Kişisel Verilere Erişim Hakkının Ortadan Kaldırılması.
Rene Mahieu
Avrupa Komisyonu’nun kişisel verilere erişim hakkına ek sınırlamalar getirmeyi amaçlayan Dijital Omnibus önerisi, AB dijital hukukunun teknik bir temizliği değil, endüstri lobiciliğinin taleplerinin neredeyse birebir kopyasıdır. Bu öneri, vatandaşların, STK’ların, gazetecilerin, işçilerin, araştırmacıların ve sivil toplumun (en ünlüsü Max Schrems) sistematik yasadışı uygulamaları ortaya çıkarmak için kullandığı aracı kısıtlamaktadır. AB’nin dijital rekabet gücünü güçlendirmek yerine, bu öneri, karşıt bir güç aracını ve veri korumasının temel taşını ortadan kaldırmakla tehdit etmektedir.
Kasım 2025’te AB Komisyonu, GDPR’da değişiklikler de dahil olmak üzere dijital mevzuatı “basitleştirmek” amacıyla Dijital Omnibus Yönetmeliği Önerisi’ni yayınladı . 2024 Draghi raporunun ABD ve Çin ile teknolojik açığı kapatma çağrısını yankılayan ve AB’nin rekabet gücünü ve inovasyonunu artırmayı amaçlayan bu öneri, Avrupa’yı daha rekabetçi hale getirmeden temel hakları zayıflatma riski taşıyor. Öneri, veri koruma otoriteleri , STK’lar ve birçok akademisyen tarafından güçlü eleştirilere maruz kaldı ; bu eleştirilerde Komisyonun bu düzenlemeyle yasadışı veri yoğun iş modellerini geriye dönük olarak meşrulaştıracağı ve yeterli gerekçe veya demokratik denetim olmaksızın temel haklarda önemli değişiklikler yapmak için omnibus mevzuatını kullanacağı savunuluyor.
Bu katkı, vatandaşların ( STK’lar, araştırmacı gazeteciler, sendikalı işçiler, araştırmacılar, bireyler ) yasa dışı uygulamaları anlamaları, değerlendirmeleri ve bunlara karşı çıkmaları için temel bir araç olan kişisel verilere erişim hakkına ilişkin önerilen değişikliğe odaklanmaktadır . Örneğin, Privacy International, veri aracıları tarafından kişisel verilerin ciddi şekilde kötüye kullanılmasını ortaya çıkarmak için bu hakkı kullandı ve bu da düzenleyicilerin ağır bir para cezası uygulamasına yol açtı . Bu hak , AB Temel Haklar Şartı’nın 8(2) maddesinde yer almaktadır ve genellikle veri koruma hukukunun temel taşı olarak kabul edilir. Bununla birlikte, araştırmam ve birçok vatandaşın deneyiminin de gösterdiği gibi, bu hak şu anda uyumsuzluk ve uygulama eksikliği nedeniyle ” özgürleştirici potansiyelini tam olarak karşılamamaktadır” . Şimdi Komisyon (sayfa 35-36 ve 80), veri sorumlularının veri koruma dışındaki amaçlarla yapılan talepleri ve belirtilmemiş talepleri (tüm veriler için) reddetmelerine izin verilmesini önermektedir. Kabul edilmesi halinde vahim sonuçlar doğuracak gibi görünen teknik bir düzenleme.
Bu değişiklik, vatandaşların yasa dışı uygulamaları değerlendirmek ve bunlara karşı çıkmak için kullandığı temel bir aracı ortadan kaldıracaktır. Komisyon, mevcut yasayı yalnızca “açıklığa kavuşturduğunu” öne sürse de, aslında mevcut doktrin ve Avrupa Adalet Divanı kararlarından radikal bir şekilde sapmakta ve bunlara doğrudan karşı çıkmaktadır; ayrıca hukuki belirsizliği çözmek yerine yaratacaktır. Tüm bunların yanı sıra, bu değişikliklerin AB’nin dijital sektörlerdeki rekabet gücünü artırması da olası değildir, çünkü haksız iş uygulamalarına karşı çıkmak ve böylece adil rekabete katkıda bulunmak için kullanılan bir hakkı ortadan kaldırmaktadır. Temel neden, önerinin sağlam bağımsız sorun analizinden ziyade, ABD teknoloji şirketlerinin ve Alman ev sahiplerinin çıkarlarını temsil eden sektör derneklerini dinlemeye daha çok dayanması gibi görünmektedir.
Konsey ve Avrupa Parlamentosu bu kısıtlamayı reddetmeli veya önemli ölçüde değiştirmelidir. Bu özel hükümdeki kusurlar, herkese teklifin diğer unsurlarını ciddi bir şekilde inceleme ve bunların Avrupa’nın gelişmesine yardımcı olmak için makul adımlar olup olmadığını sorgulama nedeni vermelidir.
Madde 12(5)’e ilişkin belirsiz bir değişiklik
GDPR kapsamında, bireyler veri sorumlularına kişisel verilerinin işlenip işlenmediğini sorabilir ve bu verilere ve işleme ilişkin bilgilere erişim talep edebilirler. Madde 12(5), veri sorumlularının, özellikle tekrarlayıcı nitelikte olmaları nedeniyle, “açıkça temelsiz veya aşırı” olan talepleri reddetmelerine veya ücret talep etmelerine izin vermektedir. Avrupa Adalet Divanı’na ( Österreichische Datenschutzbehörde – Excessive requests) ve Avrupa Veri Koruma Kurulu’na (EDPB) göre , bu madde AB hukukunun genel bir ilkesinin ifadesidir ve bu da kötü niyetli taleplerin reddedilmesine izin verildiği anlamına gelir. EDPB’nin açıkladığı gibi, örneğin şantaj aracı olarak kullanılan talepler veya veri sorumlusunda yalnızca aksamaya neden olma niyeti ve etkisiyle yapılan talepler için bu maddeye başvurulabilir.
Komisyon, mevcut bu hükme, veri sahibinin “bu yönetmelikle verilen hakları verilerinin korunması dışındaki amaçlar için kötüye kullanması” durumunda da erişim taleplerinin aşırı olarak değerlendirilebileceğini eklemeyi önermektedir. Bu maddenin uygulanması belirsizdir. Ya sadece kötüye kullanım amaçlı taleplere izin verilmemesi anlamına gelebilir ya da veri koruma dışındaki amaçlar için herhangi bir kullanımın kötüye kullanım olarak görülmesi ve bu nedenle veri sorumlusu tarafından reddedilmesi anlamına gelebilir.
Önerilen maddeye ilişkin gerekçede, Komisyon işleri daha da karmaşık hale getiriyor. İlk olarak, Avrupa Veri Koruma Kurulu’nun (EDPB) kötüye kullanım olarak değerlendirdiği durumların tam olarak kötüye kullanım olarak görülmesi gerektiğini ekliyor – ki bu gereksiz çünkü bu zaten belirlenmişti ve ana hükmün belirsizliğini gidermeye de yardımcı olmuyor. İkinci olarak, gerekçe, veri sorumlularının aşırı geniş ve belirsiz talepleri reddedebileceğini ekliyor. Ancak, gerekçeler hakları kısıtlayamayacağından, bu da asıl hükümde açıkça belirtilmediği sürece ek bir belirsizlik yaratıyor.
Erişim hakkının amacını sınırlandırmak
Önerilen temel değişiklik, erişim taleplerine yalnızca kişisel verilerin korunması amacıyla yapıldığında izin verilmesi yönünde olup, ilk bakışta makul görünebilir. Ancak gerçekte, bu durum büyük bir hukuki belirsizliğe yol açacak, Avrupa Adalet Divanı’nın yakın tarihli içtihatlarına tamamen aykırı olacak, sadece mevcut durumu açıklığa kavuşturmayı önerecek ve veri koruma temel hakkının özüne aykırı olma olasılığı yüksektir.
En önemli sorun, kişisel verilere erişim hakkının en iyi şekilde “niyetten bağımsız” veya “motivasyondan bağımsız” olarak tanımlanmasıdır . Veri sorumlularının, veri koruma kapsamı dışında kaldığı iddia edilen nedenlerle yapılan talepleri bazen başarıyla reddetmesinin uzun ve karmaşık bir geçmişinden sonra [örneğin Nowak ve YS ve diğerleri ], Avrupa Adalet Divanı, Tıbbi Kayıtların Kopyaları davasında , veri sorumlularının, veri sahibinin talebi hangi nedenle yaptığına bakılmaksızın kişisel verilere erişim sağlaması gerektiğine karar vermiştir .
Bu karar, insanların kendi haklarını ve çıkarlarını kendileri hakkındaki bilgilere dayanarak savunmalarına ve iktidardakilerin kendi otoritelerine tabi olanlara karşı hesap verebilir olmalarına olanak sağlamayı amaçlayan hukukun tarihsel kökenleriyle örtüşmektedir.
Pratikte, örneğin Uber sürücüleri , şirketin yasa dışı çalışma uygulamalarını kanıtlamak ve bunlara itiraz etmek için toplu olarak erişim haklarını kullandılar. Benzer şekilde, hastalar da iddia edilen yanlış uygulamaları kanıtlamak için tıbbi dosyalarına erişim talep ediyorlar; örneğin Slovakya’da hastanede kaldıkları süre boyunca sağlık personeli tarafından rızaları dışında kısırlaştırıldıklarını iddia eden kadınlar gibi.
Bu hak, veri koruma meselelerinin ötesinde, dijital altyapıları veya ekosistemleri incelemek ve sorgulamak için kullanılıyor ve kullanılmaya devam etmelidir . Birlik yasama organı, GDPR’nin tüm temel hakları koruduğunu belirtmiştir (Madde 1(2)). Bu bir “sorun” değil, kasıtlı bir tercihtir ve Genel Yasa’nın değiştirmeye çalışmaması gereken bir şeydir.
Erişimi niyete bağlamak uygulanabilir değildir; veri sorumlusu, veri sahibinin “gerçek niyetini” bilemez. Bireyler, amaçlarının veri koruma olduğunu belirtebilirler; bu da maddeyi etkisiz hale getirirken, uzun süren davalara ve tutarsız yorumlara yol açabilir.
Özgüllük gereksinimleri hesap verebilirliği zayıflatır.
Aşırı taleplerle ilgili hükümde yapılacak değişikliğe ilişkin önerilen gerekçede, Komisyon, veri sahiplerinin hangi bilgileri almak istediklerini belirtmekle yükümlü olmalarını ve ‘aşırı geniş ve farklılaştırılmamış taleplerin’ aşırı olarak değerlendirilmesini önermektedir. Şu anda, GDPR’nin 63. maddesi, veri sorumlularının veri sahiplerinden bunu yapmalarını istemelerine izin vermektedir, ancak EDPB yorumuna göre (35. paragraf), veri sahiplerinin taleplerinin kapsamını daraltmaktan kaçınmalarına ve tüm verilere erişim talep etmelerine izin verilmektedir.
Kişisel verilerle ilgilenen kişi, veri sorumlusunun hangi kişisel verileri elinde bulundurduğunu ve bunları nasıl işlediğini henüz bilmediğinde, işlemenin hukuka uygunluğunu değerlendirmek için tam olarak neye ihtiyaç duyduğunu belirtme konumunda değildir. Kişisel verilerle ilgilenen kişilerin hangi verilere erişmek istediklerini belirtmelerini gerektirmek, veri sorumlularının tüm kişisel verilere erişim sağlama yükümlülüğünü ortadan kaldırır. Bu durum, veri sorumlusu tarafından kötüye kullanım için büyük bir fırsat yaratır ve yasa dışı davranışları ortaya çıkarabilecek bilgileri gizlemek için ek bir alan sağlar.
Bu sadece teorik bir endişe değil. Örneğin, Facebook, Max Schrems’in kişisel verilerinin tamamını , talebinin aşırı olduğu gerekçesiyle defalarca vermeyi reddetti ve indirme aracının veri sahipleri için ‘ilgili’ olan her şeyi sağladığını savundu. Avusturya Yüksek Mahkemesi (152-155) Facebook’un bu iddiasını haklı olarak reddetti.
Şüpheli değerler, ekonomi ve yöntem
Komisyonun bu değişikliklerin “teknik nitelikte” olduğu ve “temel hakların korunması için aynı standardı koruduğu” iddiasının aksine, bunlar vatandaşların özgürleşmesi ve temel hakların korunmasında açık bir geri adım anlamına gelmektedir. Temel haklar, idari yükler yaratsa bile, iktidarı denetlemek için vardır. Bazı talepler verimsiz görünebilir, ancak adil yargılama ve hukukun üstünlüğü, suistimali önlemek için bu tür verimsizliğe müsamaha göstermeyi gerektirir.
Kanıtlar, erişim haklarının sosyal faydalarının veri sorumluları için maliyetlerinden çok daha fazla olduğunu göstermektedir. Aşırı ve/veya veri koruma ile ilgili olmayan erişim taleplerinin önemli toplumsal faydaları olduğu birçok örnek mevcuttur. Erişim talepleri, gizlilik hakkını ve kişisel verilerin korunmasını güvence altına almada etkili olmuştur, ancak diğer temel haklar için de önemlidir . Ayrıca, vatandaşların erişim hakkını yasadışı uygulamaları ele almak için kullandığı durumlarda, veri sorumluları tarafından sıklıkla kötüye kullanım ve verimsizlik iddiaları ortaya atılmaktadır.
AB ekonomisinin rekabet gücüyle ilgili zorluklarla karşı karşıya olduğu ölçüde, düzenleyici yükleri incelemek mantıklıdır. Ancak erişim haklarının kısıtlanmasının Avrupa inovasyonunu nasıl anlamlı bir şekilde artırabileceği belirsizdir. AB kullanıcılarına hizmet veren ABD şirketleri, Omnibus’tan bağımsız olarak GDPR’ye uymak zorundadır. Önerilen değişikliklerin hiçbir yönü Avrupa şirketlerine özgü bir fayda sağlamamaktadır.
Tam tersine, önerilen değişiklikler, ABD’deki büyük teknoloji şirketlerinin yasa dışı davranışlarına karşı vatandaşların sıklıkla etkili bir şekilde kullandığı bir aracı ortadan kaldıracaktır. Vatandaşlar, erişim hakkını zaten eşit bir rekabet ortamı yaratmak için kullanıyorlar ve Avrupa şirketlerinin sürekli olarak yasayı çiğneyen şirketlerle rekabet etmek zorunda kalmaması gerekiyor.
Mevzuat istikrarı, yatırım ve inovasyon için hayati önem taşır. Avrupa Adalet Divanı ve Avrupa Veri Koruma Kurulu tarafından sağlanan açık yönergeleri alt üst eden bu öneri, yeni ve daha büyük bir hukuki belirsizliğe yol açacaktır. Özellikle mevcut kurallara uyan işletmelerin rekabet gücünü zedeleme riski taşımaktadır.
Temelde, öneri sağlam bir politika analizine dayanmadığı için yanlış tasarlanmış gibi görünüyor. Bağımsız düşünen uzmanların – ilgili tüm paydaşlardan gelen girdilerle – tarafsız, bütüncül ve tutarlı bir analiz yaparak hedefe ulaşmak için hangi değişikliklerin yapılabileceğini ve potansiyel maliyetlerinin ne olacağını belirlemesi mantıklı olurdu. Bunun yerine, öneride önerilen değişikliğin politika hedefine ulaşmaya nasıl yardımcı olacağına dair net bir gerekçe bulunmamaktadır.
Daha da kötüsü, Komisyonun önerisinin dili, üç ticaret örgütü olan Alliance Digitale, Alman Gayrimenkul Federasyonu ve Avrupa Oyun Geliştiricileri Federasyonu tarafından sağlanan geri bildirim ve istişarelerin neredeyse birebir kopyala-yapıştır yöntemiyle oluşturulmuş bir derleme gibi görünüyor . Örneğin, ABD’li büyük teknoloji şirketleri Meta ve Uber de dahil olmak üzere dijital pazarlama profesyonellerini temsil eden Alliance Digitale , “veri sahibi haklarının kapsamına ilişkin net bir rehberliğin olmaması, şirketleri uyumluluk risklerine maruz bırakırken bireylere sınırlı katma değer sunmaktadır” şeklinde bir açıklama yaptı. Ev sahipleri ise “erişim hakkının bazen kötüye kullanıldığını, örneğin ilgisiz taleplerde (örneğin şikayetler, kira indirimleri) bulunulduğunu” belirterek Komisyondan “genel formülasyonların reddedilebilir olmasını” sağlamak için yasayı değiştirmesini istedi. Komisyonun bu değişiklikleri sektörün talebine uymak için eklediği izlenimi, Dijital Omnibus için yapılan orijinal kanıt çağrısında Komisyonun erişim hakkını sınırlamak istediğine dair herhangi bir ifadenin bulunmamasıyla daha da güçleniyor.
Bir hakkın genişletilmesi veya sınırlandırılmasının maliyet/fayda dengesi konusunda dikkate alınması gereken bakış açısı, hakkın toplumsal değeri olmalıdır; sadece en yüksek sese, en büyük maddi güce veya Komisyonun kulağına en yakın olanların değeri değil. Bu öneri, AB’nin yenilikçi potansiyelini geliştirmek yerine, kişisel verilere erişim hakkının sağladığı ek denetimi istemeyen şirketlerin ve kamu otoritelerinin açıklamalarını eleştirmeden kabul etmeye dayanmaktadır.
AB daha iyisini yapabilir. Şirketlerin temel hakları çiğneyerek, kazanılması imkansız bir fiyat rekabetine girdiği bir birlik hedeflememeliyiz. Sektörlerin ancak bu temel hakları koruyan mal ve hizmetler üreterek gelişebileceği sosyo-ekonomik ve yasal bir ortam yaratmalıyız.
René Mahieu: Dr. René Mahieu, Hollanda Açık Üniversitesi’nde veri koruma ve gizlilik hukuku alanında yardımcı doçent ve Brüksel Vrije Üniversitesi’ndeki Hukuk, Bilim, Teknoloji ve Toplum araştırma grubunda bağlı araştırmacıdır.
https://verfassungsblog.de/digital-omnibus-right-of-access-to-personal-data/