Avrupa Birliği Dijital Omnibus ve Kişisel Veri Tanımı Çıkmazı: Hukuki ve Sektörel Bir Değerlendirme

Avrupa Birliği’nin dijital tek pazar vizyonu, son on yılda kabul edilen çok sayıda sektörel ve yatay düzenleme ile karmaşık bir yapıya bürünmüştür. Bu karmaşıklık, işletmeler üzerinde idari yük oluştururken, hukuki belirsizlikler inovasyonun önünde engel teşkil etmeye başlamıştır. Avrupa Komisyonu, bu tıkanıklığı aşmak ve Avrupa’nın küresel rekabet gücünü artırmak amacıyla "Dijital Omnibus" olarak adlandırılan geniş kapsamlı bir reform paketi taslağı oluşturmuştur. (Dijital Omnibus taslağı ile ilgili diğer yazımız için buraya tıklayabilirsiniz.)

Paket, Genel Veri Koruma Tüzüğü (GDPR), Yapay Zeka Yasası (AI Act), e-Gizlilik Direktifi (ePrivacy Directive) ve Veri Yasası (Data Act) gibi temel metinlerde çeşitli değişiklikler öngörmektedir. Ancak, paketin en can alıcı noktası olan ve kişisel veri tanımını göreli bir yaklaşımla yeniden şekillendirmeyi hedefleyen öneri, Avrupa Birliği Konseyi’nden sızan 20 Şubat 2026 tarihli bir belgeye göre üye devletler tarafından uygun bulunmamıştır. Konseyin bu müdahalesi, veri koruma hukukunun temel taşlarından biri olan "kişisel veri" kavramının sınırları üzerine süregelen doktrinsel ve yargısal tartışmaları yeniden alevlendirmiştir.

Kısaca Dijital Omnibus

Dijital Omnibus, Avrupa Birliği’nin son dönemde dile getirilen idari yüklerin azaltılması ihtiyacına verilen bir yanıttır. Paket, özünde iki ana yasal tekliften oluşmaktadır: Veri koruma ve siber güvenlik kurallarını düzenleyen "Dijital Mevzuat Omnibus Teklifi" ile Yapay Zeka Yasası’ndaki uygulama takvimini ve yükümlülükleri esneten "AI Omnibus Teklifi".

Avrupa dijital mevzuatının mevcut durumu, birçok uzman tarafından parçalanmış ve operasyonel olarak zorlayıcı olarak nitelendirilmektedir. Özellikle GDPR ile yeni nesil veri yasaları (Data Act gibi) arasındaki etkileşim, veri sorumluları için hangi kuralın öncelikli olduğu konusunda belirsizlikler yaratmaktadır. Dijital Omnibus, bu belirsizlikleri gidermek için sadece teknik bir güncelleme değil, aynı zamanda dijital ekosistemin işleyiş mantığını basitleştirmeyi amaçlayan bir düzenleme olarak kurgulanmıştır.

Kişisel Veri Tanımında "Göreli Yaklaşım" ve Önerilen Değişiklik

Komisyon’un Kasım 2025’te sunduğu ilk taslakta yer alan ve GDPR Madde 4(1)’e eklenmesi öngörülen paragraf, kişisel veri koruma hukukunda devrim niteliğinde bir sapma teşkil ediyordu. Mevcut uygulamada, Avrupa Veri Koruma Kurulu (EDPB) ve birçok ulusal otorite, verinin herhangi bir üçüncü tarafça tanımlanabilir olmasını, o verinin tüm taraflar için kişisel veri sayılması için yeterli gören "mutlak yaklaşımı" savunmaktaydı. Komisyon’un önerisi ise bu paradigmayı değiştirerek "göreli yaklaşımı" (relative approach) mevzuata dahil etmeyi amaçlamıştır.

Kişisel Veri Kavramı Kapsamında Önerilen Madde

Önerilen değişiklik, kişisel veri kavramının sınırlarını belirlerken veri sorumlusunun elindeki araçlara odaklanmaktadır. Taslak metne göre, bir bilgi, o bilgiyi elinde tutan kuruluşun ilgili gerçek kişiyi tanımlamak için "makul olasılık dahilindeki araçlara" sahip olmaması durumunda o kuruluş için kişisel veri sayılmayacaktır. Bu durum, aynı veri setinin bir veri sorumlusu için kişisel veri teşkil ederken, veriyi alan veya elinde tutan ancak kimlik tespiti imkanı olmayan bir başka kuruluş için anonim veri statüsünde olabileceği anlamına gelmektedir.

Komisyon bu değişikliği üç temel cümle ile kurgulamıştır:

• Bir gerçek kişiyle ilgili bilgi, sadece bir başka kuruluşun kişiyi tanımlayabiliyor olması nedeniyle her kuruluş için kişisel veri teşkil etmez.

• Bir kuruluşun, o kişiyi tanımlamak için makul araçlara sahip olmadığı durumlarda veri, o kuruluş için kişisel veri değildir.

• Potansiyel bir sonraki alıcının tanımlama araçlarına sahip olması, veriyi elinde tutan ilk kuruluşun sorumluluklarını etkilemez.

Yargısal Durum: Breyer ve SRB v EDPS Kararları

Bu yasal önerinin temelinde, Avrupa Birliği Adalet Divanı’nın ve Genel Mahkeme’nin son on yıldaki tartışmalı kararları yatmaktadır. Özellikle 2016 tarihli Breyer davasında mahkeme, dinamik IP adreslerinin, veri sorumlusunun elindeki hukuki araçlarla kişiyi tanımlayabilmesi halinde kişisel veri sayılacağına hükmederek göreli yaklaşıma kapı aralamıştır.

Ancak asıl kırılma noktası, Single Resolution Board - SRB ile Avrupa Veri Koruma Denetçisi (EDPS) arasındaki davadır. Genel Mahkeme, SRB’nin üçüncü taraf bir danışmanlık firmasıyla paylaştığı takma adlı (pseudonymized) verilerin, danışmanlık firmasının elinde kimlik tespitini sağlayacak ek bilgiler bulunmadığı sürece bu firma için kişisel veri sayılmayacağına karar vermiştir. ABAD ise 4 Eylül 2025 tarihli temyiz kararında (C-413/23 P), kişisel veri olup olmadığının değerlendirilmesinde veri alıcısının bakış açısının önemini teyit etmiş, ancak veri sorumlusunun toplama anındaki yükümlülüklerinin devam ettiğini belirtmiştir. Komisyon’un Omnibus teklifi, bu mahkeme kararlarını doğrudan GDPR metnine kodlayarak hukuki kesinlik yaratmayı amaçlamıştır.

Konseyin Sızdırılan Uzlaşma Metni ve Tanım Değişikliğinin Reddi

IAPP ve Euractiv gibi platformlarda yer alan bilgilere göre, Avrupa Birliği Konseyi içindeki üye devlet temsilcileri, Komisyon’un kişisel veri tanımını değiştiren bu önerisini taslaktan tamamen çıkarma konusunda uzlaşmıştır. Sızan uzlaşma metni, GDPR Madde 4(1)’e eklenmesi planlanan yeni paragrafın toptan kaldırılmasını içermektedir.

Üye devletlerin bu radikal değişikliğe karşı çıkmasının arkasında hem hukuki hem de siyasi gerekçeler bulunmaktadır. Konseydeki tartışmalar, temel haklar hukukunun sadece "verimlilik" ve "inovasyon" adına bu kadar kolayca yeniden kalibre edilemeyeceği görüşünü öne çıkarmaktadır.

Bu direncin temel sebepleri şu şekilde özetlenebilir:

Mevzuatın, aynı verinin bir taraf için kişisel veri olup diğeri için olmaması gibi bir subjektiflik içermesi, özellikle karmaşık veri işleme zincirlerinde hangi kuralların uygulanacağı konusunda kaos yaratma riski taşımaktadır.

EDPB ve EDPS, ortak görüşlerinde bu değişikliğin GDPR'ın kapsamını tehlikeli bir şekilde daraltacağını ve vatandaşların koruma kalkanını zayıflatacağını belirterek yasa koyucuları uyarmıştır.

Konsey, mevzuat değişikliği yerine ABAD'ın güncel içtihatlarının ve EDPB'nin takma adlandırma (pseudonymization) hakkındaki güncellenen rehberlerinin takip edilmesini daha güvenli bir yol olarak görmüştür.

Bu geri adım, Avrupa Birliği’nde veri koruma standartlarının "basitleştirme" adı altında dahi olsa aşağı çekilmesine karşı güçlü bir kurumsal direnç olduğunu göstermektedir. Sivil toplum kuruluşları, bu gelişmeyi temel hakların piyasa çıkarlarına kurban edilmemesi olarak yorumlamaktadır.

Yapay Zeka Sistemlerinde Veri İşleme Rejimi ve GDPR İstisnaları

Kişisel veri tanımındaki belirsizliğe rağmen, Dijital Omnibus paketi yapay zeka sistemlerinin geliştirilmesi ve eğitilmesi için veri sorumlularına önemli kolaylıklar getirmeye devam etmektedir. Bu kolaylıklar, özellikle meşru menfaat temelinde veri işleme ve hassas verilerin yanlışlıkla işlenmesi durumlarındaki sorumluluk rejimi üzerinde yoğunlaşmaktadır.

Meşru Menfaat İstisnası ve İnovasyon Desteği

Yeni teklif, makine öğrenimi modellerinin geliştirilmesi, test edilmesi ve operasyonu süreçlerinde, GDPR Madde 6(1)(f) kapsamındaki meşru menfaatin uygun bir hukuki sebep olabileceğini daha açık biçimde ortaya koymaktadır. Bununla birlikte, bu hukuki dayanak otomatik veya koşulsuz bir serbesti anlamına gelmemektedir. Veri sorumlularının, klasik meşru menfaat rejiminde olduğu gibi, somut olay bazında bir menfaat dengesi testi (balancing test) yürütmesi ve veri sahiplerinin hak ve özgürlüklerinin üstün gelmediğini gösterebilmesi gerekmektedir.

Bu çerçevede veri sorumlularının özellikle aşağıdaki hususlara dikkat etmesi beklenmektedir:

• Veri sahiplerine "koşulsuz bir itiraz hakkı" (opt-out) tanınması.

• Veri minimizasyonu ve veri güvenliği önlemlerinin uygulanması.

• Meşru menfaat değerlendirmesinin detaylı bir şekilde belgelenmesi.

Dolayısıyla teklif, meşru menfaati yapay zeka geliştirme faaliyetleri bakımından yasaklı veya tartışmalı bir alan olmaktan çıkararak daha öngörülebilir bir zemine taşısa da, veri sorumluları açısından hesap verebilirlik yükümlülüklerini ortadan kaldırmamaktadır.

Hassas Veriler İçin "Kalıntı Veri" (Residual Data) İstisnası

Yapay zeka modellerinin eğitiminde kullanılan devasa veri setlerinde, ırk, etnik köken veya sağlık verileri gibi hassas kategorilerin tamamen ayıklanması teknik olarak imkansız veya aşırı maliyetli olabilmektedir. Omnibus teklifi, bu pratik sorunu çözmek için mevzuata yeni bir istisna eklemeyi önermektedir.

Buna göre, veri sorumlusu hassas veri işlemeyi amaçlamadığı halde, veri setlerinde kalıntı halinde bulunan bu verileri şu şartlarla işleyebilecektir:

• Toplamayı önlemek için en güncel teknik ve idari tedbirler alınmalıdır.

• Tespit edilen hassas veriler derhal silinmelidir.

• Eğer silme işlemi orantısız güçlük çıkarıyorsa, bu verilerin modelin çıktılarına (output) yansıması veya üçüncü taraflara ifşası engellenmelidir.

Ayrıca, yapay zeka modellerindeki yanlılığın tespiti ve düzeltilmesi (bias detection and correction) amacıyla hassas verilerin işlenmesi, belirli korumalar altında kamu yararı temelinde yasal hale getirilmektedir.

Siber Güvenlik ve Veri İhlal Bildirimlerinde 96 Saatlik Süre

Dijital Omnibus paketi, siber olayların bildiriminde işletmeler üzerindeki baskıyı hafifletmeyi ve süreci daha rasyonel bir zemine oturtmayı hedeflemektedir. Mevcut 72 saatlik katı bildirim süresi, işletmelerin olayın etkilerini tam olarak analiz edemeden eksik bildirimler yapmasına yol açmaktaydı.

Teklif ile GDPR uyarınca yapılacak veri ihlal bildirimi süresi 72 saatten 96 saate çıkarılmaktadır. Bu 24 saatlik ek süre, siber güvenlik ekiplerine ihlalin kapsamını ve etkilenen veri sahiplerini daha sağlıklı belirleme imkanı tanıyacaktır. Daha da önemlisi, bildirim zorunluluğu artık sadece ihlalin ilgili kişiler için "yüksek risk" doğurması muhtemel olan durumlar için geçerli olacaktır. Mevcut "risk" eşiğinden "yüksek risk" eşiğine geçiş, önemsiz ihlaller için yapılan ve otoritelerin iş yükünü artıran bildirim trafiğini azaltacaktır.

Tek Giriş Noktası (Single Entry Point) Modeli

Bildirim süreçlerindeki bir diğer devrimsel değişiklik, ENISA tarafından yönetilecek olan "Tek Giriş Noktası" portalıdır. Bu portal sayesinde bir kuruluş, bir siber olayı bildirdiğinde, sistem bu bildirimi otomatik olarak ilgili tüm otoritelere (GDPR denetim makamları, CSIRT’ler, NIS2 otoriteleri vb.) iletecektir. Bu sistem, mükerrer raporlama yükünü ortadan kaldırmayı amaçlamaktadır.

Çerezler ve e-Gizlilik

Dijital Omnibus, internet kullanıcılarının her site girişinde karşılaştığı ve genellikle okumadan kabul ettiği çerez bannerları sorununa yapısal bir çözüm getirmeyi amaçlamaktadır. e-Gizlilik Direktifi’ndeki çerez kuralları büyük ölçüde GDPR altına taşınarak modernize edilmektedir.

Yeni düzenleme, belirli düşük riskli çerezler ve takip teknolojileri için kullanıcı onayı alma zorunluluğunu kaldırmaktadır.

Bu kapsamda onay gerektirmeyen durumlar şunlardır:

• İletişimin sağlanması için teknik zorunluluk arz eden durumlar.

• Kullanıcının açıkça talep ettiği bir hizmetin sunulması (örn. alışveriş sepeti çerezleri).

• Güvenliğin sağlanması veya siber saldırıların engellenmesi.

• Veri sorumlusunun kendi sitesi için yaptığı ve üçüncü taraflarla paylaşılmayan "izleyici ölçüm" (audience measurement) faaliyetleri.

Kullanıcıya Tek Tıkla Reddetme İmkanı Tanınması

Teklif, onay bannerlarının tasarımını da sıkı kurallara bağlamaktadır. Kullanıcılara "onayla" butonu ile aynı belirginlikte bir "reddet" butonu sunulması zorunlu hale getirilmektedir. Ayrıca, bir kullanıcı bir sitenin çerezlerini reddettiğinde, site o kullanıcıya en az 6 ay boyunca tekrar onay sormayacaktır. En önemlisi, tarayıcı seviyesinde (web browser settings) belirlenen gizlilik tercihleri makine tarafından okunabilir sinyaller olarak kabul edilecek ve siteler bu sinyallere otomatik olarak uymak zorunda kalacaktır.

Veri Sahibi Başvurularında Kötüye Kullanıma Karşı Koruma

GDPR Madde 15 kapsamındaki erişim hakkı, son yıllarda veri koruma amacı dışında, özellikle iş davalarında delil toplama veya rekabeti engelleme gibi yan amaçlar için kullanılmaya başlanmıştır. Omnibus teklifi, veri sorumlularına bu tür durumlarda savunma imkanı tanımaktadır.

Önerilen değişiklik, bir veri sahibi başvurusunun "açıkça dayanaktan yoksun", "aşırı" veya "kullanıcının haklarını koruma amacı dışındaki amaçlarla kötüye kullanılması" durumlarını içermesi halinde veri sorumlusuna iki seçenek sunmaktadır:

• Talebi yerine getirmeyi tamamen reddetmek.

• Talebin idari maliyetini yansıtan makul bir ücret talep etmek.

Ancak sızan belgeler ve otoritelerin görüşleri, "kötüye kullanım" kavramının ispat yükünün veri sorumlusunda kalacağını ve bu hükmün uygulanmasının oldukça dar bir çerçevede tutulacağını göstermektedir. Otoriteler, veri sahiplerinin motivasyonunun sorgulanmasının genel veri koruma ilkeleriyle çelişebileceği konusunda uyarıda bulunmaktadır.

Bilimsel Araştırma ve İnovasyon İçin Şeffaflık Muafiyetleri

Dijital Omnibus, Avrupa’nın bilimsel ve ticari araştırma kapasitesini artırmak için GDPR’daki "bilimsel araştırma" tanımını genişletmektedir. Yeni tanım, sadece akademik çalışmaları değil, "ticari bir çıkar gütse dahi toplumsal bilgi birikimine katkı sağlayan inovasyon ve teknolojik geliştirme" faaliyetlerini de kapsamaktadır.

Bilimsel araştırma yapan kuruluşlar, aşağıdaki durumlarda Madde 13 kapsamındaki aydınlatma yükümlülüğünden muaf tutulabilecektir:

• Aydınlatma yapmanın imkansız olması veya orantısız güçlük çıkarması.

• Aydınlatma yapmanın araştırmanın amacına ulaşmasını ciddi şekilde engellemesi.

• Veri sorumlusu ile veri sahibi arasında sınırlı ve veri yoğun olmayan bir ilişki bulunması ve kişinin zaten bilgilendirildiğinin varsayılması için makul gerekçelerin olması.

Türk Hukuku (KVKK) Açısından Çıkarımlar ve Karşılaştırma

Türkiye’deki 6698 sayılı Kişisel Verilerin Korunması Kanunu, 2024 yılındaki büyük değişikliklerle GDPR ile uyum yönünde önemli bir adım atmıştır. Ancak AB’deki Dijital Omnibus süreci, Türkiye’nin uyum sürecini daha da karmaşıklaştırabilecek yeni bir değişken hedef oluşturmaktadır.

Karşılaştırmalı Analiz Tablosu

Türkiye’deki hukuk büroları ve veri sorumluları için asıl zorluk, KVKK’nın henüz 72 saatlik bildirim süresi ve katı hassas veri işleme rejimini koruduğu bir ortamda, AB’deki bu esnemelerin uluslararası veri transferlerine nasıl yansıyacağıdır. AB’deki kişisel veri tanımının göreli bir yaklaşıma evrilmesi (yasallaşmasa dahi içtihatla), Türkiye’den AB’ye veya tersi yöndeki veri akışlarında "verinin niteliği" konusunda uyuşmazlıklara yol açabilir.

Sonuç

Avrupa Birliği Dijital Omnibus paketi, veri koruma hukukunun idealist döneminden pragmatist dönemine geçişini simgelemektedir. Kişisel veri tanımındaki radikal daraltma önerisinin üye devletler tarafından geri çevrilmiş olması, GDPR'ın temel haklar üzerindeki sarsılmaz otoritesini koruduğunu göstermektedir. Bununla birlikte, 96 saatlik bildirim süresi, yapay zeka eğitimi için meşru menfaat imkanı ve çerez onaylarındaki basitleştirmeler, işletmeler için yadsınamaz bir kolaylık sağlayacaktır.

Dijital Omnibus paketi temelde, Avrupa Birliği'nin dijital egemenliğini korurken ekonomik durgunluğu aşma çabasının bir ürünüdür. Her ne kadar kişisel veri tanımı gibi bazı "kırmızı çizgiler" korunmuş olsa da, Avrupa veri koruma hukukunun artık "her veri kişisel veridir" şeklindeki mutlakiyetçi yaklaşımdan, risk ve bağlam odaklı bir yaklaşıma doğru kaydığı söylenebilir. Bu dönüşüm, sadece Avrupa'daki şirketleri değil, Türkiye gibi AB mevzuatını yakından takip eden tüm hukuk sistemlerini ve buralardaki pazar aktörlerini derinden etkileyecektir.