Makale
Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında ilgili kişilerin sahip olduğu haklar ve veri sorumlusuna başvuru süreçleri dijital mahremiyeti koruyan temel güvencelerdir. Bu makalede, KVKK 11. maddedeki haklar ile 13. madde uyarınca izlenmesi gereken yasal başvuru usulü hukuki bir perspektifle detaylı biçimde incelenmektedir.
KVKK Çerçevesinde İlgili Kişinin Hakları ve Başvuru Usulü
Hızla gelişen bilgi ve iletişim teknolojileri, kişisel verilerin toplanmasını ve işlenmesini olağanüstü ölçüde kolaylaştırırken bireylerin mahremiyet alanına yönelik ciddi riskler doğurmuştur. Türk hukukunda kişisel verilerin korunması, ilk kez 2010 yılında Anayasa'nın 20. maddesinde yapılan değişiklikle temel bir hak ve özgürlük olarak açıkça anayasal güvence altına alınmıştır. Bu anayasal temelin ardından, bireylerin kendi verileri üzerindeki denetim hakkını somutlaştırmak amacıyla 7 Nisan 2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girmiştir. İlgili kanun, bireylere verilerinin kimler tarafından ve hangi amaçlarla işlendiğini bilme imkânı sunarak veri işleme süreçlerinde şeffaflık ve denetlenebilirlik ilkelerini hayata geçirmiştir. Kanun kapsamında "ilgili kişi" olarak tanımlanan veri sahipleri, verilerinin hukuka aykırı şekilde işlendiğini tespit ettiklerinde, veri sorumlularına karşı kanunda açıkça düzenlenen çeşitli hukuki yollara başvurma yetkisine sahiptir.
KVKK Madde 11 Kapsamında İlgili Kişinin Hakları
KVKK'nın 11. maddesi, kişisel verisi işlenen bireylerin haklarını kapsamlı bir şekilde düzenleyerek veri işleme faaliyetlerinde bireyin aktif denetim hakkını teminat altına almıştır. Kanun koyucu, veri sahibi bireye, veri sorumlusunun hukuka ve dürüstlük kurallarına uygun hareket edip etmediğini bizzat değerlendirme fırsatı vermiştir. İlgili kişiler, öncelikle verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme ve işlenme amacının meşru gerekliliklerine uyulup uyulmadığını sorgulama yetkisine sahiptir. Ayrıca, verilerin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme hakkı, modern dijital çağda verilerin izinsiz paylaşılmasının önüne geçmek adına kritik bir yasal güvencedir. Verilerin eksik veya yanlış işlenmesi durumunda ise düzeltilmesini isteme hakkı yine kanunla teminat altına alınarak kişilik haklarına yönelik ihlallerin önlenmesi amaçlanmıştır.
Kanuni Hakların Kapsamı ve Uygulaması
Kanunun 11. maddesinde sınırları çizilen bu yasal imkânlar, bireylerin kendi verileri üzerindeki tasarruf yetkisini güçlendiren temel dayanaklardır. İlgili kişinin veri sorumlusuna karşı ileri sürebileceği temel hakları şu şekilde sıralamak mümkündür:
- Kişisel veri işlenip işlenmediğini öğrenme ve işlenmişse bilgi talep etme.
- İşlenme amacını ve verilerin amacına uygun kullanılıp kullanılmadığını öğrenme.
- KVKK'nın 7. maddesi çerçevesinde işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen veya talep üzerine kişisel verilerin silinmesini veya yok edilmesini isteme.
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi sonucunda kişinin kendi aleyhine bir sonucun ortaya çıkmasına itiraz etme.
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Veri Sorumlusuna Başvuru Usulü ve Süreci
Kişisel verilerine yönelik hukuka aykırı bir müdahale olduğunu tespit eden veya salt verileri hakkında bilgi almak isteyen ilgili kişi, yetkili kurumlara başvurmadan önce bizzat veri sorumlusuna başvuru yapmak zorundadır. KVKK'nın 13. maddesi uyarınca ilgili kişi, kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kişisel Verileri Koruma Kurulunun belirleyeceği diğer yasal yöntemlerle veri sorumlusuna iletmekle yükümlüdür. Kanun, veri sorumlusuna bu başvuruları talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırma zorunluluğu getirmiştir. Kural olarak bu idari işlem ücretsiz yerine getirilir; ancak işlemin ayrıca bir maliyet gerektirmesi hâlinde Kurulca önceden belirlenen tarifedeki ücret talep edilebilir. Veri sorumlusu, talebi kabul ettiğinde gereğini derhal yerine getirir, reddettiğinde ise kanuni gerekçesini açıklayarak ilgili kişiye yazılı veya elektronik ortamda bildirir.
Kişisel Verileri Koruma Kuruluna Şikâyet Hakkı
İlgili kişinin veri sorumlusuna yaptığı ilk başvurunun reddedilmesi, verilen cevabın hukuken yetersiz bulunması veya kanunda öngörülen otuz günlük yasal süre içinde hiç cevap verilmemesi durumlarında, kişinin hak arama hürriyeti sona ermez. Bu aşamada ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren ve herhâlükârda başvuru tarihinden itibaren altmış gün içinde doğrudan Kişisel Verileri Koruma Kuruluna şikâyette bulunma hakkına sahiptir. Şikâyetler, uygulamada standart olarak "KVKK İlgili Kişi Başvuru Formu" aracılığıyla kuruma iletilmektedir. Kurul, kendisine ulaşan başvuruları detaylıca inceledikten sonra veri sorumlusunun hukuka aykırı bir ihlalini tespit ederse, somut ihlalin niteliğine göre idari para cezası uygulanmasına veya ihlalin giderilmesine yönelik düzenleyici ve önleyici emirler verilmesine hükmedebilir.