Avrupa Birliği Adalet Divanı, Brillen Rottler davasında veri erişim hakkının kullanım sınırlarını ele almıştır. Kararda, GDPR’ın 12. maddesinin 5. fıkrasında yer alan “açıkça dayanaktan yoksun veya aşırı başvuru” kavramı detaylandırılmıştır. Mahkeme, veri erişim hakkının mutlak olmadığını ve dürüstlük kuralı çerçevesinde kullanılması gerektiğini belirtmiştir.

Başvurunun sadece veri sorumlusunu operasyonel olarak zor durumda bırakmak veya hukuki süreçleri suistimal ederek tazminat almak amacıyla yapılması, kötü niyetin göstergesi sayılmıştır. Veri sahibinin, verilerinin işlenme sürecini denetleme amacı gütmediği durumlarda, talebin yerine getirilmemesi hukuka uygun bulunmuştur. Ancak mahkeme, bu hakkın keyfi şekilde kısıtlanmaması için ispat yükünün veri sorumlusu olan kurumlarda olduğunu belirtmiştir.

Veri sorumlularının, başvuruyu reddetmeden önce kişinin geçmişteki benzer taleplerini, iletişim dilini veya başvurunun orantısızlığını belgeleyen somut kanıtlar sunması şart koşulmuştur. Kararda ayrıca, bir talebin sadece “ilk başvuru” olmasının, onun kötü niyetli sayılamayacağı anlamına gelmediği ifade edilmiştir.