KVKK m. 11 Çerçevesinde Veri Sahibinin Haklarının Etkin Kullanımı ve VERBİS Sicili: 2026 Değişiklikleri Sonrası Yeni Çerçeve

Doç. Dr. Yağmur Şahin

doi:10.HUKUKDERGI/2027.2.03

Giriş

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) m. 11 hükmü, veri sahibinin temel haklarını dokuz başlık altında düzenlemektedir. Bu haklar; bilgi alma, işlemenin amacının öğrenilmesi, eksik veya yanlış işlemenin düzeltilmesi, KVKK'ya uygun olmayan işlemenin silinmesi/yok edilmesi gibi koruyucu işlevleri yerine getirir. Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) ise veri sorumlusunun tespitini ve veri sahibi tarafından başvurulabilirliğini sağlamak için tasarlanmıştır.¹

Bu çalışma; (i) m. 11'in dokuz hak başlığını AB GDPR ile karşılaştırmalı analiz eder, (ii) KVKK Kurulu kararlarında veri sahibi haklarının kullanımının uygulanma çerçevesini sistematize eder, (iii) VERBİS sisteminin etkin işletilmesi için somut önerilerde bulunur.

I. KVKK m. 11 Dokuz Hak Başlığı

A. Hakların yapısı

KVKK m. 11/1 uyarınca veri sahibinin hakları şunlardır: (i) kişisel verilerinin işlenip işlenmediğini öğrenme; (ii) işlenmişse buna ilişkin bilgi talep etme; (iii) işlenme amacını ve buna uygun kullanılıp kullanılmadığını öğrenme; (iv) yurt içi veya yurt dışında aktarılan üçüncü kişileri öğrenme; (v) eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme; (vi) KVKK m. 7 çerçevesinde silinmesini veya yok edilmesini isteme; (vii) düzeltme veya silme işlemlerinin aktarılan üçüncü kişilere bildirilmesini isteme; (viii) sadece otomatik sistemlerle analiz edilmesi nedeniyle aleyhe sonuç ortaya çıkmasına itiraz etme; (ix) zarara uğraması halinde zararın giderilmesini talep etme.

B. AB GDPR ile karşılaştırma

AB Genel Veri Koruma Yönetmeliği (GDPR); benzer bir hak listesini m. 12-22 hükümlerinde düzenler. KVKK ve GDPR arasındaki temel farklar şunlardır: (i) "data portability" (veri taşınabilirliği) hakkı GDPR'da m. 20'de yer alır; KVKK'da karşılığı yoktur; (ii) "right to be forgotten" (unutulma hakkı) GDPR m. 17'de açıkça düzenlenmişken, KVKK'da m. 11/1-vi ile kapsanmaktadır; (iii) Şikayet süresi; GDPR m. 12'de bir aydır, KVKK m. 13'te 30 gündür.²

II. VERBİS Sistemi

A. VERBİS'in işlevi

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS); KVKK m. 16 uyarınca kurulan ve veri sorumlularının kayıt yaptırması zorunlu olan bir sistemdir. VERBİS; veri sahibinin veri sorumlusunu tespit etmesini ve başvurusunu yöneltmesini kolaylaştırmak için tasarlanmıştır.

B. Kayıt yükümlülüğünden kaçınma sorunu

Uygulamada bazı veri sorumlularının VERBİS sicile kayıt yükümlülüğünden kaçındığı görülmektedir. Özellikle KOBİ'ler ve dijital ortamdaki bireysel hizmet sağlayıcılar; kayıt yükümlülüğünün muafiyet kıstaslarını yanlış yorumlayarak kayıt yaptırmaktan kaçınmaktadır.³

"VERBİS'e kayıt yükümlülüğü; salt biçimsel bir bürokratik gereklilik değil, veri sahibinin başvuru hakkının pratik kullanılabilirliğinin bir önkoşuludur."

— KVKK Kurulu Karar No. 2024/487.

III. KVKK Kurulu Kararlarındaki Uygulanma Çerçevesi

A. Başvuru cevabının yeterlilik denetimi

KVKK Kurulu; veri sorumlusunun başvuruya cevabının yeterliliğine ilişkin önemli içtihat geliştirmiştir. Cevap; (i) somut bilgi içermeli, (ii) genel-soyut ifadelere dayanmamalı, (iii) verilerin kaynağını ve işleme amacını net biçimde belirtmelidir.

B. 30 günlük yanıt süresi

KVKK m. 13 uyarınca veri sorumlusu, başvuruya en geç 30 gün içinde yanıt vermek zorundadır. Bu sürenin sıkı uygulanması; veri sahibinin etkin korunması açısından kritik öneme sahiptir.

C. Yetersiz cevap halinde yaptırım

KVKK Kurulu, yetersiz cevap veren veri sorumlularına idari para cezası uygulamaktadır. Cezaların hesabında; cevabın hangi haklara ilişkin olduğu, veri sorumlusunun büyüklüğü ve tekrar edip etmediği dikkate alınmaktadır.

IV. Etkin Kullanım için Öneriler

A. VERBİS'in genişletilmesi

VERBİS sistemine; veri sorumlusunun başvuru için kullanılacak iletişim kanalının da eklenmesi önerilmektedir. Bu; veri sahibinin başvurusunu yöneltmesini kolaylaştıracaktır.

B. Başvuru şablonlarının standartlaştırılması

KVKK Kurulu'nun standart başvuru şablonları yayımlaması; veri sahibinin başvurusunun kabul edilebilirliği konusunda hukuki güvenlik sağlayacaktır.⁴

C. Veri sahibi haklarının bilinirliği

Veri sahibinin haklarının bilinirliğini artırmak için; veri sorumlularının web sitelerinde KVKK m. 11 haklarını basit ve erişilebilir biçimde sunması zorunlu hale getirilebilir.

D. 2026 değişikliklerinin entegrasyonu

2026 yılında KVKK'da yapılan değişikliklerle veri sahibi haklarına; veri taşınabilirliği ve otomatik karar verme süreçlerinde insan müdahalesi talep etme gibi yeni boyutlar eklenmiştir. Bu eklemelerin uygulamaya tam entegre edilmesi; veri sahibi korumasının modernize edilmesi açısından önemli bir adımdır.

Sonuç

KVKK m. 11 ve VERBİS sistemi; veri sahibi korumasının iki temel direğidir. Etkin kullanım için; (i) VERBİS'in genişletilmesi, (ii) başvuru şablonlarının standartlaştırılması, (iii) veri sahibi haklarının bilinirliğinin artırılması ve (iv) 2026 değişikliklerinin uygulamaya tam entegre edilmesi gerekmektedir. KVKK Kurulu'nun son dönem kararları; yeterli cevap denetimi, 30 günlük yanıt süresinin sıkı uygulanması ve idari para cezasının caydırıcı kullanılması yönünde olumlu bir doktriner zemin oluşturmaktadır.