TR EN DE

İlgili Kişinin Hakları

KVKK'nın 11. maddesi, kişisel verileri işlenen gerçek kişilere (ilgili kişilere) bir dizi temel hak tanımaktadır. Bu haklar, bireylerin kişisel verileri üzerindeki kontrolünü sağlamak ve veri sorumlularının hesap verebilirliğini güvence altına almak amacıyla düzenlenmiştir.

Summary in English

Overview

This article examines the rights of data subjects under Turkish Personal Data Protection Law No. 6698 (KVKK) Article 11. These rights enable individuals to exercise control over their personal data and ensure data controller accountability.

Key Points

  • Right of Access: Data subjects may request information about whether their data is being processed, which data is processed, processing purposes, and recipients.
  • Rectification Right: Data subjects may request correction of inaccurate or incomplete personal data.
  • Erasure Right: When processing conditions no longer apply, data subjects may request deletion or destruction of their data.
  • Objection Right: Data subjects may object to results derived from automated processing that produce adverse effects against them.
  • Complaint Procedure: If the data controller rejects the request or fails to respond within 30 days, data subjects may file a complaint with the Board within 30-60 days.
Full article in Turkish below

Überblick

Dieser Artikel untersucht die Rechte der betroffenen Personen nach dem türkischen Datenschutzgesetz Nr. 6698 (KVKK) Artikel 11. Diese Rechte ermöglichen es Einzelpersonen, Kontrolle über ihre personenbezogenen Daten auszuüben und die Rechenschaftspflicht des Verantwortlichen sicherzustellen.

Kernpunkte

  • Auskunftsrecht: Betroffene Personen können Informationen darüber anfordern, ob ihre Daten verarbeitet werden, welche Daten verarbeitet werden, Verarbeitungszwecke und Empfänger.
  • Berichtigungsrecht: Betroffene Personen können die Korrektur ungenauer oder unvollständiger personenbezogener Daten verlangen.
  • Löschungsrecht: Wenn die Verarbeitungsvoraussetzungen nicht mehr vorliegen, können betroffene Personen die Löschung oder Vernichtung ihrer Daten verlangen.
  • Widerspruchsrecht: Betroffene Personen können Ergebnissen automatisierter Verarbeitung widersprechen, die nachteilige Auswirkungen gegen sie haben.
  • Beschwerdeverfahren: Wenn der Verantwortliche den Antrag ablehnt oder nicht innerhalb von 30 Tagen antwortet, können betroffene Personen innerhalb von 30-60 Tagen eine Beschwerde bei der Behörde einreichen.
Vollständiger Artikel auf Türkisch unten

1. Giriş

İlgili kişinin hakları, kişisel verilerin korunması sisteminin temel taşlarından birini oluşturur. KVKK'nın 11. maddesi, kişisel verileri işlenen gerçek kişilere kapsamlı bir hak seti tanımakta ve bu hakların etkin kullanımını güvence altına almaktadır. Bu haklar, bireylerin kişisel verileri üzerindeki kontrolünü sağlamak ve veri sorumlularının hesap verebilirliğini tesis etmek amacıyla düzenlenmiştir.

Karşılaştırmalı Hukuk
AB (GDPR Madde 12-23): İlgili kişi hakları detaylı ve kapsamlı şekilde düzenlenmiştir. Ek olarak veri taşınabilirliği hakkı (m.20), işlemenin kısıtlanması hakkı (m.18) ve profilleme dahil otomatik karar alma süreçlerine geniş itiraz hakkı (m.22) bulunmaktadır.

ABD: Federal düzeyde kapsamlı düzenleme yoktur. California CPRA, AB'ye benzer haklar tanımaktadır: bilgi edinme, silme, düzeltme ve opt-out hakları.

Almanya: GDPR kuralları doğrudan uygulanır. Veri koruma otoritelerine başvuru ücretsizdir ve süreçler dijitalleştirilmiştir.

Türkiye: KVKK m.11'de sekiz temel hak düzenlenmiştir. Veri taşınabilirliği ve işlemenin kısıtlanması hakları KVKK'da açıkça düzenlenmemiştir.

2. Yasal Çerçeve

İlgili kişinin hakları, KVKK'nın 11. maddesinde düzenlenmiştir. Bu haklar, kişisel verilerin korunması hakkının kullanılabilmesi için vazgeçilmez araçlardır ve Anayasa'nın 20. maddesiyle güvence altına alınan temel hakkın somutlaşmış halidir.

KVKK Madde 11 — İlgili Kişinin Hakları
Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
  1. Kişisel veri işlenip işlenmediğini öğrenme,
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  6. 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  7. (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
KARŞILAŞTIRMALI HUKUK
GDPR'daki İlgili Kişi Hakları (Madde 12-23)
GDPR, ilgili kişi haklarını daha detaylı ve kapsamlı şekilde düzenler. GDPR'da ek olarak veri taşınabilirliği hakkı (m.20) ve profilleme dahil otomatik karar alma süreçlerine daha geniş itiraz hakkı (m.22) bulunmaktadır. KVKK'da veri taşınabilirliği hakkı açıkça düzenlenmemiştir.

3. Hakların Detaylı İncelenmesi

1. Bilgi Edinme Hakkı

İlgili kişi, kendisiyle ilgili kişisel veri işlenip işlenmediğini, işlenmişse hangi verilerin işlendiğini ve işleme faaliyetine ilişkin temel bilgileri öğrenme hakkına sahiptir. Bu hak, diğer tüm hakların kullanılabilmesi için ön koşul niteliğindedir.

Talep Edilebilecek Bilgi Açıklama
İşlenen kişisel veriler Veri sorumlusu tarafından tutulan tüm kişisel veri kategorileri
İşleme amacı Verilerin hangi amaçlarla işlendiği
Hukuki dayanak İşlemenin dayandığı hukuki şart (m.5/2 veya m.6/3)
Alıcılar Verilerin aktarıldığı üçüncü kişiler
Saklama süresi Verilerin ne kadar süre saklanacağı
Veri kaynağı Veriler doğrudan ilgili kişiden alınmadıysa kaynak

2. Düzeltme Hakkı

Kişisel verilerin eksik veya yanlış işlenmiş olması halinde, ilgili kişi bu verilerin düzeltilmesini talep edebilir. Veri sorumlusu, talebi değerlendirmek ve gerekli düzeltmeleri yapmakla yükümlüdür.

KURUL KARARI
Düzeltme Talebinin Değerlendirilmesi
Kurul, 2019/96 sayılı kararında, veri sorumlusunun düzeltme talebini keyfi olarak reddedemeyeceğini, ret halinde bunun gerekçesini açıkça belirtmesi gerektiğini vurgulamıştır. İlgili kişinin sunduğu belgeler ışığında düzeltme yapılmaması KVKK'ya aykırılık teşkil eder.

3. Silme ve Yok Etme Hakkı

KVKK'nın 7. maddesinde öngörülen şartların varlığı halinde, ilgili kişi verilerinin silinmesini veya yok edilmesini talep edebilir. Bu hak, işleme amacının ortadan kalkması veya yasal saklama süresinin dolması gibi durumlarda gündeme gelir.

Silme/Yok Etme Şartı Örnek Durum
İşleme amacının ortadan kalkması Sözleşme sona ermiş ve yasal saklama süresi dolmuş
Rızanın geri alınması Pazarlama amacıyla işlenen verilerde rıza geri alınmış
Hukuka aykırı işleme Verilerin baştan itibaren hukuka aykırı işlendiği tespit edilmiş
Yasal yükümlülük Mevzuat gereği silme zorunluluğu ortaya çıkmış

4. Üçüncü Kişilere Bildirim Hakkı

Düzeltme veya silme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini talep etme hakkı, verilerin tüm alıcılar nezdinde güncel ve doğru tutulmasını sağlar.

5. Otomatik İşleme İtiraz Hakkı

İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı, algoritmik karar alma süreçlerine karşı koruma sağlar.

KURUL KARARI
Otomatik Profilleme ve Kredi Skoru
Kurul, 2020/173 sayılı kararında, banka tarafından otomatik sistemler kullanılarak oluşturulan kredi skoruna ilişkin başvuruda, ilgili kişinin bu skora itiraz hakkının bulunduğunu, bankanın salt otomatik değerlendirmeye dayanarak kredi talebini reddedemeyeceğini karara bağlamıştır.

6. Tazminat Hakkı

Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğrayan ilgili kişi, bu zararın giderilmesini talep edebilir. Maddi ve manevi tazminat talepleri genel hükümler çerçevesinde değerlendirilir.

4. Veri Sorumlusuna Başvuru Süreci

İlgili kişinin haklarını kullanabilmesi için öncelikle veri sorumlusuna başvurması gerekmektedir. Başvuru usul ve esasları "Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ" ile düzenlenmiştir.

VERİ SORUMLUSUNA BAŞVURU TEBLİĞİ
İlgili kişi, KVKK'nın 11. maddesinde belirtilen haklarına ilişkin taleplerini veri sorumlusuna yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle iletir.
Başvuru Yöntemi Gerekli Bilgiler
Yazılı başvuru (ıslak imzalı) Ad-soyad, TC kimlik no, adres, imza, talep konusu
Kayıtlı elektronik posta (KEP) KEP adresi üzerinden gönderim
Güvenli elektronik imza E-imza ile imzalanmış başvuru
Kayıtlı e-posta adresi Veri sorumlusuna daha önce bildirilen e-posta

Cevap Süreleri

Veri sorumlusu, başvuruyu en geç 30 gün içinde sonuçlandırmak zorundadır. Talebin niteliğine göre bu süre 30 günü geçemez. Cevap yazılı veya elektronik ortamda verilir ve işlemin ayrıca bir maliyet gerektirmesi halinde Kurul tarafından belirlenen tarifeye göre ücret talep edilebilir.

Süre Açıklama
30 gün Veri sorumlusunun başvuruyu sonuçlandırması için azami süre
30 gün (ret sonrası) İlgili kişinin Kurul'a şikayet süresi (cevap tarihinden/60 gün sonra)
60 gün Veri sorumlusu cevap vermezse, ilgili kişinin Kurul'a başvurabilmesi için bekleme süresi

5. Kurul'a Şikayet

Veri sorumlusunun başvuruyu reddetmesi, yetersiz bulması veya başvuruya süresinde cevap vermemesi halinde, ilgili kişi Kişisel Verileri Koruma Kurulu'na şikayette bulunabilir.

KVKK Madde 14 — Kurula Şikayet
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

Şikayet Süreci

  1. Ön koşul: Veri sorumlusuna başvuru yapılmış olmalı
  2. Süre: Ret cevabından itibaren 30 gün, cevap yoksa başvurudan itibaren 60 gün
  3. Başvuru yöntemi: kvkk.gov.tr üzerinden elektronik başvuru veya yazılı dilekçe
  4. İnceleme: Kurul şikayeti inceler, gerekirse veri sorumlusundan bilgi ister
  5. Karar: Kurul en geç 60 gün içinde karar verir
KURUL KARARI
Ön Başvuru Şartı
Kurul, 2018/143 sayılı kararında, veri sorumlusuna başvuru yapılmadan doğrudan Kurul'a yapılan şikayetlerin usulden reddedileceğini, zira veri sorumlusuna başvurunun zorunlu ön koşul olduğunu belirtmiştir.

6. KVKK ve GDPR Karşılaştırması

Hak KVKK (m.11) GDPR
Erişim hakkı Var Var (m.15)
Düzeltme hakkı Var Var (m.16)
Silme hakkı (unutulma hakkı) Var Var (m.17)
İşlemenin kısıtlanması Düzenlenmemiş Var (m.18)
Veri taşınabilirliği Düzenlenmemiş Var (m.20)
İtiraz hakkı Sınırlı (otomatik işleme) Geniş (m.21)
Otomatik karar almaya karşı koruma Var (sınırlı) Var (m.22 - detaylı)
Cevap süresi 30 gün 1 ay (uzatılabilir)

7. Hakların Sınırları

İlgili kişinin hakları mutlak değildir ve bazı istisnalar söz konusudur. KVKK'nın 28. maddesi, belirli durumlarda hakların uygulanmayacağını düzenler.

İstisna Durumu Açıklama
Milli savunma ve güvenlik Devlet güvenliği ve milli savunma için gerekli işlemeler
Kamu düzeni ve ekonomik güvenlik Kamu düzeninin korunması için zorunlu işlemeler
Suç soruşturması Ceza soruşturma ve kovuşturması kapsamındaki işlemeler
Resmi istatistik Anonimleştirilerek istatistik amaçlı işlemeler
Basın özgürlüğü Gazetecilik faaliyeti kapsamında işleme

8. Yargı Yolu

İlgili kişi, Kurul kararına itiraz edebileceği gibi, kişisel verilerin hukuka aykırı işlenmesi nedeniyle doğrudan yargı yoluna da başvurabilir.

İdari Yargı

Kurul kararlarına karşı Ankara İdare Mahkemeleri'nde iptal davası açılabilir. Dava açma süresi, kararın tebliğinden itibaren 60 gündür.

Adli Yargı

Maddi ve manevi tazminat talepleri için genel mahkemelerde dava açılabilir. Ayrıca KVKK'nın 17-18. maddeleri kapsamındaki suçlar için ceza davası da söz konusu olabilir.

UYGULAMA ÖNERİSİ
Hak Kullanım Stratejisi
İlgili kişilerin öncelikle veri sorumlusuna başvurması, ardından gerekirse Kurul'a şikayet etmesi ve son çare olarak yargı yoluna başvurması önerilir. Bu kademeli yaklaşım, hem zaman hem maliyet açısından daha verimlidir. Tazminat talepleri için ise paralel olarak adli yargıya başvurulabilir.

9. Sonuç

İlgili kişinin hakları, kişisel verilerin korunması sisteminin temel taşlarından biridir. Bu hakların etkin kullanılabilmesi, hem bireysel düzeyde kişisel verilerin korunmasını hem de kurumsal düzeyde veri sorumlularının hesap verebilirliğini sağlar.

Veri sorumluları, ilgili kişi başvurularını ciddiye almalı, yasal sürelere uymalı ve başvuruları özüne uygun şekilde değerlendirmelidir. Aksi takdirde Kurul tarafından idari para cezası uygulanması ve itibar kaybı söz konusu olabilir.

KVKK Makale Serisi 6 / 15
Açık Rıza VERBİS Kaydı

Bu çalışma yalnızca bilgilendirme amacıyla hazırlanmış olup hukuki tavsiye niteliği taşımaz. Mevzuat ve içtihatlarda meydana gelebilecek değişiklikler nedeniyle içerik zamanla geçerliliğini yitirebilir. İçeriğin somut olaylara uygulanması veya bu içeriğe dayanılarak alınan kararlar nedeniyle doğabilecek sonuçlardan sorumluluk kabul edilmez.