Updated on 29 Şubat 2024

AB Veri Kanunu (Data Act)

2023/2854 Verilere adil erişim ve kullanımına ilişkin uyumlaştırılmış kurallar hakkında ve (AB) 2017/2394 sayılı Tüzük ile (AB) 2020/1828 sayılı Direktifi değiştiren 13 Aralık 2023 tarihli ve (AB) 2023/2854 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü (Veri Kanunu)

Regulation (EU) 2023/2854 of the European Parliament and of the Council of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act)
Eur-Lex

AB Veri Kanunu’yla (veya Veri Yasası’yla) dijital ortamda adaleti sağlaması, rekabetçi bir veri piyasasını teşvik etmesi, veri odaklı inovasyon için fırsatlar yaratması ve veriyi herkes için daha erişilebilir hale getirmesi amaçlanmaktadır. Tüzük metninde, hem kişisel hem de kişisel olmayan verilere ilişkin hükümler yer almaktadır.

Yasama süreci

Kanun’un yasalaşmasına yönelik süreç, Avrupa Komisyonu tarafından AB Veri Kanunu teklifinin 23 Şubat 2022 tarihinde yayınlanmasıyla başlamıştır. Avrupa Parlamentosu, esaslı değişikliklere tabi tuttuğu teklifi 14 Mart 2023 tarihinde 23’e karşı 500 oyla kabul etmiştir. Tasarı 27 Kasım 2023 tarihinde Avrupa Birliği Konseyi’nde kabul edilmiştir. Nihai metin 22 Aralık 2023 tarihli AB Resmî Gazetesi’nde yayınlanmıştır.

AB Veri Kanunu, neredeyse tüm hükümleriyle 12 Eylül 2025 tarihinde uygulanmaya başlayacaktır.

  • Avrupa Komisyonu teklif metni
  • Avrupa Parlamentosu’nda kabul edilen metin
  • Avrupa Birliği Konseyi’nde kabul edilen metin
  • Nihai metin: AB Resmî Gazetesi (Eur-Lex)

Önemli hükümleri

  • Veri paylaşma yükümlülükleri: Tüzük’le üretici ve ilgili hizmet sağlayıcıları, kullanıcılara ürün ve hizmetlerle ilgili bazı bilgileri sağlamakla yükümlü kılınmıştır. Bu veriler talep üzerine ve ücretsiz olarak sağlanacaktır. Diğer bir yükümlülük ise verileri elinde bulunduranların kamu kurumlarıyla veri paylaşımıdır.
  • Sözleşme özgürlüğünün sınırlandırılması: Veri paylaşma yükümlülüğün olduğu bazı durumlarda sözleşme özgürlüğü sınırlandırılmıştır. Buna göre B2B ilişkilerde kullanıcının aleyhine olan anlaşmalar bağlayıcı değildir.
  • Hizmet değiştirmeye dair yükümlülükler: Veri işleme hizmeti sağlayıcıları (ör. bulut bilişim), müşterilerinin aynı kategorideki farklı hizmetlere geçişi gerekli tedbirleri almakla yükümlüdür.
  • Kişisel veriler dışındaki veriler için aktarım sınırlamaları: Kişisel veri niteliği taşımayan veriler, fikri mülkiyet, ticari sır, gizlilik ve diğer AB menfaatleri uyarınca yeterli koruma olmadan Avrupa Ekonomik Alanı dışındaki ülkelere aktarılmamalıdır.
  • Birlikte işlerlik (interoperability) yükümlülükleri: Veriye temas eden kişiler ve sağlayıcılar, birlikte işlerliğe ilişkin öngörülen temel gerekliliklere uymalıdır.
  • Yaptırımlar ve icra: Kişisel verilerle ilgili GDPR hükümleri uygulanırken, bunun dışındaki verilerle ilgili üye ülkelere takdir hakkı bırakılmıştır.
  • Akıllı sözleşmelere dair hükümleri: Kanun’da akıllı sözleşmeler, “bir sözleşmenin veya bunun bir kısmının kendi kendine icrası için kullanılan, bir dizi elektronik veri kaydı kullanan ve bunların bütünlüğünü ve kronolojik sıralamalarının doğruluğunu sağlayan bir bilgisayar programı” olarak tanımlanmaktadır (m. 2/39). Akıllı sözleşmelerin bu Kanun’la düzenlenmesindeki temel amaç, veri paylaşım uygulamalarında kullanılan akıllı sözleşmelerin karşılıklı işlerliğini (interoperability) teşvik etmek için akıllı sözleşme sağlayıcılara yönelik temel gereklilikler öngörmektir. Söz konusu gerekliliklere uygunluğun temininin kolaylaştırılması amacıyla uyumlulaştırılmış standartlar (harmonised standards) ile ortak şartnamelere (common specifications) dair prosedürler öngörülmüştür (Rec 104).

Bölüm sistematiği

Avrupa Parlamentosu’nda 14 Mart 2023 günü kabul edilen metin esas alınmıştır.

🇹🇷
Gerekçe (119 Par.)

Bölüm I – Genel Hükümler

  • Madde 1 – Konu ve kapsam
  • Madde 2 – Tanımlar

Bölüm II – İşletmeden Tüketiciye ve İşletmeden İşletmeye Veri Paylaşımı

  • Madde 3 – Ürün verilerini ve ilgili hizmet verilerini kullanıcı için erişilebilir kılma yükümlülüğü
  • Madde 4 – Kullanıcıların ve veri sahiplerinin ürün verilerine ve ilgili hizmet verilerine erişim, kullanım ve kullanıma sunmaya ilişkin hak ve yükümlülükleri
  • Madde 5 – Kullanıcının verilerini üçüncü taraflarla paylaşma hakkı
  • Madde 6 – Kullanıcının talebi üzerine veri alan üçüncü tarafların yükümlülükleri
  • Madde 7 – İşletmeden tüketiciye ve işletmeden işletmeye veri paylaşımı yükümlülüklerinin kapsamı

Bölüm III – Birlik Hukuku Uyarınca Verileri Kullanıma Sunmakla Yükümlü Veri Zilyetleri için Yükümlülükler

  • Madde 8 – Veri sahiplerinin verileri veri alıcılarının kullanımına sunma koşulları
  • Madde 9 – Verilerin kullanıma sunulması için tazminat
  • Madde 10 – Anlaşmazlıkların çözümü
  • Madde 11 – Verilerin yetkisiz kullanımı veya ifşasına ilişkin teknik koruma tedbirleri
  • Madde 12 – Birlik hukuku uyarınca verileri erişime açmakla yükümlü olan veri sahiplerine yönelik yükümlülüklerin kapsamı

Bölüm IV – İşletmeler Arasında Veri Erişimi ve Kullanımına İlişkin Haksız Sözleşme Şartları

  • Madde 13 – Başka bir işletmeye tek taraflı olarak dayatılan haksız sözleşme şartları

Bölüm V – İstisnai Bir İhtiyaç Temelinde Verilerin Kamu Kuruluşları, Komisyon, Avrupa Merkez Bankası ve Birlik Organlarının Kullanımına Sunulması

  • Madde 14 – İstisnai bir ihtiyaç temelinde verileri kullanıma sunma yükümlülüğü
  • Madde 15 – Verileri kullanmak için istisnai ihtiyaç
  • Madde 16 – Kamu sektörü organlarına, Komisyona, Avrupa Merkez Bankasına ve Birlik organlarına veri sağlamaya yönelik diğer yükümlülüklerle ilişki
  • Madde 17 – Verilerin erişime açılmasına yönelik talepler
  • Madde 18 – Veri taleplerine uygunluk
  • Madde 19 – Kamu sektörü organları, Komisyon, Avrupa Merkez Bankası ve Birlik organlarının yükümlülükleri
  • Madde 20 – İstisnai ihtiyaç durumlarında tazminat
  • Madde 21 – İstisnai bir ihtiyaç bağlamında elde edilen verilerin araştırma kuruluşları veya istatistik kurumları ile paylaşılması
  • Madde 22 – Karşılıklı yardım ve sınır ötesi işbirliği

Bölüm VI – Veri İşleme Hizmetleri Arasında Geçiş

  • Madde 23 – Etkin geçişin önündeki engellerin kaldırılması
  • Madde 24 – Teknik yükümlülüklerin kapsamı
  • Madde 25 – Anahtarlamaya ilişkin sözleşme şartları
  • Madde 26 – Veri işleme hizmetleri sağlayıcılarının bilgilendirme yükümlülüğü
  • Madde 27 – İyi niyet yükümlülüğü
  • Madde 28 – Uluslararası erişim ve transfer konusunda sözleşmeye dayalı şeffaflık yükümlülükleri
  • Madde 29 – Anahtarlama ücretlerinin kademeli olarak kaldırılması
  • Madde 30 – Anahtarlamanın teknik yönleri
  • Madde 31 – Belirli veri işleme hizmetleri için özel rejim

Bölüm VII – Kişisel Olmayan Verilere Üçüncü Devletlerin Hukuka Aykırı Erişimi ve Verilerin Bunlara Aktarımı

  • Madde 32 – Uluslararası resmi erişim ve transfer

Bölüm VIII – Birlikte Çalışabilirlik

  • Madde 33 – Verilerin, veri paylaşım mekanizmalarının ve hizmetlerinin yanı sıra ortak Avrupa veri alanlarının birlikte çalışabilirliğine ilişkin temel gereklilikler
  • Madde 34 – Veri işleme hizmetlerinin paralel kullanımı amacıyla birlikte çalışabilirlik
  • Madde 35 – Veri işleme hizmetlerinin birlikte çalışabilirliği
  • Madde 36 – Veri paylaşım anlaşmalarının yürütülmesi için akıllı sözleşmelere ilişkin temel gereklilikler

Bölüm IX – Uygulama ve Yürütme

  • Madde 37 – Yetkili makamlar ve veri koordinatörleri
  • Madde 38 – Şikayette bulunma hakkı
  • Madde 39 – Etkili bir yargı yoluna başvurma hakkı
  • Madde 40 – Cezalar
  • Madde 41 – Model sözleşme hükümleri ve standart sözleşme maddeleri
  • Madde 42 – EDIB’nin Rolü

Bölüm X – 96/9/EC sayılı Direktif Kapsamında Sui Generis Hak

  • Madde 43 – Belirli verileri içeren veri tabanları

Bölüm XI – Son Hükümler

  • Madde 44 – Veri erişimi ve kullanımına ilişkin hak ve yükümlülükleri düzenleyen diğer Birlik yasal düzenlemeleri
  • Madde 45 – Yetki devrinin kullanılması
  • Madde 46 – Komite prosedürü
  • Madde 47 – 2017/2394 sayılı Tüzükte (AB) yapılan değişiklik
  • Madde 48 – (AB) 2020/1828 sayılı Direktifte Değişiklik
  • Madde 49 – Değerlendirme ve gözden geçirme
  • Madde 50 – Yürürlüğe giriş ve uygulama

(Makine çevirisidir)

🇬🇧
Recitals (119 Par.)

Chapter I – General Provisions

  • Article 1 – Subject matter and scope
  • Article 2 – Definitions

Chapter II – Business to Consumer and Business to Business Data Sharing

  • Article 3 – Obligation to make product data and related service data accessible to the user
  • Article 4 – The rights and obligations of users and data holders with regard to access, use, and making available product data and related service data
  • Article 5 – Right of the user to share data with third parties
  • Article 6 – Obligations of third parties receiving data at the request of the user
  • Article 7 – Scope of business-to-consumer and business-to-business data sharing obligations

Chapter III – Obligations for Data Holders Obliged to Make Data Available Pursuant to Union Law

  • Article 8 – Conditions under which data holders make data available to data recipients
  • Article 9 – Compensation for making data available
  • Article 10 – Dispute settlement
  • Article 11 – Technical protection measures on the unauthorized use or disclosure of data
  • Article 12 – Scope of obligations for data holders obliged pursuant to Union law to make data available

Chapter IV – Unfair Contractual Terms Related to Data Access and Use Between Enterprises

  • Article 13 – Unfair contractual terms unilaterally imposed on another enterprise

Chapter V – Making Data Available to Public Sector Bodies, The Commission, The European Central Bank, and Union Bodies on The Basis of an Exceptional Need

  • Article 14 – Obligation to make data available on the basis of an exceptional need
  • Article 15 – Exceptional need to use data
  • Article 16 – Relationship with other obligations to make data available to public sector bodies, the Commission, the European Central Bank, and Union bodies
  • Article 17 – Requests for data to be made available
  • Article 18 – Compliance with requests for data
  • Article 19 – Obligations of public sector bodies, the Commission, the European Central Bank, and Union bodies
  • Article 20 – Compensation in cases of an exceptional need
  • Article 21 – Sharing of data obtained in the context of an exceptional need with research organizations or statistical bodies
  • Article 22 – Mutual assistance and cross-border cooperation

Chapter VI – Switching Between Data Processing Services

  • Article 23 – Removing obstacles to effective switching
  • Article 24 – Scope of the technical obligations
  • Article 25 – Contractual terms concerning switching
  • Article 26 – Information obligation of providers of data processing services
  • Article 27 – Obligation of good faith
  • Article 28 – Contractual transparency obligations on international access and transfer
  • Article 29 – Gradual withdrawal of switching charges
  • Article 30 – Technical aspects of switching
  • Article 31 – Specific regime for certain data processing services

Chapter VII – Unlawful International Governmental Access and Transfer of Non-Personal Data

  • Article 32 – International governmental access and transfer

Chapter VIII – Interoperability

  • Article 33 – Essential requirements regarding interoperability of data, of data sharing mechanisms and services, as well as of common European data spaces
  • Article 34 – Interoperability for the purposes of in-parallel use of data processing services
  • Article 35 – Interoperability of data processing services
  • Article 36 – Essential requirements regarding smart contracts for executing data sharing agreements

Chapter IX – Implementation and Enforcement

  • Article 37 – Competent authorities and data coordinators
  • Article 38 – Right to lodge a complaint
  • Article 39 – Right to an effective judicial remedy
  • Article 40 – Penalties
  • Article 41 – Model contractual terms and standard contractual clauses
  • Article 42 – Role of the EDIB

Chapter X – Sui Generis Right Under Directive 96/9/EC

  • Article 43 – Databases containing certain data

Chapter XI – Final Provisions

  • Article 44 – Other Union legal acts governing rights and obligations on data access and use
  • Article 45 – Exercise of the delegation
  • Article 46 – Committee procedure
  • Article 47 – Amendment to Regulation (EU) 2017/2394
  • Article 48 – Amendment to Directive (EU) 2020/1828
  • Article 49 – Evaluation and review
  • Article 50 – Entry into force and application