*Görsel, yazar tarafından yapay zekâ destekli bir araç kullanılarak üretilmiştir.
Mehmet Kipriksiz
Ankara Üniversitesi Sosyal Bilimler Enstitüsü Avrupa Birliği ve Uluslararası Ekonomik İlişkiler Anabilim Dalı Avrupa Birliği Hukuku Tezli Yüksek Lisans Programı Öğrencisi
GİRİŞ
Avrupa
Birliği Genel Veri Koruma Tüzüğü’nün (General
Data Protection Regulation (GDPR)) uygulanmasına ilişkin ek usul kuralları
belirleyen 2025/2518
sayılı Tüzük (Usul Tüzüğü) 26 Kasım 2025 tarihinde Avrupa Parlamentosu ve
Konsey tarafından kabul edilmiştir. Bu düzenlemeyle, Avrupa Birliği’nde (AB) veri
koruma hukuku, paylaşılan yetkiler çevresinde kalmasına rağmen, kısmen rekabet,
kısmen bankacılık hukuku gibi alanlara benzeyen ilginç bir idari uygulamaya
bürünmektedir. Bu çalışmada, Usul Tüzüğü’nün Birlik hukukunda ne şekilde
konumlanacağı ve pratikteki etkileri incelenmeye çalışılacaktır. Öncelikle Usul
Tüzüğü’nden önceki mevcut sistemden bahsedilecek, ardından Usul Tüzüğü’nün yeniliklerine
değinilecektir.
1. 2025/2518 Sayılı Tüzük’ten Öncesi
1.1. Genel Olarak
Uzun yıllar boyunca AB veri koruma hukuku, işlerliğini 95/46 sayılı Direktif
üzerinden sağlamıştır ve en temel hukuki meseleler, üye devlet mevzuatlarının
yakınlaştırılması ve kapasite düzeylerinin eşlenmesi olagelmiştir. 2016/679
sayılı Tüzük, namı diğer GDPR ise 27 Nisan 2016 tarihinde kabul edilmiş, AB
veri koruma hukuku sisteminde yeni bir paradigma değişimine sebep olmuştur.
Bilindiği üzere direktiflerde, AB ulaşılması istenen sonucu
ve asgari koşulları çizerken, üye devlet AB’nin çizdiği sınırlar doğrultusunda
ulusal mevzuatını inşa edip çeşitlendirir. Tüzükler ise her üye devlette
doğrudan uygulanabilir nitelikteki sui
generis düzenlemelerdir. Bu düzenlemeler, adeta üye devlet yasa koyucusu
tarafından çıkarılmış bir kanun gibi sonuç doğurmaktadır.[1]
Bu açıdan 20 yılı aşan Direktif uygulamasının ardından gelen
GDPR, bütünleşik bir uyum aracı olarak planlanmış, hem maddi hem usulî anlamda
dönemin gereklerine uygun kapsamlı bir reform getirmiştir.
1.2. Kurumsal Çerçeve
GDPR’nin getirdiği kurumsal yenilikler 3 başlık altında özetlenebilir:
Birincisi, Direktif döneminden kalan yumuşak güç WP29
yapılandırılmış, Avrupa Veri
Koruma Kurulu (European Data Protection
Board (EDPB) adıyla bağlayıcı kararlar alabilen bir AB organına
dönüştürülmüştür. İkincisi, Veri
Koruma Otoritelerinin (Data
Protection Authority (DPA)) tam teşekküllü idari uygulayıcılar haline
gelmesi için pek çok düzenleme ihdas edilmiş, otoriteler arası kapasite
düzeyleri büyük ölçüde eşlenmiştir. Üçüncüsü, yıllardır AB’nin DPA’sı olarak
faaliyet göstermekte olan Avrupa Veri
Koruma Denetçisi (European Data
Protection Supervisor (EDPS)), GDPR’a uyumlu çıkarılan 2018/1725 sayılı
Tüzük ile oldukça geniş yetkilere
kavuşmuş, yüksek kapasitesiyle nevi şahsına münhasır bir kuruluş haline
gelmiştir.
Yenilenen işbu kurumsal yapı şu şekilde gözlemlenebilir:
EDPB, ağırlıklı olarak koordinasyon sağlayıcı olarak
faaliyet göstermektedir. Kurul, selefi olan WP29’a benzer şekilde, DPA
temsilcileri ve EDPS temsilcisinden mürekkeptir.[2]
EDPB, kendi üyeleri arasından seçilen -primus
inter pares- bir Başkan ve iki Başkan Yardımcısı ile idare edilir ve kararlarını
ağırlıklı olarak salt çoğunlukla alır.[3]
Bu açıdan oldukça federal bir görünüme sahiptir. Ayrıca tüzel kişiliğe
sahiptir.[4]
Bu nedenle duruma göre davacı veya davalı olabilir, Kurul’a karşı tazminat
taleplerinde bulunulabilir.[5]
Bütün bu faaliyetleri yerine getirirken Kurul’un sekretarya hizmetleri ve
bütçesi ise EDPS’den sağlanır.[6]
EDPS, Birlik’in DPA’sı olarak AB Kurum, Organ, Ofis ve
Ajansları’nın veri işleme faaliyetlerinde münhasır olarak yetkilendirilmiş bir
AB organı olarak faaliyet göstermektedir. EDPS, geniş sekretaryasıyla çalışan tekil
bir denetçi tarafından yönetilir. İşbu Denetçi, bağımsızlığı şüphe götürmez
veri koruma uzmanları arasından seçilir ve Avrupa Parlamentosu ve Konsey’in
ortak mutabakatıyla atanır. EDPS, AB genel bütçesinde özerk bir bölüme sahiptir
ve Denetçi dış etkilerden uzak, bağımsız biçimde faaliyetlerini yürütür.[7]
DPA’lar ise kurulu oldukları üye devlet sınırları içerisinde
yetkilendirilmiş, ulusal uygulayıcılar olarak faaliyet göstermektedir. GDPR,
DPA’ların bağımsızlığına yönelik yeni denge mekanizmaları kurgulamış, bu
otoritelerin üye seçimlerini ve görev sürelerini güvence altına almış, bütçesel
özerklik gibi standartlar öngörmüştür.[8]
DPA’lar Tüzük ile geniş yetkilere de kavuşmuştur. Bütün DPA’lar, salt Tüzük
hükümlerine dayanarak, emir ve talimatlarda bulunup, işleme faaliyetlerine
yönelik yasaklar ihdas edebilir,[9]
ihlal tespitinde bulundukları teşebbüslere 20 milyon Avro’ya veya küresel
cirolarının %4’üne varan ağır para cezaları uygulayabilir hale gelmiştir.[10]
Bu sistemle DPA’lar arası kapasite farklılıkları gün geçtikçe azalmaktadır.
İşbu EDPB, EDPS ve DPA’lardan oluşan üçlü yapılanma, -iç
pazarı etkileyen mevzularda Komisyonun da katılımıyla- AB veri koruma hukukunun
idari uygulama boyutunu oluşturmaktadır. GDPR bu aktörleri deyim yerindeyse
kaslandırırken, yeni bir ulusüstü işleyişi de beraberinde getirmektedir.
1.3. Mevcut İdari Uygulama
AB, veri koruma hukukunu düzenlerken, Direktif döneminden bu
yana sürdürdüğü anlayışla, bir taraftan gerçek kişilerin temel haklarını
korurken, diğer yandan verilerin Birlik genelinde serbest dolaşımının
sağlanmasını da hedeflemektedir.[11]
İşbu ikili hedef, başlı başına bir iç pazar kurmanın gereğidir. Zira Birlik
içinde üye devlet uygulamaları arasındaki farklar, teşebbüslerin pazara en
rahat nüfus edebilecekleri uygulayıcıları tercih edebilmelerine imkân
tanımaktadır.
Bu çerçevede temel hakların muhafızları olan DPA’lar,[12]
GDPR ile geniş bir sorumluluk rejiminin parçası haline getirilmiş,[13]
çeşitli işbirliği araçlarıyla birbirine bağlanmıştır.[14]
Otoriteler yalnızca ulusal yetki alanlarındaki bireyleri korumakla kalmayıp, Birlik
menfaatini gözetme yükümlülüğünü de üstlenmişlerdir.[15]
Bunun en çarpıcı örneğini tek durak mekanizması (one stop shop) adıyla anılan sistem oluşturmaktadır. Bireyler, işbu
sistem vasıtasıyla haklarını diledikleri otoriteye başvurarak kullanabilecek, teşebbüsler
Birlik genelinde tek bir otoriteyle muhatap olacak, bu yolla uygulama birörnek
yürütülebilecek, hukuki belirlilik sağlanacaktır.
Sistemin işleyişi şu şekilde özetlenebilir: Uyuşmazlıkla
ilgili otoritelerden birinin baş denetim otoritesi (lead supervisory authority (LSA)) olarak seçilmesi (i), LSA’nın
ulusal usul kurallarını dikkate alarak ve gerektiğinde ilgili diğer otoritelere
de (concerned supervisory authority (CSA))
danışarak incelemeyi yürütmesi ve bir taslak karar hazırlaması (ii), eldeki
kararın CSA’lara sunulması ve fikir birliğine varılarak uyuşmazlığın çözülmeye
çalışılması (iii).[16]
GDPR işbu DPA’lar arası uyuşmazlıkların çözümünü ise EDPB
üzerinden kurgulamıştır. Bu doğrultuda EDPB, CSA’nın LSA’nın taslak kararına
itiraz etmesi ve anlaşmaya varılamaması durumunda, LSA’nın belirlenemediği
durumda ve tutarlılık mekanizmasına aykırılık durumunda bağlayıcı karar almak
zorunda tutulmuş, ilgili DPA’nın işbu kararın kendisine bildirilmesini takiben
1 ay içerisinde ve gecikmeksizin nihai kararını vermesi gerektiği
düzenlenmiştir.[17] İşbu
bağlayıcı güç, EDPB’ye uyuşmazlık çözücü bir işlev yüklemiştir.
GDPR’de genel DPA kararlarına itiraz yeri DPA’nın bulunduğu
üye devlet mahkemeleri olarak düzenlenmiştir.[18]
EDPB’nin bağlayıcı kararlarına itiraz yeri ise ABAD olmaktadır. DPA’lar ilgili
kararı takiben 2 ay içerisinde kararın iptalini talep edebilecek, yine bir
Kurul kararı, herhangi bir gerçek veya tüzel kişiyi doğrudan ve bireysel olarak
ilgilendiriyorsa, ABİHA’nın 263. maddesi doğrultusunda o kişi de bir iptal
davası açabilecektir.[19]
Ancak kâğıt üzerinde bu şekilde kurgulanan sistem, ne yazık ki arzulanan
biçimde ilerleyememektedir.
1.4. Uygulamadaki Sorunlar
GDPR dönemi sorunlarının başında kapasite sorunları, ulusal
yaklaşım farklılıkları ve tek durak mekanizması gelmektedir. Bu noktada en
büyük tartışmalar İrlanda DPA’sı çevresinde gerçekleşmektedir. Zira pek çok
küresel teknoloji firmasının AB faaliyet merkezi İrlanda’da bulunmakta, bu
nedenle İrlanda DPA’sı pek çok uyuşmazlıkta LSA olarak karar verici konumuna
gelmektedir. İrlanda hukuku ise Anglosakson sistemine olan yakınlığıyla, genel
olarak kıta Avrupası yaklaşımından ayrışmakta, bu doğrultuda zaten Almanya,
Fransa gibi ülkelerin DPA’larına kıyasla daha müsamahakâr olan Otorite, bir de
oluşan yoğun iş yükü nedeniyle kapasite yetersizliği içerisine girmekte, etkili
bir idari uygulama sergileyememektedir. Nitekim 2021 yılında İrlanda Sivil
Özgürlükler Konseyi (Irish Council for
Civil Liberties (ICCL)) tarafından yayımlanan bir rapor, İrlanda otoritesinin
2018-2021 yılları arasında AB çapında önemi haiz toplam 164 uyuşmazlıkta LSA
olarak yer aldığını, bu uyuşmazlıkların %98’ini nihayete erdiremediğini çarpıcı
biçimde göstermektedir.[20]
Bir diğer sorun, idari açıdan şikâyetlerin/soruşturmaların
ele alınış biçimi olagelmektedir. Zira yetersiz bilgi sağlandığı gerekçesiyle
reddedilen bir şikâyet, bir diğer otoritede kabul edilebilmekte, şikâyetçilere
verilen haklar otoriteden otoriteye değişiklik gösterebilmektedir. Dahası
soruşturma altındaki tarafların hakları, ulusal usul hukuku kuralları
doğrultusunda çeşitlenmekte, tarafların dosyaya ne zaman, ne şekilde ve ne
ölçüde erişeceği belirsizlik göstermektedir.[21]
Yargısal açıdan ise her ne kadar gerçek veya tüzel kişilerin
belirli şartlar altında EDPB kararlarını iptal davasına konu edebilmesi mümkün
gibi gözükse de uygulamada bu yollar oldukça güçtür. Özellikle ABİHA md.
263 kriterleri olan doğrudan ve bireysel ilgililik, veri ihlallerinin doğal
yapısı gereği, mağdurlar açısından neredeyse hiçbir olayda sağlanamamakta,
dahası teşebbüslerce açılan bazı davalar da EDPB’nin kararlarının üzerine nihai
kararı verenin ilgili DPA olmasından bahisle, kabul edilemez bulunmaktadır.[22]
Dolayısıyla uygulamada ulusal mahkemeler tarafından ön karar prosedürünün
işletilmesi, daha standart bir işlerlik göstermektedir. Ancak bu noktada ilgili
DPA kararlarına itiraz yerinin, otoritenin bulunduğu üye devlet mahkemeleri
olması, sınır ötesi bireysel davacıların, bilmedikleri usul hukuku kurallarına
tabi olmasına, dil bariyerlerine ve dolayısıyla yüksek maliyetlere ve hak
kayıplarına sebep olmaktadır.
İşbu dağınık ve iyi işlemeyen hukuki çerçevede reforma
gidilmiş, GDPR’nin uygulanmasına ilişkin ek usul kuralları belirleyen 2025/2518
sayılı Tüzük getirilmiştir.
2. 2025/2518 sayılı Tüzük’ten Sonrası
2.1. Genel Olarak
Usul Tüzüğü, ABİHA’nın
16. maddesine dayanarak olağan yasama usulüyle kabul edilmiş, 12 Aralık
2025 tarihinde AB Resmi Gazetesinde yayımlanmıştır. 1 Ocak 2026 tarihinde
yürürlüğe giren Tüzük, uygulama için ise 15 aylık bir hazırlık süresi
öngörmüştür.[23] Tüzük,
37 maddeden ve 68 dibaceden müteşekkildir, oldukça detaylıdır. Kapsama alanı ise
sınır ötesi işleme faaliyetleriyle sınırlandırılmıştır.[24]
Tüzük, Avrupa Ekonomik Alanı genelinde geçerli olacak, 2 Nisan 2027 tarihinden
itibaren bütün hükümleriyle uygulanacaktır.
2.2. Usul Tüzüğü’nün Yenilikleri
Usul Tüzüğü’nün getirdikleri 4 başlık altında özetlenebilir:
Şikâyet süreçlerinin yeknesaklaştırılması (i), soruşturmalardaki usulî hakların
garanti altına alınması (ii), işbirliğinde usul bütünlüğünün sağlanması ve bağlayıcı
sürelerin getirilmesi (iii) ve uyuşmazlık çözümü mekanizmasının netleştirilmesi
(iv).
Tüzük öncelikle, şikâyetlerin kabul edilebilirlik
kriterlerini, şikâyetçinin adı ve iletişim bilgileri, Sivil Toplum Kuruluşları
(STK) için kuruluş belgesi ve temsil yetkisi, şikâyet edilenin kimliği ve
ihlalin tanımı şeklinde tahdidi olarak belirlemiş, DPA’ların uyması gereken
süreleri ve prosedürü de kesinleştirmiştir.[25]
Ardından DPA’ların, kendisine gelen bu şikâyetlerin sınır ötesi nitelik taşıyıp
taşımadığını ve ilgili LSA’nın belirlenmesini, ön sorun olarak incelemesini ve
gerektiğinde erken çözüm (early resolution)
mekanizmasını devreye sokmasını düzenlemiştir.[26]
Bu mekanizmayla eğer ihlal giderilip şikâyet konusuz kalırsa, otoritenin
dosyayı hızlıca kapatabilmesi sağlanmaktadır.
Daha sonra her DPA’nın, bir diğer DPA ile işbirliği
içerisindeyken hangi bilgileri paylaşmaları gerektiği Tüzük’le belirlenmiş,[27]
LSA’ya, önemli konuların özetini (summary
of key issues) hazırlayıp ilgili DPA’ya iletmesi sorumluluğu yüklenmiştir.
Bu özet; soruşturmanın kapsamını, ilgili temel olguları, maddi ve hukuki sorunların
tespitini, tarafların görüşlerinin analizini ve uygulanması muhtemel
yaptırımları içerecektir. İlgili DPA’lara kendisine bildirilen özete
görüşlerini bildirmesi için 4 hafta süre verilmiş olup sessizlik zımni kabul
sayılmaktadır.[28] Bu
şekilde otoriteler arası fikir ayrılıklarının erkenden tespitinin sağlanması
amaçlanmaktadır.
Bu prosedürün ardından LSA, karar taslağını sunmayı
arzuluyorsa, bir ön bulgular (preliminary
findings) dokümanı hazırlayacaktır. Bu doküman önce ilgili DPA’ların
görüşlerine sunulacak, ardından soruşturma altındaki taraflara iletilecektir.
Bu bildirim anından itibaren soruşturma altındaki tarafların dosyaya erişim
hakkı söz konusu olacak, 3 ila 6 haftalık bir süre kısıtı içerisinde soruşturma
altındaki taraf, yazılı veya sözlü biçimde görüşlerini sunabilecektir.[29]
LSA taslak kararını yalnızca işbu prosedüre dâhil olgulara dayandırabilecek, bu
sistemle soruşturmalar daha öngörülebilir biçimde sonuçlandırılabilecektir.
Bu standart işleyişin yanı sıra Usul Tüzüğü, kararların
değerlendirilmesinde daha hızlı, basit işbirliği prosedürü (simple cooperation procedure) olarak anılan
bir mekanizmayı da duyurmuştur. Sistem, vakanın tartışmasız şekilde ortaya
konulabildiği konularda ve/veya EDPB kararlarıyla daha önceleri üzerinde
mutabakata varılmış konularda uygulanacak bir istisna olarak kurgulanmıştır.
Basit işbirliği prosedürünü uygulamak isteyen DPA, bunu duyuracak, eğer diğer
otoritelerce itiraz gelmezse somut uyuşmazlık hızlı biçimde sonuçlandırılacak, yaptırımlar
seri şekilde gerçekleştirilecektir.[30]
Bu uygulama muhtemelen EDPB kararlarının yapısını da etkileyecek, EDPB kararlarının
sürekli takip edilen bir içtihat havuzu oluşturmasına neden olacaktır.
Usul Tüzüğü tarafların erişebileceği bilgilerin bulunduğu
dosya ile otoriteler arasındaki işbirliğinin sağlandığı dosya arasında da
ayrıma gitmiş, iş birliği dosyası (cooperation
file) ve idari dosya (administrative
file) şeklinde ikili bir sistem kurgulamıştır. Dahası dosyaya giren ticari
bilgilerin gizliliğinin yalnızca tek bir DPA tarafından kabul edilmesiyle bile
bütün otoriteler için sonuç doğurması sağlanmıştır.[31]
Bu yenilik, teşebbüslerin ticari sır endişeleri açısından sağlıklı bir gelişme
olmuştur.
Son olarak Tüzük, uyuşmazlık çözümü prosedürünü de
geliştirmiştir. LSA’nın hazırladığı taslak karara gelen ilgili ve gerekçeli
itirazlar üzerine 3 ay içerisinde ya revize edilmiş bir taslak karar hazırlayacağı
ya da konuyu EDPB’ye havale edeceği düzenlenmiş, havale edilen dosyanın hangi
bilgileri içereceği sıralanmıştır. Dahası EDPB’nin gelen dosyayı ön incelemeden
geçireceği ve yeni olgulara dayandığı takdirde soruşturma altındaki taraflara
savunma hakkı tanıyacağı da belirtilmiştir.[32]
Bu şekilde dosyanın EDPB’ye karar vermeye hazır şekilde iletilmesinin
sağlanması ve adil yargılanma hakkının korunması amaçlanmıştır.
SONUÇ
AB hukukunda DPA’lar, bir zamanlar yalnızca bildirim alan ve
tavsiye veren bağlı/bağımlı kurumlarken, günümüzde soruşturmalar yürütüp,
baskınlar düzenleyen ve devasa para cezaları kesen bağımsız idari uygulayıcılara
dönüşmüştür. Dahası AB, kurmuş olduğu sistemde, bu bağımsız yapılanmaları, bir
şekilde uzlaşı ve işbirliği mekanizmalarıyla yeknesak hareket etmeye
zorlamakta, kimi zaman yumuşak hukuk, kimi zaman sert hukuk araçlarıyla süreci
idare etmektedir.
Bu noktada ulusal çıkarlar, Birlik yaklaşımıyla uyuşmayabilmekte,
hem siyasi hem ilkesel çatışma alanları gözlemlenebilmektedir. Bir yanda Birlik
uygulamasındaki idari özerklik kavramı ve veri koruma hukukunun bağımsız idari
otorite esası, diğer yanda Birlik hukukunun denkliği ve etkililiği ilkeleri yer
almaktadır.[33] Şimdilik
2025/2518 sayılı Tüzük ile terazinin Birlik tarafına eğildiği, uyumlaştırma
doğrultusundaki düzenlemelerin ağır bastığı söylenebilir.
Usul Tüzüğü, Birlik rekabet hukuku uygulamasından alışık
olduğumuz sözlü savunma benzeri idari prosedürlerin veri koruma hukukuna da
kısmi entegrasyonunu içermektedir. Bu düzenlemeler GDPR cezalandırma rejimine
daha hukuki bir çerçeve kazandırabilir. Dahası kısa ve bağlayıcı süreler, yeni
itiraz prosedürleriyle birlikte değerlendirildiğinde, teşebbüsleri bekle ve gör
stratejisinden uzaklaştırıp, daha sıkı, sistematik bir yaklaşıma da itecektir.
Bu gelişmelerin dijital değişiklikler paketi (EU digital omnibus) tartışmaları da
süregelirken AB’nin veri koruma hukukuna yönelik hak temelli yaklaşımını nasıl
etkileyeceği ise merak konusudur. Bu belirsiz geçiş dönemi muhtemelen ABAD’a
taşınacak itirazlar ve ilk EDPB kararlarıyla şekillenecektir. En doğrusu 2
Nisan 2027’yi beklemek olacaktır.
Bu yazıya atıf için: Mehmet Kipriksiz, “Sessiz bir İdari Bütünleşme Örneği: Avrupa Birliği Veri Koruma Hukukunda 2025/2518 sayılı Tüzük”, Yaşayan Avrupa Birliği Hukuku Blogu, 3/2/2026, Link: <https://yasayanabhukuku.blogspot.com/2026/02/blog-post.html>
Bu yazıyı faydalı buldunuz mu? Hiç bir içeriği kaçırmayın bizi takip edin.
[1] Bkz. ABİHA md. 288.
[2] 2016/679 sayılı Tüzük md. 68 (3).
[3] 2016/679 sayılı Tüzük md. 72; 73.
[4] 2016/679 sayılı Tüzük md. 68 (1).
[5] Bkz. ABİHA md. 268; 340.
[6] 2016/679 sayılı Tüzük md. 75.
[7] 2018/1725 sayılı Tüzük md. 53; 54; 55.
[8] 2016/679 sayılı Tüzük md. 52 (4); (6); 54.
[9] 2016/679 sayılı Tüzük md. 58.
[10] 2016/679 sayılı Tüzük md. 83.
[11] Bkz. 2016/679 sayılı Tüzük md. 1; Dibace (6); (10).
[12] Judgment of the Court (Grand Chamber) of 9 March
2010, Commission v Germany, C-518/07, EU:C:2010:125, para. 23.
[13] Bkz. 2016/679 sayılı Tüzük md. 57.
[14] 2016/679 sayılı Tüzük md. 63.
[15] 2016/679 sayılı Tüzük md. 51 (2).
[16] Bkz. 2016/679 sayılı Tüzük md. 60- 62. Ayrıca LSA’nin
belirlenmesine ilişkin bkz. 2016/679 sayılı Tüzük md. 4 (16); 56.
[17] 2016/679 sayılı Tüzük md. 65.
[18] 2016/679 sayılı Tüzük md. 78 (3).
[19] 2016/679 sayılı Tüzük Dibace (143).
[20] İrlanda DPA’sı bu süreçte yalnızca 4 adet taslak
kararını EDPB’ye iletebilmiştir. Bkz. Irish Council for Civil Liberties,
“Europe’s enforcement paralysis: ICCL’s 2021 report on the enforcement capacity
of data protection authorities”, (2021), s. 5.
[21] Konuya ilişkin olarak Komisyon taslağı incelenebilir.
Bkz. Proposal for a Regulation of The European Parliament and of The Council laying
down additional procedural rules relating to the enforcement of Regulation (EU)
2016/679 (COM/2023/348 final).
[22] Bkz. Opinion of Advocate General, WhatsApp Ireland v EDPB, C-97/23 P, EU:C:2025:210, paras. 31-34.
[23] Bkz. 2025/2518 sayılı Tüzük Dibace (67); md. 36-37.
[24] 2025/2518 sayılı Tüzük md. 1.
[25] 2025/2518 sayılı Tüzük md. 4.
[26] Bkz. 2025/2518 sayılı Tüzük md. 5.
[27] 2025/2518 sayılı Tüzük md. 9.
[28] 2025/2518 sayılı Tüzük md. 10.
[29] Bkz. 2025/2518 sayılı Tüzük md. 19.
[30] Bkz. 2025/2518 sayılı Tüzük md. 6.
[31] Bkz. 2025/2518 sayılı Tüzük md. 24; 25; 26.
[32] Bkz. 2025/2518 sayılı Tüzük md. 27-30.
[33] Bkz. Judgment of the Court of 16 December 1976, REWE, Case 33-76, EU:C:1976:188, para. 5; Judgment of the Court of 16
December 1976, Comet BV, Case 45-76, EU:C:1976:191, paras.
13-16.
