Data Act - AB Veri Yasası

AB Veri Yasası (Data Act), veri ekonomisini geliştirmeyi, veriyi daha erişilebilir kılmayı ve veri pazarında adil rekabeti teşvik etmeyi amaçlayan bir düzenlemedir. Nesnelerin İnterneti (IoT) kapsamındaki bağlı cihazlar ve sundukları hizmetler tarafından üretilen verilerin mevcut potansiyelini açığa çıkarmayı hedefler. Bu bağlamda düzenleme, bağlı cihazların kullanıcıları tarafından oluşturulan verilere erişimi kolaylaştırır ve verinin kullanımından doğan değerin ilgili taraflar arasında adil dağılımını sağlamayı amaçlar. Veri Yasası, AB’deki ve AB pazarıyla ilişkisi olan tüm aktörler için ortak kurallar getirmektedir. Resmî Gazete’de 22 Aralık 2023’te yayımlanan Tüzük, 11 Ocak 2024’te yürürlüğe girmiş olup, önemli hükümleri 12 Eylül 2025’ten itibaren uygulanacaktır.

Düzenleme; IoT cihazlarından elde edilen verilerin paylaşımı, işletmeler arası veri paylaşım yükümlülükleri, haksız sözleşme şartlarının yasaklanması, kamusal veri talepleri, bulut hizmetleri arası geçiş kolaylığı ve yabancı hükümetlerin erişimine kısıtlamalar gibi farklı alanları kapsar. Örneğin bağlı ürün sahipleri, cihazları kullanırken oluşturdukları verilere kolaylıkla erişme ve bu veriyi üçüncü kişilerle paylaşma hakkına sahip olacak; üreticiler ise bu verilere erişim için şeffaf süreçler oluşturmak, kullanıcı bilgilendirme ve “ihracat butonları” (export) gibi teknik önlemler sağlamak zorunda kalacaktır. Veri Yasası ayrıca tek taraflı standart sözleşmelere konulan ve müzakeresiz kabul edilen haksız hükümleri (örneğin, ağır ihmal durumunda tam sorumluluk hariç tutma) kara listeye alır; bu maddeler sözleşmede yer alsa bile geçersiz sayılacaktır. Bulut hizmeti sağlayıcıları müşterilerine verilerini başka bir sağlığa en fazla 30 gün içinde transfer etme imkânı sunmak, geçiş ücretlerini aşamalı olarak kaldırmak; acil durumlar için kamu kurumlarının makul veri talebine yanıt vermek; ayrıca, AB dışı hükümetlerin AB’de depolanan kişisel olmayan verilere yasa dışı erişimini engellemekle yükümlü olacaktır.

Uluslararası Şirketler İçin Önemli Hükümler

Data Act - AB Veri Yasası, kapsamının dışsallığı (eksterritoryal etki) sayesinde AB dışında kurulmuş şirketleri de yakından ilgilendirir. AB pazarında faaliyet gösteren veya ürün/hizmet sunan tüm firma ve hizmet sağlayıcılar düzenlemenin kapsamına girer; örneğin bir Türk üretici AB’ye bağlı ürün ihraç ediyorsa veya veri işleme hizmeti veriyorsa Veri Yasası kurallarına tâbidir. AB dışındaki şirketlerin AB pazarında Veri Yasası’na uyum sağlaması için, diğer AB düzenlemelerinde olduğu gibi, AB’de hukuken mukim bir temsilci tayin etmeleri gerekebilir.

Veri Yasası’nın başlıca hükümleri arasında şunlar öne çıkar:

• Bağlı Cihaz Verilerine Erişim: Kullanıcılar, sahip oldukları ya da kiraladıkları akıllı cihazların (ör. bağlantılı beyaz eşya, tarım makineleri, tıbbi cihazlar, akıllı otomobiller vb.) kullanımından üretilen ham veya ön işlem görmüş verilere ulaşma ve bu veriyi bağımsız üçüncü taraflarla paylaşma hakkına sahip olacaktır. Veri sahibi üreticiler veya hizmet sağlayıcılar, kullanıcıları hangi verinin toplanacağı konusunda bilgilendirmek, basit bir süreçle veriyi sunmak ve bu hizmeti ücretsiz temin etmek zorundadır. Ticari sır niteliğindeki bilgiler hariç, üreticiler kullanıcıdan veri talebini reddedemez; bu kapsamda veriye erişimden doğan tüm yükümlülükler belirginleşecektir.

• Haksız Sözleşme Şartlarının Engellenmesi: İşletmeler arası veri paylaşım sözleşmelerinde tek taraflı belirlenen standart şartlar Veri Yasası’ndaki kara/gri listelere göre değerlendirilecektir. Örneğin, ağır ihmal durumundaki sorumluluğu hariç tutan veya yanıltıcı ek ücretler getiren hükümlerin eklenmesi yasaklanacak, bu tür hükümler otomatik olarak geçersiz sayılacaktır. Bu madde, özellikle daha güçlü tarafların küçük işletmeler karşısında haksızlık yapmasını önlemeyi amaçlar.

• Bulut Hizmetleri Arası Geçiş: Bulut ve kenar bilişim hizmeti sağlayıcıları, müşterilerinin tüm kullanılabilir verilerini en geç 30 gün içinde başka bir sağlayıcıya transfer etmelerine izin vermeli, geçiş süreleri ve ücretleri konusunda sınırlamalar getirmelidir. Böylece uzun süreli tedarikçi kilitlenmesi (vendor lock-in) azalacak, çoklu bulut stratejileri desteklenecek, fiyat rekabeti artacaktır.

• Kamu Kurumlarına Veri Erişimi: Acil durumlar veya kamu yararına kritik ihtiyaç hallerinde AB üye ülke kamu kurumları belirli verileri talep edebilecek, ilgili işletme bu talepleri makul şartlarda yerine getirecektir. Model sözleşmeler ve usuller AB Komisyonu tarafından belirlenecektir.

• Yabancı Hükümetlerin Erişimine Kısıtlama: Düzenleme, uluslararası alanda ülkelerarası veri çatışmasını engellemek için, AB’de depolanan kişisel olmayan verilere AB dışından yapılan yasa dışı erişim taleplerine itiraz etme yükümlülüğü getirir. Böylece şirketlerin verilerini yabancı hükümetlerin izinsiz talebine karşı koruyan bir emniyet valfi oluşturulur.

  
  

Türk Şirketleri İçin Riskler ve Fırsatlar

Data Act - AB Veri Yasası, Türkiye’de faaliyet gösteren üretici, IoT cihazı ihracatçısı veya veri hizmet sağlayıcısı şirketler için hem risk hem de fırsatlar yaratır. Riskler arasında; cihaz tasarımında ve yazılımında uyumluluk için ek maliyet, mevcut sözleşmelerin güncellenmesi ihtiyacı ve mevzuata aykırılık halinde cezai yaptırımlar sayılabilir. Örneğin AB’ye sunulan her yeni bağlı ürün tasarımına “veri erişim butonları” veya gerçek zamanlı API eklemek gerekebilir. Ayrıca kara liste hükümleri nedeniyle, hâlihazırda kullandıkları sözleşmelerdeki bazı maddelerin geçersiz sayılması söz konusu olabilir. Rıza ve GDPR uyumu gibi ek yükümlülükler de şirketleri meşgul edebilir. Ticari sırların korunması da endişe konusudur; ancak düzenleme, makul gerekçelerle ticari sır kapsamındaki bilgileri koruma imkanı da sunar.

Öte yandan fırsatlar da mevcuttur. Birçok bağımsız rapora göre veri paylaşımının artırılması, özellikle IoT verisinden yeni iş modelleri ve hizmetler geliştirilmesi için büyük potansiyel taşır. Örneğin otomotiv, tarım veya sağlık sektöründe, cihazlardan sürekli veri akışı sayesinde üçüncü taraf hizmet sağlayıcılar ortaya çıkabilir; bu durum Türk şirketlere yeni pazarlar açabilir. Ayrıca bulut hizmetlerinde geçiş kolaylığı rekabeti artırarak fiyatların düşmesine, yerel bulut sağlayıcılarının güçlenmesine neden olabilir. Türkiye’den bulut ve veri işleme hizmeti sunan firmalar, rekabetçi veri taşıma koşulları sayesinde AB müşterilerine daha cazip teklifler sunabilir. Bu çerçevede Veri Yasası, küresel veri ekonomisinde rekabetçi bir aktör olmayı hedefleyen Türk şirketlerine uzun vadeli avantajlar da sağlayabilir. Özetle, düzenlemeye uyum sağlayan firmalar genişleyen AB pazarında sürdürülebilir rekabet avantajı elde edebilir.

Uyum için Pratik Adımlar

Türk şirketlerinin mevcut durumda atması gereken bazı önemli adımlar şunlardır:

• Veri Envanteri ve Sınırları: Öncelikle hangi verileri topladığınızı, işlettiğinizi ve paylaştığınızı haritalandırın. Hangi ürün ve hizmetlerin Veri Yasası kapsamında olduğunu belirleyin. Kişisel ve kişisel olmayan veri ayrımına dikkat edin. Gerekirse GDPR ile kesişen noktaları da göz önüne alın.

• Ürün ve Hizmet Tasarımı: Yeni IoT cihazlarınıza veya hizmetlerinize “erişim” (export) işlevleri ekleyin. Kullanıcının verisini kolayca indirebilmesi, üçüncü taraf hizmetler için aktarması için arabirimler geliştirin. Cihazların toplayacağı veri tipleri, hacmi ve sıklığı hakkında kullanıcıları bilgilendirin.

• Sözleşme ve Politikaların Güncellenmesi: Mevcut satış, kiralama ve veri hizmeti sözleşmelerinizi gözden geçirin. Kara/gri liste kapsamındaki haksız şartları çıkarın ya da yenileyin. Kullanıcı sözleşmelerine şeffaflık hükümleri ekleyin ve gerektiğinde makul ücretlerin nasıl belirleneceğine dair politikalar oluşturun. B2B ver paylaşımı sözleşmelerinde tarafların yükümlülüklerini netleştirin.

• Veri Paylaşım Süreçleri ve Güvenlik: Kullanıcı veya kamusal veri taleplerine hızlı yanıt verebilecek süreçler kurun. Tedarik zincirinizdeki veri akışlarını denetleyin ve ticari sırların korunması için önlemler planlayın. Bilgi güvenliği ve gizlilik ekiplerini işin merkezine alarak GDPR ve siber güvenlik süreçleriyle uyumlu hareket edin.

• AB Temsilciliği ve Uzmanlık: AB pazarına yönelik faaliyetler için AB’de bir temsilci veya yetkili kişi belirleyin. Şirket içi hukuk ve teknik ekiplerinizde Veri Yasası farkındalığı oluşturun; gerekirse dış danışmanlık alın. Avrupa’daki mevzuat gelişmelerini takip ederek uyum sürecini sıkılaştırın.

  
  

Sonuç olarak, Data Act - AB Veri Yasası Türk şirketlerini veri yönetimi konusunda zorlayıcı yeniliklere yöneltirken aynı zamanda yeni iş fırsatları da sunmaktadır. Sektörel açıdan üretim ve teknoloji firmaları veri paylaşım süreçlerini bir uyum projesi olarak görebilir; bu süreçte şeffaf ve güvenli yaklaşımlar geliştirerek hem AB pazarında rekabet gücünü artırabilir hem de uzun vadede veri ekonomisinden daha fazla pay alabilirler.