top of page

İlgili Kişi Başvuru Formu nedir?

İlgili Kişi Bilgi Edinme Formu (Data Subject Access Request Form, "DSAR"), kişilerin KVKK kapsamında sürekli olarak sahip olduğu yasal haklardan biridir ve bu yüzden siz KVKK yükümlülüğünüzü yerine getirdikten sonra bile başınızı ağrıtmaya devam eder. Çünkü bu forma karşılık vermek emek ve zaman ister ve üstelik bu çaba ve zamana karşılık para da kazanamazsınız çünkü DSAR'ı cevaplamanız karşılığında bir ücret talep edemezsiniz. Ayrıca yanıtlamak için en fazla 30 gün süreniz var ve bu nedenle eğer ilgili departmanınız yoksa diğer projelerinizi askıya alıp buna yoğunlaşmanız bile gerekebilir.


DSAR'lar tabiki KVKK'nın karanlık yüzü değil. Kişisel veri işleyen işletmelerin, verileri kanuna uygun işlediğini göstermenin ve aslında uyum sürecini layığı ile yerine getirdiklerini göstermenin bir yoludur. Bir KVKK çalışması yaptığınızda, belkide bir DSAR talebi gelmedikçe doğru bir çalışma yapıp yapmadığınızdan emin olamayacaksınız. Eğer DSAR'a yanıt vermekte zorlanıyorsanız belki de politikalarınızı veya envanterinizi gözden geçirmeniz gerekebilir. Bu asla kötü bir şey değil! Kurum tarafından olası bir cezaya maruz kalmadan önce KVKK çalışmanızı gözden geçirme fırsatı bulduğunuz için kendiniz şanslı bile sayabilirsiniz. KVKK çalışmaları yaparken genellikle tercih edilmez ama KVKK uyum çalışmanızın sağlamasını yapmanın en güzel yolu, farazi bir DSAR çalışması yapmaktır. Gerçek bir DSAR talebi ile karşılaşmadan önce mutlaka farazi bir DSAR çalışması yaptığınızdan emin olun. Böylece her türlü duruma karşı hazırlanmış olursunuz.


Bir DSAR talebi karşılaşırsanız, nasıl yanıtlayacağınıza dair size yardımcı olacak birkaç ipucundan bahsetmek isteriz:


1- DSAR tam olarak nedir?

Her gerçek kişi verisi ile ilgili olarak veri sorumlusuna başvuru hakkına sahiptir. Bu hak kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, Kanun’un ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması durumunda zararın giderilmesini talep etme hakkını kapsar.


Her ne kadar hukuksal bir talep olsa da, bu talebin mutlaka hukuki bir dille yazılması ve resmi bir talep gibi gözükmesi gerekmez. Örneğin bir bankaysanız ve bir müşteri size:


"Bana dair hangi bilgileri tutuyorsunuz?"

"Benim hakkımda hangi kişisel verilerin sakladığını bilmek istiyorum."

"Lütfen hakkımda ne kadar kişisel verileri tuttuğunuzu ve neden tuttuğunuzu söyleyebilir misiniz?"

"Kişisel verilerinin ne olduğunu bilmek istiyorum."

"Lütfen bana tuttuğunuz tüm verilerimi gönderin."


cümlelerinden birini içeren tek bir satır bir mail göndermiş olabilir. Bu talep her ne kadar yönetmeliğe göre usulsüz bir başvuru olsa da, veri sorumlusu olarak 30 gün içinde bu talebi reddettiğinizi belirtmelisiniz. Yani her halükarda ilgili kişiyi olumlu ya da olumsuz tatmin etmelisiniz. İşte bu noktada ekibinizdeki her kişiyi, özellikle gerçek kişilerle doğrudan iletişimde olan çalışanınızı eğitmeli ve bir başvuru talebi aldığında bunun en anlama geldiği konusunda bilgilendirmelisiniz.


Bu noktada websitenizde ya da şirketiniz bünyesinde hazırlanmış bir form bulundurarak işleri hem kendiniz hem de ilgili kişi için kolaylaştırmanız mümkün. Ancak bu form aracılığı ile ilgili kişiyi tarafınıza başvurmak üzere zorunda tutamayacağınızı unutmayın.


2. Teknolojiden faydalanın

Biri sizden kendisi hakkında sahip olduğunuz bilgilerin bir kopyasını vermenizi istediğinde, ilk adım server'ınız, e-postalarınız, şirket iç veya dış yazışmalarınız , basılı belgeleriniz de dahil olmak üzere bir yığın veri ortamını incelemek olacaktır. Bu ortamın büyüklüğüne göre, o kişiye ait verileri analiz etmeniz ve haliyle başvuru formuna yanıt vermeniz zorlaşacaktır. Muhtemelen işinizi desteklemeye yardımcı olmak için kendinizin yarattığı ya da satın aldığınız çok fazla yazılım kullanıyorsunuzdur. Bu teknolojiler size yardımcı olurken aynı zamanda verinin çoğaltılması, birden fazla yerde saklanması gibi ihtimalleri de artırır. Ancak teknolojiyi size bu anlamda yardımcı olmak üzere kullanmanın bazı yolları var:


  • Saklama süresi: Standart ayarlarınız, bilgiyi sonsuza dek saklamak üzere belirlenmiştir. Ancak Google ve Microsoft gibi verinin saklanabileceği bazı platformlar, saklama süresini değiştirmenize ve bir tutma süresi seçmenize izin verir. Saklama süresini değiştirmeniz, sistemin belirli bir süre sonra otomatik olarak e-postaları, anlık mesajları veya bu platforma aktardığınız her türlü veriyi otomatik olarak sileceği anlamına gelir. Bildiğiniz gibi dijital depolama masraflıdır. Saklama süresini belirleyerek, hem masrafınızı azaltabilir hem de çoktan maziye karışmış ve artık işlemediğiniz veriler otomatik olarak silindiğinden, başvuru formuna yanıt verme sürecinizi kısaltabilirsiniz. Ancak hatırlatmakta fayda var, daha uzun süre tutmak istediğiniz belirli belgeleri veya e-postaları kaydetmek için ayrı bir klasör oluşturduğunuzdan emin olun çünkü sizin için önemli olan mailleri saklama süresinin dolması sebebiyle kaybetmek istemezsiniz.

  • Arama butonu: İlgili kişi ile ilgili verilere erişmek için şüphesiz ki arama çubuğunu kullanacaksınız. Kişi ile ilgili tam ad, e-posta adresi, hatta iş unvanlarını aratabilirsiniz. Ancak aramanızı sınırlamak ve nokta atışı yapmak için arama butonunu doğru kullanmayı unutmayın. Örneğin, Ayşe Yılmaz isimli kişiye ait verilere erişmek istiyorken, arama butonu size hem ayşe hem de yılmaz kelimesini içeren bir çok sonuç verecektir ancak bu aramaya tırnak işareti ekleyerek "Ayşe Yılmaz" şeklinde arama yaparsanız yalnızca tırnak içindeki cümle için arama sonuçlarını alırsınız.

  • Eğitim: Kullandığınız yazılımın depolamaya yardımcı fonksiyonlarını tam anlamı ile kullanmak için program ile ilgili eğitim alın. Örneğin, paylaşılan verinin başka kişiler tarafından kaydedilmemesine imkan tanıyan bazı fonksiyonları olabilir. Bu anlamda programın fonksiyonlarından tam anlamı ile yararlandığınızdan emin olun.

  • Veri envanterini güncel tutun: Eğer ilgili kişi başvuru formuna yanıt vermek zorunda bir kurumsanız, bu aynı zamanda diğer veri sorumlusu yükümlülüklerinizin de olduğu anlamına gelir ve bu yükümlülüklerden birisi envanter tutmaktır. Envanter, işlediğiniz verileri bir excel dosyası halinde topluca görmenizi sağlar. İlgili kişi formuna yanıt verirken en büyük yardımcınız envanterdir. Bu sebeple envanterin her zaman güncel olduğundan emin olun.

  • Görsel harita: Verilerin nerede saklandığını göstermek için, sistemlerinizi görsel olarak çıkarın ve bu görsel haritayı güncel tutun.

  • Verileri çoğaltmaktan kaçının ve mümkünse tek kaynaktan çalışın.

3. İlgili kişi yalnızca işlenen verilerini öğrenme hakkında sahiptir.

İlgili kişi veri sorumlusuna başvurduğunda bu ona yalnızca bazı hakları verir. bu haklar Veri Sorumlusuna Başvuru Usul ve Esaslar Hakkında Tebliğ de yayımlanmıştır. Bu kapsamda örneğin ilgili kişinin adının geçtiği her e-maili ona bildirmeniz gerekmez çünkü bu hem başvuru hakkının kapsamı dışındadır hem de müşteri adının geçtiği şirket için mailleriniz ticari bilgi içeriyor olabilir. Bu hak kapsamında bu kişisel verileri içeren belgelerin kopyalarını değil, yalnızca gerçek kişisel verilerin kopyalarını vermeniz yeterlidir. Bu kapsamda istenen kapsama göre örneğin,

şeklinde bir tablo hazırlamanı yeterli olacaktır. Yani ilgili kişinin verisinin geçtiği maili doğrudan ona göndermek gibi bir yükümlülüğünüz yoktur.


İlgili kişi başvuru formu ile ilgili sorularınız için bize her zaman ulaşabilirsiniz.

0 yorum

Comments


bottom of page