Veri Yasası Etki Değerlendirmesine İlişkin Bilgilendirme Metni Yayımlandı
Giriş
Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni[1] yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini sağlayacak tek bir veri pazarı oluşturmaya yönelik stratejinin ana hatlarını belirlemeyi amaçlar. Komisyon, bu stratejiden yola çıkarak mevcut yasaları tamamlayacak nitelikte yeni yasa teklifleri de dâhil olmak üzere, AB'yi “veriye dayalı ekonomi”nin ön saflarında tutmak için alınabilecek bazı tedbirler konusunda kapsamlı bir istişare süreci başlattı.
Ardından, Mart 2021'de Komisyon "Avrupa'nın Dijital On Yılı"nı[2] ilan etmiş ve 2030 yılına kadar Avrupa'nın dijital dönüşümü için vizyon, hedefler ve öneriler sundu. Bu duyuruda da açıkça belirtildiği üzere, bir dizi dijital ilkenin hazırlanması, birden çok ülkenin dahil olduğu projelerin başlatılması ve güçlü bir yönetim çerçevesini kapsayan mevzuat teklifinin oluşturulması ve bu amaçlar doğrultusundaki ilerlemenin izlenmesi önerildi.
Nihayetinde 23 Şubat 2022 tarihinde Komisyon, Avrupa Veri Stratejisi’nin bir parçası olarak Veri Yönetimi Yasası’nı tamamlayan ve AB’yi veri odaklı toplumda lider yapmayı amaçlayan Veri Yasası taslağını teklif etti.
Buna ek olarak, geçtiğimiz günlerde Avrupa Parlamentosu Araştırma Servisi, Avrupa Parlamentosu ve Avrupa Konseyi’nin verilere adil erişim ve verilerin kullanımı hakkında uyumlaştırılmış kurallara ilişkin tüzüğünün, yani Veri Yasası’nın etki değerlendirmesine (“ED”) yönelik bir bilgilendirme metni[3] (“Bilgilendirme”) yayımlamış olup, bu Hukuk Postası Makalesinde Bilgilendirme ve ilgili kanun ve teklifler kısaca incelenecektir.
Veri Yasasının Kapsamı ve İlgili Diğer Mevzuatlar ile Arasındaki Farklar
Veri Yasası[4] temel olarak, veri üretimi ve toplanmasına yatırım yapma teşviklerini korurken aynı zamanda daha geniş bir yelpazedeki ilgilerin verileri üzerinde kontrol sahibi olmasını ve daha fazla verinin yenilikçi kullanım için ulaşılabilir olmasını sağlayarak ekonomideki veri değerini en üst düzeye çıkarmayı amaçlamaktadır.
Veri Yasası, genel olarak hem kişisel hem de kişisel olmayan verileri ve birlikte üretilen (Nesnelerin İnterneti) verileri kapsamakta ve "veri ekonomisindeki aktörler arasında veri değerinin tahsisinde adaleti sağlamayı ve veriye erişim ile verinin kullanımını teşvik etmeyi" hedeflemektedir. İşletmeden işletmeye (B2B), işletmeden tüketiciye (B2C) ve işletmeden devlete (B2G) veri paylaşımını düzenleyen teklif, akıllı, bağlantılı ürünlerin üreticileri ve ilgili hizmetlerin sağlayıcıları, işletmeler, veri alıcıları ve kamu sektörü organları ile AB içindeki veri işleme hizmeti sağlayıcıları için geçerli olacaktır.
Veri Yasası teklifi kapsamında öngörülen başlıca düzenlemelerin özetle, B2B ve B2C veri paylaşımına ilişkin düzenlemeler ve yükümlülükler, Nesnelerin İnterneti ile ilgili verilere erişim, devletin verilere erişimi, kişisel olmayan verilerin aktarımı ve bu verilere erişim kısıtlamaları, akıllı sözleşme gereklilikleri, veri işleme hizmetleri (bulut ve uç nokta hizmetleri) arasında geçiş ve özellikle küçük ve orta ölçekli işletmelerin (“KOBİ”) konumuna ilişkin olarak veri sahipleri ve veri alıcıları arasındaki sözleşmeye dayalı ilişkiler ile ilgili olduğu söylenebilir. Belirtildiği üzere, Veri Yasası, Avrupa veri tek pazarını oluşturan diğer iki önemli düzenlemeyi tamamlar: Veri Yönetimi Yasası ve Dijital Piyasalar Yasası.
Veri Yönetimi Yasası[5], belirli kategorilerde korunan kamu sektörü verilerinin yeniden kullanımını kolaylaştırmak, veri aracılık hizmetlerine olan güveni artırmak ve AB genelinde veri altruizmini teşvik etmek için etkili mekanizmalar belirleyerek veri ekonomisini güçlendirmeyi amaçlar. Bu kapsamda, Veri Yönetimi Yasası’nın, ticari sırlar, kişisel veriler ve fikri mülkiyet haklarıyla korunan veriler gibi başkalarının haklarına tabi olan belirli kategorilerdeki kamu sektörü verilerinin güvenli bir şekilde yeniden kullanılmasını sağlayacak bir mekanizma oluşturmak için yasal bir çerçeve olacağı belirtilir.
Öte yandan Dijital Piyasalar Yasası[6], Komisyon tarafından gatekeeper olarak tanımlanan büyük çevrimiçi platform şirketlerini hedef alan bir dizi kural sunar. KOBİ'leri büyük teknoloji şirketleriyle rekabetlerinde korumayı ve dolayısıyla tüketici refahını artırmayı amaçlar.
Görüldüğü üzere, Veri Yönetimi Yasası veri paylaşımını teşvik etmek üzere yasal çerçeve, yöntem ve yapı sağlamaya odaklanmakta ve Dijital Piyasalar Yasası gatekeepers ve diğer piyasa oyuncuları arasında adil rekabete ilişkin kuralları düzenlemekteyken; Veri Yasası verilerden kimlerin ve hangi koşullar altında değer yaratabileceğine açıklık getirir.
Son olarak, Komisyon tarafından vurgulandığı üzere, Veri Yasası, Genel Veri Koruma Tüzüğü[7] (“GDPR”) ile tamamen uyumludur ve GDPR kurallarını, özellikle de veri taşınabilirliği hakkını temel alır. Veri taşınabilirliği, veri sahiplerinin verilerini rakip hizmetler sunan sorumlular arasında taşımalarına olanak tanır. GDPR belirli yasal dayanaklara göre işlenen kişisel verilerle sınırlıyken, Veri Yasası tüketicilerin Nesnelerin İnterneti tarafından üretilen hem kişisel hem de kişisel olmayan tüm verilere erişmesine ve bunları taşımasına izin verir.
Bilgilendirme Hangi Konuları İçeriyor?
Bilgilendirme, Veri Yasası hakkında ED’nin[8] güçlü ve zayıf yönlerine ilişkin bir ilk analiz sunar.
ED, -bunlarla sınırlı olmamak üzere- AB içinde veya toplumsal amaçlarla kullanım ve yeniden kullanım için verilerin yetersiz erişilebilirliğine ilişkin sorunun farklı görünümleri olan dört ana soruna dikkat çeker. Ayrıca, bir sorun ağacı aracılığıyla, bu sorunları, sorunun doğasını, arkasındaki itici güçleri, etkilenen tarafları ve AB'nin müdahalesi olmaması halinde olası sonuçları tanımlayarak gösterir ve böylece okuyucuya aralarındaki bağlantı hakkında net bir genel bakış sağlar.
Öncelikle, akıllı, bağlantılı ürünlerin (akıllı ev aletleri veya fitness takip cihazları gibi) ve ilgili hizmetlerin tüketiciler ve şirketler tarafından kullanılmasıyla ortaya çıkan verilerin değerini fark etme becerisinin sınırlı olması, B2B/B2C veri erişimi için bir sorun olarak tanımlanır. Veri erişimine ilişkin sözleşmesel dengesizliklerin (özellikle KOBİ'leri etkileyen aşırı fiyatlandırma gibi) kötüye kullanılması ve ortak veri paylaşımı uygulamalarının olmaması nedeniyle “B2B ilişkilerde katma değer yaratmak için düşük düzeyde veri kullanılabilirliği” ikinci sırada bir sorun olarak belirtilir.
ED’ye göre üçüncü sorun, özel sektör verilerinin kamu sektörü tarafından kullanılmasına yönelik yetersiz uygulamaların şirketlere aşırı idari yük getirebilecek olmasıdır. Bu endişeler özellikle Covid-19, şiddetli hava olayları ve çevresel bozulma gibi acil durumlarda gündeme gelir. Son olarak, bulut ve uç hizmetleri arasında geçiş yapmanın önündeki engeller ve verilere hukuka aykırı üçüncü ülke erişim riskleri, veri işleme hizmetleri açısından bir sorun olarak değerlendirilir. Bu bağlamda, bulut ve uç nokta hizmetleri için rekabetçi bir pazarın mevcut olmaması, birçok aktör için veriye dayalı değer yaratmanın önünde bir engel olarak nitelendirilir.
ED, yukarıda belirtilen sorunların sınırlı rekabet, veri yeniliklerinin daha yavaş gerçekleşmesi, veri ürünleri ve hizmetleri için daha yüksek fiyatlar, küresel veri ekonomisinde AB'nin rekabet gücünün kaybı, düşük kaliteli kamu hizmetleri ve veri paylaşımı için gerekli ve yeterli bilgi işlem kaynaklarının eksikliği ile sonuçlanabileceğini belirtir.
ED, bu sorunların AB üye ülkelerine özgü olmadığını ve AB'deki veri değer zincirlerinin halihazırda büyük ölçüde sınır ötesi şekilde yapılandırıldığını gözlemler. Ulusal müdahalenin tek pazarın tamamında tutarlı bir çerçeveyi garanti edemeyeceğini ve veri erişim ve kullanım koşullarının her yerde karşılaştırılabilir olmasını sağlayamayacağını savunur. Bu nedenle, ulusal müdahalenin aksine AB müdahalesinin, veri engelleriyle mücadeleye yönelik ulusal ve sektörel yaklaşımlar için tek pazarda tutarlı bir çerçeve sağlayabileceği ve ortak Avrupa veri alanları için karşılaştırılabilir erişim ve kullanım koşulları sağlayabileceği sonucuna varılır.
Bilgilendirme’de ayrıca, ED’de açıklanan üç politika seçeneğinin analizi ve karşılaştırılması sonucunda bunların arasından ikinci seçeneğin tercih edildiği anlaşılır. Bu seçenek, bulut ve uç nokta sağlayıcıları arasında geçiş için asgari çerçeve koşulları tanımlayan ılımlı bir düzenleyici yaklaşımla, verilerin nasıl ve kim tarafından kullanılabileceğine ilişkin hukuki belirliliği güçlendiren yasal önlemlerle veri üreten faaliyetlere yatırım için mevcut teşvikleri dengelemeyi amaçlar. Bilgilendirme’ye göre, sunulan seçenekler, mevcut ve planlanan veri paylaşım araçlarına ve Avrupa Veri Stratejisi kapsamındaki diğer girişimlere dayanan bir dizi tedbir sunan gerçekçi alternatifler olarak görülür.
ED, çeşitli ilgililer arasında ayrım yapmış ve onların görüşlerini baştan sona yansıttı; seçenekler analiz edilirken ve karşılaştırılırken bu görüşler dikkate alındı. Ayrıca ED, söz konusu girişimin KOBİ’ler için son derece önemli olduğunu ifade etmişti: “Veri, çok düşük başlangıç sermayesiyle kurulabilen, özellikle start-up ve KOBİ’ler için kritik bir kaynaktır. Son yıllarda veri ekonomisindeki yeni işlerin yaklaşık %85'i KOBİ’ler tarafından yaratılmıştır.”[9] Bu doğrultuda, Veri Yasası’nda hem KOBİ’lere yönelik faydaları optimize etmek hem de KOBİ’ler üzerindeki yükü en aza indirmek amacıyla KOBİ’ler ve mikro işletmeler için bazı muafiyetler getirilmiş olduğu görülür.
Ayrıca Veri Yasası'nın tamamlayıcı olması, siber güvenlik veya veri formatları gibi veri erişiminin sektöre özgü teknik yönlerini ele alan daha kapsamlı kurallar belirlemek için dikey mevzuata yer bırakması nedeniyle, önemli niteliklerinden biri olarak vurgulanır.
Sonuç olarak Bilgilendirme, Veri Yasası teklifinin, teklifin değerlendirilmesine ilişkin zaman dilimine ilişkin küçük bir tutarsızlık dışında, ED’de belirtilen tercih edilen politika seçeneğine karşılık geldiği sonucuna varır.
Sonuç
Dijital teknolojilerin son birkaç yıldır dünya ekonomisini ve günlük hayatımızı ciddi bir şekilde etkilediği ve değiştirdiği yadsınamaz bir gerçektir. Veri, şüphesiz, bu dönüşümün temel bileşenidir. Komisyon tarafından da açıkça ifade edildiği üzere günümüzde veri, işletmeler, ekonomik büyüme, rekabet gücü, yenilikçilik ve iş fırsatları ile toplumların iyileştirilmesi için önemli bir unsur ve kaynaktır.[10] Öyle görünüyor ki Komisyon, verinin önemi ve değeri, erişimi, kullanımı ve olası etkilerini göz önünde bulundurarak veri yasalarını genişletmeye devam etmektedir. Komisyon’un veri stratejisinin son yatay yapı taşı olarak tanımlanan Veri Yasası, AB çapında standartlar sağlayarak veri paylaşımını ve kullanımını/yeniden kullanımını herkes için daha kolay hale getirecek gibi görünüyor. Ancak henüz Komisyon’un taslak kanun teklifi olduğu, yetkili makamlar tarafından onaylanması ve kabul edilmesi gerektiği unutulmamalıdır. Yukarıda bahsi geçen ve bundan sonra yapılacak düzenlemelerin uygulaması veri ekonomisinin tüm aktörleri üzerindeki fiili etkileri merakla bekleniyor.
- https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52020DC0066, (Erişim Tarihi: 01.08.2022).
- Daha fazla bilgi için bkz. https://ec.europa.eu/commission/presscorner/detail/en/ip_21_983, (Erişim tarihi: 01.08.2022).
- Veri Yasası Etki Değerlendirmesine İlişkin Bilgilendirme Metni, https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2022)730351, (Erişim tarihi: 01.08.2022).
- https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52022PC0068, (Erişim tarihi: 01.08.2022).
- Avrupa veri yönetimine ilişkin (AB) 2022/868 sayılı Tüzük 3 Haziran 2022 tarihinde AB resmî gazetesinde yayımlanmış ve yayımlandığı tarihten itibaren 20 gün sonra yürürlüğe girmiştir. Yönetmelik 24 Eylül 2023 tarihinden itibaren uygulanacaktır, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022R0868, (Erişim tarihi: 01.08.2022).
- Daha fazla bilgi için bkz. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52020PC0842&from=en, (Erişim tarihi: 01.08.2022).
- Kişisel verilerin işlenmesi kapsamında gerçek kişilerin korunması ve bu tür verilerin serbest dolaşımına ilişkin ve 95/46/EC sayılı Direktifi yürürlükten kaldıran 27 Nisan 2016 tarihli ve 2016/679 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü (AB) (Genel Veri Koruma Tüzüğü) https://eur-lex.europa.eu/eli/reg/2016/679/oj, (Erişim Tarihi: 01.08.2022).
- Verilere adil erişim ve verilerin kullanımına ilişkin uyumlaştırılmış kurallar hakkında Avrupa Parlamentosu ve Konsey Tüzüğü Teklifi (Veri Yasası) belgesine eşlik eden- Komisyon Personeli Çalışma Dokümanı Etki Değerlendirme Raporu, 23 Şubat 2022, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52022SC0034&from=EN, (Erişim tarihi: 01.08.2022).
- Komisyon Personeli Çalışma Dokümanı Etki Değerlendirme Raporu, s. 2.
- https://digital-strategy.ec.europa.eu/en/policies/strategy-data, (Erişim tarihi: 01.08.2022).
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Tüm zamanların ilk “Yapay Zekâ Yasası” olarak nitelendirilen ve özellikle ChatGPT, Bard ve Midjourney gibi araçları doğrudan etkileyen kural ve düzenlemeler içeren yasa Avrupa Parlamentosu tarafından 14 Haziran 2023 tarihinde gerçekleşen nihai oylamada oyçokluğuyla kabul edildi. Böylece Avrupa Parlamentosu...
Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...
ChatGPT, OpenAI tarafından geliştirilen büyük dil modelidir. İnsan diline yakın seviyede metin üretmek için derin öğrenme teknikleri ve yapay sinir ağlarına dayanan bir yapay zeka sistemidir. Uzun metinler hazırlayıp sohbet havasında sorulan soruları cevaplayabilen ChatGPT kimi hallerde verdiği cevaplardaki...
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...
Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...
Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...
Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...
Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...
Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...
Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...
Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...
Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...
Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...
