- with Senior Company Executives, HR and Finance and Tax Executives
- in Turkey
- with readers working within the Retail & Leisure industries
Son on yıldır Avrupa Birliği'nin ("AB") dijital dünyaya ilişkin regülasyon mottosu aslında çok netti: "Önce düzenle, sonra pazarın oluşmasını izle."
GDPR ile başlayan, Dijital Hizmetler Yasası (DSA), Dijital Piyasalar Yasası (DMA), Veri Yasası (Data Act) ve son olarak Yapay Zekâ Yasası (AI Act) ile devam eden bu süreç, literatürde " Brüksel Etkisi" olarak anılan küresel standart belirleme gücünü somutlaştırıyordu.
Ancak Kasım 2025 itibarıyla masaya gelen " Digital Omnibus" (Dijital Torba Düzenleme) ("Paket") teklifi, bu paradigmanın artık tek başına yeterli olmadığını ve AB'nin dijital dünyaya ilişkin düzenleme yaklaşımını belirgin biçimde pivot etmek zorunda kaldığını gösteren en somut işaret olarak öne çıkıyor.
Digital Omnibus'u dijital alana yönelik mevcut müktesebatın yarattığı kakofoniyi gidermeyi, mükerrer bildirim yükümlülüklerini ortadan kaldırmayı ve Avrupa'nın "düzenleme obezitesi"ni tedavi etmeyi amaçlayan cerrahi bir müdahale paketi olarak nitelendirmek mümkün.
Peki, ne oldu da AB birden bire bu sadeleşme yoluna girdi?
Draghi Raporu ve "Mevzuatı Sadeleştirin" Çağrısı
AB'nin dijital ekonomi alanında ABD ve Çin gibi devlerin hızına yetişmekte zorlandığı bilinen ve artık neredeyse tartışmasız hale gelmiş bir gerçek. Avrupa Merkez Bankası eski Başkanı Mario Draghi'nin (aşağıdaki abimiz) 2024 tarihli " Avrupa Rekabetçiliğinin Geleceğ i" raporu ise bu duruma hem aciliyet hem de ciddi bir siyasi ağırlık kazandırdı.
Rapor, birden fazla başlık altında AB'nin son dönemde neden küresel ölçekte rekabet edemediğini ve bu engelleri ortadan kaldırmak için hangi politika araçlarının devreye alınması gerektiğini tartışıyor.
Dijital alandaki regülasyonlara ilişkin bölümde ise özünde, AB'nin mevcut dijital kurallarının inovasyon ve büyüme önünde potansiyel bir engel teşkil ettiği savunuluyor ve Draghi, uzun zamandır sözlü olarak dile getirilen bir tartışma başlığını ilk kez yazılı olarak kayda geçiriyor:
"Avrupa, aşırı düzenleme yüzünden ölüyor."
Gerçekten de AB ile ABD arasında regülasyon yapım tekniği ve politikası açısından kritik düzeyde farklar bulunduğu biliniyor. AB'nin, en ufak bir düzenlemede dahi farklı disiplinlerden paydaşları bir masa etrafında toplayarak etki analizi yaptığı; konunun hukuki, teknik, sosyolojik ve ekonomik boyutlarını araştırdığı; insan hakları temelli bir yaklaşımı esas aldığı ve her alanı en ince detayına kadar kazuistik biçimde regüle etmeye çalıştığı malum. ABD'nin ise daha liberal — ve hatta bizim topraklara daha yakın olan tabirle "kervan yolda düzülür" — bir mantıkla hareket ettiği, ilgili alan geliştikten sonra daha çok spesifik ve hedefli düzenlemeler yaptığı biliniyor.
Bu çerçevede Draghi'nin raporundaki en kritik tespitlerden biri şu olarak öne çıkıyor:
"AB şirketleri, inovasyon yapmaktan çok uyum (compliance) süreçlerine kaynak harcıyor. Bir KOBİ'nin GDPR, Cyber Resilience Act, NIS2 ve AI Act arasında mekik dokurken maruz kaldığı hukuki işlem maliyeti, ABD veya Çinli rakiplerinin AR-GE bütçesini aşabiliyor."
Rapordaki şu alıntı, meselenin sonuçlarını oldukça çarpıcı biçimde ortaya koyuyor:
Avrupa Birliği'nde son elli yılda sıfırdan kurulup piyasa değeri 100 milyar avroyu aşan hiçbir şirket bulunmazken, ABD'de piyasa değeri 1 trilyon avroyu geçen altı şirketin tamamı bu dönemde kurulmuştur.
Draghi bütün bunları söyledikten sonra Komisyon'a tek bir stratejik reçete sundu: Mevzuatı sadeleştirin.
Bu stratejik zorunluluk karşısında Avrupa Komisyonu'nun Draghi'nin reçetesine verdiği cevap, Kasım 2025'te sunduğu ve AB'nin dijital kural kitabını fiilen yeniden yazmayı hedefleyen kapsamlı yasal revizyon paketi olan Digital Omnibusoldu.
Bu düzenlemenin temel hukuki amacının artık sadece temel hakları korumak değil, aynı zamanda hukuki belirlilik ve sadeleşme sağlayarak Avrupa endüstrisinin rekabet gücünü ve hayatta kalma kapasitesini güvence altına almak olduğunu söylemek mümkün.
Dolayısıyla Digital Omnibus ile birlikte AB'nin ihtiyatlılık ilkesinden, inovasyon ilkesine doğru hafif ama belirgin bir paradigma değişimi içine girdiğini söylemek çok da yanlış olmayacaktır.
Bu kapsamda Paket, AB'nin 'dijital müktesebatı' olarak bilinen ve giderek karmaşıklaşan yasal yapısını konsolide etmeyi amaçlıyor. Parçalı düzenlemeleri tek bir çatı altında toplayarak ve mükerrer yükümlülükleri ortadan kaldırarak işletmeler için daha öngörülebilir ve yönetilebilir bir yasal ortam yaratılması hedefleniyor.
Bu noktada şu hususu da not etmek gerekir: Komisyon bu değişiklikleri inovasyon yanlısı bir çerçeveyle sunarken, NOYB gibi dijital haklar savunucuları bu adımları "Avrupalıların dijital haklarına son yıllardaki en büyük saldırı" olarak nitelendirmekte ve özellikle büyük teknoloji şirketlerine fayda sağlayan yasal boşluklar yarattığını savunmaktadır. NOYB'un Digital Omnibus'a ilişkin eleştirel değerlendirmesinin ilk versiyonuna buradan ulaşabilirsiniz.
Peki, farklı alanlarda mevzuat önerileri getiren Digital Omnibus, kişisel veri, yapay zekâ ve siber güvenlik alanlarında neler öngörüyor?
Kişisel Veri Alanındaki Değişiklik Önerileri
"Kişisel Veri" Tanımının Daraltılması
Paket, bir verinin "kişisel veri" olup olmadığının belirlenmesinde, Breyer kararı ile başlayıp son dönemde EDPB v SRB kararı ile gündeme gelen "nisbi (göreceli) yaklaşımı" yasalaştırmayı önermektedir.
Buna göre, veri işleyen bir tarafın elindeki veriyi belirli bir kişiyle ilişkilendirmek için "makul ölçüde kullanılması muhtemel araçlara" sahip olmaması durumunda, bu veri o taraf için kişisel veri sayılmayacaktır.
Bu değişiklik, GDPR'ın kapsamını stratejik olarak daraltarak, özellikle takma ad veya unique ID (pseudonymized) veri kullanan sağlık, reklam ve reklam teknolojisi gibi sektörleri fiilen GDPR'ın kapsamı dışına itme riski taşımakta; pseudonymized veri işleyen tarafın kişisel veri mevzuatına tabi olmaması sonucunu doğurabilecek niteliktedir.
İlgili değişikliğin, eleştirmenler tarafından, karmaşık yasal metinleri kendi lehlerine yorumlayabilecek devasa hukuk departmanlarına sahip ABD merkezli teknoloji şirketlerine sunulmuş bir "hediye" olarak nitelendirildiğini de belirtmek gerekir.
Yapay Zekâ Eğitiminde "Meşru Menfaat" Temeli
Paket, GDPR'a yeni bir madde (Madde 88c) ekleyerek, yapay zekâ sistemlerinin geliştirilmesi ve işletilmesi için yapılan çalışmalarda hukuki sebebin — belirli güvenceler (veri minimizasyonu, şeffaflık, koşulsuz itiraz hakkı vb.) sağlandığı sürece — "veri sorumlusunun meşru menfaati" olarak kabul edilmesine imkân tanımaktadır.
Bu değişiklik, büyük veri setleriyle çalışan yapay zekâ şirketleri açısından en büyük yasal engellerden birini ortadan kaldırmayı hedeflemektedir.
Bununla birlikte, bireylerin kendi verileri üzerindeki kontrolünü temelden zayıflatma, verilerinin rızaları olmadan kapsamlı algoritmik sistemlere dahil edilmesi ve vatandaşların onayı ile endüstrinin veri talebi arasındaki gerilimi daha da artırma riski nedeniyle yoğun biçimde eleştirilmektedir.
"Çerez Yorgunluğuna" Karşı Modernizasyon
Paket, internet kullanıcılarının sürekli maruz kaldığı "çerez yorgunluğunu" (cookie fatigue) azaltmayı ve rıza yönetim süreçlerini hem kullanıcılar hem de işletmeler için sadeleştirmeyi hedeflemektedir. Bunun için kullanıcıların tercihlerini her web sitesinde tekrar tekrar belirtmek zorunda kalmamaları adına, tarayıcı veya cihaz ayarları üzerinden gönderilen "otomatik ve makine tarafından okunabilir sinyaller" aracılığıyla merkezi bir tercih yönetimi sistemi öngörülmektedir.
Ayrıca düzenleme, kullanıcıların çevrimiçi takibi reddetmesini kolaylaştırmayı ve gereksiz bildirimleri azaltmayı amaçlamaktadır. Bu kapsamda, reddetme seçeneğinin kabul etme seçeneği kadar erişilebilir olduğu "tek tıkla" (one-click) ret/kabul mekanizmasının zorunlu kılınması; kullanıcı ölçümü, güvenlik ve talep edilen hizmetin sunulması gibi "zararsız" çerez kullanımlarının ise rıza gerektirmeyen bir "beyaz liste" (whitelist) kapsamına alınması önerilmektedir.
Bununla birlikte, "onay" mekanizmasının istisnalarının genişletilmesi, reklam ve izleme endüstrisi için yeni alanlar açarken, kullanıcıların verileri üzerindeki anlamlı kontrolünü zayıflatma potansiyeli taşıdığı gerekçesiyle eleştirilere konu olmaktadır.
İlgili Kişi Başvurularının (DSAR) Kötüye Kullanımına Karşı Koruma
Paket, veri sorumlularına, ilgili kişinin haklarını koruma amacı dışında (örneğin ticari bir anlaşmazlıkta delil toplamak veya bir şirkete zarar vermek amacıyla) kullanıldığı açıkça anlaşılan "kötüye kullanım" niteliğindeki ilgili kişi başvurularını reddetme veya bu talepler için makul bir ücret talep etme hakkı tanımaktadır.
Bu düzenleme, şirketlerin kaynaklarını tüketen ve asıl amacından saptırılan erişim taleplerine karşı önemli bir savunma mekanizması sunmaktadır.
Hatırlanacağı üzere, Anadolumuzun bir şehrindeki avukatların bir dönem maddi beklentiyle seri halde yaptıkları ilgili kişi başvuruları epey ünlü, hatta ekol olmuştu. İşte bu tür kötü niyetli ilgili kişi başvurularının AB'de artık pek de hoş görülmeyeceğini söylemek mümkün.
Veri İhlali Bildirim Sürelerinin Uzatılması
Paket, GDPR kapsamındaki veri ihlali bildirim süresini, olaydan haberdar olunduktan sonraki 72 saatlik katı süreden 96 saate çıkarmaktadır. Daha da önemlisi, denetim otoritesine bildirim yapma eşiği, bireylere bildirim için zaten var olan "yüksek risk" eşiğiyle uyumlu hale getirilmektedir. Artık yalnızca bireylerin hak ve özgürlükleri için "yüksek risk" oluşturan ihlallerin denetim otoritesine bildirilmesi zorunlu olacaktır.
Bu, şirketler için kayda değer bir operasyonel rahatlama anlamına gelse de, eleştirmenler bu değişikliğin, veri koruma otoritelerinin daha düşük riskli görünen ancak kümülatif olarak önemli olabilecek olayları gözden kaçırmasına neden olabileceği gerekçesiyle sakıncalı olduğunu ileri sürmektedir.
Aydınlatma Metni Muafiyeti
Paket, özellikle veri yoğun olmayan faaliyetler yürüten küçük işletmeler ve organizasyonlar (örneğin zanaatkârlar veya spor kulüpleri) üzerindeki idari yükü hafifletmeyi hedeflemektedir.
Buna göre, veri sorumlusunun veri sahibiyle hâlihazırda açık ve sınırlı bir ilişkisinin bulunduğu, işleme faaliyetinin karmaşık olmadığı ve kişinin veri sorumlusunun kimliğini ve işleme amacını bildiğinin "makul bir şekilde varsayılabildiği" durumlarda, işletmelerin bireylere ayrıca aydınlatma metni sunma yükümlülüğünden muaf tutulması önerilmektedir.
Ancak bu muafiyet; verilerin üçüncü taraflara aktarılması, otomatik karar verme süreçlerinin kullanılması veya işlemenin yüksek risk oluşturması gibi durumlarda geçerli olmayacaktır.
Resmi Metinden Çıkarılan Husus — Özel Nitelikli Kişisel Verilerin Daraltılması
Resmi Digital Omnibus Taslak dokümanından birkaç gün önce sızdırılan gayriresmi bir versiyonda, GDPR m. 9 kapsamındaki özel nitelikli kişisel verilerin (hassas veriler) kapsamının daraltıldığı görülmüştür. Buna göre yalnızca bir kişinin ırksal kökeni, sağlık durumu veya cinsel yönelimi gibi bilgileri doğrudan ortaya çıkaran verilerin bu kapsama girdiği; profil oluşturma veya verilerin çapraz referanslanması yoluyla yapılan çıkarımlarla (örneğin bir kişinin siyasi görüşünün veya cinsel yöneliminin çıkarımla tahmin edilmesi) elde edilen özelliklerin artık otomatik olarak hassas ver isayılmayacağı yönünde bir düzenleme öngörülmekteydi.
Ancak bu değişikliğin resmi taslak metinde yer almadığını özellikle belirtmek gerekir.
Yapay Zekâ Yasası'na (AI Act) Uygulama Ayarı
Paket'te, AI Act'e yapılması planlanan değişikliklerin, yasanın tam olarak yürürlüğe girmesinden önce endüstrinin hazırlık düzeyini artırmak ve yasanın uygulanabilirliğini güçlendirmek gibi pragmatik bir amaca hizmet ettiği görülmektedir.
Uyum Sürelerinin Ertelenmesi
Yüksek riskli yapay zekâ sistemleri için uyum tarihleri, ilgili teknik standartların hazır olmasına bağlanmaktadır. Yeni son tarihler, yüksek riskli sistemler için en geç Aralık 2027, düzenlenmiş ürünlere entegre sistemler için ise en geç Ağustos 2028 olarak belirlenmektedir. Bu, şirketlere karmaşık gerekliliklere uyum sağlamaları için kritik düzeyde zaman kazandırmaktadır.
Denetimin Merkezileştirilmesi
Yönetişimde parçalanmayı azaltmak ve denetimde tutarlılığı sağlamak amacıyla, yeni kurulan AB Yapay Zekâ Ofisi'nin denetim yetkisi merkezileştirilmektedir. AB Yapay Zekâ Ofisi, özellikle çok büyük çevrimiçi platformlar ve arama motorları tarafından kullanılan veya bunlara entegre edilen AI sistemleri üzerinde münhasır denetim yetkisine sahip olacaktır. Böylece üye devletler arasında parçalı bir uygulama riskinin azaltılması ve daha tutarlı bir yönetişim yapısının kurulması hedeflenmektedir.
"KOBİ" Avantajlarının "Küçük Orta Büyüklükteki Şirketlere" (SMC) Genişletilmesi
Paketin en somut teknik önerilerinden biri, AI Act kapsamında KOBİ'lere (SME) tanınan özel muafiyet ve kolaylıkların, Küçük Orta Büyüklükteki Şirketleri (Small Mid-Caps — SMC) de kapsayacak şekilde genişletilmesidir.
Öneriye göre, 750'den az çalışanı olan ve yıllık cirosu 150 milyon avroyu (veya bilançosu 129 milyon avroyu) aşmayan şirketler bu kategoriye girmektedir.
Bu genişleme sayesinde, SMC statüsündeki şirketler de basitleştirilmiş teknik dokümantasyon hazırlama, daha orantılı kalite yönetim sistemleri uygulama ve olası ihlallerde daha düşük idari para cezası tavanlarından yararlanma hakkına sahip olacaklardır. Komisyon, bu hamleyle Avrupa'da yaklaşık 8.250 ek şirketin bu kolaylıklardan faydalanacağını öngörmektedir.
Uyum Yükümlülüklerinde Pratik Düzeltmeler
Yüksek riskli olarak sınıflandırılmayan yapay zekâ sistemleri için AB veri tabanına kayıt zorunluluğunun kaldırılması gibi pratik kolaylıklar getirilmektedir. Bu, gereksiz idari yükün ortadan kaldırılmasını ve kaynakların daha kritik alanlara yönlendirilmesini amaçlamaktadır.
Öte yandan, önyargı (bias) tespiti ve düzeltilmesi amacıyla özel nitelikli kişisel verilerin işlenmesine izin veren istisna, artık yalnızca belirli yüksek riskli sistem sağlayıcıları için değil, tüm yapay zekâ sağlayıcıları ve operatörlerini kapsayacak şekilde genişletilmektedir.
Veri Ekosisteminin Konsolidasyonu: Veri Yasası ve Siber Güvenlik Reformları
Digital Omnibus Paketi, mevcut kuralları revize etmenin ötesinde, AB'nin parçalı ve karmaşık veri ve siber güvenlik mevzuatını daha tutarlı, yönetilebilir ve tek bir çatı altında birleştirmeyi hedefleyen yapısal bir reform da sunmaktadır.
Bu kapsamlı reformun iki ana ayağı bulunmaktadır:
Veri Yasası'nın Genişletilmesi ve Rasyonelleştirilmesi
Paket, AB'nin veri yönetişimiyle ilgili birden fazla yasal enstrümanını Veri Yasası (Data Act) altında birleştirerek ve bazılarını yürürlükten kaldırarak veri mevzuatını radikal biçimde basitleştirmeyi önermektedir.
Bu çerçevede aşağıdaki üç temel mevzuat, Veri Yasası'na entegre edilmektedir:
- Veri Yönetişim Yasası (DGA)
- Açık Veri Direktifi
- Kişisel Olmayan Verilerin Serbest Akışı Tüzüğü
Ayrıca, Dijital Hizmetler Yasası (DSA) tarafından hükümleri fiilen gereksiz hale getirildiği için Platformdan İşletmeye (P2B) Tüzüğü'nün tamamen yürürlükten kaldırılması önerilmektedir.
Siber Güvenlik Olay Raporlamasının Merkezileştirilmesi: Tek Giriş Noktası (SEP)
Paket, farklı yasal düzenlemeler altında yer alan ve birbiriyle örtüşen siber güvenlik olayı raporlama yükümlülüklerini tek bir kanalda birleştirmeyi amaçlamaktadır.
AB Siber Güvenlik Ajansı (ENISA) tarafından yönetilecek olanTek Giriş Noktası (Single Entry Point — SEP), bir siber olay yaşayan şirketlerin birden fazla kuruma ayrı ayrı bildirim yapma külfetini ortadan kaldırmayı hedeflemektedir.
Bu platform, GDPR kapsamındaki veri ihlallerini, NIS2 Direktifi kapsamındaki Ağ ve Bilgi Sistemi Olaylarını, DORA Tüzüğü'ndeki Dijital Operasyonel DAyanıklılık Olaylarını ve CER Direktifi'ndeki Kritik Varlıkların Dayanıklılığı Olaylarını tek bir kanalda toplayacaktır.
Bu merkezileştirme sayesinde, özellikle kriz anlarında birden fazla düzenleyici kuruma farklı formatlarda ve farklı zaman dilimlerinde raporlama yapmak zorunda kalan işletmelerin operasyonel yükünün ciddi şekilde azalacağı öngörülmektedir. Avrupa Komisyonu'nun tahminine göre bu değişiklik, işletmelerin olay raporlama çabasını"yaklaşık yarıya indirecektir."
Genel Değerlendirme
Digital Omnibus'un önerileri dikkate alındığında, Paketin Avrupa Birliği için yalnızca teknik bir düzenleme değil, aynı zamanda stratejik bir kimlik beyanı niteliği taşıdığı görülmektedir.
Öneriler, GDPR ile zirveye ulaşan; temel hakları önceliklendiren, katı ve kuralcı regülasyon modelinden, ekonomik faydayı, esnekliği ve rekabetçiliği merkeze alan daha pragmatik bir modele doğru stratejik bir kaymaya işaret etmektedir. Bu çerçevede AB, bir yandan "Brüksel Etkisi" ile kurduğu normatif liderliğin sürdürülebilirliğini korumaya çalışırken, diğer yandan da kendi şirketlerinin küresel teknoloji yarışında tamamen geride kalmasını engellemeye yönelik bir denge arayışına girmiş görünmektedir.
Bu yeni yaklaşım, hukuki belirlilik, idari yükün azaltılması ve uyum maliyetlerinin rasyonelleştirilmesi üzerinden Avrupa endüstrisinin nefes almasını hedeflemektedir. Buna karşılık, veri koruma standardının fiili olarak aşağı çekilmesi, denetim yoğunluğunun azalması ve özellikle büyük teknoloji şirketleri lehine oluşabilecek asimetriler, dijital haklar cephesinde ciddi endişelere yol açmaktadır. Başka bir ifadeyle, Paket hem rekabetçilik ve inovasyon hem de temel haklar ve mahremiyet eksenlerinde çift yönlü bir stres testi niteliği taşımaktadır.
Peki, Avrupa'nın rekabetçilik uğruna yaptığı bu riskli hamle, teknolojik inovasyonu gerçekten canlandıracak mı, yoksa kıtanın yıllardır inşa ettiği ve küresel bir standart haline gelen dijital haklar kalesinden geri dönüşü zor bir taviz mi olacak?
Bunu, hem hukukun uygulama pratiği hem de piyasaların vereceği tepkiyle birlikte yalnızca zaman gösterecek.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
