KVKK’da “İlgili Kişi” Kimdir? Haklar, Başvuru Usulü ve Uygulama Rehberi
6698 sayılı Kanun’da ilgili kişi, “kişisel verisi işlenen gerçek kişi” olarak tanımlanır. Bu çerçevede ilgili kişi kavramı yalnızca gerçek kişileri kapsar; tüzel kişiler (şirketler, vakıflar vb.) ilgili kişi sıfatını haiz değildir.
Öte yandan kişisel verilerin işlenmesi, veriler üzerinde gerçekleştirilen (otomatik/yarı otomatik ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan) elde etme, kaydetme, depolama, muhafaza, değiştirme, açıklama, aktarma, sınıflandırma, erişilebilir kılma veya kullanımı engelleme dahil çok geniş bir işlem setini ifade eder. Dolayısıyla bu fiiller kapsamında verisi işlenen her gerçek kişi, Kanun bakımından ilgili kişi olarak değerlendirilir.
İlgili kişi: Verisi işlenen gerçek kişi.
Veri sorumlusu: İşleme amaç ve vasıtalarını belirleyen; kayıt sisteminden sorumlu gerçek/tüzel kişi.
Hakların kullanımı: Önce veri sorumlusuna başvuru; şartları oluşursa Kurula şikâyet.
Tazminat: Kurul üzerinden değil, genel yargı yolları ile.
1. İlgili Kişi, Veri Sorumlusu ve İşleme Kavramı
İlgili Kişi
İlgili kişi, KVKK kapsamında kişisel verisi işlenen gerçek kişidir. Bu nedenle şirketler, vakıflar ve dernekler gibi tüzel kişiler “ilgili kişi” sıfatını taşımaz. Ancak tüzel kişilerin bünyesindeki çalışanlar, müşteriler, ziyaretçiler vb. gerçek kişiler; veri işleme faaliyeti kapsamında ilgili kişi olabilir.
Kişisel Verilerin İşlenmesi
Kişisel verilerin işlenmesi; verinin elde edilmesinden saklanmasına, değiştirilmesinden aktarılmasına, erişilebilir kılınmasından kullanımının engellenmesine kadar geniş bir işlem setini kapsar. Bu kapsam genişliği, uygulamada iki kritik sonucu doğurur:
- İşleme çok katmanlıdır: Tek bir işlem değil; uçtan uca bir yaşam döngüsüdür.
- Sorumluluk zinciri vardır: Amaç/vasıta belirleme, kayıt sistemi yönetimi ve güvenlik yükümlülükleri birlikte ele alınmalıdır.
Veri Sorumlusu
Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetiminden sorumlu olan gerçek veya tüzel kişidir. İlgili kişiden farklı olarak veri sorumlusu hem gerçek kişi hem de tüzel kişi olabilir.
| Kavram | Kimdir? | Temel Sorumluluk / Rol |
|---|---|---|
| İlgili kişi | Verisi işlenen gerçek kişi | Hakların kullanımı, talep/başvuru ve itiraz mekanizmaları |
| Veri sorumlusu | Gerçek veya tüzel kişi | İşleme amaç/vasıta belirleme, kayıt sistemi yönetimi, yükümlülüklerin yerine getirilmesi |
| Veri işleyen (uygulama notu) | Veri sorumlusu adına işleyen kişi/kuruluş | Talimatlara uygun işleme, güvenlik tedbirleri, raporlama ve ihlal bildirim akışı |
2. KVKK 11. Madde Kapsamında İlgili Kişi Hakları
Kanunun temel hedeflerinden biri; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır. Bu hedef doğrultusunda KVKK, ilgili kişiye veri sorumlusuna başvurarak kullanabileceği bir hak seti tanımlar.
İlgili kişinin başlıca hakları
- Kişisel verilerinin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde/yurt dışında aktarılan üçüncü kişileri bilme
- Eksik/yanlış işlenmişse düzeltilmesini isteme
- Şartları oluştuysa silme veya yok etme talep etme
- Düzeltme/silme/yok etme işlemlerinin aktarılan üçüncü kişilere bildirilmesini isteme
- Münhasıran otomatik sistemlerle analiz sonucu aleyhe çıkan sonuca itiraz etme
- Kanuna aykırı işleme nedeniyle zararın giderilmesini talep etme
3. Veri Sorumlusuna Başvuru: Usul, İçerik ve Ücretlendirme
İlgili kişi, haklarını kural olarak veri sorumlusuna başvurarak kullanır. Başvurunun yöntemi ve asgari içeriği; Kanun’un 13. maddesi ve “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” çerçevesinde şekillenir.
Başvuru yöntemleri
- Yazılı başvuru
- KEP adresi ile başvuru
- Güvenli elektronik imza / mobil imza ile başvuru
- Veri sorumlusuna önceden bildirilen ve sisteminde kayıtlı e-posta adresi ile başvuru
- Başvuru amacı için geliştirilmiş yazılım/uygulama üzerinden başvuru
Başvuruda bulunması gereken bilgiler
- Ad-soyad (yazılı başvuruda imza)
- Tebligata esas yerleşim yeri veya iş yeri adresi
- Varsa e-posta adresi, telefon numarası, faks numarası
- T.C. vatandaşları için T.C. kimlik numarası; yabancılar için uyruğu/pasaport no vb.
- Talep konusu (somut, anlaşılır ve kapsamı belirli)
- Konuyla ilişkili bilgi/belgeler (varsa)
Yanıt süresi ve ücret
Veri sorumlusu, başvuruyu en geç 30 gün içinde sonuçlandırmakla yükümlüdür. Esas kural ücret alınmamasıdır; ancak yazılı yanıtın 10 sayfayı aşması veya yanıtın CD/USB gibi kayıt ortamı ile verilmesi gibi durumlarda mevzuatın izin verdiği ölçüde maliyet esaslı ücret gündeme gelebilir. Başvurunun veri sorumlusunun kusurundan kaynaklanması halinde alınan ücretin iadesi gerekir.
4. KVK Kuruluna Şikâyet: Süreler, Şartlar ve Süreç Mantığı
Veri sorumlusuna yapılan başvurunun reddedilmesi, yanıtın yetersiz bulunması veya süresinde yanıt verilmemesi halinde ilgili kişi, belirli süreler içinde Kişisel Verileri Koruma Kuruluna şikâyet yoluna gidebilir.
Şikâyet için ön şart
Kurula şikâyet öncesinde kural olarak veri sorumlusuna başvuru yapılmış olmalıdır. Bu adım işletilmeden yapılan şikâyetler, uygulamada işleme alınmama riski taşır.
Süre yönetimi (kritik)
| Durum | Başlangıç | Süre |
|---|---|---|
| Veri sorumlusu yanıt verdi | Yanıtın öğrenildiği tarih | 30 gün |
| Her durumda üst sınır | Veri sorumlusuna başvuru tarihi | 60 gün |
Şikâyet yöntemleri
- Yazılı şikâyet
- Elektronik şikâyet (e-Devlet doğrulaması üzerinden şikâyet modülü)
5. Tazminat ve Diğer Talepler: Kurul Süreci ile İlişki
KVKK’nın 14. maddesi çerçevesinde, kişilik hakları ihlal edilen ilgili kişinin genel hükümlere göre tazminat isteme hakları saklıdır. Uygulamada bu başlık, çoğu zaman Türk Borçlar Kanunu ve Türk Medeni Kanunu hükümleri ile birlikte değerlendirilir.
Tazminatın temel çerçevesi
- Maddi tazminat: Uğranılan somut zararın giderilmesi
- Manevi tazminat: Kişilik hakkının zedelenmesi nedeniyle manevi zarar karşılığı
- Diğer talepler: Saldırı tehlikesinin önlenmesi, devam eden saldırının durdurulması, etkileri süren saldırının hukuka aykırılığının tespiti vb.
Hangi mahkeme?
Veri sorumlusu bir kamu kurum/kuruluşu ise uyuşmazlık türüne göre idari yargı; veri sorumlusu özel hukuk tüzel kişisi veya gerçek kişi ise genel görevli hukuk mahkemeleri gündeme gelebilir. Uyuşmazlığın niteliğine göre görev/ yetki değerlendirmesi somut olay bazında yapılmalıdır.
6. Kurumsal Uygulama Notları ve Kontrol Listesi
İlgili kişi taleplerinde en sık risk doğuran alanlar
- Kimlik doğrulama zafiyeti: Yanlış kişiye veri ifşası (yüksek risk)
- Maskeleme eksikliği: Aynı kayıt içinde üçüncü kişilere ait verilerin ayıklanmaması
- Dağınık veri envanteri: Talep karşılamak için veri setinin bulunamaması / eksik yanıt
- Süre yönetimi: 30 gün yanıt SLA’sının kaçırılması ve şikâyet riskinin artması
- Kayıt standardı: Başvuru-yanıt loglarının ve karar gerekçelerinin tutulmaması
Minimum “uyum seti” (önerilen)
| Bileşen | Minimum beklenti | Operasyonel çıktı |
|---|---|---|
| Başvuru kanalı | Tekil e-posta/KEP formu + kayıt sistemi | Başvuru takibi ve raporlama |
| Kimlik doğrulama | Standart prosedür + doğrulama kayıtları | Yanlış kişiye veri ifşasının önlenmesi |
| Maskeleme/ayıklama | Üçüncü kişi verileri için redaksiyon | Veri minimizasyonu ve güvenlik |
| Süre yönetimi | 30 gün SLA + eskalasyon | Şikâyet riskinin azaltılması |
| Yanıt şablonları | Hukuki gerekçe + talep bazlı format | Tutarlılık ve denetlenebilirlik |
7. Örnek Başvuru Metni (Şablon)
Aşağıdaki metin, başvurunun asgari unsurlarını gösterecek şekilde hazırlanmış bir örnektir. Kurumunuzun başvuru kanalı ve kimlik doğrulama yöntemiyle uyumlu hale getirilmelidir.
KONU: 6698 sayılı Kanun kapsamında ilgili kişi başvurusu [VERİ SORUMLUSU UNVANI]’na, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında ilgili kişi olarak, tarafıma ait kişisel verilerin işlenip işlenmediği ve işleniyor ise hangi kapsamda işlendiği hususunda bilgi talep ediyorum. Bu çerçevede; 1) Tarafıma ait kişisel verilerin işlenip işlenmediğinin tarafıma bildirilmesini, 2) İşleniyor ise işlenen kişisel veriler, işleme amaçları, hukuki sebepler, saklama süreleri ve aktarılan alıcı grupları hakkında bilgi verilmesini, 3) Varsa eksik/yanlış işlenen kişisel verilerin düzeltilmesini, 4) KVKK’da öngörülen şartlar çerçevesinde silme/yok etme işlemi tesis edilmesini (uygunsa), 5) İşlemlerin aktarılan üçüncü kişilere bildirilmesini (uygunsa), talep ederim. Ad Soyad: T.C. Kimlik No (varsa): Adres (tebligata esas): E-Posta / Telefon: Başvuru Tarihi: İmza (yazılı başvurularda): Ekler: (varsa)
8. Sık Sorulan Sorular (SSS)
Şirketler “ilgili kişi” olabilir mi?
Hayır. KVKK’da ilgili kişi yalnızca gerçek kişidir. Ancak şirketin çalışanı/müşterisi/ziyaretçisi gibi gerçek kişiler, verisi işlendiği ölçüde ilgili kişi sayılır.
Kurula şikâyet için mutlaka veri sorumlusuna başvuru gerekir mi?
Uygulamada kural olarak evet. Ön başvuru yapılmadan Kurula şikâyet edilmesi, süreç açısından riskli bir yaklaşımdır.
Veri sorumlusu kaç gün içinde yanıt vermek zorunda?
Başvurunun veri sorumlusuna ulaştığı tarihten itibaren en geç 30 gün içinde yanıt verilmesi beklenir. Kurumsal yapılarda bu süre SLA ile yönetilmelidir.
İlgili kişi “verinin aynısını” isteyebilir mi?
Erişim hakkı kapsamında ilgili kişinin veriye makul şekilde ulaşabilmesi esastır. Ancak üçüncü kişilere ait veriler, ticari sırlar veya güvenlik riskleri doğuran alanlarda maskeleme/ayıklama gündeme gelebilir.
Tazminat talebi Kurul üzerinden alınabilir mi?
Tazminat talepleri kural olarak yargı yollarında ileri sürülür. Kurul süreçleri idari inceleme/yaptırım yönüyle ayrışır.
Başvuruyu hangi dilde yapmalıyım?
Başvurunun Türkçe yapılması esastır. Kurumsal başvuru formlarında bu kural, standart alanlarla desteklenmelidir.
