İKTİSADİ KALKINMA VAKFI
E-Bülteni
İKTİSADİ KALKINMA VAKFI
E-Bülteni
1-15 MART 2022

AB GÜNDEMİ: Avrupa Veri Stratejisi için Komisyondan Son Hamle: Avrupa Veri Yasası

Avrupa Veri Stratejisi için Komisyondan Son Hamle: Avrupa Veri Yasası

Avrupa Komisyonu, 23 Şubat 2022’de Veri Yasası (Data Act) teklifini sunarak Genel Veri Koruma Yönetmeliği (GDPR) ve Veri Yönetişimi Yasası’nın ardından Avrupa veri stratejisinin üçüncü yapı taşını ortaya koydu. İlk yapı taşı olan GDPR, kişilerin veri korumasını sağlayıp verilerin nasıl işleneceğini düzenliyor. İkinci katkıyı sağlayan Veri Yönetişimi Yasası kişiler, şirketler ve kamu tarafından veri paylaşımını kolaylaştıracak süreçleri ve yapıları oluştururken, veri alışverişi yapan aracılar için düzenleyici kurallar içeriyor. Son yapı taşı olarak da Veri Yasası, verilere erişim kurallarını ve yükümlülüklerini düzenlerken veriden kimlerin hangi koşullar altında değer yaratabileceğini açıklığa kavuşturuyor. Yeni kurallarla, verilerin yetersiz kullanılmasına yol açan yasal, ekonomik ve teknik sorunlara çözümler getirip 2028 yılına kadar 270 milyar avro ek GSYH yaratması bekleniyor. Aynı zamanda teklifin, 2030 dijital hedefleri doğrultusunda ve dijital dönüşümde kilit bir rol oynayacağı düşünülüyor.

Komisyon Yasa ile Neyi Amaçlıyor?

Komisyonun sunduğu teklif mevcut AB mevzuatı ve yeni teklifler (Dijital Hizmetler ve Piyasalar Yasası) ile etkileşim içinde oluşturuldu. AB genelinde ve sektörler arasında güveni artırmayı ve veri paylaşımını kolaylaştırmayı amaçlayan Veri Yönetişimi Yasası’nı tamamlayan Veri Yasası, büyük ve küçük olmak üzere, kullanıcılar ve sağlayıcılar için verilere erişimi daha eşit ve adil bir zemine oturtmayı amaçlıyor. Daha doğrusu hem özel hem de kamu sektörü kurumları için verilere erişim engellerini kaldırmayı, ücretsiz hâle getirmeyi ve aynı zamanda veri üreticileri/sağlayıcıları/kullanıcılarının veriler üzerindeki kontrollerinin dengeli olması planlanıyor.

AB’deki endüstriyel verilerin %80’inin kullanılmadığını söyleyen Komisyonun, Veri Yasası ile verilerin daha etkili kullanılmasına izin vererek AB’de veri üretimine yönelik yatırımları ve veriye dayalı inovasyonu ateşlemesi bekleniyor. Bu doğrultuda Komisyon, Avrupa’daki tüm ekonomik sektörlerdeki verilere uygulanacak şekilde geniş bir kapsamda tasarladığı Veri Yasası ile veri ekonomisinden elde edilecek faydayı azami düzeye çıkarmayı planlıyor. Aynı zamanda Komisyon, veri ekonomisinin AB Üye Devletleri’ne 2028 yılına kadar toplamda 270 milyar avroluk bir katkıda bulunmasını bekliyor.

Veri Yasası, aynı zamanda acil durumlar ve kriz yönetimi zamanlarında önleme, dayanıklılık ve kamu yararı için iş dünyasının kamuya veri paylaşımı yapması (B2G) konusunda 2021 yılında yapılan istişarenin sonuçlarına dayanıyor. Komisyonun, bu istişarenin ardından bir AB eylemine ihtiyaç duyulduğunu kabul ederek Ekim 2021’den beri B2G veri paylaşımına gerekli bir yasal nitelik kazandırmak ve endişeleri gidermek için çalıştığı söylenebilir. Teklifte de görüldüğü üzere Komisyon, zorunlu B2G veri paylaşımını ‘’istisnai bir ihtiyacın’’ olduğu durumlarla sınırlamayı amaçlıyor.

Avrupa Veri Yasası Kimleri ve Neleri Kapsıyor?

Teklif hem kişisel hem de kişisel olmayan verileri (örneğin endüstriyel veriler) kapsarken verilerin oluşturulmasına ve bu tür verilerin aktarılmasına yardımcı olan AB içindeki veri üreten kullanıcıları, veri sahiplerini, veri alıcılarını, kamu kurumlarını ve veri işleme hizmeti sağlayanları kapsıyor.  

Veri Yasası teklifinin içeriği aşağıdaki gibi özetlenebilir;

-Talep edilmesi durumunda ürün ve hizmetlerin kullanımıyla oluşturulan verilerin niteliği, kullanımı ve erişimi hakkında veri sağlayıcılarının belirli bilgileri sağlaması,

-İlgili veri sahipleri tarafından kullanıcılara (tüketici veya işletme olabilir) bu verilere ücretsiz erişimin verilmesi,

-Veri sahiplerinin, amaç sınırlamaları, paylaşım limitleri, veri silme, rekabet etmeme/münhasır haklar ve verilerin korunması/gizliliği gibi belirli koşullara tâbi olmakla birlikte, kullanıcı talimatı üzerine söz konusu verileri paylaşması gerektiği (örneğin DMA kapsamındaki kapı bekçileri burada veri alıcısı olarak yararlanamıyor),

-Veri Yasası kapsamında veri sağlama zorunluluğu getirilirse veri sahiplerinin bunu adil, makul ve ayrımcı olmayan şartlarla ve en uygun tazminatla veriyi sağlaması gerektiği, özellikle KOBİ’lere en uygun fiyat sınırının belirlenmesi,

-KOBİ’lerin veri erişimini düzenleyen sözleşmelerde tek taraflı olarak haksız bir şartın koyulamayacağı,

-Acil durumlarda veya kamu kurumlarının verileri başka bir şekilde elde edememeleri halinde ve istisnai bir ihtiyacın olması durumunda veri sahiplerinin, AB kamu kurum ve kuruluşlarına veri sağlaması gerektiği

-Veri işleme hizmeti sağlayanlar arasında (bulut hizmet sağlayıcıları da dâhil olmak üzere) veri aktarımı/geçişi yapma kolaylığı,

-Ticari, teknik ve kurumsal sözleşmeye dayalı olsa da veri aktarımlarının önündeki engellerin kaldırılması,

-Veri aktarım sürelerinin birlikte çalışabilirlik ve AB standardizasyon sistemine göre belirlenmesi,

-AB’de tutulan kişisel olmayan verilerin uluslararası aktarımı veya bu verilere AB dışı hükümetlerin erişiminin engellenmesi için teknik ve yasal önlemlerin alınması.

Avrupa Komisyonu için kişisel olmayan verilere kimlerin, hangi koşullarda ve nasıl erişebileceği ve kullanacağı hususu belirsizliğini koruyordu. Aynı zamanda otomatik toplanan veriler için üreticiler, kullanıcılar ve hizmet sağlayıcıların hangi haklara sahip olacağı sorusuna da yanıt verilmesi amaçlanıyordu. Bu bağlamda sorulara ve ilgili taraflara açıklığa kavuşturmak için hazırlanan Veri Yasası, prensip olarak kullanıcıların ürettikleri verilere doğrudan erişebilmeleri veya veri sağlayıcılarının kullanıcıların verilerine ulaşabilmesi için alternatif sağlamasını gerektiriyor. Aynı zamanda veri sağlayıcılarının verilerle ilgili güvenlik kriterleri gibi belirli koşulları (GDPR’nin koşulları gibi) yerine getirmesi gerekiyor. Elde edilen verileri kimin kullanacağının veya kime aktarılacağının sözleşme akdedilmeden önce bildirilmesi, şeffaflık yükümlülüğünün bir parçası olarak zorunlu hâle geliyor.

Yasanın Getireceği Değişiklikler

Tedarikçi ve tüketici arasındaki güç ilişkileri geleneksel olarak tüketici sözleşme hukuku kanunlarında düzenlenirken, şirketler arasındaki ilişkiler büyük ölçüde taraflar arasındaki sözleşme hükümlerine tâbi oluyor. Avrupa Veri Yasası ise veriler için mevcut düzenlemelere bazı değişiklikler getiriyor. Yasa, verilere kapsamlı erişim hakları getirirken veri erişimi ve veri kullanımı ile ilgili güncellemeler yapıp belirli sözleşme hükümlerini geçersiz hâle getiriyor. Örneğin, Veri Yasası’nın 13’üncü Maddesi’nde veri erişim koşulları söz konusu olduğunda küçük ve orta işletmeciler için özel korumalar sağlanıyor. Bu değişiklikler ise verinin /üretimi/erişimi/işlenmesi ile ilgilenen iş modellerinde önemli etkilerinin olması bekleniyor.  Ancak veri işleme akışlarının karmaşıklığı ve sorumlulukların netleştirilmesindeki zorluklar Komisyonun Veri Yasası’nın uygulanabilirliğini sorgulatıyor. AB, kişisel olmayan verilere erişim hakkını geliştirebilmesi için veri işleme akışlarının karmaşıklığını çözmesi gerekiyor.

Bulut Sağlayıcıları için Kriterler

Veri Yasası’nın 7’nci bölümünde yer alan maddeler ile veri sağlayıcıları ve veri işleyicilerinin, verileri AB dışındaki kişilere/kurumlara aktarmaları engelleniyor. Ayrıca verilere AB dışındakilerin erişim sağlamalarını engellemeleri için önlem almaya zorluyor. Veri Yasası’nda yalnızca uluslararası anlaşmalar bağlamında ve Avrupa veri gizliğinin korunması garanti edileceği zaman istisna sağlanacağı belirtiliyor. Böylece Veri Yasası’nın öngördüğü veri alışverişi hükümleri GDPR kapsamında da uyarlanmaya çalışılıyor.  Dolayısıyla Avrupa Veri Yasası, yürürlüğe girmesi hâlinde şimdiye kadar AB verileri için yeterli yasal kesinlik sağlamayan bulut sağlayıcılarını da (özellikle ABD ve Çin’deki) etkiliyor.

Sonuç

Teklif, AB’nin veri ekonomisine olan yaklaşımına dair önemli bir değişikliğe işaret ediyor. Küçük ve orta ölçekli veri şirketlerinin de desteklenmesiyle büyük veri şirketlerinin veri sistemindeki güç yapısını kırmayı hedefliyor. Ayrıca çeşitli sektörlerde veri tekellerine meydan okuduğu da söylenebilir. Veri ekonomisine/pazarına odaklanması ve veri yoğun sektörlerde yabancı firmalara bağımlılığı sınırlama gibi AB çıkarına olan hedeflerine rağmen Avrupa Veri Yasası için yasama süreci henüz başladı. AB Konseyi ve Parlamentonun ele alacağı tasarının, değişiklik önergeleri ve revizyonlar sonrasında oldukça zorlu bir yasama sürecinin ardından yasalaşması mümkün olacak. Yeşil Mutabakat ile birlikte AB’nin iki önemli gündem maddesinden birini oluşturan dijitalleşmenin yönetişimi AB kurumlarına ve Üye Devletlere önemli görevler yüklüyor. AB’nin küresel ekonominin kurallarını oluşturan en önemli kurumlardan biri olduğu dikkate alınırsa, dijitalleşme alanında da kural koyucu rolünü oldukça etkili bir biçimde icra ettiği söylenebilir.

Sema Nur Yeniyıldız, İKV Uzman Yardımcısı