Birleşik Krallık 2025 tarihli Veri (Kullanım ve Erişim) Yasası[1] [Data (Use and Access) Act], Parlamentoda uzun bir yasama sürecinin ardından, 19 Haziran 2025 tarihinde Kraliyet Onayını alarak Brexit’ten bu yana Birleşik Krallık veri koruma mevzuatındaki en kapsamlı güncellemeleri getirmiştir.
Daha önce Ekim 2024’te Veri (Kullanım ve Erişim) Yasa tasarısı sunulduğunda bir yazı yazılmıştı[2]. Bu yazıda ise, bu yeni yasanın temel hükümleri incelenecek ve kişisel verileri işleyen kuruluşlar için pratikte ne anlama geldiği ele alınacaktır.
- Başlıca Değişiklikler
2025 tarihli Veri (Kullanım ve Erişim) Yasası, Birleşik Krallık Genel Veri Koruma Yönetmeliği[3] [General Data Protection Regulation], 2018 tarihli Veri Koruma Yasası[4] [Data Protection Act] ile Gizlilik ve Elektronik İletişim Yönetmeliği[5] [Privacy and Electronic Communications Regulations] bağlamında çeşitli değişiklikler getirmektedir.
Bu önemli değişiklikler şunlardır:
1.1. İşlemenin yasal dayanağı: ‘Tanınan meşru menfaatlerin’ tanıtılması
Birleşik Krallık Genel Veri Koruma Yönetmeliği’ne göre, kişisel verileri işleyen tüm kuruluşlar bunu yaparken rıza veya meşru çıkar gibi geçerli bir yasal temele dayanmak zorundadır.
Veri (Kullanım ve Erişim) Yasası, kişisel verilerin işlenmesine ilişkin yeni ve farklı bir yasal dayanak getirmektedir: tanınan meşru menfaat [recognised legitimate interest].
Veri (Kullanım ve Erişim) Yasası, tanınan meşru menfaatlerin bir listesini de ortaya koymaktadır:
Kamu yararına veya denetleyiciye verilen resmi otoritenin kullanımı kapsamında gerçekleştirilen bir görevin yerine getirilmesi;
Ulusal güvenlik, kamu güvenliği ve savunma;
Acil durumlar;
Suçun tespit edilmesi, araştırılması veya önlenmesi,
Savunmasız bireylerin korunması.
‘Meşru menfaat’ hukuki dayanağından farklı olarak, ‘tanınan meşru menfaat’e dayanıldığında meşru menfaat değerlendirmesine[6] [legitimate interest assessment] gerek yoktur.
1.2. Genişletilmiş ‘standart’ meşru menfaatin yasal dayanağı
Veri (Kullanım ve Erişim) Yasası yalnızca yeni bir yasal dayanak sunmakla kalmıyor, aynı zamanda Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin 6(1-f) maddesi[7] uyarınca mevcut ‘meşru menfaat’ yasal dayanağının kullanılmaya devam edilmesini de açıklığa kavuşturuyor ve destekliyor.
Veri (Kullanım ve Erişim) Yasası, meşru menfaat olarak nitelendirilmesi muhtemel olan örnek faaliyetlerin kapsamlı olmayan bir listesini sunmaktadır, örneğin:
Doğrudan pazarlama için işleme;
Dâhili idari amaçlar için kişisel verilerin grup içi aktarımı,
Ağ ve bilgi güvenliği için işleme.
Yukarıdaki örnekler, işletmelerin (veri) işleme faaliyetleri için yasal dayanak olarak meşru menfaati seçerken daha fazla açıklık ve güven sağlamasını amaçlamaktadır.
1.3. İşlemenin uyumlu amaçları
Birleşik Krallık Genel Veri Koruma Yönetmeliği’ne göre, amaç sınırlaması ilkesi, aşağıdaki senaryolar ortaya çıkmadığı sürece, bir amaç için toplanan kişisel verilerin yeni ve ilgisiz bir amaç için kullanılmamasını gerektirmektedir:
Yeni amaç orijinal amaçla uyumludur.
Veri sahibi yeni amaç için onay/rıza verir.
İşleme kamu yararınadır.
Veri (Kullanım ve Erişim) Yasası, kişisel verilerin yeni kullanımlarının orijinal amaçla uyumlu olup olmadığını belirlemek için yasal kurallar getirerek Birleşik Krallık Genel Veri Koruma Yönetmeliği kapsamındaki amaç sınırlama ilkesini güncellemektedir. Bu, büyük ölçüde mevcut Bilgi Komiserliği Ofisi [Information Commissioner’s Office] rehberi[8] ile uyumludur.
Ayrıca, kuruluşlar yeni bir amacın uyumlu olup olmadığını değerlendirirken, toplamanın bağlamı, orijinal ve yeni amaçlar arasındaki ilişki ve mevcut güvenlik önlemleri gibi faktörleri göz önünde bulundurmak zorundadır.
Şu anda Birleşik Krallık Genel Veri Koruma Yönetmeliği otomatik olarak uyumlu şeklinde kabul edilmesi gereken amaçları listelemektedir:
Kamu yararına arşivleme amaçları;
Bilimsel veya tarihi araştırma amaçları,
İstatistiksel amaçlar.
Yeni amaç yukarıdakilerden biri değilse bile, orijinal amaçla uyumlu olabilir; ancak uyumun belirlenmesi için yasal uyum değerlendirmesi yapılması gerekir.
Veri (Kullanım ve Erişim) Yasası artık uyumlu amaçların listesini genişletmektedir:
Kamu güvenliğinin korunması;
Acil bir duruma yanıt verilmesi;
Savunmasız bireylerin korunması;
Vergi toplanması,
Yasal yükümlülüklere uyulması.
Bu, denetleyicilerin bu yeni eklenen amaçlar doğrultusunda kişisel verileri işlerken yasal uyum değerlendirmesi yapmasına veya yeni onay almasına gerek olmadığı anlamına gelir.
1.4. Otomatik karar alma sistemindeki değişiklikler
Veri (Kullanım ve Erişim) Yasası kapsamındaki önemli gelişmelerden biri de, yalnızca otomatik karar almaya dayalı kararlardaki kısıtlamaların hafifletilmesidir. Bu, yapay zekâ sistemleri kullanan kuruluşlar için önemli bir değişimdir.
Şu anda, Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin 22(1) no.lu maddesi[9], veri sahiplerine, aşağıdakilerden biri geçerli olmadığı sürece, veri sahibi için yasal veya benzer şekilde önemli etkiler yaratan yalnızca otomatik işleme dayalı bir karara tabi olmama hakkı vermektedir:
Veri sahibi açıkça onay/rıza vermiştir.
Karar, veri sahibiyle bir sözleşme yapılması veya sözleşmenin ifası için gereklidir.
Karar kanun gereğince gereklidir veya yetkilendirilmiştir.
Veri (Kullanım ve Erişim) Yasası, yalnızca otomatik karar almaya dayalı kararlar üzerindeki bu genel kısıtlamayı gevşetmektedir. Bu, aşağıdaki istisnalara tabi olarak, kuruluşların, Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin 6. maddesinde belirtilen yasal dayanaklardan herhangi biri uyarınca kişisel verileri işlerken veri sahibi için yasal veya benzer şekilde önemli etkiler üreten otomatik karar almayı kullanabileceği anlamına gelir.
İki önemli istisna şunlardır:
Yukarıda belirtilen şartlardan biri karşılanmadığı takdirde, yalnızca otomatik karar almaya dayalı karar alınması yasağı, özel nitelikli kişisel verilerin işlendiği hallerde de geçerliliğini korumaktadır.
İşlemenin Veri (Kullanım ve Erişim) Yasası kapsamında tanıtılan yeni ‘tanınan meşru menfaat’ hukuki temeline dayanması halinde, yalnızca otomatik karar almaya dayalı karar alınması da yasaktır.
Güvenlik önlemlerinin alınması koşulu: Veri (Kullanım ve Erişim) Yasası, yalnızca otomatik karar almaya dayalı kararlara güvenildiğinde uygulanması gereken yasal güvenceler sunar. Bunlar, kararların nasıl alındığı konusunda şeffaflığı sağlamak için tasarlanmış önlemleri ve bireylerin bu kararlara itiraz etmelerine veya insan incelemesi talep etmelerine olanak tanıyan mekanizmaları içerir.
Bu değişiklikler, inovasyonu (özellikle yapay zekâ ve makine öğrenmesinde) bireysel hakları ve korumaları koruma ihtiyacıyla dengelemeyi amaçlamaktadır.
1.5. Veri sahibinin erişim hakkı ve şikâyet sürecindeki değişiklikler
Veri (Kullanım ve Erişim) Yasası, Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin 15. maddesi kapsamındaki veri sahibi erişim haklarında da önemli değişiklikler yapmaktadır.
Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin 15(1) no.lu maddesi[10] uyarınca, bireyler, kişisel verilerinin işlenip işlenmediğini bilme ve işleniyorsa bu verilere ve işleme amaçları veya bu verilerin alıcıları gibi ilave ayrıntılara erişme hakkına sahiptir.
Veri (Kullanım ve Erişim) Yasası bu hakkı, ‘makul ve orantılı arama’ eşiğini getirerek değiştirmektedir. Bu, veri sahiplerinin yalnızca denetleyicinin makul ve orantılı bir aramaya dayanarak sağlayabildiği ölçüde yukarıdaki bilgileri almaya hak kazanacağı anlamına gelir.
Bu yaklaşım, Bilgi Komiserliği Ofisi’nin mevcut rehberi[11] ile uyumludur ve Veri (Kullanım ve Erişim) Yasası artık kuruluşların aşırı talepleri reddetme veya sınırlama yeteneğini güçlendirmektedir. Bu, idari yükleri hafifletebilse de, sağlanan bilgilerin eksiksizliği konusunda endişelere yol açabilir ve potansiyel olarak şeffaflığı zayıflatabilir.
Yeni koşul: Şikâyetlerin doğrudan denetleyicilere iletilmesi
Veri (Kullanım ve Erişim) Yasası, bir diğer değişiklikle, veri sahiplerinin Bilgi Komiserliği Ofisi’ne başvurmadan önce şikâyetlerini doğrudan veri sorumlusuna iletmeleri koşulunu getirmektedir.
Veri sorumlularının artık şunları yapması gerekecektir:
Resmi bir şikâyet mekanizması uygulamak;
Şikâyetleri iletmek için erişilebilir araçlar sağlamak;
Şikâyetin alındığını 30 gün içinde teyit etmek,
Bireylerin haklarını nasıl kullanabileceklerine ilişkin açık talimatlar da dâhil olmak üzere bu değişikliği yansıtacak şekilde gizlilik bildirimlerini güncellemek.
Veri denetleyicileri için bu değişiklik hem bir uyum yükümlülüğünü hem de şikâyet işleme prosedürünü iyileştirerek güven oluşturma fırsatını temsil etmektedir. Bu yeni koşul hakkında ayrı bir yazı yayınlanacaktır.
1.6. Gizlilik ve Elektronik İletişim Yönetmeliği kapsamında artırılan para cezaları
Veri (Kullanım ve Erişim) Yasası, Gizlilik ve Elektronik İletişim Yönetmeliği kapsamındaki para cezası düzenlemesini Birleşik Krallık Genel Veri Koruma Yönetmeliği ile uyumlu hale getirerek Birleşik Krallık’taki veri uygulama alanında önemli bir değişime yol açmaktadır.
Daha önce, Gizlilik ve Elektronik İletişim Yönetmeliği ihlalleri (yasadışı doğrudan pazarlama gibi) Birleşik Krallık Genel Veri Koruma Yönetmeliği’ne göre önemli ölçüde daha düşük para cezalarına tabi tutuluyordu. Bu ayrım artık kaldırılmıştır.
Yeni düzenlemeye göre Gizlilik ve Elektronik İletişim Yönetmeliği ihlalleri için verilebilecek azami para cezaları şöyledir:
17,5 milyon pounda kadar veya
Bir organizasyonun yıllık küresel cirosunun yüzde 4’üne kadar, hangisi büyükse.
Bu genişletilmiş para cezası yetkilerinin, Gizlilik ve Elektronik İletişim Yönetmeliği uyumuna ilişkin düzenleyici incelemeyi artırması muhtemeldir.
1.7. ‘Komiser’den ‘Komisyon’a
Son olarak, Veri (Kullanım ve Erişim) Yasası ile getirilen önemli yapısal reformlardan biri de Bilgi Komiserliği’nin yeni bir yasal düzenleyici olan Bilgi Komisyonu ile değiştirilmesidir.
Daha önce, Birleşik Krallık’ın veri koruma rejimi Bilgi Komiseri liderliğindeki Bilgi Komiserliği Ofisi tarafından denetleniyor ve tüm resmi rehberlik, kararlar ve yaptırım eylemleri Komiser adına yayınlanıyordu.
Veri (Kullanım ve Erişim) Yasası şimdi bu bireyi kurumsal bir organla değiştirmektedir. Anılan Komisyon, Bilgi Komiserliği Ofisi’nin mevcut yetkilerini korumakta ancak örneğin artırılmış yetki kazanmaktadır:
Denetleyicilerden ve işlemcilerden işlevlerini yerine getirmek için ‘makul ölçüde gerekli’ belgeleri talep etme yetkisi (2018 tarihli Veri Koruma Yasası’nın 142. maddesinin[12] değiştirilmesi),
Soruşturmalarının veya düzenleyici görevlerinin bir parçası olarak denetleyiciler veya işlemcilerle görüşme yeteneği.
- Değişikliklerin Yürürlüğü
Şimdi yaklaşan değişikliklere hazırlanmaya başlamanın zamanıdır. Ancak, bu değişiklikler resmen yürürlüğe girene kadar bunlara dayanarak hiçbir işlem yapılmaması gerektiğini anlamak çok önemlidir. Şimdilik, meşru çıkar, amaç sınırlaması veya otomatik karar alma gibi mevcut kurallar değişmeden kalmaktadır.
Veri (Kullanım ve Erişim) Yasası hükümleri, çoğunlukla ikincil mevzuat aracılığıyla Haziran 2025 ile Haziran 2026 arasında kademeli olarak yürürlüğe girecek olup, bu konuda dikkat edilmesi gereken önemli dönüm noktaları şunlardır:
Haziran 2025: Konuya ilişkin erişim talepleri için yeni ‘makul ve orantılı arama’ eşiği de dâhil olmak üzere ilk değişiklik seti hâlihazırda yürürlüğe girmiştir.
Ağustos 2025: Bilgi Komiserinin, diğerlerinin yanı sıra, belge talep etme konusundaki yeni yetkileri yürürlüğe girecektir.
Haziran 2026’ya kadar: Kalan tüm hükümlerin yürürlüğe girmesi beklenmekte olup; kuruluşlar bu süre zarfında aşamalı uyum güncellemeleri planlamak zorundadır.
Bu arada, Bilgi Komiserliği Ofisi yeni düzenlemeleri yansıtacak bir rehber hazırlamaktadır.
[1] < https://www.legislation.gov.uk/ukpga/2025/18/contents/enacted >.
[2] < https://emlaw.co.uk/data-protection-update-data-use-and-access-bill/ >.
[3] < https://www.legislation.gov.uk/eur/2016/679/contents >.
[4] < https://www.legislation.gov.uk/ukpga/2018/12/contents >.
[5] < https://www.legislation.gov.uk/uksi/2003/2426/contents >.
[6] < https://emlaw.co.uk/what-is-a-legitimate-interest-under-the-uk-gdpr/ >.
[7] < https://www.legislation.gov.uk/eur/2016/679/article/6 >.
[8]<https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/data-protection-principles/a-guide-to-the-data-protection-principles/purpose-limitation/ >.
[9] < https://www.legislation.gov.uk/eur/2016/679/article/22 >.
[10] < https://www.legislation.gov.uk/eur/2016/679/article/15 >.
[11]<https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-rights/right-of-access/how-do-we-find-and-retrieve-the-relevant-information/ >.
[12] < https://www.legislation.gov.uk/ukpga/2018/12/section/142 >.
Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.