TBMM Madde Gerekçesi Kanun Tasarısı Gerekçesi
Maddeyle, kişisel verileri işlenen kişinin hakları düzenlenmektedir. Buna göre, kişi kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgileri talep etme, verilerin işlenme amacı ile bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurtiçinde veya yurtdışında verilerin aktarıldığı üçüncü kişileri bilme, 7 nci maddede öngörülen koşullar çerçevesinde kişisel verilerin silinmesini, yok edilmesini veya verinin muhtevasının eksik ya da gerçeğe aykırı olması hallerinde bunların düzeltilmesini isteme hakkına sahiptir.
Yine ilgili kişi, talebi doğrultusunda yapılan düzeltme, silme ve yok etme işlemlerinin, verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde, zararın giderilmesini talep etme hakkına da sahiptir.
Maddenin birinci fıkrasının (g) bendinde, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonucun ortaya çıkmasına itiraz hakkı düzenlenmektedir. Örneğin, bir çalışanın performansının, onun tarafından yapılan işlerin, otomatik bir sisteme işlenip analiz edilerek, analiz sonucuna göre değerlendirilmesine, çalışanın itiraz edebilmesi bu kapsamda değerlendirilecektir.
Genel Değerlendirme
Madde 11, ilgili kişilere tanınan temel hakları düzenlemekte olup, bu haklar kişisel verilerin korunması hakkının somutlaşmış tezahürü niteliğindedir.1
Hakların kullanılması bakımından söz konusu haklar veri sorumlusuna başvuru yoluyla icra edilmektedir (m. 13).2 Başvuru yazılı veya Kurul'un belirlediği yöntemlerle yapılmakta olup veri sorumlusu otuz gün zarfında cevap vermekle mükelleftir.
İlgili kişinin hakları tahdidi olarak şu şekilde sıralanmıştır: kişisel veri işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işlenme amacını ve bu amaca uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında aktarılan üçüncü kişileri bilme, eksik veya yanlış işlenmiş verilerin düzeltilmesini talep etme, kanuni şartlar oluştuğunda verilerin silinmesini veya yok edilmesini talep etme, düzeltme veya silme işlemlerinin üçüncü kişilere bildirilmesini isteme, münhasıran otomatik sistemler vasıtasıyla analiz edilen verilerin sonuçlarına itiraz etme ve kanuna aykırı veri işleme sebebiyle uğranılan zararın tazminini talep etme.3
GDPR Art. 15-22, KVKK m. 11'e göre daha kapsamlı haklar öngörmektedir. Özellikle veri taşınabilirliği hakkı (right to data portability) ve itiraz hakkının kapsamı (profilleme dahil) GDPR'da daha geniş düzenlenmiştir.
Erişim Hakkı (m. 11/1-a,b,c,ç)
İlgili kişinin kendi verileri hakkında bilgi edinme hakkı, veri koruma hukukunun en temel haklarından birini teşkil etmektedir.
Hakkın kapsamı, işlenen kişisel verilerin mahiyeti, işleme amaçları, yurt içinde ve yurt dışında verilerin aktarıldığı üçüncü kişiler ile verilerin amaca uygun kullanılıp kullanılmadığına ilişkin bilgileri ihtiva etmektedir.
Tatbikat bakımından veri sorumlusu, işlenen bilcümle verilerin bir suretini ilgili kişiye sunmakla mükelleftir. Bu suret anlaşılabilir, vâzıh ve sade bir dille hazırlanmalıdır. Erişim hakkı kaideten ücretsiz olarak kullanılmakta; bununla birlikte tekrarlanan veya orantısız nitelikteki taleplerde makul bir ücret talep edilmesi mümkündür.
Düzeltme ve Silme Hakkı (m. 11/1-d,e,f)
Düzeltme hakkı (m. 11/1-d) kapsamında ilgili kişi, eksik veya yanlış işlenmiş kişisel verilerinin tashihini talep edebilmektedir. Veri sorumlusu söz konusu tashihi derhal icra etmekle mükellef olup, düzeltme işleminin verilerin aktarıldığı üçüncü kişilere de bildirilmesi gerekmektedir.
Silme ve yok etme hakkı (m. 11/1-e) kapsamında ilgili kişi, m. 7'de öngörülen şartlar çerçevesinde talepte bulunabilmektedir. İşleme sebebinin ortadan kalktığı hallerde veya rızaya dayalı işlemelerde rızanın geri alınması durumunda mezkûr hak kullanılabilir hale gelmektedir.
Bildirim mükellefiyeti (m. 11/1-f) kapsamında tashih veya silme işlemlerinin, verilerin daha önce aktarıldığı üçüncü kişilere iletilmesi gerekmektedir. Bu bildirim, imkân dâhilinde olduğu ölçüde yerine getirilmelidir.
GDPR Art. 17'deki "unutulma hakkı" (right to be forgotten), KVKK'da bu kapsamda düzenlenmemiştir. Ancak m. 11/1-e'deki silme hakkı benzer işlev görmektedir.
Otomatik Karara İtiraz ve Tazminat Hakkı (m. 11/1-g,ğ)
Otomatik karara itiraz hakkı (m. 11/1-g), münhasıran otomatik sistemler vasıtasıyla icra edilen ve kişi aleyhine hukuki sonuç doğuran analizlere karşı ilgili kişiye tanınan başvuru hakkını düzenlemektedir.1 Kredi skorlaması, otomatik iş başvurusu eleme sistemleri ve sigorta risk değerlendirmesi bu kapsamdaki başlıca örnekler arasındadır. İlgili kişi, mezkûr karara itiraz edebilmekte ve karar sürecinde insan müdahalesi talep edebilmektedir.2
Tazminat hakkı (m. 11/1-ğ), kişisel verilerin kanuna aykırı işlenmesi neticesinde zarara uğrayan ilgili kişinin tazminat talebinde bulunabilmesini güvence altına almaktadır.3 Bu hak çerçevesinde hem maddi hem de manevi tazminat talep edilebilmekte olup, tazminat taleplerinde genel hükümler (TBK m. 49 vd.) tatbik edilmektedir.4
Tazminat davası, KVK Kurulu'na şikâyet yolundan bağımsız olarak ikame edilebilmekte; iki yol birlikte kullanılabileceği gibi ayrı ayrı da başvurulabilmektedir.
GDPR Art. 22'de otomatik karar alma ve profillemeye karşı daha kapsamlı koruma öngörülmüştür. GDPR'da kural olarak tamamen otomatik karar alma yasaktır ve istisnalar sınırlıdır.