir. Peki bu istisnaların sınırı nedir? Kişisel Verilerin Korunması Kanununun (KVKK) 28. Maddesinin 1. fıkrasına göre: “Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz”. Maddenin ifadesinden de anlaşılacağı üzere liste halinde belirtilen fıkralardaki hususların kanundan istisna tutulacaktır. Keza aynı maddenin (3). fıkrasına göre “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.” Kanun kapsamındaki istisnalardandır. Burada ifade edilen sanat, tarih, edebiyat veya bilimsel amaçların sınırları yoruma açıktır.
- İstisnaların GDPR ile Kıyasen Değerlendirilmesi
GDPR 85. maddesine göre: “Üye Devletler, Tüzük uyarınca kişisel verilerin korunması hakkını, gazetecilik, akademik, sanatsal veya edebi amaçlar dahil olmak üzere ifade özgürlüğü ve haberleşme özgürlüğü hakkıyla kanun nezdinde uzlaştıracaklardır.”
Hem GDPR’ın ifadesinde hemde gerekçe (recital) kısmında belirtildiği üzere, Üye ülke devletleri bu madde ile kendi ülkelerinin veri koruma mevzuatının ilgili maddesini denkleştirmek zorundadır. Gerekçe kısmının devamında ifade özgürlüğünün korunması gerektiğinden bahsedilmiştir ve korumayı sağlayacak istisnaların iç hukuka eklenmesi gerektiğinden bahsedilmiştir. İki farklı ülkenin sağladığı istisnalar konusunda uyuşmazlık olması halinde veri sorumlusunun tabii olduğu ülkenin sağladığı istisnalar geçerli olacaktır.
- İrlanda Veri Koruma Otoritesinin Konu ile ilgili Görüşü
Örnek Olarak: İrlanda Mevzuatı (2018 Data Protection Act 43)
GDPR’ı uygulamak için İrlanda’nın 2018 yılında yayınlamış olduğu Veri Koruma Kanununun 43. Maddesinin 1. fıkrasına göre gazetecilik amaçları veya akademik, sanatsal veya edebi ifade amaçları için işleme dahil olmak üzere ifade ve bilgi özgürlüğü hakkının kullanılması amacıyla kişisel verilerin işlenmesinin GDPR’den muaf olacağı belirtilmiştir. Aynı maddenin 5. fıkrasında: “Demokratik bir toplumda ifade ve bilgi edinme özgürlüğünün önemini dikkate almak için bu hak geniş bir şekilde yorumlanmalıdır.” denmektedir.
İrlanda Veri Koruma Otoritesinin okulların etkinliklerinde fotoğraf çekilmesine dair hazırladığı bir blog yazısına göre: okullar etkinliklerin fotoğraflarını paylaşırken karede yer alan kişilerden açık rıza almaları gerekmektedir. Buna örnek olarak bir etkinlikte yazılı olarak rızalar alındıktan sonra fotoğraf çekilmesine rıza gösterenlere ve göstermeyenlere farklı kolyeler verilmiştir. Fotoğrafçılardan ilgili kolyeye sahip olmayan kişilerin fotoğraflarının çekilmemesi söylenmiştir.
Ancak fotoğraf çekilme işleminde veri sorumlusunun meşru menfaatinden ötürü rızanın alınmayabileceğinden de bahsedilmiştir. Bu bloga göre okulun tanıtım broşürünün hazırlanması için öğrencilerin toplu olarak çıktıkları fotoğraflarda veri sorumlusunun meşru menfaati olacağını belirtmiştir.
- İngiliz veri Koruma Otoritesinin (ICO) Konu ile ilgili Görüşü
İngiliz Veri Koruma Otoritesi ICO’nun konu ile ilgili görüşüne göre, sanat edebiyat ve akademik amaçlarla kişisel verilerin işlenmesinin istisnasının değerlendirilmesinde şunlara dikkat edilir:
- Veri sorumlusu, kişisel verilerin korunması ile ilgili maddelerin somut olaya uygulanmasının sanat, edebiyat ve akademik amaçlarla yapılan işleme ile uyuşmayacağını düşünüyorsa.
- İşleme faaliyeti, bazı gazetecilik, akademik, sanatsal veya edebi materyallerin yayınlanması amacıyla gerçekleştiriliyorsa.
- Veri sorumlusu işleme faaliyetinde, ifade özgürlüğünün toplum nezdinde önemini, kamunun herhangi bir özel konuda olan ilgisini ve kişilere zarar verme ihtimallerini de göz önünde bulundurarak, kamuoyunun yararı bulunduğunu düşünüyorsa
istisna kapsamında değerlendirilir.
Ancak dikkat edilmelidir ki, yukarıda bahsedilen istisna bilimsel araştırmanın içeriğine ilişkin değildir. Bilimsel araştırma kapsamında örnek alınan yada üzerinde çalışılan kişiler nezdinde istisnalar bu madde kapsamında değildir. Bilimsel araştırmanın içeriğinin istisnadan faydalanılabilmesi için:
- Veri koruma mevzuatına dair hükümlerin uygulanmasının bilimsel çalışmanın amacına ulaşmasına engel teşkil etmesi,
- İşleme faaliyetinin ilgili kişiye zarar vermeyecek nitelikte olması,
- İşleme faaliyetinin tedavi hariç ilgili kişi hakkında karar alınması için kullanılmaması
- Verilerin kişileri tespit edecek şekilde yayınlanmaması
gerekir.
BBC Editorial Guidelines’a göre, kamuya açık bir alanda çekim yapılıyorsa, kadraja giren herkesten rıza alınmamaktadır. Ayrıca çekim, kamerada çıkmak istemeyen kişilerin isterlerse kadrajdan çıkabilmeleri için aleni bir şekilde yapılmaktadır. Görüntüler için rıza alınıp alınmamasının gerekliliğinde ise, haberi öğrenmede kamunun sahip olduğu yarar göz önünde bulundurulur.
Bağımsız Yayın Standartları Organizasyonunun (IPSO) Editör Kurallarına göre bir haberde rızası olmayan kişilerin özel hayatlarının gizliliğinin ihlal edilmesi halinde ihlal eden gazetecinin bu ihlal için haklı sebebinin olması gerekir.
Sonuç
Kanun, 28. maddesinde belirtilen ifade özgürlüğü ve bilimsel çalışmalar konusunda herhangi bir detaylı açıklama yapmamıştır. GDPR ise bu istisnanın ilgili ülkelerin iç hukukuyla denkleştirilmesi gerektiğini söylemiştir. İrlanda Mevzuatı ise bu istisnanın kullanılmasında ifade özgürlüğü ve bilimsel çalışmalar lehine geniş yorumlanması gerektiğini ifade etmiştir. ICO ise bu konuda üç farklı kıstasın göz önünde bulundurulması gerektiğini ifade etmiştir. Ayrıca gazetecilik etiğini düzenleyen belgelerde özel hayatın gizliliği bağlamında benzer kurallar öngörmektedir.
Sonuç olarak yukarıdaki tespitler ışığında KVKK’nın meşru menfaat istisnası için kullandığı denge testinin Madde 28’de belirtilen bilimsel çalışmalara dair istisnalar içinde uygulanması yerinde olacaktır.
Daha fazla okuma: