Kişisel verilere erişim hakkı

Kişisel verilerinizin hukuka uygun işlenmesini talep etme hakkınızın yanında kişisel verilerinize erişim hakkınızın olduğunu da biliyor muydunuz? Geçen haftaki bültenimizde İspanya’da bir telekomünikasyon şirketi müşterisinin konum verilerine erişme talebinin reddedilmesi üzerine başlatılan hukuki süreci sizlerle paylaşmıştık. Burada da tartışılan konu kişisel verilere erişim hakkıydı. Peki kişisel verilere erişim hakkı nedir?
Kişisel verilere erişim hakkı

Kişisel verilere erişim hakkı, kişisel verilerinizi işleyen kişilerden işlenen verilerinizin bir kopyasını talep etmenizi sağlıyor. Ayrıca hangi kişisel verilerinizin işlendiğini ve verilerinizin hukuka uygun işlenip işlenmediğini görmenize de yardımcı oluyor. Örneğin bu hakkı kullanarak ilgili kuruluştan yaşadığınız şehirde ulaşım araçlarını kullanmak için bir ulaşım kartı kullanıyorsanız bu ulaşım kartınızı hangi istasyonlarda kullandığınız, ne kadar harcama yaptığınız, ne zaman bu kartı kullandığınız gibi verileri isteyebilirsiniz. Şu an bu örnekteki gibi pek çok bilgiye internet siteleri veya uygulamalarda sahip olduğumuz hesaplar yoluyla ulaşsak da daha önceki dönem için veri sorumlusunun saklama süresi içinde sahip olduğu kişisel verilerinize erişebilirsiniz.

KVKK'da kişisel verilere erişim hakkı

Kişisel verilere erişim hakkı bu konuda temel kanun olan KVKK’da açıkça yer almıyor ancak Kişisel Verileri Koruma Kurulu verdiği kararlarda gerek Anayasa’nın “özel hayatın gizliliği” başlıklı 20. maddesindeki kişisel veriler hakkında bilgilendirilme ve verilere erişme hakkı gerekse  KVKK’nın “ilgili kişinin hakları” başlıklı 11. maddesinde kişinin işlenen verileriyle ilgili bilgi edinme hakkının veriye erişim hakkını da kapsadığı yolunda yorum yaparak inceleme yapıyor. Ayrıca özel bir düzenleme olan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik'te veriye erişim hakkı bu yönetmelik kapsamındaki veriler için yer alıyor.

GDPR'da kişisel verilere erişim hakkı

GDPR’da ise veri sahibinin erişim hakkı başlığı altında verilere ve veriler hakkındaki bilgilere 15. maddede düzenleniyor . Bu maddede bizdeki yasal düzenlemelerden farklı olarak hangi verilere erişim hakkı olduğu ayrıntılı şekilde açıklanıyor.

Ayrıca Avrupa Veri Koruma Kurulu(EDPB)’nun bu hakla ilgili 2022 yılında hazırladığı bir rehber bulunuyor. Bu rehbere göre veriye erişim hakkı üç bileşenden oluşuyor. Bunlar:

-İlgili kuruluştan veya şirketten veri sahibini ilgilendiren herhangi bir kişisel veriye sahip olup olmadığını dair bilgi alma ve onay isteme,

-Eğer veriler işleniyorsa bu verilere erişim hakkı,

-İşlem hakkında amaç, veri kategorileri ve alıcılar gibi bilgileri öğrenme.

Rehberin devamında ise bu verilere nasıl erişim sağlanabileceği, veri sorumlusunun reddetme hakkı gibi bilgiler yer alıyor.

Kişisel verilere erişim hakkımızı kullanırken nasıl bir yol izlemeliyiz?

Ülkemizde ise bu tarz ayrıntılı bir rehber olmasa da mahkeme ve Kurul kararlarıyla bu hakkın içeriği açıklanıyor. Bu kararlara göre bizler kişisel verilerimize erişim talep ederken hangi adımları izlemeliyiz  ve nelere dikkat etmeliyiz sizler için derledik:

-Öncelikle kişisel verilerinizi işleyen veri sorumlusunu doğru tespit etmelisiniz ve açık bir şekilde talebinizi iletmelisiniz.

-KVKK’ya göre veri sorumlusu,  talebinizi 30 gün içinde ve ücretsiz olarak sonuçlandırmak zorunda ancak ayrıca maliyet gerektiriyorsa ücret talep edebilir. Veri sorumlusu talebinizi kabul edip verileri verebilir, talebinizi reddedebilir veya hiç cevap vermeyebilir. Talebinizi reddettiğinde bu reddin gerekçesini göstermek zorunda.

Bu ret gerekçelerinden ilki veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerini yerine getiriyor olması olabilir. Çünkü KVKK’nın 12. maddesine göre veri sorumlusunun; kişisel verilerin  hukuka aykırı olarak işlenmesini ve verilere erişilmesini önlemek, muhafazasını sağlamak gibi teknik ve idari yükümlülükleri var. 

Kurul'un bu konuda verdiği bir kararında başvurucu şirketten yemek kartına ilişkin hesap hareketlerini talep ediyor. Şirket başvurucunun kimliğini doğrulamak için kimlik ve dilekçe görüntüsü istiyor bu veriler gönderildikten sonra da başvurucunun talep ettiği bilgileri e-posta ekinde şifreli olarak gönderiyor ve şifreyi öğrenmek için arama yapılması gerektiğini belirtiyor. Başvurucu da şirketin bu şekilde verilerini göndermesini veriye erişim hakkının ihlali nedeniyle Kurul’a başvuruda bulunmuş. Kurul, şirketin yükümlülüklerine uygun davrandığını belirterek ihlal kararı vermemiş. Çünkü veri sorumlusu, burada kişisel verilerine erişmek isteyen kişinin gerçekten veri sahibi olup olmadığını çalışıyor. Bu hakkın kötüye kullanılması riskinin olduğunu ve başkalarının bizim verilerimizi bu yöntemle ele geçirebileceğini düşünürsek veri sorumlusunun güvenli bir yöntem izlediğini ve çoğu durumda verilerine ulaşmak isteyen gerçek veri sahibinin bu aşamalı sürece katlanabileceğini söyleyebiliriz.

Veri sorumlusunun ret gerekçelerinden ikincisi işlenen kişisel verilerin veri sahibiyle paylaşılmasına teknik imkanların el vermemesi ve verinin içeriğine makul bir şekilde ulaşılmasının imkansız olması olabilir. 

Bu konuda da Kurul'un bir kararı bulunuyor. Bu karara göre bir müşteri, abonelik sözleşmesi kurmak amacıyla yaptığı telefon görüşmesi kayıtlarına erişmek için talepte bulunuyor ancak veri sorumlusu talebe süresinde cevap vermiyor ve müşteri hizmetleriyle görüşüldüğünde de talebi reddediliyor. Gerekçe olarak ise müşteriye ses kaydı verilmesi durumunda bu ses kaydının tahrif edilerek adli makamlar önünde kullanılabileceği, sosyal medyada paylaşılabileceği riskinin bulunduğu ve ses kadının müşteri hizmetleri çalışanının da kişisel verileri içermesi gösteriliyor. Ayrıca veri sorumlusu ticari faaliyetini sürdürebilmek için ses kayıtlarının sadece adli ve idari mercilerle paylaşılması durumunda verilebileceğini de belirtiyor. Kurul yaptığı incelemede ses kaydı paylaşılması belli riskler içeriyorsa bu ses kaydının yazılı döküman olarak verilebileceğini, veri sahibinin talep ettiği veri başkalarının kişisel verilerini içeriyorsa bu veriler çıkarılarak veya maskelenerek talebin yerine getirilebileceği yönünde karar veriyor. Yani Kurul veri sorumlularının veriye erişim hakkının kullanılmasının engellenmemesi için her türlü tedbirin alınmasına vurgu yapıyor.

Ayrıca bu kararda da olduğu gibi uygulamada da çoğunlukla veri sorumluları, veriye erişim hakkı yokmuş gibi davranarak bu verilerin sadece adli makamlar istendiğinde verilebileceğini belirterek talepleri reddedebiliyor. 

Hatta bu konuda verilmiş yakın tarihli bir Anayasa Mahkemesi kararı da bulunuyor. Karara konu olayda başvurucu müşterisi olduğu şirketten kullandığı telefon hattına ait belirli tarihler arasındaki internet verileri, log kayıtları gibi verileri talep ediyor. Şirket, bu verilerin ancak mahkeme isterse verebileceğini belirterek talebi reddediyor; bunun üzerine başvurucu gerekli hukuki yolları tükettikten sonra Anayasa Mahkemesine başvuruyor. Anayasa Mahkemesi yaptığı incelemede Anayasanın 20. maddesinin veriye erişim hakkını düzenlediğini, şirketin bu verileri vermemesi ve mahkemelerin de bu talebi reddetmesi sebebiyle özel hayata saygı hakkı kapsamındaki kişisel korunmasını isteme hakkıyla bağlantılı etkili başvuru hakkının ihlal edildiğine karar veriyor. Burada Anayasa Mahkemesi özellikle kişisel verilere erişim hakkının bu verilerin işlenmesinde şeffaflık sağlayacağına vurgu yapıyor.

Veri sorumlusunun ret gerekçelerinden bir diğeri ise veri sorumlusunun bu verilerin elinde bulunmadığı olabilir. KVKK’ya göre verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde veri sorumlusu bu verileri silmek, yok etmek veya anonim hale getirmekle yükümlü yani bu yükümlülüğüne uygun davrandığı halde veriler elinde bulunmayabilir. Ancak veri sorumluları telekomünikasyon, bankacılık gibi belli sektörlerde kanundan kaynaklı belli sürelerle bu verileri saklamak zorunda oluyor. Bu gerekçeyle talebiniz reddedilirse veri sorumlusunun kanundan doğan bir yükümlülüğü var mı kontrol edebilir eğer varsa talebinizin yerine getirilmesi için Kurum'a başvuruda bulunabilirsiniz.

Veriye erişim hakkı konusunda başvuruda bulunduğumuz veri sorumlusu hiç cevap vermezse KVKK’daki usule uygun olarak Kurul'a şikayet yoluna gidebilirsiniz.

Sizlere de bu hakkı kullanmanız engellendiğinde gerekli hukuki yollara başvurmaktan çekinmemenizi tavsiye ederiz. Çünkü bu sayede ilerleyen dönemlerde haklarımızın korunmasını daha iyi sağlayabiliriz.

Hikâyeyi paylaşmak için:

Kaydet

Okuma listesine ekle

Paylaş

NEREDE YAYIMLANDI?

Veri Koruma & Mahremiyet Gündemi #2023/7

Tüm dünyadan TikTok'a yasak ve para cezaları, Çağrı merkezi kayıtlarını tutan şirketlere toplu dava, Berrak Tüzünataç için 13 yıl sonra gelen adalet, FTC'den Twitter'a yeni bir soruşturma, KVKK'dan mobil uygulamalara ilişkin uyarı

13 Mar 2023

verinikoru.org

YAZARLAR

Veri Koruma ve Mahremiyet Gündemi

Sivil toplum kuruluşu Verini Koru'nun ekibi, Türkiye'de ve dünyada kişisel verilerin korunması alanında yaşanan gelişmeleri yakından takip ediyor ve her Pazartesi sizlerle buluşturmak için bültenler hâline getiriyor.

İLGİLİ OKUMALAR