AB Veri Yasası nedir?
AB Veri Yasası (AB Tüzüğü 2023/2854), endüstriyel ve IoT verisine adil erişim ve kullanım üzerine uyumlaştırılmış kurallar oluşturan AB tüzüğüdür. Bağlantılı ürünler ve ilgili hizmetler tarafından üretilen kişisel olmayan ve karışık veri kümelerini ele alarak GDPR’yi (kişisel veriyi kapsayan) tamamlar. Ocak 2024’te yürürlüğe girdi; ana yükümlülükler 12 Eylül 2025’ten itibaren uygulanır.
Temel Veri Yasası hükümleri
- Bölüm II — Kullanıcı erişimi: bağlantılı ürünlerin (arabalar, makineler, akıllı cihazlar) kullanıcıları, ürettikleri veriye erişme ve üçüncü taraflarla paylaşma haklarına sahip olur.
- Bölüm III — B2B veri paylaşımı: işletmeler için adil, makul, ayrımcı olmayan erişim koşulları.
- Bölüm IV — Adil olmayan sözleşme koşulları: B2B veri sözleşmelerinde geçersiz veya adil olmadığı varsayılan maddelerin kara listesi ve gri listesi.
- Bölüm V — Kamu sektörü erişimi: istisnai durumlarda (acil durumlar, kamu yararı araştırması) kamu organlarına zorunlu veri sağlama.
- Bölüm VI — Bulut geçişi: veri taşınabilirliği, birlikte çalışabilirlik, 2027’ye kadar geçiş ücretlerinin kaldırılması.
- Bölüm VII — Uluslararası transferler: kişisel olmayan veri için AB-dışı hükümet erişim taleplerine karşı güvenceler.
Türk şirketleri için
AB pazarına IoT cihaz veya bağlantılı hizmet satan Türk şirketleri için Veri Yasası, kullanıcı veri erişim hakkı tasarımını ürün roadmap’ine alma gereği yaratır. AB bulut sağlayıcı seçen Türk SaaS’lar için switching cost kaldırma (2027) önemli — provider lock-in riskinin yapısal azalması.
Yapın: veri-ihraç ve taşınabilirliği IoT ürünlerine mimariden tasarlayın; B2B sözleşmeleri adil olmayan-madde kara listesine karşı inceleyin.
Yapmayın: Veri Yasasının GDPR ile aynı şeyi kapsadığını varsaymayın — Veri Yasası kişisel olmayan veri ve sözleşmesel hakları ayrı ele alır.
EU Data Act’in GDPR’nin ötesinde getirdiği
AB Veri Yasası (EU Data Act), GDPR’den farklı bir araçtır: GDPR kişisel veriyi yönetirken, Veri Yasası bağlı ürünler ve ilgili hizmetlerce üretilen verinin — kişisel olmayan, endüstriyel ve IoT verisi dâhil — erişimini ve paylaşımını düzenler. Başlıca amaçları; bağlı bir cihazın kullanıcısının ürettiği veriye erişip onu paylaşabilmesini sağlamak, bulut sağlayıcılar arasında geçişi kolaylaştırmak ve işletmeler arası veri paylaşım sözleşmeleri için adillik kuralları koymaktır. Teknoloji şirketleri için bu, yeni sözleşmesel ve ürün-tasarımı yükümlülükleri demektir: veri erişim mekanizmaları kurmak, kilitlenmeden (lock-in) kaçınmak ve B2B veri hükümlerini Yasanın adillik standartlarına göre gözden geçirmek. GDPR’ye zaten uyan şirketler kapsandıklarını varsayamaz; çünkü Veri Yasası, GDPR’nin hiç dokunmadığı veri ve ilişkilere uzanır.