İLGİLİ KİŞİ HAKLARI – ERİŞİM HAKKI HAKKINDA 01/2022 TARİHLİ KILAVUZ ÖZETİ

İlgili kişi haklarına ilişkin 01/2022 sayılı İlkeler, AB Temel Haklar Şartı ve GDPR’de yer alan temel bir hak olan erişim hakkına odaklanmaktadır. Bu hakkın amacı, insanlara kişisel verilerinin nasıl işlendiğine dair erişim ve şeffaflık sağlamaktır. Kişisel verilere erişim hakkı; kişisel verilerin işlenmesinin teyidi, verilere erişim ve işlemenin kendisiyle ilgili ayrıntıların ilgili kişiye bildirilmesini içermektedir.

Veri sorumluları ilgili kişinin kişisel verilere erişim talebine bir ay içinde yanıt vermelidir. GDPR Madde 15(4)’te belirtildiği gibi, başkalarının hak ve özgürlüklerini korumak amacıyla  Madde 15 (3)’de belirtilen devam eden veri işleme faaliyetlerinin kopyasının ilgili kişiye iletilmesi kısıtlanabilir. Veri sorumluları ayrıca aşırı veya yersiz talepleri reddedebilir veya uygun bir ücret uygulayabilir. İlgili kişilerin GDPR’ca tanınan haklarını kullanabilmeleri için verilen bilgiler açık, şeffaf ve serbestçe erişilebilir olmalıdır.

GDPR Madde 15, erişim hakkını üç bileşene ayırır: kişisel veri işlemenin onaylanması, verilere erişim ve işleme hakkında bilgi ibrazı. Veri sorumlusu talep üzerine kişisel verilerin ücretsiz bir kopyasını sağlamalıdır ve ilgili kişi tarafından birden fazla kopya talep edilmesi idari maliyetlere dayalı olarak makul bir ücrete tabi olabilir.

Veri sorumluları kişisel verileri elektronik olarak sağlarken uygun güvenlik önlemlerini almalı ve başkalarının hak ve özgürlükleri üzerindeki olası olumsuz etkileri göz önünde bulundurmalıdırVeri sorumluları aşırı bilgi akışı sağlamaktan kaçınmak için çevrimiçi bağlamlarda self servis araçları kullanabilir.

Bir veri sahibine sağlanan bilgiler, yanlış veya hukuka aykırı olarak işlenmiş veriler dahil olmak üzere onlar hakkında tutulan tüm gerçek kişisel verileri içermelidir. Kontrolörler her talebi ayrı ayrı değerlendirmeli ve değerlendirme noktasında mevcut olan tüm verileri sağlamalıdır. Veri saklama politikaları veya yasal hükümler nedeniyle artık sahip olmadıkları kişisel verileri vermeleri gerekmemektedir. Kontrolörler, veri güvenliğini sağlamak için uygun teknik ve organizasyonel önlemleri uygulamalıdır.

İlgili kişi haklarının kullanımı bir şekil şartına tabi değildir, ancak veri sorumluları ilgili kişi haklarının kullanılabilmesi için kullanıcı dostu iletişim kanalları sağlamalıdır. Kişisel verilere erişim haklarının veri sorumlusu tarafından yerine getirilebilmesi için ilgili kişinin kimliğinin doğrulanabilmesi gerekmektedir. Veri sorumlusu ilgili kişiyi tanımlayamazsa, taleple ilgili işlem yapmayı reddedebilir. GDPR, ilgili kişinin kimliğinin nasıl doğrulanacağına ilişkin bir kural öngörmemiştir, ancak veri sorumlusu yalnızca kimlik doğrulama için gerekli kişisel verileri talep etmeli ve bu tür bilgilerin kullanımını ilgili kişinin talebini yerine getirmekle sınırlandırmalıdır. Kimlik doğrulama önlemleri ilgili, uygun, orantılı olmalıdır ve ilgili kişilere aşırı yük getirmemelidir. Çevrimiçi bir bağlamda, kimlik doğrulama, çevrimiçi hizmette oturum açmak için kullanılan aynı kimlik bilgilerini içerebilir. Kimlik doğrulama için bir kimlik talep ederken, kontrolör yalnızca gerekli bilgileri toplamalı, veri sahibini gereksiz bilgileri düzeltme olasılığı hakkında bilgilendirmeli ve kimliğin yasa dışı işlenmesini önlemek için güvenceler uygulamalıdır.

Bir veri sahibi adına vekil veya yasal vasiler gibi talepte bulunan üçüncü tarafların kimliklerini ve yetkileri de doğrulamalıdır. Kişisel verilere erişim hakkı, tutanaklarda yer alan kişisel verileri, bir adayın profesyonel bir sınavda sunduğu yazılı cevapları, sınav görevlisinin yorumlarını, özel kişisel veri kategorilerini, cezai hüküm ve suçlara ilişkin kişisel verileri, veri sahibi tarafından aktif olarak sağlanan, gözlemlenen veya gözlemlenen verileri, ilgili kişi tarafından sağlanan ham veriler, diğer verilerden türetilen veriler, diğer verilerden çıkarılan veriler ve takma adlandırılmış verileri (Pseudonymization) de kapsar.

GDPR kapsamındaki erişim hakkı, çıkarımsal ve türetilmiş verileri, bir hizmet sağlayıcı tarafından oluşturulan kişisel verileri ve müteakip analiz veya değerlendirmeden kaynaklanan verileri de kapsamaktadır. Erişim hakkı, yalnızca erişim talep eden ilgili kişiye ilişkin kişisel verilere ilişkin olarak kullanılabilir. EDPB, veri sorumlularınca “kendisiyle ilgili kişisel veriler” terimini çok kısıtlayıcı bir şekilde yorumlanmamasını önermektedir.

Veri sorumluları, talebin kapsamına bağlı olarak ilgili kişiyle ilgili olarak işlenen tüm verilere veya verilerin bölümlerine erişim sağlamalıdır. Ayrıca GDPR Madde 15(1)(a) ila (h) ve 15(2)’ye göre veri işleme detayları ve ilgili kişi hakları hakkında da bilgi sağlamalıdırlar. Veri sorumlusunca ilgili kişiye sunulacak cevap ilgili kişiye özel olmalıdır ve erişim hakkının kapsamı veri sorumlusu tarafından sınırlandırılmamalıdır.

Kişisel veri aktarımı yapılan alıcılar veya alıcı kategorileri açısından, alıcı adları belirtilerek kişisel verilere erişim talebi karşılanmalıdır. Kişisel verilerin tahmini depolama süresine ilişkin bilgi, ilgili kişinin verilerin ne kadar süreyle saklanacağını anlaması için yeterince açık olmalıdır. Veri saklama süresi göstergeleri, veri sahibiyle ilgili belirli verilere odaklanmalıdır. Veri sorumlusunun ilgili kişi haklarına yanıtı, veri konusunun özel durumuna göre uyarlanmalı ve söz konusu işleme operasyonlarıyla ilgili olmalıdır. Son olarak, GDPR 15(1)(g) uyarınca, kişisel verilerin ilgili kişiden toplanmadığı durumlarda, verilerin kaynağına ilişkin “mevcut tüm bilgiler” sağlanmalıdır.

 GDPR’nin 12. maddesine göre, veri sorumluları ilgili kişilerce istenen bilgileri kısa, şeffaf, anlaşılır ve kolay erişilebilir bir biçimde, açık ve sade bir dil kullanarak sağlamak için uygun önlemleri almalıdır. Uygun önlemler, işlenmekte olan verilerin miktarı ve karmaşıklığı ve veri sorumlusunun ilgili kişi hakkında sahip olduğu bilgiler dahil olmak üzere mevcut koşullara bağlı olarak değişecektir. Veri sorumluları, ilgili kişilerin farklı kaynaklara yönlendirmekten kaçınmalı ve erişim sağlamaya yönelik yaklaşımlarını belgelemelidir. Sözlü bilgi veya yerinde erişim gibi kalıcı olmayan erişim yöntemleri bazı durumlarda uygun olabilir. Talep elektronik olarak yapılırsa, cevap yaygın olarak kullanılan bir elektronik formatta sağlanmalıdır.

Veri sorumluları, işlenmekte olan verilerin hacmi ve karmaşıklığı ve veri sahibinin özel gereksinimleri gibi ilgili tüm faktörleri göz önünde bulundurarak veri sahiplerine kişisel bilgilerine erişim izni vermek için gerekli adımları atması gerekir. Self servis araçlar, erişim izni vermenin hızlı ve etkili bir yolu olabilir, ancak elde edilen kişisel veri miktarını kısıtlamamalıdırlar. Veri sorumlularınca ayrıca resmi iletişim kanalları aracılığıyla yapılmayan erişim talepleriyle de karşılanmalıdır/ilgilenilmelidir. İlgili kişiler, kendilerine sunulan bilgileri anlayabilmelidir.

Bilgiler hem anlaşılır hem de kolay erişilebilir bir formatta sağlanmalı ve ilgili kişi, kişisel verilerini yaygın olarak kullanılan bir elektronik formda indirebilmelidir. Veri sorumlusu, kişisel verilerin sağlanacağı uygun biçime karar verebilir ve ilgili kişinin haberdar edilmesini ve doğrulanmasını mümkün kıldığı sürece, erişim hakkının kapsadığı tüm kişisel verileri içeren bir derleme yaparak veri işleme faaliyetinin hukuki sebeplerini ortaya koyar.

Özetle, bir veri sorumlusu aynı veri sahibinden birden fazla talep aldığında, bu taleplere öncelik vermeli ve zamanında yanıt vermelidir. Veri sorumlusu, GDPR’da belirtilen süre sınırı içinde bilgileri sağlayamazsa, ilgili kişiyi gecikmenin nedenleri hakkında bilgilendirmeli ve bilgilerin ne zaman sağlanacağına ilişkin tahmini bir zaman çerçevesi sağlamalıdır. Veri sorumlsuu ayrıca ilgili kişiyi denetim makamına şikayette bulunma ve yargı yoluna başvurma hakları konusunda bilgilendirmelidir.

Veri sorumlusu, kişisel verilere erişim taleplerini işlemek için, taleplere nasıl yanıt verileceği konusunda açık yönergeler ve bu talepleri verimli bir şekilde ele alabilecek eğitimli personel dahil olmak üzere etkili prosedürlere sahip olmalıdır. Veri sorumlusu istenen bilgileri sağlamayı reddederse veya ilgili kişi verilen yanıttan memnun kalmazsa, ilgili kişi denetim makamına şikayette bulunma ve yargı yoluna başvurma hakkına sahiptir.

Kişisel verilere erişim hakkı kapsamındaki bilgiler yazılı olarak veya elektronik araçlar da dahil olmak üzere diğer yollarla ve ilgili kişi tarafından talep edilmesi halinde yaygın olarak kullanılan bir elektronik formatta sağlanacaktır. Bilgilerin anlaşılır ve kolay erişilebilir bir şekilde sunulması ve ilgili kişinin, kişisel verilerini yaygın olarak kullanılan bir elektronik biçimde indirebilmesi sağlanmalıdır.

GDPR kapsamında erişim hakkı, GDPR m.15(4), 12(5) ve Birlik ve Üye Devlet Kanun’larında belirtilen sınırlamalara ve kısıtlamalara tabidir(Ticari sırlar, fikri mülkiyet ve telif hakkıyla korunan yazılımlar, çelişen hak ve özgürlükler gibi). Kişisel verilerin bir kopyasını edinme hakkı, başkalarının hak ve özgürlüklerini ihlal etmemelidir.

GDPR m.12(5) uyarınca veri sorumlusu ilgili kişinin taleplerinin asılsız veya ölçüsüz olduğunun, özellikle taleplerin tekrarlanması nedeniyle, açıkça anlaşıldığı hallerde, talep edilen işlemin gerçekleştirilmesine ilişkin idari masrafları dikkate alarak makul bir ücret talep edebilir veya taleple ilgili işlem yapmayı reddedebilir. Bu halde veri sorumluları talebin açık bir şekilde asılsız veya ölçüsüz olduğunu gösterme yükümlülüğünü taşır.

Her türlü soru ve görüşleriniz için bizlere info@sistemglobal.com.tr adresinden ulaşabilirsiniz.

Şirketinizin Kuruluşundan Globalleşmesine Kadar Her Adımda Sizinle Birlikte Yürüyoruz…