- within Compliance, Litigation, Mediation & Arbitration and Antitrust/Competition Law topic(s)
- with readers working within the Pharmaceuticals & BioTech industries
A. Giriş
Avrupa Birliği Veri Yasası ("Veri Yasası") uyarınca Avrupa Komisyonu ("Komisyon"), veri erişimi ve kullanımı (data acces and use) konusunda Model Sözleşme Hükümleri ("MCT") ve bulut bilişim sözleşmeleri (cloud computing contracts) için bağlayıcı olmayan Standart Sözleşme Maddeleri ("SCC") hazırlamakla görevlendirmiştir. Bu doğrultuda Komisyon hazırladığı MCT ve SCC taslaklarını 19 Kasım 2025 tarihinde yayımlamıştır.
İlgili taslaklara buradan ulaşabilirsiniz.
B. Model Sözleşme Hükümleri
Veri Yasası, kullanıcıların kişisel veriler de dahil olmak üzere kendi verilerine erişimini ve bu verilerin kullanıcılar ile kamu kurumları tarafından kullanılmasını düzenlemektedir.
Veri Yasası'nın öngördüğü üç (3) farklı zorunlu veri paylaşımı senaryosu ile gönüllü veri paylaşımı senaryolarına yönelik olarak toplam dört (4) farklı MCT taslağı hazırlanmıştır:
(i) Veri Sahibi ile Kullanıcı Arasındaki MCT: Kullanıcının bağlantılı ürün1 veya ilgili hizmeti kullanmasıyla üretilen verilere (arıza kodları, kullanım süreleri vb.) erişim, kullanım ve paylaşımına ilişkin hak ve yükümlülükleri kapsar.
(ii) Kullanıcı ile Veri Alıcısı Arasındaki MCT: Kullanıcının veri paylaşım talimatının kapsamını ve kullanıcının seçtiği veri alıcısının verileri kullanım şartlarını belirler. Bağlantılı ürün kullanıcısının verileri kendi seçtiği bir üçüncü taraf bakım servisi (Veri Alıcısı) ile arasındaki sözleşme örnek olarak verilebilir.
(iii) Veri Sahibi ile Veri Alıcısı Arasındaki MCT: Veri Sahibinin, kullanıcı tarafından seçilen veri alıcısı ile veri paylaşımının şartlarını düzenler. Kullanıcının talimatı ile verilerin, ilgili ürün veya hizmeti sunan veri sahibi tarafından doğrudan kullanıcının seçtiği üçüncü taraf bakım servisine iletmesi örnek olarak verilebilir.
(iv) Veri Paylaşan ile Veri Alıcısı Arasındaki MCT: Veri paylaşım yükümlülüğü bulunmayan veri paylaşan ile veri alıcısı arasındaki gönüllü veri paylaşımına ilişkin sözleşmesel koşulları düzenler.
Bu hükümler, veri paylaşımı sözleşmelerinde daha güçlü olan tarafın, daha zayıf tarafa ağır koşullar dayatmasını önlemeyi ve taraflar arasındaki menfaat dengesi kurmayı amaçlamaktadır. MCT'ler özellikle büyük veri sahiplerinin veri erişim şartlarını tek taraflı olarak belirlemesini zorlaştıracaktır.
C. Standart Sözleşme Maddeleri
Veri Yasası Bölüm IV, kullanıcıların farklı veri işleme hizmeti sağlayıcıları arasında etkin bir şekilde geçiş yapabilmelerini (cloud switching) sağlamak için düzenlemeler getirmiştir. Komisyon, bu düzenlemeleri veri işleme sözleşmelerine eklenebilecek kullanıma hazır üç (3) adet standart sözleşme maddelerine dönüştürülerek kamuoyu ile paylaşmıştır:
(i) Sağlayıcı değiştirme ve çıkış ile ilgili SCC: Verilerin kaynak sağlayıcıdan, hedef sağlayıcıya veya müşterinin kendi tesislerine aktarılması sürecini tanımlar. Veri çıkarma (extraction), dönüştürme (transformation) ve yükleme (uploading) için net prosedürler, zaman çizelgeleri (en fazla 30 gün) ve tarafların iş birliği yükümlülüklerini içerir.
(ii) Sözleşmenin feshi ile ilgili SCC: Müşterinin veri işleme hizmetini sonlandırma hakkını düzenleyerek güvence altına alır.
(iii) Sağlayıcı değiştirme sırasında güvenlik ve iş sürekliliği ile ilgili SCC: Geçiş süreci boyunca verilerin güvenliğini ve müşterinin iş operasyonlarının kesintisizliğini sağlamayı amaçlar. Geçiş sırasında veri bütünlüğünün ve gizliliğinin korunması için gerekli teknik ve organizasyonel önlemlerin çerçevesini çizer.
Bu SCC'ler, bulut bilişim sektöründeki en büyük rekabet engellerinden biri olan sağlayıcıya bağımlılığı (vendor lock-in) ortadan kaldırmayı amaçlamaktadır. Böylece müşterilerin yüksek veri çıkış ücretleri (data egress charges), teknik engeller ve sözleşme kısıtlamaları olmadan IaaS, PaaS ve SaaS hizmetleri arasında kolayca geçiş yapabilmelerini sağlanabilecektir.
Bu temel SCC'lere ek olarak Veri Yasası Bölüm IV'teki hak ve yükümlülüklerin korunması adına üç (3) adet SCC taslağı hazırlanmıştır:
(i) Dağılmama ile İlgili SCC: Dağınık ve farklı kaynaklara yayılmış bilgi ve belgelerin tek yerde toplanmasını amaçlar. Böylece müşterinin özellikle sağlayıcı değiştirme sürecinde, hak ve yükümlülüklerini anlamak için gerekli tüm güncel belgelere kolayca ulaşabilmesini hedefler.
(ii) Değişiklik Yapmama ile İlgili SCC: Sağlayıcının, müşterinin aleyhine olacak şekilde, özellikle geçişe yakın dönemde veya geçişi zorlaştıracak şekilde tek taraflı ve haksız değişiklikler yapmasını engeller. Önemli değişiklikler için makul bir bildirim süresi sağlayıcının değişiklik şartlarına uymaması durumunda sözleşmeyi cezasız feshetme hakkı tanır.
(iii) Sorumluluk ile İlgili SCC: Bulut sağlayıcısı tarafından haksız sorumluluk sınırlamalarını önlemek de dahil olmak üzere, taraflar arasında daha dengeli bir sorumluluk dağılımını sağlamayı hedefler.
D. Sonuç
Komisyon tarafından yayınlanan MCT ve SCC taslaklarının veri çıkış ve geçiş süreçlerini iyileştirmeyi amaçladığı söylenebilir. Bu hüküm ve maddeler bağlayıcı ve zorunlu olmayıp taraflar arasındaki ilişkiye uygun şekilde revize edilebilir. Bu hükümler bağlayıcı olmasa da bu taslaklardan önemli sapmalar, özellikle zayıf tarafa karşı haksız veya menfaat dengesi önemli ölçüde bozan şartlar içeriyorsa, Veri Yasası'nın zorunlu veri paylaşımı ve adil geçiş ilkelerine uyumu riske atarak "Haksız Sözleşme Şartları" başlıklı Bölüm IV kapsamında itirazlara yol açabilir. Bu nedenle, bu taslaklar fiilî bir en iyi uygulama standardı (de-facto standard) işlevi görebilecektir. Özellikle büyük veri ve bulut sağlayıcıları için, bu taslakları göz ardı etmek, mevzuata aykırılık riski taşır.
Bu taslak MCT ve SCC'lerin yalnızca AB içi değil, AB ile iş yapan üçüncü ülke şirketlerinin veri sözleşmelerinin de bir parçası olabileceği ve Veri Yasası'nın diğer ülke düzenlemelerini etkileyebileceği öngörülmektedir.
Daha fazla bilgi ve destek için bizimle iletişime geçebilirsiniz.
Footnote
1 Veri Yasası m. 2/5 uyarınca bağlantılı ürün;"kullanımı veya çevresi ile ilgili verileri elde eden, üreten veya toplayan ve elektronik iletişim hizmeti, fiziksel bağlantı veya cihaz erişimi yoluyla ürün verilerini iletebilen ve birincil işlevi kullanıcı dışındaki herhangi bir taraf adına verilerin depolanması, işlenmesi veya iletilmesi olmayan bir öğe anlamına gelir."
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
