Makale

Kişisel verilerin korunması hukukunda erişim hakkı, bireylerin kendi verileri üzerindeki denetimini sağlayan en temel mekanizmadır. Bu hakkın etkin bir şekilde kullanılabilmesi ve taleplerin hukuka uygun olarak sonuçlandırılabilmesi için hakkın süjelerinin doğru tespit edilmesi büyük önem taşımaktadır. Erişim hakkı bağlamında temel olarak iki taraf bulunmaktadır: Hakkı kullanmaya yetkili olan özne ve bu talebi karşılamakla yükümlü olan taraflar. Hakkın öznesi mevzuatta ilgili kişi olarak tanımlanırken, yükümlü taraf ise genel kural olarak veri sorumlusu statüsünü haiz gerçek veya tüzel kişilerdir. Ancak günümüzün karmaşık veri işleme süreçlerinde, veri sorumlusunun yetkilendirmesiyle hareket eden veri işleyen sıfatına sahip aktörler de erişim taleplerinin yönetilmesinde önemli roller üstlenebilmektedir. Bu makalede, alanında uzman bir KVKK avukatı perspektifiyle, erişim hakkının kimler tarafından kullanılabileceği ve bu hakkın muhataplarının hukuki sorumlulukları detaylı bir şekilde analiz edilmektedir.

Erişim Hakkının Öznesi: İlgili Kişi

KVKK ve GDPR düzenlemeleri uyarınca kişisel verilere erişim hakkı yalnızca ilgili kişi tarafından kullanılabilir. Mevzuat hükümlerinde ilgili kişi, kişisel verisi işlenen gerçek kişi olarak açıkça tanımlanmıştır. Tüzel kişilere ait veriler veri koruma hukuku koruması kapsamında yer almadığından, tüzel kişilerin kurumsal kapasiteleriyle erişim hakkı talebinde bulunması hukuken mümkün değildir. Nitekim denetim otoriteleri, tüzel kişiliğe ait verilere yönelik erişim taleplerini ilgili kanun maddeleri kapsamında değerlendirmemekte ve doğrudan reddetmektedir. Benzer şekilde, gerçek kişiliğin ölümle sona ermesi kuralı gereğince, ölen kişilerin verilerine ilişkin olarak mirasçıların veya yakınların hukuki bir talepte bulunması da kural olarak kabul edilmemektedir. Dolayısıyla mevzuatımızda erişim hakkı, münhasıran verisi işlenen ve hayatta olan gerçek kişilere sıkı sıkıya bağlı ve devredilemez nitelikte bir hak olarak düzenlenmiştir.

İlgili kişinin erişim hakkını bizzat kendisinin kullanması asıl olmakla birlikte, bu hakkın yetkili bir vekil veya yasal temsilci aracılığıyla kullanılması da hukuken mümkündür. İlgili kişinin reşit olmaması, yasal olarak kısıtlı bulunması veya hukuki sürecini bizzat bir avukat aracılığıyla yürütmek istemesi gibi durumlarda, talebin geçerli bir vekâletname veya yetki belgesi sunularak iletilmesi şarttır. Uygulamada, başkası adına yetkisiz bir şekilde erişim talebinde bulunulması, ciddi bir veri ihlaline sebebiyet verebileceğinden yükümlülerin kimlik doğrulama adımlarına titizlikle riayet etmesi gerekmektedir. Bu nedenle, vekiller veya avukatlar aracılığıyla yapılan başvurularda, sunulan temsil belgesinin hukuki geçerliliği dikkatle incelenmeli ve yalnızca temsil edilen ilgili kişiye ait verilere erişim imkânı tanınmalıdır.

Erişim Hakkının Yükümlüleri: Veri Sorumlusu ve Veri İşleyen

Veri Sorumlusunun Sorumluluğu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan taraf hukuken veri sorumlusu olarak adlandırılır. İlgili rehberler ve mevzuat uyarınca, erişim hakkı taleplerinin asıl ve birincil yükümlüsü daima veri sorumlusudur. Bireyler, kanun kapsamındaki koruyucu haklarını kullanmak için öncelikle doğrudan veri sorumlusuna başvurmak zorundadırlar. Gelen talepleri teslim alan veri sorumlusu, bu başvuruları etkin, hukuka ve dürüstlük kuralına uygun bir şekilde değerlendirmek, sonuçlandırmak ve sürecin güvenliği için gerekli teknik ve idari tedbirleri almakla mükelleftir. Ayrıca, birden fazla aktörün işleme amaç ve yöntemlerini birlikte belirlediği ortak veri sorumluluğu durumlarında da, ilgili kişi erişim hakkını şeffaf düzenlemeler bulunsa dahi her bir veri sorumlusuna karşı ayrı ayrı ileri sürebilme serbestisine sahiptir.

Veri İşleyenin Konumu ve Rolü

Veri koruma mevzuatı kapsamında veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak ve onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Veri işleyen, genellikle işlemenin yalnızca teknik kısımlarıyla sınırlı faaliyet gösterdiğinden, ilgili kişilerden gelen erişim hakkı taleplerinin doğrudan ve birincil muhatabı değildir. Ancak, veri sorumlusu ile aralarında akdedilecek bağlayıcı sözleşmelerle, erişim taleplerinin teknik düzeyde yönetilmesi ve karşılanması konusunda veri işleyene spesifik yetkiler devredilebilir. Uluslararası veri koruma uygulamalarında da veri işleyenlerin, sözleşme vasıtasıyla bu tarz talepleri karşılama sürecinde yetkilendirilebileceği açıkça düzenlenmiştir. Buna rağmen, söz konusu devir veya yetkilendirme işlemi veri sorumlusunun mevzuat kapsamındaki hukuki sorumluluğunu tamamen ortadan kaldırmaz; aksine her iki aktör de sürecin şeffaflığının ve veri güvenliğinin sağlanmasında müştereken sorumlu kabul edilmektedir.

Süjelerin Hukuki Durumuna Yönelik Temel Özellikler

Erişim hakkının süjeleri arasındaki hukuki ilişkiler ve yükümlülükler değerlendirildiğinde, sürecin işleyişine yön veren temel prensipler ve yetki dağılımları şu şekildedir:

• Erişim hakkını kural olarak yalnızca verisi işlenen gerçek kişiler yani ilgili kişi veya yasal temsilcileri ileri sürebilir.
• Tüzel kişilere ve vefat etmiş kişilere ait veriler için kendi adlarına veya mirasçıları tarafından erişim talebinde bulunulması kanunen mümkün görülmemektedir.
• Gelen taleplerin doğrudan muhatabı olan ve talebi yasal süresi içinde ücretsiz olarak yanıtlamakla yükümlü taraf veri sorumlusu sıfatını haizdir.
• İşleme sürecinin teknik aktörü olan veri işleyen, ancak aralarındaki sözleşme kapsamında yetkilendirildiği ölçüde erişim taleplerinin karşılanmasına dolaylı olarak destek sunar.
• Birden fazla aktörün bulunduğu ortak veri sorumluluğu hallerinde, ilgili kişi yasal hakkını aralarındaki görev dağılımına bakılmaksızın dilediği veri sorumlusuna karşı yöneltebilir.