DATA ACT VE BÜTÜNCÜL VERİ KORUMA İLİŞKİSİ

  1. GİRİŞ

Veri Yasası (Data Act), kişisel verilerin korunmasını hedefleyen GDPR/KVKK düzenlemelerinden farklı olarak, kişisel veya kişisel olmayan verinin ekonomik değerini ortaya çıkarmayı  ve veri temelli iş modellerinin geliştirilmesini hedefler. Yasada; veri paylaşımını, veri taşınabilirliğini, adil kullanım ilkelerini ve veri temelli iş modellerini geliştirme amacıyla hükümler ortaya konmuştur. Data Act, 11 Ocak 2024 tarihinde yürürlüğe girmiş, 12 Eylül 2025 tarihinde uygulamaya konmuştur.

Data Act’in ortaya koyduğu kilit bir yenilik ise, loT cihazlarından üretilen verilerin üreticiye ait olmasının yanında kullanıcıya ait olmasıdır. Üreticiler, kullanıcıların veri erişim taleplerini teknik/sözleşmesel gerekçelerle engelleyemez. Kullanıcıların isteği doğrultusunda, üretici veriyi hemen ve ücretsiz olarak, kullanıcının seçtiği üçüncü bir servise vermek zorundadır. Bu bakış açısı sayesinde, kullanıcılar üreticilerin veyahut tedarikçilerin tekelinden kurtulacak ve rekabetçi fiyatlarla daha iyi ve yenilikçi üçüncü servisler kullanabileceklerdir.

19 Kasım 2025’te yayınlanan Dijital Omnibus teklifinin amacı, AB Dijital Omnibus, Data Act’i sadeleştirmeye ek olarak, AB dijital düzenleyici ortamındaki (GDPR, AI Act) diğer düzenlemelere de temas etmektedir.

Data Act’in uluslararası veri standartlarını belirlemesi, AB pazarına giriş süreçlerini etkilemesi ve dijital ekonomi üzerinde doğrudan sonuçlar doğurması nedeniyle, Türkiye’de faaliyet gösteren şirketlerin de bu düzenlemelere entegre olma çalışmaları uluslararası ticari hayat için önem arz etmektedir.

  1. KAPSAM VE DÜZENLEME ALANLARI

Data Act, oldukça geniş ve tüm sektörleri etkileyen bir düzenlemedir. Örnek olarak aşağıdaki konular yasa kapsamında ele alınmaktadır:

  • IoT (nesnelerin interneti) cihazlarından üretilen verilerin ekonomik potansiyelinin kullanılması
  • Kullanıcıların kendi oluşturdukları veriler üzerindeki haklarının güçlendirilmesi
  • Veriye erişim ve paylaşımda adil rekabet koşullarının sağlanması
  • Bulut hizmetleri ve veri işleme sistemleri arasında geçişin kolaylaştırılması
  • Üçüncü ülkelere hukuka aykırı veri erişiminin önlenmesi
  1. YASANIN GETİRDİĞİ TEMEL YENİLİKLER
  • Kullanıcılar, ürün veya hizmet kullanımından doğan verilere erişme hakkına sahiptir.
  • IoT ürünlerinden elde edilen veriler yalnızca üreticiye değil, kullanıcıya da aittir.
  • Üretici veya hizmet sağlayıcı, veri erişimi taleplerini teknik veya sözleşmesel gerekçelerle engelleyemez.
  • Kullanıcı onayıyla üçüncü taraflar da veriye erişebilir.
  • Veri paylaşımı, adil, makul ve ayrımcı olmayan koşullarda yapılmalıdır (FRAND). Rekabeti engellemek için fahiş fiyat veya imkansız sözleşme şartları konamaz.
  • Ticari sır korunur; ancak bu gerekçe veri paylaşımını tamamen reddetmek için kullanılamaz.
  • Acil durumlarda (doğal afet, halk sağlığı krizi vb.) kamu otoriteleri veri talep edebilir.
  • Bulut sağlayıcılarının, kullanıcıların verilerini taşınabilir formatta sunması ve geçişi engellememesi gerekir.
  • Haksız sözleşme şartları geçersiz sayılabilir ve özellikle KOBİ’ler korunur.
  1. ŞİRKETLER AÇISINDAN GETİRİLEN BAŞLICA YÜKÜMLÜLÜKLER
  • IoT cihazlarından veya dijital hizmetlerden elde edilen verilere kullanıcı erişimi sağlanmalıdır.
  • Veri paylaşım talepleri için teknik altyapı kurulmalıdır.
  • Bulut hizmetleri arasında geçişe engel oluşturulmamalıdır.
  • Ticari sır, siber güvenlik ve fikri mülkiyet korunmalıdır.
  • Kamu kurumlarından gelen veri talepleri için prosedür oluşturulmalıdır.
  • Haksız sözleşme şartları uygulanmamalı, özellikle KOBİ’ler korunmalıdır.

Ayrıca Data Act, işin özünde kişisel verilerin korunması alanında yeni bir yükümlülük getirmemekle beraber GDPR ve KVKK düzenlemeleri ile eşgüdümlü çalışmaktadır. Bundan dolayı;

  • Veri paylaşımı taleplerinde, verinin kişisel olup olmadığı ayrıca değerlendirilmeli ve KVKK uyumu sağlanmalıdır.
  • Çelişki olması halinde GDPR ve KVKK hükümleri önceliklidir.
  • Adil veri paylaşımına ilişkin sözleşmeler, KVKK uyum programlarına entegre edilmelidir.
  • Veri envanterleri bütüncül olacak şekilde güncellenmelidir.
  • Veri paylaşım politikalarının yazılı hale getirilmesi gerekir.
  • Bulut sözleşmelerinin revize edilmesi gerekmektedir.
  • Veri aktarımı için yeni mevzuata uygun olarak prosedürlerinin düzenlenmesi gerekir.
  1. AB OMNİBUS DÜZENLEMELERİ KAPSAMINDA DATA ACT’İ ETKİLEYECEK DEĞİŞİKLİKLER

Teklifin getirdiği revizyonları sıralayacak olursak:

Ticari Sırların Korunması : Veri paylaşımı sonucunda ticari sırların üçüncü ülkelere sızma riskinin önlenmesi amacıyla; veri sahipleri, AB dışındaki görece zayıf korumalı ülkelere veri sızma riskinin yüksek olduğu hallerde, veri sahipleri veri paylaşımını reddetme hakkına sahip olacak.

Akıllı Sözleşmeler :Data Act’in ilk halinde, bilgisayar kodlarıyla çalışan Akıllı Sözleşmelerin nasıl yazılması gerektiğine dair katı kurallar vardı. Bu durum ticaretteki inovasyonu sınırladığı için Omnibus değişiklikleri çerçevesinde bu katı düzenleme (m.36) kaldırılmıştır. Bu durumda, şirketlere akıllı sözleşmeleri hazırlama konusunda esneklik tanınmıştır.

Bulut Geçişi Kurallarının Esnetilmesi : Data Act’in ana hedeflerinden biri, şirketlerin bulut hizmet sağlayıcılarına kilitlenmesini (vendor lock-in) engellemektir. Bunun anlamı ise, bir şirketin verilerini bir sağlayıcıdan alıp başka bir sağlayıcıya geçişinde karşılaştığı fahiş ücretler, vakit kayıplarını, teknik engelleri ortadan kaldırmaktır. Omnibus ise, bu kilitlenmeyi önleme kuralına sadece iki özel durum için istisna getirmiştir. Şöyle ki:

  1. Özel Yapım (Custom-made) Hizmetler: Bazı bulut hizmetleri, müşterinin talebine göre özel olarak geliştirildiği için bu hizmetlerin başka bir sağlayıcıya aktarılması veya bu hizmetlerden çıkış yapılması, standart bir bulut hizmetine göre daha karışık ve maliyetlidir. Bu sebeple, bu tip özel yapım hizmetlerde, sağlayıcıların makul ve orantılı erken fesih veya çıkış ücretleri talep etmesine imkan sağlanmıştır. Bu imkanın sağlanmasının temelinde, sağlayıcının müşteriye özel geliştirdiği altyapı ve yazılım yatırımını telafi etme hakkını korumak yatar.
  2. KOBİ’ler ve Eski Sözleşmeler: Özellikle Küçük ve Orta Ölçekli İşletmeler (KOBİ’ler) ile imzalanmış, 12 Eylül 2025’ten önce (Data Act uygulamasından önce) yapılmış eski bulut sözleşmeleri için KOBİ’ler üzerindeki uyum yükünü hafifletmek için bu eski sözleşmelerin Data Act kurallarına uyarlanması konusunda hafif bir düzenleme getirilecektir.

Standart Sözleşmelerin SCC) Yayınlanması: Omnibus paketiyle aynı tarihte Komisyonca, Data Act’in uygulanmasına destek olması amacıyla veri erişimi ve bulut bilişim sözleşmeleri için bağlayıcı olmayan Standart Sözleşmeler yayınlanmıştır. Bu sözleşmelerin kullanımı şirketler için zorunlu değildir. Ancak AB içi ticarette uyumu yakalamak, riskleri optimize etmek için bu sözleşme örnekleri referans niteliği taşımaktadır.

  1. SONUÇ

Data Act, Avrupa Birliği’nin dijital ekonomi ve ticaret hedeflerinin temel yapıtaşlarındandır. Yaratılan bu sistemle, verilerin paylaşımını daha güvenli, rekabetçi ve şeffaf hale getirmenin yanı sıra şirketlerin hukuki süreçlerini yeniden gözden geçirerek regüle etmesini zorunlu kılmaktadır.

Data Act’in getirdiği kurallar, şirket içi envanterlerin kategorize edilmesini, netleştirilmesini ve erişilebilir olmasını zorunlu kılacaktır. Omnibus değişiklikleri kapsamında, bulut hizmet sağlayıcılarından veri taşınabilirliğinin kolaylaştırılması ve sözleşmelerin Omnibus teklifinde yer alan standart sözleşmeler sayesinde şeffaflaşması ile yukarıda da bahsedilen “Vendor Lock-in (tedarikçiye kilitlenme)” riski azalır. Bu sayede şirketler, daha hızlı teknoloji/tedarikçi değişikliği yapabilir, veriye dayalı projelerini hızlandırabilir ve iş süreçlerinde ciddi maliyet ve zaman optimizasyonu sağlayabilir.

Bu düzenlemeler, uluslararası dijital ekonominin standardını belirlediğinden Türkiye’de faaliyet gösteren şirketlerin, bu regülasyonlara uyum sağlamaları; AB pazarında kendilerine alan açmaları ve Data Act ve diğer AB regülasyonlarına entegrasyonu sağlamak için uyum desteği alması ve GDPR/KVKK standartlarını güçlendirmesi rekabet açısından doğru bir strateji olacaktır. Bu sayede, Türkiye’de faaliyet gösteren şirketler, AB veri ekosistemine dahil olacak ve uluslararası iş ortakları ile yürütülen faaliyetlerde ön plana çıkacaktır. Kısaca Data Act’in getirdiği düzenlemeler; Türkiye’deki şirketlerin sadece KVKK standartlarını güçlendirmekle kalmayacak, aynı zamanda veri temelli iş modellerinde verimlilik kazanmasını sağlayacaktır.