Dijital Omnibus Paketi: Ab Dijital Regülasyonlarında Yeni Bir Dönem

Yazar: Mustafa Emre Demir

Giriş

19 Kasım 2025 tarihinde Avrupa Komisyonu, Dijital Omnibus Paketi (“Paket”) olarak adlandırılan kapsamlı bir sadeleştirme girişimini yayımladı. Pakette, Avrupa Birliği’nin son yıllarda oluşturduğu dijital regülasyon çerçevesinde yer alan çok sayıda düzenlemede teknik değişiklikler öngörüldü. Paketin amacının dijital mevzuatın uygulanmasını daha basit, daha öngörülebilir ve daha düşük maliyetli hale getirmek, bunu yaparken de veri koruma ve yapay zeka alanlarında belirlenen yüksek standartları korumak olduğu gözlemlendi.

Dijital Omnibus Paketinin Arka Planı

Avrupa Birliği’nde son yıllarda art arda kabul edilen dijital düzenlemelerle insan hakları temelli güçlü bir normatif çerçeve yaratılmış olsa da uygulamada ciddi bir uyum yükü ve karmaşa oluştu. Farklı düzenlemelerin çakışan yükümlülükler öngörmesi ve farklı raporlama rejimleri oluşturulması gibi durumlar, maliyetlerin ciddi şekilde artmasına sebep oldu. Maliyetlerin artmasıyla küçük ve orta ölçekteki şirketler büyüme yakalayamazken büyük ölçekteki şirketler dünya pazarında rekabet etmekte zorlanmaya başladı. Paket bu gelişmeler üzerine, yukarıda belirtilen sebeplerle hazırlandı.

Öne Çıkan Somut Değişiklikler

Paketin kabul edilmesi halinde birçok dijital düzenlemede değişiklik yapılacaktır. Bu değişikliklerden öne çıkanlar aşağıdakilerdir.

• Kişisel Veri Tanımı: Paketin kabul edilmesiyle birlikte AB Genel Veri Koruma Tüzüğü’nde (“GDPR”) bulunan “kişisel veri”nin tanımı Avrupa Birliği Adalet Divanı’nın SRB kararıyla uyumlu hale getirilerek değiştirilecektir. Buna göre, bir bilginin kişisel veri sayılabilmesi, ilgili kişinin söz konusu veri sorumlusu tarafından “makul olarak kullanılabilir araçlarla” tanımlanabilir olmasına bağlanmaktadır.
• Pseudonimleştirilmiş Verilerin Statüsü: Pseudonimleştirilmiş verilere ilişkin yeni düzenleme uyarınca belirli koşullar altında ve ilgili veri sorumlusunun veri sahibini yeniden tanımlama imkânına fiilen sahip olmaması halinde, pseudonimleştirilmiş verilerin o aktör açısından kişisel veri sayılmayabileceği kabul edilmektedir.
• Yapay Zeka Geliştirme Süreçlerinde Kişisel Veri İşleme: Paket, yapay zeka sistemlerinin geliştirilmesi ve işletilmesi sırasında kişisel verilerin işlenmesinde “meşru menfaat” hukuki sebebinin kullanılabileceğini ortaya koymaktadır.
• Veri Sahibi Erişim Talepleri (“DSAR”): Paket, veri sahibinin erişim hakkını veri koruma amacı dışında kötüye kullandığı durumlarda, veri sorumlusuna erişim talebini reddetme veya makul bir ücret talep etme imkânı tanıyan yeni bir gerekçe getirmektedir. Buna göre, erişim talebinin, kişisel verilerin korunması amacı dışında kullanıldığının tespit edilmesi hâlinde, veri sorumlusu talebi karşılamak zorunda olmayabilecektir.
• Kişisel Veri İhlali Bildirimleri: Paket, kişisel veri ihlallerinin denetleyici otoritelere bildirilmesine ilişkin yükümlülükleri önemli ölçüde yeniden düzenlemektedir. Buna göre bildirim yükümlülüğü, yalnızca ihlalin ilgili kişilerin hak ve özgürlükleri bakımından yüksek risk doğurmasının muhtemel olması hâlinde doğacaktır. Ayrıca bildirim süresi 72 saatten 96 saate çıkarılmaktadır. Bunun yanında, veri ihlali bildirimlerinin, kurulması öngörülen tek bildirim noktası (single-entry point) üzerinden yapılması öngörülmekte; bu mekanizmanın Ağ ve Bilgi Güvenliği Direktifi (“NIS2”) ve Dijital Operasyonel Dayanıklılık Yasası (“DORA”) gibi diğer düzenlemeler kapsamındaki bildirimler için de ortak bir giriş noktası olarak işlemesi hedeflenmektedir.
• Veri Koruma Etki Değerlendirmesi (“DPIA”): Paket, DPIA yükümlülüklerinin üye devletler arasında farklı uygulanmasının önüne geçmeyi amaçlamaktadır. Bu kapsamda, hangi veri işleme faaliyetlerinin DPIA gerektirdiğine ve hangilerinin gerektirmediğine ilişkin AB genelinde yeknesak listeler hazırlanması öngörülmektedir. Ayrıca Avrupa Veri Koruma Kurulu (“EDPB”) tarafından standart bir DPIA şablonu ve metodolojisi oluşturulacak, Komisyonun bu araçları kabul etmesiyle birlikte söz konusu AB listeleri ulusal listelerin yerini alacaktır.

Sonuç

Görüldüğü üzere Paket, veri koruma alanında farklı düzenlemelerden kaynaklanan uygulama farklılıklarını azaltmayı, yükümlülükleri sadeleştirmeyi ve Avrupa Birliği genelinde daha yeknesak, öngörülebilir ve işlevsel bir uyum rejimi oluşturmayı amaçlamaktadır.

Yazar: Mustafa Emre DEMİR

Kaynakça

Avrupa Komisyonu. (2025). Digital Omnibus Regulation Proposal. https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal

Avrupa Birliği Adalet Divanı, C-413/23 P, EDPS / Single Resolution Board (SRB), 4.9.2025

Hukuk ve Bilişim Dergisi

Hukuk ve Bilişim Dergisi ve Blog kısmımızda,

Bilişim Suçları
Blockchain ve Dijital Paralar
Yapay Zekâ ve Robot Hukuku
Elektronik Ticaret Hukuku
İnternet Hukuku
Kişisel Verilerin Korunması Hukuku
Start-Up Hukuku
E-Spor Hukuku
Fikri Mülkiyet Hukuku ve benzer teknoloji hukuku alanlarında yazılar okuyucularımıza sunulmaktadır.

hukukvebilisim.org

AB avrupa birliği dijital gdpr kişisel veri ombinus veri veri sahibi yapay zeka