Veri Sorumlusunun Talebi Süre İçinde Yerine Getirme Yükümlülüğü (30 Gün Kuralı)

1. Yasal Süre ve Zorunluluk

KVKK’ya göre veri sorumlusu, ilgili kişi tarafından kendisine iletilen talebi talebin niteliğine göre en kısa sürede ve her hâlükârda en geç otuz (30) gün içinde sonuçlandırmakla ve sonucu ilgili kişiye yazılı veya elektronik ortamda bildirmekle yükümlüdür.

Bu yükümlülük yalnızca “cevap vermek”ten ibaret değildir; esasında talebin değerlendirilmesi, teknik ve idari incelemelerin yapılması, ilgili birimlerden bilgi toplanması, hukuki analiz ve gerekçeli sonucun paylaşılması gibi çok adımlı bir süreci içerir.

1.1. 30 Günlük Sürenin Kapsamı

30 günlük yasal süre; ilgili kişinin başvurusunun veri sorumlusu kayıtlarına ulaştığı tarihten itibaren başlar. Bu tarih, genellikle:

• Fiziksel başvurularda: Evrak kayıt tarihi,
• E-posta başvurularında: Kurumsal KVKK başvuru adresine ulaştığı tarih,
• KEP üzerinden yapılan başvurularda: Sistem kayıt tarihi,
• Online form başvurularında: Başvurunun sistemde loglandığı tarih

olarak kabul edilir. Kurum içi süreçlerde bu tarihin tekil bir kayıt numarasıyla ilişkilendirilmesi, hem denetim hem de ispat açısından kritik önem taşır.

1.2. Kabul, Kısmen Kabul veya Ret Kararı

Veri sorumlusu; 30 günlük süre içerisinde ilgili kişi talebini:

• Tam olarak kabul edebilir ve gereğini fiilen yerine getirebilir,
• Kısmen kabul edip açıkça gerekçelendirilmiş biçimde sınırlı cevap verebilir,
• Gerekçeli olarak reddedebilir (örneğin kanundaki istisna halleri, orantısız çaba, üçüncü kişilerin haklarına zarar verme riski vb.).

Her üç senaryoda da ilgili kişiye yapılan bildirimin açık, anlaşılır, hukuki dayanak içeren ve zamanında yapılması gerekir.

2. İlgili Kişiye Duyulan Saygı ve Empati

İlgili kişinin başvurusu, teknik açıdan bir “ticket” veya “vaka kaydı” gibi görünse de özünde bireyin temel hak ve özgürlükleriyle doğrudan ilişkili bir başvuru niteliğindedir. Bu nedenle, başvuru yönetiminde benimsenmesi gereken ilk yaklaşım, saygı, empati ve hak odaklılıktır.

2.1. Empati Temelli Yaklaşım

Empati; ilgili kişinin talebini sadece hukuki bir metin olarak değil, kişisel bir endişe, kaygı veya beklenti olarak okuyabilmeyi gerektirir. Bu bakış açısı:

• İletişim tonunun yumuşak, açıklayıcı ve öğretici kurulmasını,
• Hukuki terimlerin anlaşılabilir bir dille sadeleştirilmesini,
• İlgili kişiye “yanıt alındığı ve ciddiyetle ele alındığı” hissinin verilmesini

mümkün kılar. Bu sayede, hukuken zorunlu olan 30 günlük süre, aynı zamanda güven tesis eden bir müşteri/ilgili kişi deneyimine dönüşür.

2.2. Saygının Kurumsal Etkileri

İlgili kişiye duyulan saygının kurum içerisindeki karşılığı:

• KVKK başvurularının “şikâyet yükü” olarak değil, süreç iyileştirme fırsatı olarak görülmesi,
• Çalışanların bu başvurulara karşı duyarlı ve çözüm odaklı eğitilmesi,
• Üst yönetimin, ilgili kişi haklarına saygıyı kurumsal kültürün parçası haline getirmesi

şeklinde somutlaşır. Bu yaklaşım, uzun vadede hem itibar riskini azaltır hem de Kurul nezdinde olumlu algı yaratır.

3. Etkili İletişim ve Kurum İçi İşbirliği

30 günlük süre içinde nitelikli bir yanıt verebilmek için, veri sorumlusu bünyesindeki birimler arasında güçlü iletişim ve koordinasyon sağlanması gerekir. Özellikle hukuk, insan kaynakları, bilgi işlem, pazarlama ve çağrı merkezi gibi birimler; başvuruların değerlendirilmesinde kritik rol oynar.

3.1. Taleplerin Netleştirilmesi

İlgili kişinin talebinin içeriği her zaman açık ve teknik açıdan net olmayabilir. Bu durumda veri sorumlusu;

• Gerektiğinde ilgili kişiden ek açıklama veya belge talep ederek,
• Başvurunun hangi hakkı hedeflediğini (erişim, düzeltme, silme, itiraz, aktarılanların bildirilmesi vb.) kategori bazlı netleştirerek,
• Teknik ekiplerle birlikte, talebin uygulanabilirliğini ve etkilerini risk/etki analizi üzerinden değerlendirerek

süreci sağlıklı şekilde yönetmelidir.

3.2. Ekip İşbirliği ve Rol Dağılımı

Kurum içinde; KVKK başvurularına cevap sürecinde rol alan fonksiyonların önceden belirlenmesi, 30 günlük sürenin etkin kullanımını sağlar. Örnek görev dağılımı:

• KVKK Koordinatörü / DPO: Başvurunun alınması, kayıt altına alınması, ilgili birimlere yönlendirilmesi ve sürecin takibi.
• Hukuk Birimi: Başvurunun hukuki analizi, istisna ve sınırların değerlendirilmesi, gerekçeli cevap taslağının hazırlanması.
• BT / Güvenlik Ekipleri: Sistemlerden veri çıkarımı, log analizi, maskeleme/anonimleştirme gibi teknik işlemler.
• İş Birimleri: Başvuruya konu süreçlere ilişkin operasyonel açıklama ve veri doğrulama.

Bu yapı sayesinde, 30 günlük süre yalnızca “takvim süresi” olmaktan çıkar; proaktif, planlı ve izlenebilir bir uyum sürecine dönüşür.

4. Önceliklendirme, Değerlendirme ve Geri Bildirim

İlgili kişi taleplerinin aynı anda ve farklı kanallardan gelebilmesi sebebiyle, veri sorumlusunun önceliklendirme ve değerlendirme mekanizması kurması önemlidir.

4.1. Taleplerin Önceliklendirilmesi

Başvurular; doğurabilecekleri risk ve etki açısından kategorize edilerek ele alınmalıdır. Örneğin:

• Yüksek öncelik: Özel nitelikli kişisel veri ihdali iddiası, dolandırıcılık şüphesi, hatalı işlem sonucu hak kaybı riski.
• Orta öncelik: Erişim, düzeltme, silme talepleri; pazarlama iletişimine itiraz.
• Düşük öncelik: Genel bilgi talepleri, süreç işleyişine dair açıklama istekleri.

Bu yaklaşım, 30 günlük sürenin kritik vakalara öncelik verilerek yönetilmesine ve kaynak kullanımının optimize edilmesine katkı sağlar.

4.2. Sonuçların Değerlendirilmesi ve Öğrenen Organizasyon

Her başvuru, aynı zamanda kurum için bir öğrenme fırsatıdır. Bu nedenle veri sorumlusu:

• Yanıtlanan talepleri periyodik olarak analiz etmeli,
• Tekrarlayan şikâyet veya başvuru konularını kalıcı iyileştirme gündemine almalı,
• Politika, prosedür ve aydınlatma metinlerini bu geri bildirimlere göre güncellemelidir.

Böylece 30 günlük cevap süreci, yalnızca yasal bir zorunluluk değil, sürekli iyileştirme ve risk azaltım mekanizması haline gelir.

4.3. Geri Bildirim Kültürü

İlgili kişinin başvurusu sonuçlandığında, yalnızca “talebiniz reddedilmiştir” demek yerine:

• Hangi verilerin hangi hukuki sebeple işlendiği,
• Hangi noktada sınır veya istisna bulunduğu,
• İlgili kişinin Kurula şikâyet ve diğer haklarına dair özet hatırlatma

yapılması, şeffaflık ve güven algısını güçlendirir ve olası uyuşmazlıklarda kurumun elini güçlendirir.

5. Veri Sorumlusunun Yanıt ve Bildirim Süreci

Veri sorumlusu, ilgili kişiye vereceği cevabı yazılı veya elektronik ortamda bildirmekle yükümlüdür. Bu, cevap içeriğinin; izlenebilir, saklanabilir ve gerektiğinde denetim makamına sunulabilir nitelikte olması gerektiği anlamına gelir.

5.1. Cevap Bildirim Yöntemleri

Kurumun KVKK başvuru prosedüründe belirtilen kanallar esas alınmak üzere, tipik bildirim yöntemleri şunlardır:

• Yazılı fiziki posta: Islak imzalı cevap yazısının ilgili kişinin adresine gönderilmesi.
• KEP adresi: Kayıtlı elektronik posta üzerinden hukuken geçerli bildirim.
• Elektronik posta: İlgili kişinin başvuruda belirttiği e-posta adresine yanıt.
• Online başvuru portalları: Kimlik doğrulamalı panel üzerinden yanıt paylaşımı.

Hangi yöntem kullanılırsa kullanılsın, cevabın iletildiğine dair delil (log kaydı, teslim zarfı, KEP kayıtları vb.) saklanmalıdır.

5.2. Cevap Metninde Bulunması Önerilen Unsurlar

İyi yapılandırılmış bir ilgili kişi cevabında asgari olarak şu unsurlar yer almalıdır:

• Başvurunun tarih, konu ve referans numarası,
• İlgili kişinin talebinin özetlenmesi,
• Değerlendirme sonucu (kabul, kısmi kabul, ret),
• İşleme faaliyetinin hukuki sebebi ve ilgili KVKK maddeleri,
• Veya uygulanabiliyorsa silme, düzeltme, kısıtlama gibi alınan aksiyonların özeti,
• İlgili kişinin Kurula şikâyet başta olmak üzere diğer başvuru yollarına dair bilgilendirme.

Bu çerçeve, hem şeffaflık ilkesine uyumu güçlendirir hem de olası uyuşmazlıklarda kurumun elindeki ispat imkanlarını artırır.

6. Veri Koruma Uyum İlkeleri ile İlişki

Veri sorumlusunun 30 gün içinde cevap verme yükümlülüğü; KVKK’nın temel ilkeleri ile doğrudan bağlantılıdır. Özellikle:

• Hukuka ve dürüstlük kurallarına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Belirli, açık ve meşru amaçlar için işlenme,
• İlgili, sınırlı ve ölçülü olma,
• Gerekli süre kadar muhafaza edilme

ilkeleri; ilgili kişi başvurusuna verilen cevapta da kendini göstermelidir.

Ayrıca, 30 günlük süreye uyum; hesap verebilirlik ilkesinin de somut bir göstergesidir. Kurum, her bir başvuru için:

• Süre yönetimi,
• Değerlendirme sürecine dâhil edilen birimler,
• Alınan aksiyonlar ve gerekçeler

üzerinden bir denetim izi (audit trail) oluşturmalıdır.

7. İlgili Kişi Memnuniyeti ve Şikâyet Yönetimi

İlgili kişi taleplerine zamanında, anlaşılır ve saygılı cevap verilmesi; müşteri deneyimi, çalışan güveni ve paydaş ilişkileri açısından doğrudan pozitif etki yaratır. Tam tersi durumda, gerek Kurul nezdinde gerek kamuoyunda güven ve itibar kaybı ortaya çıkabilir.

7.1. Müşteri / İlgili Kişi Memnuniyetine Etkisi

30 günlük sürenin etkin yönetimi:

• Kişisel verilere saygı gösterildiği algısını güçlendirir,
• “Talep ettim, geri dönüş alamadım” hissiyatını ortadan kaldırır,
• Uzun vadede marka sadakati ve önerilme oranını artırır.

7.2. Şikâyet Yönetimi ve Kurul Süreçleri

30 günlük süreye uyulmaması veya verilen cevabın yetersiz kalması halinde, ilgili kişinin Kurula şikâyet hakkı doğar. Bu nedenle kurum:

• İç şikâyet ve başvuru mekanizmasını iyi kurgulamalı,
• Ön hatta (call center, şube, bayi vb.) gerekli eğitimleri vermeli,
• Başvuruların durumunu izleyen raporlama ve dashboard yapıları kurmalıdır.

Böylece hem hak kaybı riskleri minimize edilir hem de olası Kurul denetimlerinde proaktif uyum kültürü gösterilebilir.

8. Sık Sorulan Sorular