Veri Sorumlusunun İlgili Kişi Taleplerine Yanıtı ve KVKK Kapsamında Talep Yönetimi
KVKK kapsamında ilgili kişiler; kişisel verilerine erişim, düzeltme, silme, işleme kısıtlama, itiraz gibi birçok hakka sahiptir. Bu hakların kullanılması halinde veri sorumlusu, başvuruyu belirli süreler içinde incelemek, kabul etmek veya gerekçesiyle reddetmek ve sonucu ilgili kişiye bildirmekle yükümlüdür.
Bu rehber, veri sorumlusunun ilgili kişi talepleri karşısında izlemesi gereken temel adımları; talebin alınması ve incelenmesi, kanuni süreler, talebin gereğini yerine getirme, bilgilendirme yükümlülüğü ve taleplerin izlenmesi perspektifleriyle özetlemektedir.
Talep Yönetimi = Başvuru + İnceleme + Karar + Bildirim + İzleme
Veri sorumlusu için amaç; ilgili kişinin talebine kanuna uygun, süresinde ve belgelenebilir biçimde yanıt vererek hem KVKK uyumunu hem de güven ilişkisini güçlendirmektir.
1. İlgili Kişi Talebinin Kapsamı
KVKK’ya göre ilgili kişi; veri sorumlusuna başvurarak kişisel verileri hakkında çeşitli haklarını kullanabilir. Veri sorumlusu bu başvuru üzerine talebi kabul eder veya gerekçesini açıklayarak reddeder. Talep kabul edilirse, başvurunun gereği uygun süre içinde yerine getirilmelidir.
İlgili kişinin talepleri; kişisel veri işleme faaliyetinin içeriğine göre farklılık gösterebilir. Sıklıkla:
- Kişisel verilere erişim,
- Yanlış veya eksik verilerin düzeltilmesi,
- Verilerin silinmesi veya yok edilmesi (unutulma hakkı),
- Veri işlemenin sınırlandırılması veya belirli işleme faaliyetlerine itiraz,
- Aktarılan üçüncü kişilerin bilgilendirilmesi
gibi başlıkları kapsar. Veri sorumlusu, her bir talebi mevzuat, saklama yükümlülükleri ve meşru menfaat dengesi çerçevesinde ayrı ayrı değerlendirmelidir.
2. Taleplerin Alınması ve İncelenmesi
Başvuru veri sorumlusuna ulaştığında ilk adım, talebin doğru şekilde alınması, kaydedilmesi ve kapsamının netleştirilmesidir. Bu aşamada:
- Talepte bulunan kişinin kimliği ve yetkisi doğrulanır,
- Talebin hangi hakka dayandığı (erişim, düzeltme, silme, itiraz vb.) belirlenir,
- Kurum içi sistem ve kayıtlar talebin kapsamına göre taranır,
- İlgili kişinin talebiyle örtüşen veri işleme faaliyetleri tespit edilir.
Amaç; hangi verilerin, hangi hukuki sebebe dayanarak işlendiğini netleştirerek, talebin hukuken karşılanabilirliği ve kapsamı hakkında sağlıklı bir değerlendirme yapmaktır.
2.1 Talep İncelemesinde Dikkat Edilmesi Gerekenler
- Mevzuattaki saklama zorunlulukları ile silme talepleri arasındaki denge,
- Üçüncü kişilerin hak ve özgürlükleri üzerindeki etkiler,
- Talebin teknik olarak uygulanabilirliği ve kurum sistemlerine etkisi,
- Talep içeriğinin net olmadığı durumlarda, ilgili kişiden ek açıklama isteme ihtiyacı.
3. Kanuni Süreler ve Yanıt Yükümlülüğü
Veri sorumlusu, ilgili kişinin talebine kanunda öngörülen süreler içinde yanıt vermekle yükümlüdür. Yanıt; talebin kabul edildiğini veya gerekçesiyle reddedildiğini, ayrıca ilgili kişinin hangi yollara başvurabileceğini içermelidir.
3.1 Örnek Süre ve Sorumluluk Tablosu
| Aşama | Veri Sorumlusunun Yükümlülüğü | Hedef / Kanuni Süre |
|---|---|---|
| Başvurunun alınması | Başvuruyu kayıt altına almak, başvuru sahibini doğrulamak. | Mümkün olan en kısa süre (aynı iş günü / ilk iş günü) |
| İnceleme | Talebin kapsamını belirlemek, ilgili veri setlerini ve süreçleri tespit etmek. | Kanuni cevap süresi içinde tamamlanmalı |
| Karar | Talebi kabul etmek veya gerekçeli biçimde reddetmek. | Kanundaki azami süreye uygun |
| Bildirim | Kararı ilgili kişiye yazılı veya elektronik ortamda bildirmek, haklarını açıklamak. | Aynı cevap süresi içinde |
| İzleme | Talep kayıtlarını saklamak, süreç performansını izlemek. | İç politika ve saklama sürelerine göre |
Sürelere uyulmaması, hem idari yaptırım riskini artırır hem de ilgili kişi gözünde kurumun güvenilirliğini zedeler. Bu nedenle talep yönetimi için takip sistemi ve sorumluların net tanımı büyük önem taşır.
4. Talebin Gereğini Yerine Getirme
Talep haklı bulunup kabul edildiğinde veri sorumlusu, başvurunun türüne göre somut adımlar atmalıdır. Örnek talep türleri ve gereği:
- Erişim talebi: İlgili kişiye hangi verilerinin işlendiği, amaçlar, hukuki sebepler ve aktarıldığı üçüncü kişiler hakkında bilgi sunulur.
- Düzeltme talebi: Hatalı veya eksik kayıtlar güncellenir; bu değişiklikler ilgili tüm sistemlere yansıtılır.
- Silme / yok etme talebi: Mevzuatın izin verdiği ölçüde veriler silinir veya anonim hale getirilir; zorunlu saklama yükümlülükleri varsa bu durum ilgili kişiye açıklanır.
- İşleme kısıtlama / itiraz: Belirli işleme faaliyetleri durdurulur, sınırlandırılır veya yeniden değerlendirilir; itiraz gerekçesi dikkate alınarak süreç revize edilir.
Tüm bu adımlar atılırken; veri minimizasyonu, saklama süresi, güvenlik tedbirleri ve kayıt tutma ilkeleriyle uyum zorunludur.
5. İlgili Kişiye Bilgi Verme ve Şeffaflık
Talep sonuçlandırıldıktan sonra veri sorumlusu, ilgili kişiye net ve anlaşılır bir yanıt vermelidir. Bu yanıtta:
- Talebin kabul edilip edilmediği,
- Kabul edildiyse hangi işlemlerin yapıldığı (hangi veriler düzeltildi, silindi, kısıtlandı vb.),
- Reddedildiyse hangi hukuki gerekçelerle reddedildiği,
- İlgili kişinin hangi şikâyet ve yargı yollarına ne süre içinde başvurabileceği
açıkça yer almalıdır. Bu hem KVKK’nın şeffaflık ilkesine uygunluk sağlar, hem de ilgili kişinin hak arama özgürlüğünü fiilen kullanabilmesine imkân verir.
6. Taleplerin İzlenmesi ve Süreç İyileştirme
Veri sorumlusu, kendisine iletilen tüm ilgili kişi taleplerini kayıt altında tutmalı ve düzenli aralıklarla gözden geçirmelidir. Bu sayede hem yasal yükümlülükler yerine getirilir hem de süreçler sürekli iyileştirilebilir.
6.1 İzleme ve Değerlendirme Başlıkları
- Yıllık/aylık gelen talep sayıları ve türleri (erişim, düzeltme, silme vb.),
- Ortalama cevap süreleri ve gecikme yaşanan noktalar,
- Tekrarlayan şikâyet veya itiraz konuları,
- İç politika, prosedür ve eğitim ihtiyaçları.
Düzenli değerlendirmeler; süreç optimizasyonu, personel eğitimi, sistem geliştirme ve dokümantasyon güncellemeleri için somut veri sağlar. Böylece talep yönetimi, kurumsal KVKK uyum programının yaşayan bir parçasına dönüşür.
7. Sık Sorulan Sorular
7.1 Veri sorumlusu ilgili kişinin talebini reddedebilir mi?
Evet. Talep mevzuatla çelişiyorsa, saklama yükümlülükleri gereği yerine getirilemiyorsa veya başka kişilerin hak ve özgürlüklerini ihlal etme riski taşıyorsa, veri sorumlusu gerekçesini ayrıntılı açıklayarak talebi reddedebilir. Ancak bu durumda, ilgili kişiye hangi şikâyet ve yargı yollarının açık olduğu mutlaka bildirilmelidir.
7.2 Talebin kabul edilmesi hâlinde hangi adımlar zorunludur?
Talep kabul edildiğinde veri sorumlusu, kararın gereğini fiilen yerine getirmeli (örneğin verileri düzeltmek, silmek, işlemekten kaçınmak) ve işlemler tamamlandıktan sonra ilgili kişiyi yazılı veya elektronik ortamda bilgilendirmelidir. Ayrıca bu süreç denetlenebilir kayıtlarla desteklenmelidir.
7.3 Taleplere geç yanıt verilirse ne olur?
Kanuni sürelerin aşılması; denetimlerde olumsuz tespitlere, idari yaptırım riskinin artmasına ve ilgili kişi nezdinde güven kaybına yol açabilir. Bu nedenle süre yönetimi için alarmlar, iş akış sistemleri ve sorumlu atamaları ile sürecin proaktif takip edilmesi önerilir.
7.4 Tüm talepler aynı süreçten mi yürütülmelidir?
Çekirdek akış aynı olsa da (alma–inceleme–karar–bildirim), erişim, silme, düzeltme veya itiraz gibi farklı talep türleri için özel alt iş akışları ve kontrol listeleri tanımlamak, hem hataları azaltır hem de denetlenebilirliği artırır.
