E-Bülten Bülten No 06/23

       4 Mayıs 2023 tarihli ve C-487/21 sayılı kararında* ABAD, veri sahibinin kendisi ile ilgili kişisel verilerin bir nüshasını veri sorumlusundan temin etme hakkının veri sahibine kendisi ile ilgili işlenen tüm kişisel verilerin aslına uygun ve anlaşılması zor olmayan bir kopyasının veri sahibine isteği üzerine teslim edilmesi anlamına geldiğine hükmetti. Bu zorunluluk GDPR Madde 15(3) uyarınca kişisel verilerin anlaşılır olmasını sağlamanın gerekli olduğu durumlarda, kişisel verileri içeren veritabanlarından belge veya özetlerin alınmasını de içerebilecektir. 

       ARKA PLAN 

       Uyuşmazlığın temelinde F.F. isimli kişinin (başvurucu) veri sorumlusu olan CRIF GmbH firmasından kendisi ile ilgili olarak işlenen kişisel verilere ait belge ve veri tabanlarından özet bilgiler alma talebini Avusturya Veri Koruma Kurulu’nun (Österreichische Datenschutzbehörde) reddetmesi yatmaktadır.

       CRIF, müşterilerinin talebi üzerine kredi başvurusunda bulunan gerçek ve tüzel kişilerin talep ettiği krediyi geri ödeme yeteneğine ilişkin kredi kurumlarınca yapılan değerlendirme olarak bilinen kredi değerliliği hakkında bilgi sağlayan bir iş danışmanlığı ajansıdır. Somut olayda başvurucunun kişisel verileri bu amaçla işlenmiştir. Başvurucu GDPR Md. 15’te koruma altına alınan veri sahibinin erişim hakkı kapsamında kendisi ile ilgili işlenen verilere erişim talebinde bulunmuştur. Başvurucu ayrıca standart teknik bir formatta kendisine kişisel verilerini içeren email yazışmaları ve veri tabanlarından çıkarılacak özet bilgiler dahil ilgili tüm belgelerin ibraz edilmesini talep etmiştir. 

       Veri sorumlusu ise talep üzerine başvurucuya işleme tabi tutulan kişisel verilerinin listesini özet bir biçimde sunmakla yetinmiştir. Başvurucu iseemail yazışmaları ve veri tabanı özetleri dahil kişisel verileri ihtiva eden tüm belgelerin bir nüshasını talep ettiğinden Avusturya Veri Koruma Kurulu nezdinde şikayette bulunmuştur. Başvurusunun reddedilmesi üzerine Bundesverwaltungsgericht (Federal İdare Mahkemesi) önüne gelen davada veri sahibinin erişim hakkının ve özellikle işlenen verilerin bir nüshasını alma hakkından kaynaklanan sorumluluğun veri sorumlusunca kendisine özet liste verilmesi ile yerine getirilmiş olacağı mı yoksa bahse konu yükümlülüğün veri sahibi ile ilgili tüm bilgi ve belgelerin derlenerek teslim edilmesini de içeriğ içermeyeceği hususunu bekletici mesele yaparak ABAD nezdinde ön karar başvurusunda bulunmuştur. 

       ABAD, GDPR Md 15(3) tarafından ön görülen veri sorumlusunun işleme faaliyetine konu olan kişisel verilerin bir nüshasını sağlama yükümlülüğünün veri sahibinin kendisi ile ilgili kişisel verilerin işlenip işlenmediğini veri sorumlusundan teyit etme ve, işleme faaliyeti olması halinde, kişisel verilere erişim hakkından ayrı olarak değerlendirilemeyeceğine işaret ederek ilgili maddenin lafzında geçen “nüsha” kavramının ilgili belgeden ziyade belgenin ihtiva ettiği kişisel verilerle ilgili olduğuna hükmetmiştir. Bu nedenle ABAD, kişisel verilerin bir nüshasını temin etme hakkının veri sahibine kendisi ile ilgili işlenen kişisel verilerin aslına uygun ve anlaşılabilir bir biçimde bir kopyasının tedarik edilmesini gerektirecek şekilde yorumlamıştır. † 

       ABAD ayrıca GDPR tarafından veri sahibine tanınan Düzeltme ve silme, unutulma, İşleme faaliyetini kısıtlama hakkı gibi hakların etkin bir şekjilde kullanılabilmesini temin etmek için ilgili belgelerin bir kısmının özet olarak hatta belgelerin tamamının ya da veri tabanlarında muhafaza edilen kişisel bilgilerin özetinin bir nüshasının ilgili kişiye sağlanması gerektiğine dikkat çekmiştir. † 

       Bunun yanı sıra ABAD’a göre veri sorumlusu kişisel verilerin işlendiği bağlamın açıklığa kavuşturulması için veri sahibine temin edilen bilgilerin anlaşılabilir olmasını temin etmek amacıyla belgelerin bir kısımın ı ya da tamamının bir nüshasını sunmakla mükelleftir. 

       Son olarak ABAD, veri sahibinin kişisel veirlere erişim hakkı ile üçüncü şahısların hakları arasında bir uyuşmazlığın söz konusu olması halinde erişim hakkının ticari sır ve fikri mülkiyet hakları dahil olmak üzere üçüncü tarafların haklarına halel getirmemesi gerektiğine işaret etmiştir. Bu amaçla veri sorumlusu çatışan çıkarlar arasında adil bir dengeleme yapmak ve fikri mülkiyet haklarının korunmasına ilişkin olarak en az müdahaleci olan yaklaşımı seçmekle mükelleftir. 

       ABAD son olarak kişisel verilere erişim talebi kapsamında ibraz edilecek bilgilerin meta data gibi ek bilgileri değil işleme faaliyetine konu olan kişisel verileri  işaret ettiğini belirtmiştir. Başsavcı'nın Görüşünün 36 ila 39. noktalarında savunulan görüşe katılan ABAD’a göre, 'kişisel veri' kavramının geniş tanımı yalnızca veri sorumlusu tarafından toplanan ve saklanan verileri değil, aynı zamanda verilerin işlenmesinden kaynaklanan tüm bilgileri de kapsar. kimliği belirli veya belirlenebilir bir kişiyle ilgili, örneğin o kişinin kredi itibarının veya ödeme gücünün değerlendirilmesi gibi kişisel veriler.‡

* Tam metin için bkz: https://curia.europa.eu/juris/document/document.jsf?text=&docid=273286&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=4130800

† GDPR Md. 15’de veri sahiplerine tanınan erişim hakkı, ilgili kişinin kendisi ile ilgili olarak ilnenen verilerin doğruluğunu ve kişisel verilerinin hukuka uygun olarak işlenmesini temin etmesini imkan sağlayacak bir biçimde kullanılmalıdır. (Bkz. 12 Ocak 2023 tarihli ve C 154/21 sayılı Österreichische Post kararı (kişisel verilerin aktarıldığı taraflara ilişkin bilgi talebi), EU:C:2023:3, paragraf 37)

‡ GDPR Md. 4’te 'kişisel veri' kavramının tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgid” olarak tanımlanması, AB yasama organının bu kavrama sadece objektif değil, aynı zamanda veri sahibiyle 'ilgili' olması kaydıyla, görüş ve değerlendirmeler gibi öznel karakterli ve potansiyel olarak her türlü bilgiyi kapsayan geniş bir kapsam verme amacını yansıtmaktadır. Bu bağlamda, içeriği, amacı veya etkisi nedeniyle kimliği belirli veya belirlenebilir bir gerçek kişiyle bağlantılı olan bilgilerin, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilgili olduğu kabul edilmiştir. (Bkz, kıyasen, judgment of 20 Aralık 2017 tarihli ve C 434/16 sayılı Nowak kararı, EU:C:2017:994, paragraf 34-35).