Open menu

30 Mart 2026

GDPR Kapsamında Erişim Hakkının Sınırlarına İlişkin ABAD Kararı
CottBlog

Yazar Ecem Kumsal Başyurt, Kategori KVKK - GDPR

GDPR Kapsamında Erişim Hakkının Sınırlarına İlişkin ABAD Kararı

Avrupa Birliği Adalet Divanı (ABAD), 19 Mart 2026 tarihli C-526/24 (Brillen Rottler) kararı ("Karar") ile GDPR kapsamında veri sahibi haklarının sınırlarına ilişkin önemli bir içtihat geliştirmiştir. Karar, özellikle GDPR'ın 15'inci maddesi ile güvence altına alınan erişim hakkının, 12'nci madde 5'inci fıkra kapsamında hangi koşullarda sınırlandırılabileceğini ortaya koymakta; aynı zamanda 82'nci madde bağlamında tazminat rejiminin kapsamını yeniden değerlendirmektedir.

CottBlog Abone Ol
CottBlog Subscribe

Bu yazıda, kararın kapsamı yalnızca sonuçları itibarıyla değil, ABAD'ın normatif yaklaşımı ve yorum metodolojisi çerçevesinde ele alınmaktadır.

1. Uyuşmazlığın Temeli: Hak Kullanımı mı? Hakların Araçsallaştırılması mı?

Somut olayda veri sahibi/ilgili kişi:

  • Bir veri sorumlusuna ait bültene abone olmuş,
  • Kısa bir süre sonra GDPR'ın 15'inci maddesi kapsamında erişim talebinde bulunmuş,
  • Talebin reddedilmesi üzerine GDPR'ın 82'nci maddesi uyarınca tazminat talep etmiştir.

Veri sorumlusu ise:

  • Bu talebin veri koruma hakkının kullanılmasına yönelik olmadığını,
  • Aksine, sistematik şekilde tazminat elde etmeye yönelik bir stratejinin parçası olduğunu ileri sürmüştür.

Bu çerçevede uyuşmazlık, klasik bir erişim hakkı ihlali tartışmasının ötesine geçerek şu temel soruya evrilmiştir:

"GDPR kapsamında tanınan bir hak, normatif amacından saparak araçsallaştırıldığında hâlen korunur mu?"

2. Kararın Hukuki Değerlendirme Çerçevesi

ABAD, söz konusu kararında GDPR kapsamındaki veri sahibi haklarını parçalı şekilde değil, birbiriyle ilişkili bir sistem içerisinde ele almaktadır. Mahkeme, özellikle erişim hakkı, başvuruların sınırlandırılması ve tazminat rejimi arasındaki ilişkiyi bütüncül bir yaklaşımla değerlendirmiştir. Karar, üç temel başlık altında kapsamlı bir yorum getirmektedir:

Açıkça Dayanaksız veya Aşırı Nitelikte Taleplerin Sınırlandırılması

GDPR'ın 12'nci maddesinin 5'inci fıkrası kapsamında veri sahibinin haklarını kullanması kural olarak ücretsizdir. Ancak talep "manifestly unfounded or excessive request" ise yani açıkça dayanaksız talep veya aşırı nitelikte ise veri sorumlusu veri sahibinin taleplerini reddedebilir. ABAD bu hükmü "hakların kötüye kullanımını engelleyen bir denge mekanizması" olarak değerlendirmiştir.

Erişim Hakkının Fonksiyonu ve Sınırları

"Right of access" yani erişim hakkı, ilgili kişinin:

  • Verilerinin işlenip işlenmediğini öğrenmesini,
  • İşleniyorsa bu verilere erişmesini,
  • İşleme faaliyetini denetlemesini

sağlayan temel bir haktır. ABAD, kararında erişim hakkının önemini açıkça vurgulamakta ise de şu kritik noktayı ekler:

"Bu hak, amacından saparak kullanıldığında sınırsız değildir. Erişim hakkı, amacından sapacak şekilde kullanıldığında sınırsız bir koruma sağlamaz."

Tazminat Hakkının Kapsamı ve Sınırları

"Right to compensation" yani tazminat hakkı, veri sahibinin GDPR ihlali nedeniyle uğradığı maddi veya manevi zararların giderilmesini sağlar. ABAD, tazminat kapsamını ele alarak yalnızca veri işleme ihlalinden kaynaklı değil, erişim hakkı ihlalinden de tazminat hakkı doğabileceğini belirtmiştir. Ancak zarar veri sahibinin kendi davranışından kaynaklanıyor ise tazminat hakkı bulunmamaktadır.

Bu yönüyle karar, yalnızca tek bir hükmün yorumundan ibaret olmayıp, GDPR'ın hak–sorumluluk dengesini bütüncül şekilde ele almaktadır.

3. ABAD'ın Erişim Hakkına İlişkin Değerlendirmesi

ABAD, yerleşik içtihadını sürdürerek erişim hakkının fonksiyonunu açık şekilde ortaya koymaktadır:

"Veri sahibinin işleme faaliyetlerinden haberdar olması ve bu işlemenin hukuka uygunluğunu denetleyebilmesi"

Bu hak:

  • Yalnızca bilgi edinme aracı değil,
  • Aynı zamanda diğer hakların (rectification, erasure, restriction vb.) kullanılmasının ön koşuludur.

Dolayısıyla erişim hakkı, GDPR'ın şeffaflık ve hesap verebilirlik mimarisinin merkezinde yer almaktadır.

4. Usuli Bir İstisnadan Sistem Koruyucu Mekanizmasına Dönüşüm

Kararın en önemli katkılarından biri, GDPR'ın 12'nci maddesinin 5'inci fıkrasının işlevinin yeniden tanımlanmasıdır. Bu hüküm ilk bakışta yalnızca usuli bir düzenleme gibi görünmektedir. Nitekim veri sorumlusuna, belirli şartlar altında talebi reddetme imkânı tanımaktadır. Ancak ABAD, bu hükmün işlevini daha geniş bir perspektiften ele almıştır. Mahkemeye göre 12'nci maddenin 5'inci fıkrası:

  • Yalnızca idari yükü azaltan bir araç değil,
  • Aynı zamanda GDPR sisteminin kötüye kullanımını engelleyen yapısal bir denge mekanizmasıdır.

Bu yaklaşım, GDPR'ın yalnızca veri sahiplerine geniş haklar tanıyan bir düzenleme olmadığını; aynı zamanda bu hakların dürüstlük kuralı ve orantılılık ilkesi çerçevesinde kullanılmasını zorunlu kıldığını ortaya koymaktadır.

5. Hakların Kötüye Kullanılması: "Aşırı Nitelikte Talep" Nasıl Belirlenir?

Kararın en dikkat çekici yönlerinden biri, "aşırı nitelikte talep" kavramının yorumlanış biçimidir.

ABAD'a göre bu kavram yalnızca tekrarlanan veya çok sayıda başvuruyla sınırlı değildir. Hatta gerekli koşulların varlığı hâlinde ilk erişim talebi dahi aşırı nitelikte kabul edilebilir.

Bu noktada Mahkeme, değerlendirmeyi nicelikten ziyade amaç ve bağlam eksenine taşımaktadır. ABAD'ın ortaya koyduğu kötüye kullanım analizi iki temel unsurdan oluşmaktadır:

İlk olarak objektif unsur incelenir. Bu aşamada talebin, erişim hakkının amacına hizmet edip etmediği değerlendirilir. Erişim hakkının amacı, veri işleme hakkında bilgi edinmek ve hukuka uygunluğu denetlemektir. Bu amacın dışına çıkan talepler, şeklen hukuka uygun olsa bile hakkın kötüye kullanılması olarak değerlendirilebilir. İkinci olarak subjektif unsur değerlendirilir. Burada ilgili kişinin gerçek amacı araştırılır. Eğer talep, veri işleme hakkında bilgi edinmek için değil de yapay şekilde tazminat talebi oluşturmak amacıyla yapılmışsa, hakların kötüye kullanılması söz konusu olur.

Mahkeme, bu değerlendirme yapılırken somut olayın tüm koşullarının dikkate alınması gerektiğini vurgulamaktadır.

Özellikle:

  • Veri paylaşımı ile talep arasındaki süre,
  • İlgili kişinin davranış modeli,
  • Benzer taleplerin varlığı

gibi unsurlar belirleyici olabilir.

Sonuç olarak, hak şeklen kullanılıyor olsa dahi, eğer kullanımın amacı GDPR'ın korumak istediği menfaatten sapmışsa, bu durum hukuken korunmaz.

6. Tazminat Rejimi ve Sınırları

Karar, tazminat hakkı bakımından da önemli sonuçlar doğurmaktadır. ABAD, erişim hakkının ihlalinin de tazminata konu olabileceğini kabul etmektedir. Bu yönüyle GDPR'ın 82'nci maddesi geniş yorumlanmaktadır. Ancak bu geniş yorum, sınırsız bir tazminat hakkı anlamına gelmez.

Tazminat için üç unsur birlikte aranır:

  • GDPR ihlali,
  • Zarar (maddi veya manevi),
  • İhlal ile zarar arasında nedensellik bağı.

ABAD ayrıca önemli bir sınır getirmektedir: "Eğer zarar, veri sahibinin kendi davranışından kaynaklanıyorsa, nedensellik bağı kesilir ve tazminat talebi reddedilir."

Bu yaklaşım, hakların kötüye kullanılması yasağı ile tazminat rejimi arasında doğrudan bir bağ kurmaktadır.

7. KVKK Kapsamında Değerlendirme

ABAD'ın bu kararı, GDPR uygulamasında önemli bir dengeyi ortaya koymaktadır. Erişim hakkı güçlü şekilde korunmakta ancak bu hakkın sistematik biçimde araçsallaştırılması hâlinde, GDPR'ın 12'nci maddesinin 5'inci fıkrası çerçevesinde sınırlandırılabileceği kabul edilmektedir. Bu bağlamda m.12/5, veri sorumlusuna "açıkça dayanaksız" (manifestly unfounded) veya "aşırı nitelikte" (excessive) talepleri reddetme imkânı tanımakta; ABAD ise bu hükmü, hakların kötüye kullanılması yasağı ile bağlantılı olarak yorumlamaktadır.

Türk hukuku bakımından ise farklı bir normatif yapı söz konusudur. 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında ilgili kişinin hakları KVKK'nın 11'inci, başvuru usulü ise KVKK'nın 13'üncü maddesi ile düzenlenmiştir. Ayrıca Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ, başvuruların kural olarak ücretsiz olduğunu ve yalnızca ek maliyet doğması hâlinde ücret talep edilebileceğini öngörmektedir.

Bununla birlikte, ne KVKK'da ne de ilgili Tebliğ'de, GDPR m.12/5'te olduğu gibi "açıkça dayanaksız" veya "aşırı nitelikte başvuru" gerekçesiyle başvurunun reddedilebileceğine ilişkin açık bir düzenleme bulunmamaktadır. Bu nedenle veri sorumlularının, yalnızca kötüye kullanım iddiasına dayanarak başvuruları doğrudan reddetmesi, GDPR'daki kadar açık bir hukuki zemine sahip değildir.

Bu çerçevede, KVKK uygulamasında daha ihtiyatlı bir yaklaşım benimsenmeli; başvurular somut olay özelinde değerlendirilerek, gerekirse kapsamı gerekçeli şekilde sınırlandırılmalı ve süreç dikkatle yönetilmelidir.

8. Sonuç

ABAD'ın C-526/24 sayılı kararı, GDPR kapsamında veri sahibi haklarının kapsamını daraltan değil, bu hakların amaçsal kullanımını yeniden tanımlayan bir içtihat niteliğindedir. Karar ile erişim hakkının (GDPR m.15), veri sahibine tanınan temel ve vazgeçilmez bir hak olduğu açıkça teyit edilmekte; ancak bu hakkın, GDPR'ın öngördüğü koruma amacından saparak araçsallaştırılması hâlinde sınırsız bir koruma sağlamayacağı ortaya konulmaktadır.

ABAD'ın yaklaşımı, GDPR'ın yalnızca hak tanıyan bir düzenleme olmadığını; aynı zamanda bu hakların dürüst, ölçülü ve sistemin bütünlüğünü bozmayacak şekilde kullanılmasını zorunlu kılan bir yapı kurduğunu göstermektedir. Bu çerçevede, GDPR m.12/5 hükmü veri sorumluları açısından istisnai fakat önemli bir denge aracı olarak öne çıkmakta, özellikle sistematik ve tazminat odaklı başvurular karşısında sınırlı bir savunma alanı yaratmaktadır.

Öte yandan karar, tazminat rejimi bakımından da önemli bir sınır çizmekte, her hak ihlalinin otomatik olarak tazminat doğurmayacağını, özellikle zarar ile ihlal arasındaki nedensellik bağının titizlikle değerlendirilmesi gerektiğini ortaya koymaktadır. Bu yönüyle içtihat, son dönemde artış gösteren "hak temelli başvuru – tazminat talebi" pratiklerine karşı dengeli ve sistem koruyucu bir yaklaşım sunmaktadır.

Türk hukuku bakımından ise benzer bir açık düzenlemenin bulunmaması, veri sorumlularının bu tür durumlarda daha temkinli hareket etmesini gerektirmektedir. Bu durum, GDPR ile KVKK arasındaki yapısal farkı ortaya koyarken, uygulamada her somut olayın dikkatle değerlendirilmesini zorunlu kılmaktadır.

Sonuç olarak bu karar, veri koruma hukukunda kritik bir ilkeyi netleştirmektedir:

"Veri sahibinin hakları bakidir; ancak bu hakların korunması, onların amacına uygun ve dürüst şekilde kullanılmasına bağlıdır."

Bu yaklaşım, GDPR'ın yalnızca bireysel hakları değil, aynı zamanda hukuki sistemin bütünlüğünü ve sürdürülebilirliğini koruyan bir normatif çerçeve sunduğunu açıkça ortaya koymaktadır.

Bilgilendirme Metni!

Bu makalede yer alan içerikler, yalnızca genel bilgilendirme amaçlıdır ve CottGroup® üye şirketlerine aittir. Bu içerikler, hukuki, mali veya teknik danışmanlık hizmeti niteliği taşımamaktadır ve kaynak gösterilmeden iktibas edilemez.

CottGroup® üye şirketleri, makaledeki bilgilerin doğru, güncel veya eksiksiz olduğunu garanti etmez ve bu bilgilerin içerebileceği hata, eksiklik veya yanlış anlaşılmalardan doğabilecek zararlardan sorumlu değildir.

Burada sunulan bilgiler, genel bir bakış sunmak amacıyla hazırlanmıştır. Her somut olay farklı değerlendirmeler gerektirebilir ve bu bilgiler her duruma uygun olmayabilir. Bu nedenle, makalede yer alan bilgilere dayalı olarak herhangi bir işlem yapmadan önce, konuyla ilgili hukuk, mali, teknik ve diğer uzmanlık alanlarında yetkin bir profesyonele danışmanız önemle tavsiye edilir. CottGroup® müşterisiyseniz, özel durumunuza ilişkin müşteri temsilcinizden bilgi almayı unutmayınız. Müşterimiz değilseniz, lütfen ilgili bir uzmandan görüş alınız.

CottGroup® üye şirketlerine ulaşmak için tıklayınız.

Yazar

/en/blog/kvkk-gdpr/item/cjeu-decision-on-the-limits-of-the-right-of-access-under-the-gdpr

Diğer Makaleler

Başlayalım
Hizmet ihtiyaçlarınız için teklif alın.

Daha fazla bilgi
almak ister misiniz?