AB Dijital Omnibus Tüzüğü
Giriş
Kasım 2025'te Avrupa Komisyonu ("Komisyon"), AB'nin mevcut dijital düzenlemelerini sadeleştirmeyi amaçlayan kapsamlı bir çalışma olan AB Dijital Omnibus Tüzük Teklifi'ni ("Dijital Omnibus"/ “Taslak”) onaya sundu[1].
Dijital Omnibus, AB hukuku kapsamında bireylere tanınan temel veri güvenliği ilkelerini muhafaza ederken uyum yüklerini azaltmayı hedefliyor. Taslakta önerilen değişikliklerin kabul edilmesi hâlinde GDPR, çerez kuralları, Yapay Zekâ Yasası, Veri Yasası ve bazı AB siber güvenlik kurallarında değişiklikler gündeme gelecek.
Bu makalede GDPR ve çerez kurallarına ilişkin değişiklik önerileri ele anılacaktır.
GDPR İçin Değişiklik Önerileri
Dijital Omnibus GDPR’da önemli değişiklikler öngördüğünden kuvvetli tartışmalar doğurdu[2].
Taslakta önerilen temel değişiklikler:
Kişisel Verinin Yeniden Tanımlanması: Dijital Omnibus, bir verinin kişisel veri niteliği taşıyıp taşımadığının, söz konusu veriyi işleyen kuruluşun perspektifinden değerlendirilmesi gerektiğini ifade eder. Böylece bir kuruluş için kişisel veri niteliğinde olan veri seti, veri sahibi kişiyi tanımlama konusunda gerçekçi bir imkâna sahip olmayan başka bir kuruluş için kişisel veri sayılmayabilecektir. Bu değişiklik önerisinin kabulü halinde kişisel veri tanımı daha dar yorumlanacaktır.
Yapay Zekâ Geliştirme ve Meşru Menfaatler: Tasarı, yapay zekâ sistemlerinin geliştirilmesi ve işletilmesinde kişisel verilerin işlenmesi için meşru menfaati hukuka uygun bir gerekçe olarak tanır. Böylece yapay zekâ sistemlerinin veri işlemesinin önündeki en temel çekincelerden biri yumuşatılır. Taslak bununla birlikte yapay zekâ sistemlerinin veri işlemesi için güçlendirilmiş şeffaflık ve koşulsuz itiraz hakkı gibi artırılmış güvencelere değinir.
Belirli Kuruluşlar İçin Takma Adlı Verinin (Pseudo veri) GDPR Kapsamı Dışında Tutulması: Dijital Omnibus, kimi hallerde takma adlı verilerin (pseudo veri) GDPR kapsamı dışında kalmasına olanak veren değişiklikler önerir. Örneğin bir kamu otoritesi elindeki takma adlı sağlık verileri bakımından veriyi yeniden tanımlama imkânına sahip değilse, bu veri GDPR kapsamından çıkarılabilir. Bu önerinin Komisyon veya EDPB tarafından belirlenen kriterlere ve uygun güvencelere tabi tutulması gerekecektir.
Veri İhlali Bildirimi İçin Yükseltilen Eşik ve Ek Süre: Dijital Omnibus veri ihlallerinin veri otoritelerine bildirilmesine ilişkin eşiği “risk"ten "yüksek risk"e yükseltip (ilgili kişilere bildirim için mevcut eşikle uyumlu hâle getirip) ve bildirim süresini 72 saatten 96 saate uzatır. Gelecekte bildirimlerin tek bir NIS2 giriş noktası üzerinden yapılması öngörülür.
Basitleştirilmiş Şeffaflık Yükümlülükleri: Bireyin işleme faaliyetinden makul ölçüde haberdar olduğunun varsayılabileceği rutin, düşük riskli işlemler için GDPR Madde 13 kapsamındaki bilgilendirme yükümlülüğüne bir muafiyet getirir; ancak verilerin üçüncü kişiler ile paylaşıldığı, AB dışına aktarıldığı veya veri koruma etki değerlendirmesi (DPIA) gerektiren durumlarda bu muafiyetin uygulanmayacağı vurgulanır.
DPIA İçin Uyumlaştırılmış Uygulama Mekanizması: Taslak ile EDPB’nin, veri koruma etki değerlendirmesi yükümlülüğünü tetikleyen veya tetiklemeyen işleme faaliyetlerine ilişkin AB düzeyinde listeler ile standart bir DPIA şablonu oluşturulması öngörülür. Böylece birbirinden farklı ulusal denetim makamı listelerinin yerini yeknesak bir sistem alacaktır.
Veri Sahibi Talepleri - Yeni "Hakkın Kötüye Kullanılması" Gerekçesi: Veri sorumluları, verilere ilişkin taleplerin veri koruma ile ilgisi olmayan amaçlarla kullanıldığı durumlarda veri sahiplerinden gelen talepleri reddedebilir veya makul bir ücret talep edebilir. Bu hüküm özellikle eski çalışanlarla yaşanan uyuşmazlıklar veya stratejik dava süreçleri bağlamında önem taşır.
Çerezlere İlişkin Değişiklik Önerileri
Dijital Omnibus, çerezler ve diğer takip teknolojilerini düzenleyen kurallara bakımından da değişiklikler önerir.
Mevcut hukuki çerçevede, rıza gerekliliğine ilişkin kuralları düzenleyen ePrivacy Directive, kişisel verilerin işlenmesine ilişkin kurallar bakımından GDPR ile birlikte uygulanır. Bu ikili uygulamanın yarattığı karmaşanın ortadan kalkması adına yürütülen çalışma uygulayıcılar tarafından olumlu karşılanmaktadır.
Dijital Omnibus, ePrivacy Directive Madde 5(3) kapsamında çerezler ve benzer takip teknolojileri için rıza gerekliliklerini yenilemeyi önerir[3]. Taslak, tamamen teknik veya analitik amaçlarla kullanılan müdahaleci olmayan çerezlerin önceden açık rıza gerektirmeyeceği kademeli bir yaklaşım öngörür.
Taslak ayrıca veri sorumlularına belirli operasyonel yükümlülükler getirerek çerezler bakımından rızanın reddedilmesi için tek tık seçeneği sunulmasını zorunlu kılar ve rızanın reddedilmesinin ardından altı ay süreyle veya halihazırda verilmiş bir rızanın süresi boyunca aynı amaç için kullanıcılardan yeniden rıza talep edilmesini yasaklar.
Sonuç
Dijital Omnibus, AB'nin dijital düzenlemeler ile teknolojik gelişmeler arasındaki dengeyi yeniden kurma çabasının bir ürünüdür. GDPR ve çerezlere ilişkin öneriler uyum süreçlerini basitleştirmeyi ve özellikle yapay zekâ gibi teknolojiler için alan açmayı amaçlar.
Kişisel verinin yeniden tanımlanması, veri ihlali bildirimi için yükseltilmiş eşik, DPIA uyumlaştırması ve çerez rızasına kademeli yaklaşım gibi öneriler kabul edilmesi hâlinde uyum süreçlerine esaslı etki edecektir[4]. Teklif kimi veri koruma makamları, sivil toplum kuruluşları ve EDPB'den temel veri koruma ilkelerini zayıflattığı gerekçesiyle ciddi eleştiriler almıştır.
Dijital Omnibus son şeklini AB’deki yasama sürecinin tamamlanmasıyla alacaktır. Bu süreçte uygulayıcı ve işletmelerin süreci yakından takibi, kendilerini bekleyen uyum sürecine hazırlık bakımından önem taşır.
- European Commission, Digital Omnibus — Regulation Proposal (2025), erişim için: https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal
- Loyens & Loeff, "Digital Omnibus: simplifying compliance and secure data identity management", erişim için: Digital Omnibus: simplifying compliance and secure data identity management | Loyens & Loeff
- Loyens & Loeff (Stephanie De Smedt, Kirill Ryabtsev and Emilia Fronczak), "Digital Omnibus: What the proposed changes mean for GDPR, privacy and cookies", Lexology (5 March 2026), erişim için: https://www.lexology.com/library/detail.aspx?g=7c310ec1-598a-45cb-bcbd-b3e33ba8d113
- European Data Protection Board and European Data Protection Supervisor, Joint Opinion 02/2026 on the Digital Omnibus (February 2026), erişim için: https://www.edpb.europa.eu/system/files/2026-02/edpb_edps_jointopinion_202602_digitalomnibus_en.pdf
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.