Anasayfa/ Makale/ KVKK ve GDPR Kapsamında Erişim Hakkının Öznesi ve Yükümlüleri

KVKK ve GDPR Kapsamında Erişim Hakkının Öznesi ve Yükümlüleri

Kişisel verilere erişim hakkı, veri koruma hukukunun temelini oluşturur. Bu makalede, erişim hakkını kullanmaya yetkili olan ilgili kişi kavramı ile bu talepleri yerine getirmekle yükümlü olan veri sorumlusu ve veri işleyen statüleri, kanuni düzenlemeler ve Kişisel Verileri Koruma Kurulu kararları ışığında incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK GDPR (GENEL VERİ KORUMA TÜZÜĞÜ)

Kişisel verilerin korunması hukukunda erişim hakkı, bireylerin kendi verileri üzerindeki denetimini sağlayan en temel mekanizmadır. Bu hakkın etkin bir şekilde kullanılabilmesi ve taleplerin hukuka uygun olarak sonuçlandırılabilmesi için hakkın süjelerinin doğru tespit edilmesi büyük önem taşımaktadır. Erişim hakkı bağlamında temel olarak iki taraf bulunmaktadır: Hakkı kullanmaya yetkili olan özne ve bu talebi karşılamakla yükümlü olan taraflar. Hakkın öznesi mevzuatta ilgili kişi olarak tanımlanırken, yükümlü taraf ise genel kural olarak veri sorumlusu statüsünü haiz gerçek veya tüzel kişilerdir. Ancak günümüzün karmaşık veri işleme süreçlerinde, veri sorumlusunun yetkilendirmesiyle hareket eden veri işleyen sıfatına sahip aktörler de erişim taleplerinin yönetilmesinde önemli roller üstlenebilmektedir. Bu makalede, alanında uzman bir KVKK avukatı perspektifiyle, erişim hakkının kimler tarafından kullanılabileceği ve bu hakkın muhataplarının hukuki sorumlulukları detaylı bir şekilde analiz edilmektedir.

Erişim Hakkının Öznesi: İlgili Kişi

KVKK ve GDPR düzenlemeleri uyarınca kişisel verilere erişim hakkı yalnızca ilgili kişi tarafından kullanılabilir. Mevzuat hükümlerinde ilgili kişi, kişisel verisi işlenen gerçek kişi olarak açıkça tanımlanmıştır. Tüzel kişilere ait veriler veri koruma hukuku koruması kapsamında yer almadığından, tüzel kişilerin kurumsal kapasiteleriyle erişim hakkı talebinde bulunması hukuken mümkün değildir. Nitekim denetim otoriteleri, tüzel kişiliğe ait verilere yönelik erişim taleplerini ilgili kanun maddeleri kapsamında değerlendirmemekte ve doğrudan reddetmektedir. Benzer şekilde, gerçek kişiliğin ölümle sona ermesi kuralı gereğince, ölen kişilerin verilerine ilişkin olarak mirasçıların veya yakınların hukuki bir talepte bulunması da kural olarak kabul edilmemektedir. Dolayısıyla mevzuatımızda erişim hakkı, münhasıran verisi işlenen ve hayatta olan gerçek kişilere sıkı sıkıya bağlı ve devredilemez nitelikte bir hak olarak düzenlenmiştir.

İlgili kişinin erişim hakkını bizzat kendisinin kullanması asıl olmakla birlikte, bu hakkın yetkili bir vekil veya yasal temsilci aracılığıyla kullanılması da hukuken mümkündür. İlgili kişinin reşit olmaması, yasal olarak kısıtlı bulunması veya hukuki sürecini bizzat bir avukat aracılığıyla yürütmek istemesi gibi durumlarda, talebin geçerli bir vekâletname veya yetki belgesi sunularak iletilmesi şarttır. Uygulamada, başkası adına yetkisiz bir şekilde erişim talebinde bulunulması, ciddi bir veri ihlaline sebebiyet verebileceğinden yükümlülerin kimlik doğrulama adımlarına titizlikle riayet etmesi gerekmektedir. Bu nedenle, vekiller veya avukatlar aracılığıyla yapılan başvurularda, sunulan temsil belgesinin hukuki geçerliliği dikkatle incelenmeli ve yalnızca temsil edilen ilgili kişiye ait verilere erişim imkânı tanınmalıdır.

Erişim Hakkının Yükümlüleri: Veri Sorumlusu ve Veri İşleyen

Veri Sorumlusunun Sorumluluğu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan taraf hukuken veri sorumlusu olarak adlandırılır. İlgili rehberler ve mevzuat uyarınca, erişim hakkı taleplerinin asıl ve birincil yükümlüsü daima veri sorumlusudur. Bireyler, kanun kapsamındaki koruyucu haklarını kullanmak için öncelikle doğrudan veri sorumlusuna başvurmak zorundadırlar. Gelen talepleri teslim alan veri sorumlusu, bu başvuruları etkin, hukuka ve dürüstlük kuralına uygun bir şekilde değerlendirmek, sonuçlandırmak ve sürecin güvenliği için gerekli teknik ve idari tedbirleri almakla mükelleftir. Ayrıca, birden fazla aktörün işleme amaç ve yöntemlerini birlikte belirlediği ortak veri sorumluluğu durumlarında da, ilgili kişi erişim hakkını şeffaf düzenlemeler bulunsa dahi her bir veri sorumlusuna karşı ayrı ayrı ileri sürebilme serbestisine sahiptir.

Veri İşleyenin Konumu ve Rolü

Veri koruma mevzuatı kapsamında veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak ve onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Veri işleyen, genellikle işlemenin yalnızca teknik kısımlarıyla sınırlı faaliyet gösterdiğinden, ilgili kişilerden gelen erişim hakkı taleplerinin doğrudan ve birincil muhatabı değildir. Ancak, veri sorumlusu ile aralarında akdedilecek bağlayıcı sözleşmelerle, erişim taleplerinin teknik düzeyde yönetilmesi ve karşılanması konusunda veri işleyene spesifik yetkiler devredilebilir. Uluslararası veri koruma uygulamalarında da veri işleyenlerin, sözleşme vasıtasıyla bu tarz talepleri karşılama sürecinde yetkilendirilebileceği açıkça düzenlenmiştir. Buna rağmen, söz konusu devir veya yetkilendirme işlemi veri sorumlusunun mevzuat kapsamındaki hukuki sorumluluğunu tamamen ortadan kaldırmaz; aksine her iki aktör de sürecin şeffaflığının ve veri güvenliğinin sağlanmasında müştereken sorumlu kabul edilmektedir.

Süjelerin Hukuki Durumuna Yönelik Temel Özellikler

Erişim hakkının süjeleri arasındaki hukuki ilişkiler ve yükümlülükler değerlendirildiğinde, sürecin işleyişine yön veren temel prensipler ve yetki dağılımları şu şekildedir:

  • Erişim hakkını kural olarak yalnızca verisi işlenen gerçek kişiler yani ilgili kişi veya yasal temsilcileri ileri sürebilir.
  • Tüzel kişilere ve vefat etmiş kişilere ait veriler için kendi adlarına veya mirasçıları tarafından erişim talebinde bulunulması kanunen mümkün görülmemektedir.
  • Gelen taleplerin doğrudan muhatabı olan ve talebi yasal süresi içinde ücretsiz olarak yanıtlamakla yükümlü taraf veri sorumlusu sıfatını haizdir.
  • İşleme sürecinin teknik aktörü olan veri işleyen, ancak aralarındaki sözleşme kapsamında yetkilendirildiği ölçüde erişim taleplerinin karşılanmasına dolaylı olarak destek sunar.
  • Birden fazla aktörün bulunduğu ortak veri sorumluluğu hallerinde, ilgili kişi yasal hakkını aralarındaki görev dağılımına bakılmaksızın dilediği veri sorumlusuna karşı yöneltebilir.
Vefat eden eşimin veya babamın kayıtlarını KVKK kapsamında isteyebilir miyim? expand_more
Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında erişim hakkı, yalnızca verisi işlenen ve hayatta olan gerçek kişilere sıkı sıkıya bağlı ve devredilemez nitelikte bir hak olarak düzenlenmiştir. Hukukumuzda gerçek kişilik ölümle sona erdiğinden, vefat eden yakınlarınızın verilerine ilişkin mirasçı veya yakın sıfatıyla hukuki bir talepte bulunmanız kural olarak kabul edilmemektedir. Bu sebeple, ölen bir kişinin verilerine yönelik yapılacak erişim talepleri, veri sorumluları ve denetim otoriteleri tarafından ilgili kanun maddeleri kapsamında değerlendirilmemekte ve doğrudan reddedilmektedir. Bu hakkı vefat eden kişinin yerine kullanmanız hukuken mümkün değildir.
Benim yerime avukatım şirketlerden kişisel verilerimi talep edebilir mi? expand_more
Evet, ilgili kişi olarak erişim hakkınızı bizzat kullanmanız asıl olmakla birlikte, bu hukuki süreci yetkilendirdiğiniz bir avukat veya yasal temsilciniz aracılığıyla yürütmeniz de hukuken mümkündür. Ancak bu işlemin hukuken geçerli olabilmesi için avukatınızın kuruma geçerli bir vekâletname veya yetki belgesi sunması şarttır. Uygulamada başkası adına yetkisiz işlem yapılması çok ciddi veri ihlallerine yol açabileceğinden, veri sorumlusu şirketler sunulan temsil belgesinin geçerliliğini titizlikle incelemekle yükümlüdür. Gerekli hukuki belgelerin eksiksiz sunulması durumunda, temsil edilen kişi olarak yalnızca size ait verilere vekiliniz aracılığıyla erişim imkânı tanınacaktır.
Sahibi olduğum şirketin verilerini KVKK kapsamında talep edebilir miyim? expand_more
Mevzuat hükümlerine göre kişisel verilere erişim hakkı, yalnızca kişisel verisi işlenen ve kanunda "ilgili kişi" olarak tanımlanan gerçek kişiler tarafından kullanılabilir. Tüzel kişilere, yani şirketlere ait veriler veri koruma hukukunun koruması kapsamında yer almamaktadır. Bu nedenle, şirketinizin kurumsal kapasitesiyle, ticari veya tüzel kişiliğine ait veriler için KVKK kapsamında bir erişim hakkı talebinde bulunması hukuken mümkün değildir. Denetim otoriteleri de tüzel kişilere ait verilere yönelik erişim başvurularını KVKK maddeleri kapsamında değerlendirmeyerek doğrudan reddetmektedir.
Verilerimi tutan bilişim firmasına mı yoksa asıl hizmet aldığım şirkete mi başvurmalıyım? expand_more
KVKK kapsamındaki koruyucu haklarınızı kullanmak için öncelikle doğrudan "veri sorumlusu" statüsünü taşıyan, yani verilerinizin işleme amaçlarını ve vasıtalarını belirleyen asıl şirkete başvurmak zorundasınız. Verilerinizi teknik olarak saklayan veya işleyen bilişim firmaları hukuken "veri işleyen" konumundadır ve erişim hakkı taleplerinin doğrudan veya birincil muhatabı değillerdir. Veri işleyenler, ancak veri sorumlusu şirket ile aralarındaki sözleşme kapsamında yetkilendirildikleri ölçüde taleplerinize dolaylı olarak destek sunabilirler. Gelen başvurunuzu dürüstlük kuralına uygun bir şekilde değerlendirmek, süresi içinde yanıtlamak ve sürecin güvenliğini sağlamak asıl hizmet aldığınız veri sorumlusunun hukuki yükümlülüğüdür.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir