Bir veri sorumlusu, ilgili kişinin KVKK m.11 kapsamındaki başvurusunu, talebin 'aşırı' veya 'kötü niyetli' olduğu gerekçesiyle reddedebilir mi? KVKK ve ilgili Kurul kararlarında bu konuda bir düzenleme var mıdır?

KVKK metninde, ilgili kişinin taleplerinin 'aşırı' veya 'kötü niyetli' olduğu gerekçesiyle reddedilebileceğine dair açık bir hüküm bulunmamaktadır. Kural, veri sorumlusunun m.13 uyarınca başvuruyu en geç 30 gün içinde ücretsiz olarak sonuçlandırmasıdır. Ancak, Avrupa Birliği Genel Veri Koruma Tüzüğü'nde (GDPR), taleplerin 'açıkça temelsiz veya aşırı' olması halinde veri sorumlusunun makul bir ücret talep edebileceği veya talebi yerine getirmeyi reddedebileceği düzenlenmiştir. Kişisel Verileri Koruma Kurulu'nun uygulamalarında ve bazı ilke kararlarında da, hakkın kötüye kullanılması yasağı (TMK m.2) çerçevesinde, aynı konuda kısa aralıklarla ve taciz amacıyla tekrarlanan başvurular gibi durumların değerlendirilebileceğine işaret edilmektedir. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'de, işlemin ayrıca bir maliyeti gerektirmesi halinde ücret alınabileceği belirtilmiştir. Dolayısıyla, veri sorumlusu bir talebi 'aşırı' olduğu gerekçesiyle doğrudan reddetmek yerine, öncelikle bunun maliyetini talep edebilir. Ancak talebi tamamen reddetmesi, Kurul tarafından yapılacak bir incelemede, reddin haklı bir gerekçeye dayanıp dayanmadığının ve hakkın kötüye kullanılıp kullanılmadığının somut olarak ispatını gerektirir ve riskli bir yaklaşımdır.