Posted on

Birleşik Krallık Bilgi Komiserliği Ofisi’nin ‘Veri Koruma Şikâyetleri’nin Nasıl Ele Alınacağına Dair Taslak Kılavuzu

Giriş

Birleşik Krallık’ın 2025 tarihli Veri (Kullanım ve Erişim) Yasası[1] [Data (Use and Access) Act] Haziran 2025’te yürürlüğe girerek veri koruma yükümlülüklerinde önemli değişiklikler[2] getirmiştir.

En önemli değişikliklerden biri, Haziran 2026’dan itibaren tüm kuruluşların veri koruma şikâyetlerini ele almak için bir sürece sahip olma zorunluluğudur. Uygulamada bu, bireylerin Bilgi Komiserliği Ofisi’ne başvurmadan önce endişelerini kuruluşa (veri sorumlusu olarak) iletmeleri gerektiği anlamına gelir.

Bilgi Komiserliği Ofisi, işletmelerin hazırlıklı olmalarına yardımcı olmak için, 19 Ekim 2025 tarihine kadar istişareye açık olan şikâyetlerin ele alınmasına ilişkin taslak bir kılavuz yayınlamıştır. Bu taslak kılavuz, kuruluşların sürecin her aşamasında ne yapması gerektiğini, yapılması gerekenleri ve neler yapabileceğini açıklamaktadır. Bu yazıda da, temel yükümlülüklere ve küçük ve orta büyüklükteki işletmelerin (KOBİ) şu anda atabileceği pratik adımlara bakılmaktadır.

  1. Şikâyetlerin ele alınmasına ilişkin yeni yasal yükümlülükler

Veri (Kullanım ve Erişim) Yasası ve Birleşik Krallık veri koruma yasası uyarınca, kuruluşlar yakında şikâyetleri etkili bir şekilde yönetme konusunda resmi bir göreve sahip olacaklardır. Bilgi Komiserliği Ofisi’nin taslak kılavuzu, uyulması gereken birkaç temel yükümlülüğü vurgulamaktadır:

  • Bir şikâyet kanalı sağlanması [provide a complaints channel]: İnsanlar doğrudan kuruluşa şikâyette bulunabilmelidir. Bu, çevrimiçi bir form, elektronik posta (e-posta) veya posta yoluyla, telefon veya canlı sohbet yoluyla olabilir. Şikâyetler için hiçbir kanalın olmaması artık kabul edilemez; her kuruluş veri koruma şikâyetlerini almaya ve ele almaya hazır olmalıdır.
  • 30 gün içinde onaylanması [acknowledge within 30 days]: Şikâyet alındıktan sonraki 30 gün içinde şikâyetin alındığı teyit edilmelidir. Bu, şikâyetçiye konunun araştırıldığının bildirilmesi ve sürecin başlangıcının işaret edilmesidir.
  • Araştırma yapılması ve derhal yanıt verilmesi [investigate and respond promptly]: Şikâyet araştırılmalı ve kişi gelişmelerden haberdar edilerek gereksiz gecikmelere mahal vermeden gerekli adımlar atılmalıdır. “Gereksiz gecikmelere mahal vermeden” [without undue delay] ifadesi esasen makul ölçüde mümkün olan en kısa sürede anlamına gelir. Şikâyetçinin araştırılmasında veya güncellenmesinde gereksiz gecikmeler bu yükümlülüğü ihlal edebilir.
  • Soruşturma sonucunun açıklanması [provide an outcome]: Soruşturma tamamlandıktan sonra, sonucu açıkça ve gereksiz yere gecikmeden açıklanmalıdır. Yanıtta, bulunanlar ve sorunu çözmek için atılan adımlar açıklanmalıdır. Kişi yanıttan memnun kalmazsa, yanıtta kişinin konunun Bilgi Komiserliği Ofisi’ne iletme hakkı olduğu da bildirmeli ve iletişim bilgileri verilmelidir.

Bunlar bağlayıcı yasal yükümlülüklerdir. Bir kişi ancak yanıtı aldıktan sonra şikâyetini Bilgi Komiserliği Ofisi’ne iletebilir. Bu koşulları yerine getirmemek, yalnızca müşterilerle aradaki güveni zedelemekle kalmaz, aynı zamanda kuruluşun veri koruma yasasını ihlal etmesine de yol açabilir.

  1. Kuruluşların hazırlık yapması
  • Bir şikâyet prosedürü oluşturulması [create a complaints procedure]: Henüz yoksa kuruluş için yazılı bir veri koruma şikâyet prosedürü oluşturulmalıdır. Bu belge, bir kişinin nasıl şikâyette bulunabileceğini ve şikâyette bulunduktan sonra neler beklemesi gerektiğini özetlemelidir. Örneğin, şikâyetin 30 gün içinde kabul edileceği, derhal soruşturma başlatılacağı, kişinin bilgilendirileceği ve net bir sonuç sunulacağı açıkça belirtilmelidir. Süreci herkesin takip edebilmesi için sade ve anlaşılır bir dil kullanılmalıdır.
  • Net şikâyet kanalları oluşturulması [establish clear complaint channels]: İnsanların şikâyette bulunması kolaylaştırılmalıdır. Seçenekler arasında bir form (çevrimiçi veya basılı), özel bir e-posta adresi, telefon hattı veya canlı sohbet yer alabilir. Bu yollar gizlilik bildirimine veya web sitesine eklenmelidir.
  • Ekiplerin eğitilmesi [train your staff]: Ekibin bir veri koruma şikâyetini nasıl tanıyacağı ve böyle bir şikâyet aldıklarında ne yapacaklarını bilmeleri sağlanmalıdır. Birisi şikâyeti “şikâyet” olarak adlandırmasa bile, yine de sayılabilir. Bu düzenli veri koruma eğitimine dâhil edilmelidir.
  • Çocuk verilerine ilişkin özel hususlar [special considerations for children’s data]: Kuruluş çocuk verileriyle (veya çocuklar tarafından kullanılması muhtemel hizmetlerle) ilgileniyorsa, çocuklardan veya çocuklar adına gelen şikâyetleri ele almaya hazır olunmalıdır. Bilgi Komiserliği Ofisi, şikâyet süreci boyunca açık ve yaşa uygun bir dil kullanılmasını beklemektedir. Ayrıca, bir çocuğun haklarını kullanma kapasitesinin kuruluş tarafından nasıl doğrulanacağı ve bir ebeveynin veya vasinin onlar adına hareket etmeye yetkili olup olmadığı da düşünülmelidir. Kuruluş eğer Yaşa Uygun Tasarım Yasası’na[3] [Age Appropriate Design Code] tabiyse, çocukların haklarını kullanmalarına veya şikâyette bulunmalarına yardımcı olacak mekanizmalara sahip olmalı, bir şikâyet veya talebin acil olduğunu belirtmeli ve buna göre önceliklendirme yapmalıdır.
  • Kayıt tutulması ve bunlardan ders çıkarılması [keep records and learn from them]: Her şikâyet tarih, ayrıntı, atılan adımlar ve sonuçlarıyla birlikte kaydedilmelidir. Bu, Bilgi Komiserliği Ofisi’nin kanıt istemesi durumunda mevzuat uyumunu gösterir. Sonrasında, olanlar incelenmeli ve iyileştirmeler belirlenmelidir. Örneğin, veri sahibi erişim taleplerindeki gecikmelerle ilgili tekrarlayan şikâyetler, sürecin hızlandırılması gerektiğini gösterebilir. Öğrenmek ve uyum sağlamak, zamanla şikâyetleri azaltacak ve hesap verebilirliği gösterecektir.
  1. Bir şikâyet alındığında ne yapılmalıdır?

Bir şikâyet alındığında şunlar yapılmalıdır:

  • Şikâyetin alındığının teyit edilmesi [acknowledge receipt]: Şikâyetin alındığı 30 gün içinde teyit edilmelidir. Bu, otomatik bir e-posta, mektup veya telefon görüşmesinin ardından gelen yazılı bir onay olabilir.
  • Şikâyetin hemen araştırılması [investigate promptly]: Konuyla ilgili gerçekler toplanmalı, ilgili kayıtlar incelenmeli ve ilgili personelle görüşülmelidir. Şikâyetçiden, bir başkası adına hareket ediyorsa, kuruluşun kimlik belgesi veya yetki belgesi gibi ek bilgilere ihtiyacı olabilir. Talepler orantılı olmalıdır. Yetki verilmezse, daha fazla araştırma yapılmasına gerek yoktur, ancak nedeni açıklanmalıdır.
  • Şikâyetçinin bilgilendirilmesi [keep the complainant informed]: Soruşturma boyunca, özellikle de soruşturma uzun sürüyorsa, şikâyetçiyle iletişimde kalınmalı ve kişiye endişelerinin ciddiye alındığını bildirecek güncellemeler ve bir iletişim noktası sağlanmalıdır.
  • Şikâyetçiye net bir sonuç sunulması [provide a clear outcome]: Soruşturma tamamlandıktan sonra, ortaya çıkan her sorun ele alınarak ve alınan düzeltici önlemler açıklanarak sonucu anlaşılır bir dille belirtilmelidir. Şikâyetçi hâlâ memnun değilse, kuruluşun, konuyu Bilgi Komiserliği Ofisi’ne iletme hakkını kendisine bildirilmeli ve Bilgi Komiserliği Ofisi’nin iletişim bilgileri verilmelidir.
  • Gözden geçirme ve iyileştirme fırsatının yakalanması [review and improve]: Her şikâyet bir iyileştirme fırsatıdır. Kuruluş şikâyeti kapattıktan sonra, benzer sorunları önlemek için süreçlerin iyileştirilip iyileştirilemeyeceğini değerlendirmelidir. Öğrenilen derslerin belgelenmesi, hesap verebilirliği gösterir ve zamanla şikâyetleri azaltabilir.
  1. Bilgi Komiserliği Ofisi’nin şikâyet sürecindeki rolü

Bilgi Komiserliği Ofisi, şikâyetler için kuruluşların ilk müdahale hattı olmasını bekler. Birisi kuruluşun sürecini incelemeden düzenleyici kurumla iletişime geçerse, Bilgi Komiserliği Ofisi genellikle onları kuruluşa yönlendirecektir.

Bu, bir şikâyet süreci başlatma yükümlülüğü açısından bir dezavantajdır. Bilgi Komiserliği Ofisi, şikâyetlerin öncelikle kuruluş tarafından ele alınmasını beklediğinden, şikâyetçi herhangi bir sorunla karşılaştığında Bilgi Komiserliği Ofisi’ne doğrudan başvuramayacağı için şikâyet konusunda Bilgi Komiserliği Ofisi’nin müdahale kapsamı daralmaktadır.

Birisi şikâyette bulunmayı planladığını söylerse, kuruluşun konuyu Bilgi Komiserliği Ofisi’ne haber vermesine gerek yoktur; konu profesyonelce ele alınmaya devam edilmelidir. Bilgi Komiserliği Ofisi olaya dâhil olursa, şikâyetin kabul edildiğinin, araştırıldığının ve derhal çözüldüğünün gösterilebilmesi kuruluşu güçlü bir konuma getirecektir. Öte yandan, şikâyetleri görmezden gelmek veya geciktirmek, yaptırım işlemlerinde kuruluş aleyhine olabilir. Şikâyetlerin ele alınması artık yasal bir yükümlülük olduğundan, Bilgi Komiserliği Ofisi’nin kuruluşların nasıl yanıt verdiğine daha fazla dikkat etmesi muhtemeldir.

Sonuç

Veri koruma şikâyetlerinin ele alınması artık sadece iyi bir uygulama değildir. Yakında Birleşik Krallık’ın güncellenen veri koruma rejimi kapsamında tüm işletmeler için yasal bir zorunluluk olacaktır.

Bilgi Komiserliği Ofisi’nin mezkûr taslak kılavuzu, kuruluşların hazırlıklarına yardımcı olmayı amaçlamaktadır, ancak nihai değildir. Danışma süreci 19 Ekim 2025 tarihine kadar devam edecektir. Bu tarihten sonra Bilgi Komiserliği Ofisi yanıtları inceleyecek ve kılavuzun nihai sürümünü yayınlayacaktır. Bu sürüm, mevcut taslağı düzenleyebilir veya genişletebilir.

Bu arada, kuruluşlar şimdiden net bir şikâyet prosedürü oluşturarak, personeli eğiterek ve şikâyetlerin derhal kabul edilip araştırılmasını ve çözülmesini sağlayarak hazırlıklara başlamalıdır. Bu, nihai kılavuz yayınlandığında kuruluşları güçlü bir konuma getirecek ve hesap verebilirlik gösterilmesine ve müşterilerle güven oluşturulmasına yardımcı olacaktır.

[1]<https://www.legislation.gov.uk/ukpga/2025/18/contents/enacted >.

[2] Bu konuda bkz. < https://emlaw.co.uk/the-data-use-and-access-act-2025/ >.

[3]<https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/childrens-information/childrens-code-guidance-and-resources/age-appropriate-design-a-code-of-practice-for-online-services/ >.

Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.

Okurlarımızın Bilgisine:
Legal Blog’da ve Legalbank'ta yayımlanan blog yazıları, yazarların görüşlerini aktardığı yazılar olup yazanın görüşlerinin Legal Yayıncılık A. Ş. tarafından benimsendiği manasına gelmemektedir. Blog yazıları, hakemli makale formatında olmayıp bilgi verme amaçlıdır. Kesinlikle hukuki mütalaa ya da tavsiye niteliğinde değildir.
Legal Yayıncılık A.Ş.