AC
Anasayfa Makaleler

Veri Sahibi Talepleri (DSAR) ve 30 Gün Yanıt Yükümlülüğü

TL;DR

KVKK m.13 veri sahibi talepleri için 30 gün yanıt zorunlu; yanıt vermemek veya geç yanıt 18.000-1.000.000 TL para cezası riski.

15 Şubat 2026 2 dk okuma 10 görüntülenme Son güncelleme: 9 Mayıs 2026

Veri sahibi talebi geldiğinde 30 gün içinde yanıt zorunlu. Yanıt verilmezse veya yanıltıcı yanıt verilirse 18.000-1.000.000 TL idari para cezası riski.

KVKK m.13 — talep süreci

  1. Veri sahibi yazılı (mektup, KEP) veya elektronik (web form, e-posta) başvurur.
  2. Şirket en geç 30 gün içinde yanıt verir.
  3. Yanıt veri sahibi açısından memnuniyet vermezse 30 gün içinde KVKK'ya şikâyet.
  4. KVKK incelemesi 60-180 gün içinde sonuçlanır.

Veri sahibinin hakları

  • Kişisel verisinin işlenip işlenmediğini öğrenme.
  • Kişisel verisi işlenmiş ise bilgi talep etme.
  • İşleme amacı + amaca uygun kullanılıp kullanılmadığını öğrenme.
  • Aktarım yapılan üçüncü kişiyi bilme.
  • Eksik / yanlış işlenmiş verinin düzeltilmesini isteme.
  • Silme veya yok etme talep etme (m.7).
  • İşleme itiraz etme.
  • Otomatik işleme sonucundan etkilenmişse itiraz.
  • Tazminat talep etme (m.14).

İdeal yanıt süreci

  1. 0-3 gün: Talep alındı tutanağı + kimlik doğrulama (TC kimlik / kayıtlı e-posta).
  2. 3-7 gün: Kapsam belirleme; hangi sistemler taranacak (CRM, ERP, log, backup).
  3. 7-21 gün: Veri toplama; redaksiyon (üçüncü kişi verileri çıkarılır).
  4. 21-28 gün: Yanıt taslağı + hukuk + DPO onayı.
  5. 28-30 gün: Yanıt KEP veya kayıtlı e-posta ile gönderim; talep edilen format (PDF, JSON).

Sıkça sorulan sorular

Talep sahte/kötü niyetli görünüyor; reddedebilir miyiz?

"Açıkça dayanaktan yoksun" veya "yetkili olmayan kişi" durumlarında reddedilir. Ancak gerekçeli ve yazılı; aksi halde KVKK şikâyetinde haklı çıkar.

Veriyi silemiyoruz, kanun gereği saklamamız gerek; ne yapalım?

Reddetme gerekçesi: hukuki yükümlülük (vergi, sigorta, ticari defter). Saklama süresi sonunda otomatik silme bilgisi verilir.

Toplu DSAR (10K kullanıcı aynı anda) ne yapacağız?

Otomatik portal + manuel onay süreci. Süre tek bir kullanıcı için 30 gün; toplu talep için aynı süre fakat ek personel + otomasyon. KVKK uzatma talep edilebilir (gerekçeli).

Anonim e-postaya yanıt veririz mi?

Hayır, kimlik doğrulama şart. KVKK m.13/2 — veri sorumlusu kimlik teyidi yapar. TC kimlik + kayıtlı e-posta önerilir.

Yanıt vermeyince KVKK ne yapar?

Şikâyet üzerine inceleme açar; idari para cezası 18.000-1.000.000 TL aralığında. Tekerrür ve ihlal kapsamı katlayıcı.

İlgili mevzuat

  • 6698 sayılı KVKK m.12 — Veri güvenliği yükümlülüğü; ihlal bildirimi (m.12/5).
  • 6698 sayılı KVKK m.14 — Tazminat hakkı.
  • 6698 sayılı KVKK m.18 — İdari para cezası (5 milyon TL'ye kadar).
  • GDPR Art. 33-34 — AB sınır ötesi aktarımda 72 saat ihlal bildirimi.
  • TCK m.135-136 — Kişisel verilerin hukuka aykırı kaydedilmesi/yayılması.
Yasal uyarı: Bu yazı genel bilgilendirme amaçlıdır; somut olay için avukatlık görüşmesi gereklidir. Süreler, oranlar ve uygulama içtihatla şekillenir; başvuru öncesi güncel mevzuatı kontrol edin.

Kaynaklar ve referanslar

Kaynaklar

Veri Sahibi Talepleri (DSAR) ve 30 Gün Yanıt Yükümlülüğü içeriği hazırlanırken resmi mevzuat ve yüksek yargı kaynakları esas alınmıştır.

Telif bildirimi Bu içerik ve tüm bağlantılı soru-cevap metinleri 5846 sayılı FSEK kapsamında korunmaktadır. İzinsiz kopyalama, çoğaltma, yayımlama, yeniden işleme, toplu veri çekimi veya ticari kullanım yasaktır; ihlal halinde hukuki ve cezai yollara başvurulur.

Hukuki destek arıyorsanız

Bu konuda profesyonel hukuki destek için Aycan Ceylan Avukatlık Bürosu olarak yanınızdayız.

Görüşme Planla