Veri koruma hukukunda “Veriye Erişim Hakkı” (DSAR), bireylerin kendi verileri üzerindeki kontrolünü sağlayan en güçlü araçlardan biridir. Ancak bu hak, son yıllarda özellikle tazminat koparmak veya iş davalarında delil toplamak (“fishing expeditions”) amacıyla bir “stratejik silah” olarak kullanılmaya başlandı. Avrupa Adalet Divanı (CJEU), 19 Mart 2026 tarihli Brillen Rottler (C-526/24) kararıyla, bu tür suiistimallere karşı veri sorumlularına önemli bir savunma kalkanı sundu.

Bir hukuk danışmanı ve yatırımcı avukat gözüyle bu karar, KVKK’daki “hakkın kötüye kullanılması” tartışmalarına ışık tutacak ve veri sorumlusu şirketlerin üzerindeki orantısız operasyonel yükü hafifletecek bir dönüm noktasıdır.

Brillen Rottler Davası: İlk Talep Bile “Aşırı” Sayılabilir mi?

Avusturya’da bir birey, Brillen Rottler şirketinin bültenine abone olduktan sadece 13 gün sonra verilerine erişim talebinde (DSAR) bulunmuştur. Şirket, kamuya açık verileri inceleyerek bu kişinin sistematik olarak farklı şirketlere DSAR gönderdiğini ve ihlal kurgulayarak tazminat talep ettiğini (GDPR trolleri) tespit etmiş ve talebi reddetmiştir.

CJEU, bu davada tarihi bir tespitte bulunmuştur: Bir erişim talebinin “aşırı” (excessive) olup olmadığını belirleyen asıl unsur talebin sayısı değil, başvuranın niyetidir (intent).

Hukuki Mevzuat Notu (KVKK Madde 13 ve TMK Madde 2):

Türk Hukuku’nda da “bir hakkın açıkça kötüye kullanılmasını hukuk düzeni korumaz” ilkesi (TMK m.2) esastır. Brillen Rottler kararı, KVKK kapsamında veri sorumlusuna gelen taleplerin, verinin doğruluğunu denetlemek yerine sadece “şantaj” veya “tazminat” amaçlı olduğu ispatlanabiliyorsa, bu talebin reddedilebileceğine dair güçlü bir Avrupa içtihadı sağlamaktadır.

Hukuk Danışmanları İçin DSAR Yönetimi ve Savunma Stratejileri

25 yıllık bilişim hukuku tecrübem ve 700+ bilirkişi raporu birikimimle, şirketlerin bu kararı stratejik bir kalkan olarak nasıl kullanabileceğini şöyle özetliyorum:

1. İspat Yükü Şirkettedir: Bir talebi “kötüye kullanım” gerekçesiyle reddetmek için elinizde somut veriler olmalıdır. Kişinin daha önceki davaları, talebin zamanlaması (örneğin işten çıkarılmanın hemen ertesi günü) ve kapsamı bu noktada belirleyicidir.
2. Veri mi, Belge mi? Fransız ve İngiliz mahkemelerinin de vurguladığı üzere; DSAR “kişisel verilere” erişim hakkı verir, “belgelere” değil. Şirketler, orantısız genişlikteki “tüm dökümanları verin” taleplerine karşı veriyi ayıklayarak orantılı cevap verme hakkına sahiptir.
3. Tazminat İçin “Gerçek Zarar” Şartı: Karar, usuli bir ihlal olsa dahi, eğer bireyin kendi kusurlu davranışı (kasten ihlal kurgulaması) söz konusuysa tazminatın reddedilmesi gerektiğini belirtmektedir. Bu, “GDPR avcılarına” karşı en büyük settir.
4. İstisnai Uygulama: İlk kez yapılan bir talebin reddedilmesi hala “istisnai” bir durumdur. Şirketler, her DSAR talebine “kötüye kullanım” diyerek genel bir ret politikası izleyemez; her olay özelinde risk analizi yapılmalıdır.

Yatırımcı Avukat Gözüyle: DSAR yönetimi, şirketler için ciddi bir maliyet kalemidir. Ancak bu kararla birlikte, hukuku manipüle eden art niyetli başvuruları eleyerek, gerçek hak sahiplerine daha kaliteli hizmet sunma ve operasyonel maliyetleri düşürme imkanı doğmuştur.

---

SORU – CEVAP

1. Bir kişi ilk kez veri erişim talebinde bulunuyorsa bu talep “aşırı” sayılarak reddedilebilir mi?

Evet, Brillen Rottler kararına göre; eğer veri sorumlusu (şirket), başvuranın art niyetli olduğunu (örneğin tazminat koparmak için yapay bir ihlal kurguladığını) somut delillerle ispatlayabiliyorsa, ilk talep dahi reddedilebilir.

2. DSAR taleplerinde başvuranın amacı neden önemlidir?

Normalde GDPR/KVKK’da amaç sorgulanmaz; ancak talep, hakkın özünden sapıp karşı tarafı taciz etme veya haksız kazanç sağlama aracına dönüştüğünde “hakkın kötüye kullanılması” yasağı devreye girer.

3. İşçilerin dava öncesinde “tüm dökümanları” istemesi engellenebilir mi?

Mahkemeler, DSAR’ın mahkeme öncesi bir “delil toplama operasyonu” (fishing expedition) olarak kullanılmasına karşıdır. Şirketler sadece kişisel verileri sunmalı, ticari sır içeren veya üçüncü kişileri ilgilendiren dökümanları paylaşmaktan kaçınmalıdır.

4. Zarar oluşmadan GDPR ihlali nedeniyle tazminat ödenebilir mi?

Hayır. CJEU, tazminat hakkı için (Article 82) bir ihlalin yanı sıra, bu ihlalden kaynaklanan somut bir zararın (maddi veya manevi) varlığını şart koşmaktadır. Başvuranın kendi davranışı zarara yol açtıysa tazminat hakkı doğmaz.

5. Bir hukuk danışmanı DSAR süreçlerini nasıl optimize etmelidir?

700+ bilirkişi raporu tecrübemle tavsiyem; gelen talepleri bir “Risk Matrisi” üzerinden değerlendirmektir. Talebin kapsamı, zamanlaması ve başvuranın profili incelenerek; orantılılık ve dürüstlük kuralları çerçevesinde cevap kurgulanmalıdır.

---

KAYNAKLAR

1. Court of Justice of the European Union (CJEU) – Judgment in Case C-526/24 Brillen Rottler
2. UK Information Commissioner’s Office (ICO) – Guidance on Manifestly Unfounded or Excessive Requests
3. CNIL (France) – Right of Access in the Employment Context Guidelines
4. T.C. Kişisel Verileri Koruma Kurumu (KVKK) – Veri Sorumlusuna Başvuru Usul ve Esasları
5. European Data Protection Board (EDPB) – Guidelines 01/2022 on Data Subject Rights – Right of Access

---

ETİKETLER

DSAR, GDPR, KVKK, BrillenRottler, HakkınKötüyeKullanılması, BilişimHukuku, ÖzgürEralp, HukukDanışmanı, VeriErişimHakkı, TazminatHukuku, ŞirketSavunmaStratejileri