İKTİSADİ KALKINMA VAKFI
E-Bülteni
İKTİSADİ KALKINMA VAKFI
E-Bülteni
1-15 NİSAN 2022

AB GÜNDEMİ: AB’nin Dijital Dönüşüm Yolculuğunda Veri Yönetişim Yasası

AB’nin Dijital Dönüşüm Yolculuğunda Veri Yönetişim Yasası

Genel Veri Koruma Yönetmeliği (General Data Protection Regulation-GDPR), Veri Yönetişimi Yasası (Data Governance Act-DGA) ve Veri Yasası (Data Act) Komisyon veri stratejisinin önemli yapı taşları olan üç önemli düzenleme olarak karşımıza çıkıyor. İlk yapı taşı olan GDPR, Mayıs 2018’den beri yürürlükte. Avrupa veri stratejisinin Avrupa Komisyonu tarafından Şubat 2020’de önerilmiş olan ikinci yapı taşı DGA ile ilgili olarak ise AP ve AB Konseyi Aralık 2021 tarihinde taslak üzerinde siyasi olarak anlaşmaya vardıklarını açıklamışlardı. Verilere erişim kurallarını ve yükümlülükleri düzenleyen, kimlerin hangi koşullar altında verilere erişebileceğini belirleyen Veri Yasası ise DGA’yı tamamlayacak şekilde tasarlanmış ve 23 Şubat 2022 tarihinde Avrupa Komisyonu tarafından sunulmuştu. Nihai olarak verilerin etkili kullanılması ve güvenli paylaşımıyla verileri Avrupa Tek Pazarı’na entegre etmeyi hedefleyen Veri Yönetişim Yasası (DGA) ve Veri Yasası, AP ve AB Konseyi’nden onay alıp yürürlüğe girmeyi bekliyordu.

DGA, 6 Nisan 2022 tarihinde AP’de yapılan oylamada 501 lehte, 12 aleyhte ve 40 çekimser oyla kabul edildi. AB’nin veri stratejisi doğrultusunda onaylanan ilk veri düzenlemesi olan DGA’nın bundan sonraki yolculuğu ise AB Konsey’inde onaylandıktan sonra Resmî Gazete’de yayımlanmak olacak. 

AB Veri Yönetişimi ile Neyi Hedefliyor?

“Verilerin” ekonomik ve toplumsal potansiyeliyle ilgili tartışmalar dijitalleşmenin günlük hayatımızın her alanına nüfuz etmeye başlamasından itibaren devam ediyor. Yeni teknolojilerin daha yaygın kullanımının yeni ürün ve hizmetlere olanak sağlaması, üretimi daha verimli hâle getirmesi ve toplumsal zorluklarla mücadele etmek için çeşitli araçlar sunabilmesi bakımından verilerin önemi giderek artıyor. Verilerin potansiyelinden daha fazla yararlanmak için erişilebilir kılınması, güvenle paylaşılması ve teknik olarak yeniden kullanılabilmesi gerekiyor. Ayrıca verilerden azami derecede fayda sağlamak için veri yönetişiminin devreye girmesi de şart. Veri yönetişimi, verilerin etkili ve güvenilir bir şekilde kullanılması için bir dizi kural, araç, yapı ve süreç içeren paylaşım mekanizmaları, anlaşmalar ve teknik standartlar aracılığıyla, verilerin kullanılabilirlik potansiyelini etkiliyor. AB sınırları içinde veri yönetişiminin sağlanmasıyla birlikte veriler için Avrupa Tek Pazarı’nın oluşturulması ve ortak Avrupa veri alanlarının geliştirilmesinin desteklenmesi planlanıyor.

DGA’nın Sundukları

DGA, ilk olarak AB içindeki veri paylaşımlarına yönelik ortak bir yaklaşımı tanımlıyor. Bu ortak yaklaşımla;

-Araştırma ve inovasyonu artırmak için güvenilir veri kullanım koşullarının oluşturulması hedefleniyor.

-Kamu ve özel sektördeki kuruluşların birbirleriyle veri alışverişi yapabilmesinin önünün açılarak verilerin yeniden kullanılabilmesi sağlanıyor.

-Kişisel veriler de dâhil olmak üzere kamu sektöründeki kurumlar tarafından tutulan verilerin daha geniş çapta yeniden kullanımı teşvik ediliyor. Ancak Yasa, istisnai durumları da açıklığa kavuşturuyor. Bu bağlamda Yasa’nın kamu kuruluşları tarafından tutulan, ulusal güvenlik, savunma veya kamu güvenliği nedeniyle korunan verilerin yeniden kullanımını kapsamadığı belirtiliyor.

-“Veri aracıları’’ için bir lisanslama rejimi oluşturarak verilerin güvenilir bir şekilde ve GDPR kapsamında paylaşılmasını hedefliyor. Tüm aracılık hizmeti sağlayıcılarının iki aşamalı olan lisanslama yapısıyla başvuruda bulunması gerekiyor. Ayrıca veri sahipleri ve veri kullanıcıları arasında ticari düzenlemeler yaparken verilere ek değer katmayan ancak kazanç sağlayan veri aracılarının, verilerin ve meta verilerin yeniden kullanılmasını sağlamak için gerekli lisans koşullarını karşılamaları zorunlu hâle getiriliyor. Veri aracılarının hizmetleri karşılığında ücret talep etmelerinin önü de bu Yasa ile açılıyor.

-Sağlık, çevre, enerji, tarım, sanayi, hareketlilik, kamu yönetimi ve finans gibi stratejik sektörlerde elde edilen verilerin kullanılabilirliğinin artırılması, stratejik sektörlerdeki verilerin paylaşımına veya alışverişine izin vermek suretiyleAvrupa dijital alanının yaratılması hedefleniyor.

-Veri özgeciliğinin (data altruism) teşvik edilmesi için sağlam mekanizmaların kurulması, özellikle bilimsel araştırmalar için verilere daha geniş erişimin sağlanması amaçlanıyor.

-Kişisel verilerin, GDPR kapsamında bireylerin haklarının ihlal edilmemesi kaydıyla, kullanılmasına izin veriliyor. Böylece yasadışı kişisel veri aktarımlarının önüne geçilerek gerçek kişilerin, ürettikleri veriler üzerindeki kontrollerinin fiilen artırılması planlanıyor.

DGA, kısaca veri ekonomisine ilişkin Avrupa stratejisinin önünü açıyor. Bu bağlamda DGA stratejik sektörler ve Üye Devletler arasında artan endüstriyel veri akışını kolaylaştırmak, veri odaklı adil bir ekonomi oluşturmak istiyor. Daha da önemlisi DGA, güvenilir veri paylaşımı için uygun koşulları yaratmak açısından önemli bir temel oluşturuyor: Avrupa vatandaşlarının veri paylaşımlarına dair güvenini artırarak; AB içindeki veri alışverişinin AB dışındaki şirketler tarafından kötüye kullanılmasının önüne geçerek; verilerin mümkün olduğunda kamu yararı için kullanılmasını amaçlayarak Avrupa veri alanı oluşturmak yolunda önemli bir girişimi temsil ediyor.  

Veri Özgeciliği Nedir?

Sağlık hizmetlerinin geliştirilmesi, iklim değişikliği ile mücadelede araçların çoğaltılması, hareketliliğin artırılması, resmî istatistiklerin oluşturulmasının kolaylaştırılması, kamu hizmetlerinin iyileştirilmesi, kamu politikalarının oluşturulması veya genel menfaate yönelik bilimsel araştırmaların desteklenmesi gibi amaçları göz önünde bulunduran DGA kapsamında veri özgeciliği, “veri öznelerinin kendilerine ait kişisel verileri işlemek için verdiği rıza ya da diğer veri sahiplerinin kişisel olmayan verilerinin, herhangi bir ödül talep etmeksizin kullanımına izin vermesi” olarak tanımlanıyor. Üye Devletlerin veri özgeciliğini desteklemeleri ve kişilerin kamu kurumları tarafından tutulan kişisel verileri daha yaygın bir şekilde erişebilir hâle getirmeleri gerektiğini vurgulanıyorancak Üye Devletler bunu yapmak zorunda bırakılmıyor.  

DGA gereğince, bir veri öznesinin verilerinin özgecil kullanımının yasal dayanağı veri öznesi tarafından verilen rızadan geliyor. Komisyonun, rıza almayla ilgili maliyetleri azaltmak ve veri taşınabilirliğini kolaylaştırmak (aktarılacak veriler veri sahibinin elinde olmadığında) amacıyla verilerin özgecil aktarımı için bir Avrupa rıza formu geliştirmesi öngörülüyor. Komisyon, veri özgeciliği için ön çalışmalarını tamamlamış durumda. Sağlık ve bilimsel araştırma gibi bazı stratejik sektörlerdeki çalışma grupları, veri özgeciliği kavramının kendi alanlarında uygulanabilirliğini keşfetmek için hâlihazırda çalışmalarını sürdürüyorlar. “Avrupa Sağlık Veri Alanı” bu alandaki en iyi örneklerden biri. 

Avrupa Veri İnovasyonu Kurulunun Oluşturulması ve DGA’nın Uygulanması

DGA, alanında uzman gruplardan oluşan bir Avrupa Veri İnovasyon Kurulu’nun oluşturulmasını öngörüyor. Üye Devletlerin, Komisyonun ve ilgili sektör temsilcilerinden oluşacak olan bu Kurul, veri özgeciliği organizasyonlarının ve veri aracılarının DGA’ya uymasını sağlamak ve lisanslama süreçlerini yönetmek konusunda kritik bir aktör hâline geliyor.

DGA, GDPR’den farklı olarak parasal yaptırımlar için geçerli olan miktarları ve ceza ağırlıklandırma faktörlerini belirlemiyor; DGA’ya uymayanlara yönelik para cezalarının belirlenmesini ve uygulanmasını Üye Devletler’e bırakıyor. Ancak, GDPR’deki uygulamaya benzer bir şekilde, Üye Devletler tarafından kararlaştırılan cezaların “etkili, orantılı ve caydırıcı” olmasını şart koşuyor.

Sonuç Yerine

DGA’ya bakıldığında üç ana konu öne çıkıyor; kamu sektörü verilerinin yeniden kullanımına ilişkin düzenlemeler, veri aracılarının sunduğu hizmetlerin düzenlenmesi ve ‘’veri özgeciliği’’ için bir çerçeve. DGA, en azından belirli stratejik alanlarda, Avrupa veri ekonomisini düzenlemeye yönelik ilk girişimi temsil ediyor. Bu doğrultuda AB’de daha fazla verinin bulunmasını ve değiş tokuş edilmesini sağlayıp ortak Avrupa veri alanlarının geliştirilmesini teşvik edebilir.  Aynı zamanda DGA’daki içeriğin birçok konuda GDPR’nin yapısına uygun ve Veri Yasası ile birbirini tamamlayıcı olması Avrupa’nın geç katıldığı veri ekonomisi yarışında Avrupa standardizasyonun oluşmasına katkı sağlayabilir. Ancak DGA, bir çerçeve olarak karşımıza çıkıyor; verileri kamuya açık bir hâle getirmiyor veya verilere kesin bir erişim hakkı sağlamıyor. DGA’nın hedeflerine ulaşabilmesi için veri koruma, fikri mülkiyet, rekabet hukuku ve ticari sırların korunması gibi konuları da detaylı bir şekilde kapsaması büyük önem taşıyor.

DGA’nın AB Konseyi’nde onaylanıp Resmî Gazete’de yayımlanmasının ardından kamu ve özel sektör kurumlarının birleşik bir gizlilik ve veri yönetişimi programına sahip olmaları gerekiyor. Dijital Yönetişim Yasası AB’de, daha fazla verinin işlenebilmesi için güçlü bir veri keşfi ve haritalama süreçlerine sahip olunması gerektiğini gözler önüne seriyor.

Sema Nur YENİYILDIZ, İKV Uzman Yardımcısı