Kişisel verilerin korunmasına ilişkin farkındalık düzeyinin artmasıyla beraber ilgili kişilerin verileri üzerindeki merakının da paralel şekilde arttığını görüyoruz. Bireyler, artık verilerin kimler tarafından neden tutulduğunu, hangi amaçlarla işlendiğini ve üçüncü kişilere aktarılıp aktarılmadığını merak ediyor. Bu nedenle de veri sorumlusuna başvuruda bulunup, “hangi verilerimi neden işliyorsun ve kimlere aktarıyorsun” diyerek adeta hesap soruyor.

Nitekim Kurul tarafından son zamanlarda yayınlanan kararlar çoğunlukla veri sahibinin önce veri sorumlusuna başvuru hakkını kullanması ve ardından kendisine gelen cevaptan tatmin olmaması veya hiç cevap gelmemesi üzerine Kurula şikâyette bulunması sonucunda ortaya çıkıyor. Özellikle son olarak 6 Kasım 2019 tarihinde yayınlanan karar özetleri bunun en güzel örneğidir.

Kurul, bu kararlarda veri sorumlusuna, veri sahibinin başvuru hakkını kullanması karşısında nelere dikkat etmesi gerektiği bakımından çok önemli ipuçlarına yer veriyor. Görünen o ki, veri sorumluları, veri sahibine gerektiği gibi cevap vermekte oldukça zorlanmakta ve Kurul da çareyi cevap verme usulü ve esaslarını somut olaylar bağlamında da açıklığa kavuşturmakta buluyor.

Ancak veri sahibinin veri sorumlusuna başvuru hakkının veri koruma hukukunu oluşturan temellerden biri olduğu unutulmamalıdır. Bu nedenle de bu hakkın öncelikle yasal dayanakları ve sonrasında da hakkın kullanılması halinde veri sahibine ne şekilde bir cevap verilmesi gerektiği açıklığa kavuşturulmalıdır. Aksi durum, gördüğümüz gibi Kurulun idari yaptırımlarına neden olmaktadır.

I. Veri Sahibi, Neden Veri Sorumlusuna Başvuru Hakkına Sahip Olmalıdır?

Konunun anlaşılabilmesi, özellikle bu hakkın öngörülme nedeninin açıklığa kavuşturulmasına bağlıdır. Aslında bu, kişisel verilerin korunması hakkının bizatihi kendisine duyulan ihtiyaç üzerinden açıklanması gereken önemli bir husustur. Buna göre öncelikle, bireye neden verileri üzerinde koruma hakkının tanınmasına ihtiyaç duyulduğu ve bu hakkın yasal olarak düzenlendiği sorulmalıdır.

Kişisel verilerin korunması hukuku, veri işleme süreçlerine ilişkin kuralları ortaya koymakla beraber temel olarak bireylerin verilerinin güvende olmasını hedefler. Amaç, bireyin mahrem alanının tehlikede ve tehdit altında olduğu bu dönemde, bireylerin insan onuruna yakışacak bir biçimde yaşayabilmesi adına her şeye rağmen ona yine de mahrem bir alan bırakmaktır. Bunun tek yolu bireyin kendi verisini istediğine açıkladığı, istemediğine açıklamadığı, istediğine aktardığı bir ortam oluşturmak, yani bireylerin verileri üzerinde hakimiyet sahibi olmasını sağlamaktır.

Bireyin verisi üzerinde hakimiyet sahibi olması ise verilerini hiçbir şekilde paylaşmaksızın adeta adım atamayacağı günümüzde, bu verilerinin akıbeti hakkında bilgi sahibi olması, başka bir deyişle verilerinin kimde neden tutulduğunu, ne amaçlarla işlendiğini ve kimlerle paylaşıldığı gibi verilerine ilişkin her türlü süreç hakkında bilgi sahibi olmasından geçer. Birey, ancak bu şekilde verileri üzerindeki hakimiyetin kendisinde ve dolayısıyla da verilerinin güvende olduğunu ve verilerinin geleceğini de kendisinin belirleyeceğini hisseder. Dolayısıyla veri koruma hukuku bağlamında, bireyin verilerine erişme ve verileri hakkında bilgi sahibi olmasına ilişkin gerekli mekanizmalar kurulmalıdır.

II. Başvuru Hakkı Hangi Yasal Düzenlemelerde Yer Buluyor?

Yukarıda kısaca açıklanan sebeplerle verilerin korunması hakkını öngören hemen her yasal düzenleme tarafından veri sahibinin veri sorumlusuna başvurarak verileri hakkında bilgi sahibi olması üzerine başvuru yolları öngörülmüştür.

Bireylerin kişisel verilerine erişmesi her şeyden önce anayasal bir haktır

Konuyla ilgili en temel düzenleme 1982 tarihli Türkiye Cumhuriyeti Anayasası’nda yer alır. Anayasa’nın “özel hayatın gizliliği” başlıklı 20. maddesinin altında herkesin kişisel verilerinin korunmasını isteme hakkına sahip olduğu belirtildikten sonraki cümle çok nettir: “Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.”

Madde gerekçesinde de kişilerin kendilerini ilgilendiren veriler üzerinde sahip olduğu hak ve hürriyetlerin belirtildiği açıklanarak, bireyin kişisel verilerin korunması hakkı ve bu hak kapsamında bilgilendirme ve verilerine erişme hakkı da anayasal bir hak olarak güvence altına alınmıştır[1].

Bu durum, Kişisel Verilerin Korunması Kanunu’nda daha detaylı bir şekilde yer bulmuştur. Kanun’un “İlgili kişinin hakları” başlıklı 11. maddesinde veri ilgilisinin, veri sorumlusuna yapacağı başvurusunda hangi haklara sahip olduğu, veri sorumlusundan hangi bilgileri talep edeceği düzenlenmiştir. Bundan sonra “Veri sorumlusuna başvuru” başlıklı 13. maddesinde bu başvuruya ilişkin kurallar belirlenmiştir.

Bu başvuruya ilişkin kuralların daha açık bir şekilde ortaya konulması ise Kişisel Verileri Koruma Kurumu tarafından 10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” ile olmuştur.

Konu, GDPR’da da veri ilgilisinin haklarının düzenlendiği üçüncü bölümde düzenlenmiştir.

III. Kurul’un 6 Kasım 2019 Tarihinde Yayınladığı Karar Özetleri ve Veri Sorumlusuna Başvuru

İşte bu bağlamda KVK Kurulu’nun 6 Kasım 2019 tarihinde yayınlamış olduğu üç adet kararı özeti son derece önemli ve aydınlatıcıdır. Dolayısıyla bu kararların dikkatle incelenmesi gerekir.

1. Veri sahibinin başvuru usulü: veri sorumlusu bu noktada herhangi bir düzenleme yapma yetkisine sahip midir?

Veri sahibinin kişisel verilerine ilişkin taleplerini veri sorumlusuna nasıl ileteceği başvuru hakkının ilk aşamasıdır. Kurul tarafından 6 Kasım 2019 tarihinde yayınlanan 2019/296 sayılı kararında[2] bu başvurunun usulüne ilişkin olarak önemli açıklamalar bulunmaktadır. Bundan önce Tebliğ’in başvurunun nasıl yapılacağını düzenleyen 5. maddesini hatırlayalım:

“İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.”

Başvuru usulünü düzenleyen bu maddeden anlıyoruz ki, veri sorumlusu, Tebliğ ile belirtilen yöntemler dışında bu başvuru amacına yönelik olarak herhangi bir yazılım veya uygulama geliştirebilir, bu uygulamayı ilgili kişilere bildirmek kaydıyla da yürütebilir. Dolayısıyla bu başvuru hakkının nasıl kullanacağına ilişkin yöntemin bir bakımdan veri sorumlusuna bırakıldığı gibi bir sonuç çıkmaktadır. Ancak anılan kararla durumun hiç de böyle olmadığı kesin bir biçimde ortaya konulmuştur.

Karara konu veri sorumlusu, internet sitesinde bir Gizlilik Politikası yayınlıyor ve “ilgili kişi tarafından yapılacak olan başvuruların KVKK talep formu doldurularak şirket adresine noter kanalı vb. yollarla gönderilmesi” gerektiği doğrultusunda bilgilendirmede bulunuyor. Veri ilgilisi ise buna rağmen şirketin müşteri hizmetlerine elektronik ortamda ilettiği form aracılığıyla başvuruda bulunuyor. Veri sorumlusu da kimlik teyidi yapamadığı gerekçesiyle bu başvuruyu reddediyor.

Kurul, veri sorumlusunun bu başvuruyu reddetmede haklı olup olmadığı yönelik yaptığı incelemede ilk olarak veri sorumlusu tarafından kendisine yapılacak başvurularla ilgili olarak “Tebliğ’de belirtilen yöntemlere ek bir kontrol mekanizması daha oluşturulduğu” noktasına dikkat çekiyor. İlgili kişinin yaptığı başvuru, her ne kadar T.C. kimlik numarası ve adresi gibi Tebliğ’in 5. maddesinin devamında belirtilen zorunlu unsurları taşımasa da veri sorumlusu tarafından “kimlik teyidi sağlamak amacıyla yalnızca noter kanalı veyahut e-imza ile başvuruda bulunabileceğinin bildirilmesi” Kurula göre aşağıdaki gerekçelerle hukuka aykırıdır:

- Kanun’da ya da Tebliğ’de öngörülmeyen maddi bir külfet getirilmesi,

- İlgili kişinin bu şekilde yanlış yönlendirilmesi suretiyle söz konusu KVKK talep formunu doldurarak usule uygun bir başvuru yapma hakkının engellenmesi,

- Hukuka uygunluk ve dürüstlük kuralına aykırılık.

GDPR, kimlik doğrulaması amacıyla yaşanabilecek hukuka aykırılıkları, yılların verdiği deneyimin de etkisiyle doğrudan düzenlemiştir. Buna göre kimlik teyidi yapılabilmesi amacıyla ek bilgilerin talep edilebilmesi ancak “makul şüphelerin bulunduğu hallerde” söz konusu olabilir. Kurul kararında herhangi bir şüphenin varlığı ile ilgili bir bilgi olmamakla birlikte, veri sorumlularının kendilerine yönelen bir talepte, talep sahibinin kimliğini doğrulama yönündeki menfaati de göz ardı edilmemelidir. Zira kimlik doğrulamadan verilecek bir cevap, bu sefer verilerin, veri ilgilisi dışındaki başka bir kişiyle paylaşılmış olması ve veri sorumlusunun bu konuda gerekli tedbirleri almadığı sonucuna neden olacaktır. Dolayısıyla veri sorumlusunun kendisine yönelen bir talep karşısında talep sahibinin kimliği hakkında objektif olarak makul bir şüpheye düştüğü hallerde ek kontrol mekanizmaları kurma hakkı olmalıdır. İlerleyen zamanlarda bu konunun da açıklığa kavuşturulması gerektiğini düşünüyorum.

Sonuç olarak, her ne kadar yukarıda belirtilen Tebliğ hükmünden veri sorumlusunun kendisine yapılan başvurunun usulünü belirlemekte yetki sahibi olduğu sonucu çıkarılabilse de, Kurul tarafından yayınlanan kararda bu yetkinin sınırları olduğu net bir şekilde ortaya konulmuştur. Aslında bu, kişisel verilerin işlenmesine ilişkin temel ilkelerden de zaten çıkarılabilir. Zira veri sorumlusunun, kendisine bu alanda verilen bir yetkiyi bireyin kişisel verilerinin korunması hakkına aykırı bir şekilde dilediği gibi kullanma yetkisi söz konusu olamaz. Bununla birlikte durumun netleşmiş olması çok önemlidir: Veri sorumlusu, kendisine yapılan başvurularda, Kanun veya Tebliğ hükümlerinden başka bir uygulama öngörebilecek olmakla birlikte, bu uygulama “ek bir külfet” niteliğinde olmamalıdır. Sonuç olarak Kurul, “bu hakkın kullanılması üzerine gerekli mekanizmaları kur ama hakkın kullanılmasını yasal düzenlemelerle getirilen kurallar dışında zorlaştırma” demektedir.

Bununla birlikte yukarıda belirttiğim üzere Tebliğ hükmü farklı yorumlara açıktı. Sanıyorum ki bu yüzden ihlal olarak değerlendirilen bu durum, veri sorumlusuna doğrudan bir idari para cezası olarak dönmemiş ve Kurul, bana göre de olması gerektiği gibi veri sorumlusunun Tebliğ hükümlerine uyum konusunda azami dikkat ve özenin gösterilmesi hususunda talimatlandırılmasına karar vermiştir.

2. Veri sorumlusunun başvuruya cevap verirken dikkat etmesi gerekenler

Veri sahibinin başvuru hakkını kullanmasından sonra, bu başvurunun veri sorumlusu tarafından ne şekilde cevaplandırılacağı uygulamada en sık karşılaşılan problemdir. Zira bu konuda veri sorumlusuna ciddi sorumluluklar yüklenmiştir ve çoğu veri sorumlusu ne yazık ki kendisine yönelen talepler karşısında gerektiği şekilde cevap verme konusunda yeterli donanıma sahip değildir.

Bu konuda veri sorumlularının öncelikle tıpkı Kanun ile getirilen her yükümlülük gibi bu yükümlülüklerini de kabul etmeleri gerekir. Başvuruları çeşitli gerekçelerle reddetme, cevap vermemeye çalışma, yeterli araştırmayı yapmadan eksik veya hatalı cevap verme gibi yöntemlerle bu yükümlülükten kaçınılması mümkün değildir. Veri ilgilisinin bu hakkı her şeyden önce Anayasal bir koruma altındadır ve günün sonunda veri sorumlusu usulüne uygun yapılmış olmak kaydıyla kendisine yönelen talepleri hukuka uygun bir şekilde cevaplandırmalıdır.

Veri sorumlusunun başvuruya ne şekilde cevap vereceği aslında Tebliğ’in 6. maddesiyle detaylı olarak düzenlenmiştir[3]. Ancak her somut olay bağlamında aranan cevabın bu maddede yer alması elbette mümkün değildir. Veri sorumlularının cevap vermede kullandıkları yöntemlerin hukuka uygun olup olmadığı somut olaylar ve Kurul kararlarıyla zamanla daha net bir hale gelecektir. Burada da Kurulun son vermiş olduğu kararlarda hangi cevap verme yöntemlerinin hukuka aykırı olduğuna ilişkin sonuçlar çıkarmamız mümkündür.

- Veri sorumlusunun “şu numarayı ararsan, talebine karşılık veririz” gibi bir cevabı kabul edilebilir bir cevap mıdır?

Kurulun 6 Kasım 2019 tarihinde yayınladığı 2019/227 sayılı kararına[4] konu olan olayda bir banka çalışanı, müşterisini arayarak eşinin müdürü olduğu şirket ile ilgili olarak eşine ulaşamadıklarını ve ulaşmaları konusunda yardım talep etmiştir. Müşteri, kendisiyle ilgili işlemlerde kullanması için vermiş olduğu iletişim bilgilerine başka amaçlarla ulaşan bankadan bilgi almak için başvuruda bulunduğunu ve bankanın yazılı bir cevap vermediği iddiasındadır. Yapılan incelemede ise şikayetçinin kendisine gönderilen bir e-posta ile “… paylaşımınız hakkında detaylı bilgilendirme yapabilmek amacıyla iletişim numaranız üzerinden size ulaşmayı denedik ancak yanıt alamadık. İşleminiz ile ilgili detayları …Hizmet Hattı’nı arayarak öğrenebilirsiniz” şeklinde bilgilendirildiği anlaşılmaktadır.

Burada aslında veri sorumlusunun, veri ilgilisinin kendisine yönelttiği bir soru üzerine verdiği bir yanıt söz konusudur. Veri ilgilisi talebini, söz konusu bankaya e-posta aracılığıyla iletmiş, banka da e-posta yolu ile geri dönüş yapmıştır. Veri ilgilisinin usulüne uygun bir başvuru yapıp yapmadığı karardan anlaşılmamakla birlikte, anlaşılan o ki Kurul için bu kısım önemli görülmemiştir. Veri ilgilisinin başvurusunun usulüne uygun olup olmadığına bakılmaksızın, veri sorumlusu tarafından başvuruya ilişkin detayların Hizmet Hattından öğrenilebileceğine yönelik olarak yapılan bildirim karşısında, Kurul, “veri sorumlusunca Şikâyetçiye başvurusunda talep ettiği hususları açıklayıcı nitelikte yazılı veya elektronik ortamda bir cevap olarak değerlendirilemeyeceği” kanaatindedir.

Karardan veri ilgilisinin usulüne uygun olarak bir başvuru yaptığı sonucu çıkmamakla birlikte, böyle bir kabul halinde veri sorumlusunun bu cevabının Tebliğ hükümlerine aykırı olacağı açıktır. Zira böyle bir bilgilendirme yerine talep edilen hususların açıklandığı bir bilgilendirme yapılabilirdi. Buna karşılık veri ilgilisinin usulüne uygun olmayan bir başvurusu karşısında veri sorumlusunun bu yönde bir cevabının farklı değerlendirilmesi gerektiğini düşünüyorum. Sanıyorum bu durumda da, Kurulun istediği, başvurunun usulüne uygun olmadığı ve bu nedenle de talebin reddedildiği yönünde bir bilgilendirme yapılmasıdır. Sonuç olarak verilen cevapta arananın “cevap vermek üzere başkaca bir yolun bildirilmesi olmadığı” açıktır, zira Kurul, somut olayda Tebliğ hükümlerine uygun cevap verilmediğine ve “Bankaya Kanun ve Tebliğ hükümlerine uyum hususunda azami dikkat ve özenin gösterilmesi konusunda hatırlatmada bulunulmasına” karar vermiştir.

Dolayısıyla veri sorumluları karara konu olan e-posta mesajına benzer yöntemler yerine talep usulüne uygunsa her halde süresi içinde cevap vermeli, değilse de veya talebin karşılanamayacağı başkaca herhangi bir durum söz konusuysa, yapılan başvuruyu ancak gerekçesi açıklanmak suretiyle reddetmelidir.

- Veri sorumlusu kendisine yapılan bir başvuru karşısında yeterli araştırmayı yapmalı ve ancak bundan sonra cevap vermelidir, eksik veya hatalı bilgilendirme yapmadığından emin olmalıdır.

Veri sorumlusunun cevabında en önemli hususlardan biri de bilgilendirmenin eksik ve hatalı olmamasıdır. Yapılan bir başvurunun, veri sorumlusu bünyesinde gerekli araştırma yapılmadan cevaplanması ilgili kişiye eksik ve hatalı bilgilendirme yapılması sonucunu doğurabilir. Nitekim Kurulun yine 6 Kasım 2019 tarihinde yayınlanan 2019/294 sayılı kararında[5] veri sorumlusuna başvuru konusunda gerçekleşen durum tam olarak budur.

Kararın konusu bir havayolu taşımacılık şirketinin sunmuş olduğu sadakat programını kullanan kişinin şikayetidir. İlgili kişinin kullanıcı adı ve parola bilgilerini değiştirme talebi karşısında, veri sorumlusu kimlik doğrulama işlemi gerekçesiyle arkalı önlü kimlik görüntüsünü talep etmiş ve o sırada bilgilerine erişmek için kimlik görüntüsünü elektronik ortamda ileten ilgili kişi, daha sonra bu verilerinin silinmesini ve eğer üçüncü kişilere aktarıldıysa da bu kişilere bildirim yapılmasını talep etmiştir. Bu talep sonucunda, verilerin zaten sistemde tutulmadığı bilgisini alan ilgili kişi, sonrasında Kurula başvurmuştur.

Veri sorumlusu tarafından ilgili kişiye e-posta yoluyla verilen cevapta güvenlik gerekçesiyle zaten talep konusu kimlik belgesinin kayıt altına alınmadığı ve üçüncü kişilerle de paylaşılmadığı bilgilendirmesi yapılsa da Kurulun talebi sonrasında veri sorumlusunun yaptığı inceleme sonrasında durumun böyle olmadığı anlaşılmıştır. Öncelikle ilgili kişiyle iletişim halinde olan çağrı merkezi tarafından arkalı önlü kimlik fotokopisi alınmak suretiyle yapılan kimlik doğrulama süreci zaten şirket kurallarına uygun olarak yürütülmemiş olduğu tespit edilmiştir.

Kimlik görüntüsünün alınmasıyla ilgili yapılan şikâyete karşılık veri sorumlusu tarafından verilen cevap bakımından Kurulun şu noktaların üzerinde durduğunu görüyoruz:

- Kurula göre kimlik görüntülerinin alınmasına dair şikâyetin içeriği doğru tahlil edilememiştir. Zira ilgili kişinin şikâyeti yazılı çalışma kurallarının aksine talep değerlendirme, görüş ve destek birimlerinin yeterli bilgisi olmadan yanıtlanmış ve bunun neticesinde de kimlik görüntülerinin kaydedilmediği ve üçüncü kişilerle paylaşılmadığı şeklinde hatalı bilgilendirme yapılmıştır.

- Yapılan incelemede ilgili kişinin kimlik görüntüsünün şikâyet modülü yazılım firmasının sunucuları üzerinde bulundurulduğu tespit edilmiştir. Kurul, verilerin saklandığı yerler ve paylaşılan üçüncü kişiler bakımından yanlış yapılan bu bilgilendirmeyi, “veri sorumlusunun ilgili kişinin başvuru hakkına riayet etmediği”nin bir göstergesi olarak ele almıştır.

- Ayrıca Kurula göre kayıt alına alınmadığı şeklinde verilen hatalı cevap, veri sorumlusunun “şeffaf olmadığı ve hukuka ve dürüstlük kurallarına uygun cevap vermediği” anlamına geldiği belirtilmiştir.

- Öte yandan veri sorumlusunun verdiği cevapta hangi işleme şartına dayandığını belirtmemesinin “belirli, açık ve meşru amaçlar için işlenme” ilkesine aykırı olduğuna karar verilmiştir.

Görüldüğü üzere veri ilgilisine doğru yanıt verilmemesi, veri işleyenin veri işleme yöntemlerine veri sorumlusunun tam olarak hakim olmaması, gerekli teknik ve idari tedbirlerinin alınması noktasında veri sorumlusunun ihlali olarak değerlendirilmiş ve aynı anda çok sayıda veri işleme ilkesine aykırılık oluşturduğuna karar verilmiştir.

Son olarak kararda Kurulun kimlik doğrulama işlemine ilişkin yaptığı değerlendirmeye dikkat edilmelidir. Kurul yukarıda da üzerinde durduğum kimlik doğrulamasına ilişkin ek bir bilgi talep edilip edilemeyeceğine ilişkin kanaatini bu kararda bir nebze de olsa belli etmiştir. Kararda kullanılan “Veri sorumlusunun, Kanun kapsamındaki başvurusuna cevap verebilmek amacıyla ilgili kişinin kimliğinin teyidi noktasında ek bilgi istemesinin yerinde olduğu değerlendirilmekle birlikte” ifadesi veri sorumlusunun ek bilgi talep edebileceğini net bir şekilde ortaya koymaktadır. Bununla birlikte ek bilgi talebinin GDPR’daki gibi herhangi makul bir şüphe doğrultusunda mı yapılabileceği noktasında belirsizlik devam etmektedir.

Öte yandan talep edilecek ek bilgilere verilerin niteliği bakımından sınırlama yapılmış olması da dikkat çekicidir. Kurul, ek bilgi talebini yerinde kabul etmekle beraber ilgili kişinin din ve kan grubu gibi özel nitelikli kişisel verilerinin talep edilmesini hukuka aykırı bulmaktadır. Kurula göre bu durum başta “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine, bundan başka özel nitelikli kişisel verilerin işlenme şartlarına aykırıdır.

Doç. Dr. Murat Volkan Dülger

---------------------------------------------

[1] Kişisel verilerin korunması hakkı, Anayasa’nın 20. maddesine, 5982 sayılı Kanun’un 2. maddesiyle eklenmiştir.

[2] “Bir operatör şirketinin, ilgili kişinin internet sitesi üzerinden yapmış olduğu başvurusunu kimlik teyidi yapamadığı gerekçesiyle reddetmesine ilişkin olarak Kurula yapılan başvuru” hakkında Kişisel Verileri Koruma Kurulunun 01/10/2019 Tarihli ve 2019/296 Sayılı Karar Özeti, www.kvkk.org.tr.

[3] MADDE 6 – (1) Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.

(2) Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder.

(3) Veri sorumlusu, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.

(4) Cevap yazısının;

a) Veri sorumlusu veya temsilcisine ait bilgileri,

b) Başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını,

c) Talep konusunu,

ç) Veri sorumlusunun başvuruya ilişkin açıklamalarını,

içermesi zorunludur.

(5) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, 7 nci maddede belirtilen ücret alınabilir. Başvurunun, veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

(6) İlgili kişinin talebinin kabul edilmesi hâlinde, veri sorumlusunca talebin gereği en kısa sürede yerine getirilir ve ilgili kişiye bilgi verilir.

[4] “Bir bankanın, ilgili kişinin cep telefonu numarasını bankaya veriliş amacı dışında kullanması” hakkında Kişisel Verileri Koruma Kurulunun 18/09/2019 Tarihli ve 2019/227 Sayılı Karar Özeti, www.kvkk.gov.tr.

[5] “Bir havayolu taşımacılık şirketinin (veri sorumlusu) sunduğu sadakat programını kullanan ilgili kişinin kullanıcı adı ve parola bilgilerini değiştirme talebi karşısında ilgili kişiden arkalı önlü kimlik görüntüsü talep eden veri sorumlusu” hakkında Kişisel Verileri Koruma Kurulunun 01.10.2019 Tarihli ve 2019/294 sayılı Karar Özeti, www.kvkk.gov.tr.