Almanya – Erişim Hakkı, Suret Alma Hakkını Kapsar mı?
Olaylar
Davacı, 18/01/2019 tarihinde açtığı davada konteyner alımı ile ilgili kendisine yanlış bilgi verildiği gerekçesiyle tazminat talep etmiştir. Ön inceleme sırasında davacı, GDPR md 15/3 gereğince kendisi tarafından, karşı tarafa sunulan kişisel verilerin kopyasını talep etmiştir. Davalılar bu kişisel verilerin neler olduğuna dair bilgi vermiş ise de kopyalarını vermemiştir. Bunun üzerine davacı, 16/09/2021 tarihinde talebini genişleterek bahsi geçen tüm kişisel verilerin kopyasının vermesine karar verilmesini de talebine eklemiştir. İlk derece mahkemesinin talep edilen kopyaların davacıya verilmesine dair 06/04/2020 tarihli kararı, Münih I. Bölge Mahkemesi tarafından 22/05/2020 tarihinde düzeltilerek onanmıştır. Bölge Mahkemesi kararına göre davalılar ellerinde bulunan tüm kişisel verilerin – özellikle de telefon görüşmesi notları, dosya notları, protokoller, e-postalar, mektuplar ve yatırımlara ilişkin abonelik belgeleri- kopyalarının verilmesine karar vermiştir.
İlk derece mahkemesi gerekçesinde, kopyaların verilmesi hakkının GDPR md 15/3’ten kaynaklandığını ve söz konusu belgelerin, davalılarda bulunduğu hususunda taraflar arasında uyuşmazlık bulunmadığını belirtmiştir. GDPR md 4/1 anlamında bu belgelerin kişisel veri teşkil ettiğini ve GDPR md 15/1’te yer alan bilgi alma hakkı gereğince de davacının 15/3’teki kopya talep etme hakkına sahip olduğunu ifade etmiştir.
Karara itiraz eden davalılar, 15/3’e göre talebin genişletilmesinin kabul edilemez olduğunu, talebin çok belirsiz olduğunu; 15/3’ün kopya sunma yükümlülüğünü değil yalnızca bilgilerin sağlanma şeklini düzenlediğini ileri sürmüştür.
Gerekçe
Öncelikle talebin belirsiz olduğu söylenemez zira ilgili kişinin, veri sorumlusunda tam olarak hangi kişisel verilerin bulunduğunu bilebilmesi mümkün değildir.
Kararda bahsi geçen telefon görüşmesi notları, dosya notları, protokoller, e-postalar, mektuplar ve yatırımlara ilişkin abonelik belgeleri bir bütün olarak kişisel veridir. Mahkemenin dayanağı, her bir belgedeki içerikten hareketle davacı ile bağlantı kurulabileceği gerçeğidir. Davacının, davalılara gönderdiği e-postalar ve mektupların tüm içeriği de kural olarak, GDPR md 4/1 gereğince kişisel veridir.
Gerekçedeki bir görüşe göre söz konusu maddeye dayanarak kişi yalnızca kendisi ile ilgili işlenen kişisel verileri talep edebilir. Bunun dışında kişisel veri olmayan bilgileri talep edemez. Zira bilgi alma hakkının amacı, veri işlemenin hukuka uygun olup olmadığını denetlemektedir. Şayet amaç sadece hukukiliği denetlemekse 15/1 kapsamında bilgi verilmesi yeterlidir, ayrıca kopyaların sunulmasına gerek bulunmamaktadır.
Mahkemeye göre, GDPR md 15/1’de yer alan bilgiye erişim hakkı ile 15/3’te yer alan kopya talep etme hakkı birbirinden bağımsız haklar olup farklı iki farklı taleptir.
GDPR md 15/3 gereğince veri sorumlusu bilgileri, soyut bir liste olarak sunmamalıdır. Bu zaten 15/1’de düzenlenen yükümlülüktür. Öte yandan veri sorumlusu bu bilgileri, kendisine sunulan formda verebilir.
Karar
Temyiz talebi esastan reddedilmiştir.
Karar için bkz.
Bunlara da bakmak isteyebilirsin
AVRUPA İNSAN HAKLARI MAHKEMESİ 54934/00 Başvuru Numaralı, 29 Haziran 2006 Tarihli Karar Gabriele WEBER ve Cesar Richard SARAVIA / Almanya
Schwerin (Almanya) İdare Mahkemesi’nin 1 A 1343/19 SN sayılı Kararı*
