AB Dijital Omnibus Tüzüğü
Giriş
Kasım 2025'te Avrupa Komisyonu ("Komisyon"), AB'nin mevcut dijital düzenlemelerini sadeleştirmeyi amaçlayan kapsamlı bir çalışma olan AB Dijital Omnibus Tüzük Teklifi'ni ("Dijital Omnibus"/ “Taslak”) onaya sundu[1].
Dijital Omnibus, AB hukuku kapsamında bireylere tanınan temel veri güvenliği ilkelerini muhafaza ederken uyum yüklerini azaltmayı hedefliyor. Taslakta önerilen değişikliklerin kabul edilmesi hâlinde GDPR, çerez kuralları, Yapay Zekâ Yasası, Veri Yasası ve bazı AB siber güvenlik kurallarında değişiklikler gündeme gelecek.
Bu makalede GDPR ve çerez kurallarına ilişkin değişiklik önerileri ele anılacaktır.
GDPR İçin Değişiklik Önerileri
Dijital Omnibus GDPR’da önemli değişiklikler öngördüğünden kuvvetli tartışmalar doğurdu[2].
Taslakta önerilen temel değişiklikler:
Kişisel Verinin Yeniden Tanımlanması: Dijital Omnibus, bir verinin kişisel veri niteliği taşıyıp taşımadığının, söz konusu veriyi işleyen kuruluşun perspektifinden değerlendirilmesi gerektiğini ifade eder. Böylece bir kuruluş için kişisel veri niteliğinde olan veri seti, veri sahibi kişiyi tanımlama konusunda gerçekçi bir imkâna sahip olmayan başka bir kuruluş için kişisel veri sayılmayabilecektir. Bu değişiklik önerisinin kabulü halinde kişisel veri tanımı daha dar yorumlanacaktır.
Yapay Zekâ Geliştirme ve Meşru Menfaatler: Tasarı, yapay zekâ sistemlerinin geliştirilmesi ve işletilmesinde kişisel verilerin işlenmesi için meşru menfaati hukuka uygun bir gerekçe olarak tanır. Böylece yapay zekâ sistemlerinin veri işlemesinin önündeki en temel çekincelerden biri yumuşatılır. Taslak bununla birlikte yapay zekâ sistemlerinin veri işlemesi için güçlendirilmiş şeffaflık ve koşulsuz itiraz hakkı gibi artırılmış güvencelere değinir.
Belirli Kuruluşlar İçin Takma Adlı Verinin (Pseudo veri) GDPR Kapsamı Dışında Tutulması: Dijital Omnibus, kimi hallerde takma adlı verilerin (pseudo veri) GDPR kapsamı dışında kalmasına olanak veren değişiklikler önerir. Örneğin bir kamu otoritesi elindeki takma adlı sağlık verileri bakımından veriyi yeniden tanımlama imkânına sahip değilse, bu veri GDPR kapsamından çıkarılabilir. Bu önerinin Komisyon veya EDPB tarafından belirlenen kriterlere ve uygun güvencelere tabi tutulması gerekecektir.
Veri İhlali Bildirimi İçin Yükseltilen Eşik ve Ek Süre: Dijital Omnibus veri ihlallerinin veri otoritelerine bildirilmesine ilişkin eşiği “risk"ten "yüksek risk"e yükseltip (ilgili kişilere bildirim için mevcut eşikle uyumlu hâle getirip) ve bildirim süresini 72 saatten 96 saate uzatır. Gelecekte bildirimlerin tek bir NIS2 giriş noktası üzerinden yapılması öngörülür.
Basitleştirilmiş Şeffaflık Yükümlülükleri: Bireyin işleme faaliyetinden makul ölçüde haberdar olduğunun varsayılabileceği rutin, düşük riskli işlemler için GDPR Madde 13 kapsamındaki bilgilendirme yükümlülüğüne bir muafiyet getirir; ancak verilerin üçüncü kişiler ile paylaşıldığı, AB dışına aktarıldığı veya veri koruma etki değerlendirmesi (DPIA) gerektiren durumlarda bu muafiyetin uygulanmayacağı vurgulanır.
DPIA İçin Uyumlaştırılmış Uygulama Mekanizması: Taslak ile EDPB’nin, veri koruma etki değerlendirmesi yükümlülüğünü tetikleyen veya tetiklemeyen işleme faaliyetlerine ilişkin AB düzeyinde listeler ile standart bir DPIA şablonu oluşturulması öngörülür. Böylece birbirinden farklı ulusal denetim makamı listelerinin yerini yeknesak bir sistem alacaktır.
Veri Sahibi Talepleri - Yeni "Hakkın Kötüye Kullanılması" Gerekçesi: Veri sorumluları, verilere ilişkin taleplerin veri koruma ile ilgisi olmayan amaçlarla kullanıldığı durumlarda veri sahiplerinden gelen talepleri reddedebilir veya makul bir ücret talep edebilir. Bu hüküm özellikle eski çalışanlarla yaşanan uyuşmazlıklar veya stratejik dava süreçleri bağlamında önem taşır.
Çerezlere İlişkin Değişiklik Önerileri
Dijital Omnibus, çerezler ve diğer takip teknolojilerini düzenleyen kurallara bakımından da değişiklikler önerir.
Mevcut hukuki çerçevede, rıza gerekliliğine ilişkin kuralları düzenleyen ePrivacy Directive, kişisel verilerin işlenmesine ilişkin kurallar bakımından GDPR ile birlikte uygulanır. Bu ikili uygulamanın yarattığı karmaşanın ortadan kalkması adına yürütülen çalışma uygulayıcılar tarafından olumlu karşılanmaktadır.
Dijital Omnibus, ePrivacy Directive Madde 5(3) kapsamında çerezler ve benzer takip teknolojileri için rıza gerekliliklerini yenilemeyi önerir[3]. Taslak, tamamen teknik veya analitik amaçlarla kullanılan müdahaleci olmayan çerezlerin önceden açık rıza gerektirmeyeceği kademeli bir yaklaşım öngörür.
Taslak ayrıca veri sorumlularına belirli operasyonel yükümlülükler getirerek çerezler bakımından rızanın reddedilmesi için tek tık seçeneği sunulmasını zorunlu kılar ve rızanın reddedilmesinin ardından altı ay süreyle veya halihazırda verilmiş bir rızanın süresi boyunca aynı amaç için kullanıcılardan yeniden rıza talep edilmesini yasaklar.
Sonuç
Dijital Omnibus, AB'nin dijital düzenlemeler ile teknolojik gelişmeler arasındaki dengeyi yeniden kurma çabasının bir ürünüdür. GDPR ve çerezlere ilişkin öneriler uyum süreçlerini basitleştirmeyi ve özellikle yapay zekâ gibi teknolojiler için alan açmayı amaçlar.
Kişisel verinin yeniden tanımlanması, veri ihlali bildirimi için yükseltilmiş eşik, DPIA uyumlaştırması ve çerez rızasına kademeli yaklaşım gibi öneriler kabul edilmesi hâlinde uyum süreçlerine esaslı etki edecektir[4]. Teklif kimi veri koruma makamları, sivil toplum kuruluşları ve EDPB'den temel veri koruma ilkelerini zayıflattığı gerekçesiyle ciddi eleştiriler almıştır.
Dijital Omnibus son şeklini AB’deki yasama sürecinin tamamlanmasıyla alacaktır. Bu süreçte uygulayıcı ve işletmelerin süreci yakından takibi, kendilerini bekleyen uyum sürecine hazırlık bakımından önem taşır.
- European Commission, Digital Omnibus — Regulation Proposal (2025), erişim için: https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal
- Loyens & Loeff, "Digital Omnibus: simplifying compliance and secure data identity management", erişim için: Digital Omnibus: simplifying compliance and secure data identity management | Loyens & Loeff
- Loyens & Loeff (Stephanie De Smedt, Kirill Ryabtsev and Emilia Fronczak), "Digital Omnibus: What the proposed changes mean for GDPR, privacy and cookies", Lexology (5 March 2026), erişim için: https://www.lexology.com/library/detail.aspx?g=7c310ec1-598a-45cb-bcbd-b3e33ba8d113
- European Data Protection Board and European Data Protection Supervisor, Joint Opinion 02/2026 on the Digital Omnibus (February 2026), erişim için: https://www.edpb.europa.eu/system/files/2026-02/edpb_edps_jointopinion_202602_digitalomnibus_en.pdf
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
2020 tarihli Avrupa Veri Stratejisi’nin bir parçası olarak tasarlanan verilere adil erişim ve kullanım konusunda uyumlaştırılmış kurallar hakkındaki Tüzük (Veri Yasası veya Yasa), veriye erişimi ve verinin kullanımını rekabetçi ve adil bir ortamda en üst seviyeye taşıyarak AB’nin veri ekonomisinde sıçrama yapmasını hedeflemektedir.
Eylül 2025’te Avrupa Birliği Adalet Divanı (“ABAD”), Single Resolution Board (SRB) v. European Data Protection Supervisor (EDPS) davasında , AB veri koruma rejimi kapsamında yeni bir karar verdi...
Türkiye’de son dönemde özellikle perakende mağazalarda, ürün ve hizmet sunumları sırasında ilgili kişilere SMS yoluyla doğrulama kodu gönderilmesi ve bu yolla kişisel verilerin işlenmesi giderek yaygınlaşmıştır. Kişisel Verileri Koruma Kurulu’na (“Kurul”) intikal eden şikâyetlerde; ödeme yapma, kayıt açma...
Günümüzde iş sağlığı ve güvenliği, işyeri düzeninin sağlanması, iç denetim mekanizmalarının işletilmesi ve olası suistimallerin önlenmesi gibi gerekçelerle işverenler tarafından güvenlik kamerası sistemleri yaygın biçimde kullanılmaktadır...
Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin yurt dışına aktarımı konusunda belirli kurallar öngörse de, uygulamada yaşanan bazı zorluklar nedeniyle yurt dışına aktarım kurallarının etkin işleyişi zamanla sınırlanmıştı...
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi esas alınarak hazırlanmış ve 2016 yılında yürürlüğe girmiştir. Anılan direktif ise, Avrupa Birliği Veri...
Genellikle bir çalışan işten ayrıldığında, çalışanın kurumsal e-posta hesabı kapatılmaz ve işverenin bu hesaba erişimi hemen engellenmez. Tam aksine, bu e-posta hesabı, iş ilişkisinin sona ermesinden sonra bir süre aktif tutulur; e-posta arşivi ve yeni gelen iletiler, ayrılan çalışanın yöneticisi veya farklı bir çalışma...
Günümüz dünyasında artık pek çok ürün ve hizmeti bulunduğumuz yerden tek bir tık ile e-ticaret platformları aracılığıyla satın alma imkanına sahibiz. Bu alışverişler sırasında, siparişin alınması, yönetimi ve teslimi, sipariş sonrası bilgilendirme, reklam ve pazarlama gibi çeşitli nedenlerle kişisel verilerimiz...
Genetik verilerin işlenmesi, sadece genetik veri sahiplerini değil, kişinin genetik olarak irtibatlı olduğu kişileri etkileyebilecek niteliğe sahiptir. Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Ekim 2023’te yayımlanan “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” (“Rehber”)...
Günümüzde ekonomik faaliyetlerin küresel ölçekte yürütülmesi, şirketlerin günlük faaliyetleri sırasında çok sayıda kişisel verinin uluslararası alanda aktarılmasına neden olmaktadır. Bu nedenle, ulusal ve uluslararası birçok veri mevzuatı gibi 6698 sayılı Kişisel Verilerin Korunması Kanunu da...
Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...
Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...
Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...
Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...
Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...
Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...
Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...
Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...
Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...
Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...
Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...
