Anne Frank Davası: Hukuk Sözcüsü Rantos’un 15 Ocak 2026 tarihli Görüşüne İlişkin Değerlendirme

 

Fotoğraf: Eser Sahibi: Heather Cowper / wikimedia commons

 

                                                         Dr. Fatmanur Cebeci Çorum

Dr. Öğretim Görevlisi,

Ankara Yıldırım Beyazıt Üniversitesi Hukuk Fakültesi,

Bilişim Hukuku Anabilim Dalı

                                                                       

1. Giriş

Coğrafi engellemeler (Avrupa Birliği (AB) hukukunda teknik olarak kullanıldığı adıyla ‘geo-blocking’), son yıllarda AB’de oldukça tartışılan bir kavram olmuştur. Dijital Tek Pazar Stratejisi’nin benimsenmesi ile 2015 yılından bu yana tartışılan coğrafi engellemeler, kullanıcının konumuna bağlı olarak internet üzerindeki dijital bir ürüne erişimi engelleyen her türlü yöntem olarak tanımlanabilir.[1] Avrupa Birliği Adalet Divanı (ABAD) Hukuk Sözcüsü Szpunar, Google v. CNIL davasındaki görüşünde coğrafi engellemeyi, kullanıcının coğrafi konumuna bağlı olarak internette ürüne erişimi sınırlayan bir teknik olarak tanımlamıştır.[2] Avrupa Birliği, 2018 yılında Haksız Coğrafi Engellemeler Tüzüğü’nü kabul etmiş ve nihayetinde coğrafi engellemeler de yasal bir zemine oturtulmuştur.

Bununla birlikte, coğrafi engellemeler ve bununla ilişkili telif hakkı problemleri ABAD’ın gündemine gelmeye başlamıştır. Bu kapsamda ilk kez Temmuz 2021’de, ABAD’dan, Telif Hakkı Direktifi’nin 3. maddesi uyarınca[3] ‘kamuya iletim’ kavramının, içerik sağlayıcıları tarafından etkili coğrafi engelleme tedbirleri uygulanmış olmasına rağmen bu tedbirlerin aşılması hâlinde nasıl yorumlanması gerektiğini açıklığa kavuşturması istenmiştir; bu talep Grand Production v GO4YU davası kapsamında gündeme gelmiştir. Bu doğrultuda Hukuk Sözcüsü Szpunar görüşünü de yayımlamıştır. Ancak Ocak 2023’te Avusturya Yüksek Mahkemesi (Supreme Court of Austria) ön karar talebini geri çektiğini ABAD’a bildirmiştir. ABAD da, bu nedenle, mevcut davanın kaydının sicilinden silinmesine karar vermiştir.

Aynı doğrultuda, 14 Kasım 2024 tarihinde Hollanda Yüksek Mahkemesi de Anne Frank davası için ön karar usulü kapsamında ABAD’a başvurduğunu açıklamıştır. Bu blog yazısı, bu davanın arka planını açıklamayı ve bu dava kapsamında Hukuk Sözcüsü Rantos’un görüşünü değerlendirmeyi amaçlamaktadır.

2. Anne Frank Davası’nın Arka Planı

Anne Frank’ın günlüğü, Anne Frank ile ailesinin bazı üyelerinin önce Auschwitz’e, ardından da Nazi Almanyası’nın Bergen-Belsen toplama kampına gönderilmeleriyle başlayan ve yaklaşık iki yıl süren süreci konu alan kişisel notlardan oluşmaktadır. Anne Frank’in vefatının ardından günlükler, aileden hayatta kalan tek kişi olan babası Otto Frank’e intikal etmiştir. Otto Frank de ölümünden önce söz konusu eserin mali haklarını Anne Frank Fonds’a devretmiştir.[4]

Günlük üzerindeki telif hakkı koruma süresi, 2016 yılı itibarıyla Belçika dâhil birçok ülkede sona ermiş; bu ülkelerde eser kamu malı (public domain) statüsüne girmiştir. Buna karşılık Hollanda’da telif hakkı koruma süresi 2037 yılına kadar devam etmektedir.[5]

Somut olayda, Anne Frank Fonds (davacı), Anne Frank Foundation ve Royal Netherlands Academy of Arts and Sciences ile birlikte Association for Research and Access to Historical Texts (bundan sonra ‘Association’ olarak anılacaktır) aleyhine dava açmıştır. Association, Hollanda’da hâlen telif hakkı koruması altında bulunan Anne Frank günlüğünün bazı versiyonlarını içeren bilimsel bir edisyonunu, www.annefrankmanuscripten.org adresli internet sitesinde Hollandaca olarak yayımlamıştır.[6]

Davaya konu internet sitesinde, Hollanda’da telif hakkı koruması devam eden metin versiyonları da yer almaktadır. Bununla birlikte davalılar iki teknik önlem uygulamıştır. İlk olarak, bir coğrafi engelleme sistemi kurularak siteye yalnızca eserin kamu malı statüsünde bulunduğu ülkelerden erişim sağlanması mümkün kılınmıştır. İkinci olarak ise siteye kamu malı statüsündeki ülkelerden erişim sağlandığında, kullanıcılardan siteye bu ülkelerden eriştiklerini teyit etmeleri istenmiştir.[7]

Davacı Anne Frank Fonds, telif hakkıyla korunan belgelerin basit bir VPN (Virtual Private Network) aracılığıyla Hollanda’dan çevrimiçi olarak erişilebilir olması nedeniyle davalıların telif hakkını ihlal ettiğini ileri sürmüş ve ihtiyati tedbir talebiyle Amsterdam Bölge Mahkemesi’nde dava açmıştır.[8] Davalılar ise, herhangi bir telif hakkı ihlalini önlemeye yönelik etkili koruma tedbirleri aldıklarını savunmuştur.[9]

Hollanda mahkemesi, Anne Frank’in eserine ilişkin telif hakkı ihlali iddiasını reddetmiştir. Mahkeme, hiçbir teknik önlemin mutlak surette kusursuz olmadığını; erişimin ülkesel temelde sınırlandırılması bakımından coğrafi engelleme dışında daha etkili bir yöntem bulunmadığını değerlendirmiştir. Ayrıca Amazon, Netflix ve Disney gibi büyük dijital platformların da telif hakkıyla korunan içeriklere erişimi sınırlandırmak istediklerinde coğrafi engelleme yöntemine başvurduklarına işaret edilmiştir. Mahkeme, davalıların internet sitesine Hollanda’dan erişimi engellemek veya en azından ciddi biçimde zorlaştırmak ve caydırmak için makul ölçüde mümkün olan tüm tedbirleri aldıkları sonucuna varmıştır. Bu nedenle eserlerin Hollanda’da kamuya iletilmediği kabul edilmiş ve bir telif hakkı ihlali bulunmadığına hükmedilmiştir.[10] Aynı şekilde, Hollanda istinaf mahkemesi, asıl davadaki tüm davalıların internet sitesine Hollanda’dan erişimi engellemek veya en azından caydırmak amacıyla makul çaba gösterdikleri gerekçesiyle ihtiyati tedbir talebini reddetmiştir. Bunun üzerine asıl davadaki davacı, temyiz yoluna başvurmuştur. Bu koşullar altında, Hollanda Yüksek Mahkemesi (Hoge Raad der Nederlanden), yargılamayı durdurmaya ve aşağıdaki soruları ön karar usulü kapsamında yanıtlaması amacıyla ABAD’a göndermeye karar vermiştir:[11]

1.   İnternette yayımlanan bir eserin belirli bir ülkede ‘kamuya iletim’ sayılabilmesi için o ülke kamuoyuna özellikle yöneltilmiş olması gerekip gerekmediği,

2.   Coğrafi engelleme ile erişim engellenmiş olsa dahi, VPN gibi araçlarla engelin aşılabilmesi hâlinde engellenen ülkede yine de kamuya iletimden söz edilip edilemeyeceği ve bu değerlendirmede alınan teknik tedbirlerin yeterliliğinin önem taşıyıp taşımadığı,

3.   Engellemenin VPN aracılığıyla aşılması kamuya iletim teşkil ediyorsa, bu iletimin hukuken eseri internet ortamında yayımlayan kişiye atfedilip atfedilemeyeceği ve araya üçüncü bir hizmet sağlayıcının girmesinin sonucu değiştirip değiştirmeyeceği.

3. Hukuk Sözcüsü Rantos’un Görüşü

Bu soruların cevapları için, 15 Ocak 2026 tarihinde Hukuk Sözcüsü Rantos kendi görüşlerini yayınlamıştır. Hukuk Sözcüsü, birinci soru bakımından, Telif Hakkı Direktifi’nin 3(1). maddesinin, bir eserin internet sitesinde yayımlanmasının ilgili ülkede ‘kamuya iletim’ olarak nitelendirilebilmesi için o ülke kamuoyuna özel olarak yöneltilmiş olmasını zorunlu kılmadığı sonucuna varmıştır. Hukuk Sözcüsü Rantos, Szpunar’ın Grand Production davasındaki görüşüne açıkça atıf yaparak, hak sahibi tarafından coğrafi engelleme uygulanmışsa, korunan içeriğin, yalnızca erişimin engellenmediği ve hak sahibi tarafından belirlenen coğrafi bölgedeki kişilere yöneltilmiş sayılacağı ve bu nedenle diğer bölgelerde kamuya iletim gerçekleşmiş kabul edilmeyeceği görüşünü benimsemiştir.[12]

İkinci soruda ise Rantos, VPN gibi araçlarla coğrafi engellemenin aşılabilmesi hâlinde engellenen ülkede yine de kamuya iletimden söz edilip edilemeyeceği ve bu değerlendirmede alınan teknik tedbirlerin yeterliliğinin önem taşıyıp taşımadığı hususunu tartışmış ve bu noktada hiçbir güvenlik tedbirinin mutlak surette ihlal edilemez olmadığının altını çizmiştir.[13] Kullanıcıların coğrafi engelleme tedbirini aşmalarını mümkün kılan hukuka aykırı araç veya yöntemlerin kolaylığı, değerlendirmede dikkate alınması gereken unsurlardan biri olduğunu, ancak bununla birlikte, etkili ve güncel koruma tedbirleri uygulanmış olduğu sürece, davalıların üçüncü kişilerin hukuka aykırı fiillerinden sorumlu tutulmalarının mümkün olmadığını değerlendirmiştir. Bu çerçevede Rantos’a göre, telif hakkıyla korunan bir içeriğin yayımlandığı ve etkili bir coğrafi engelleme tedbirine tabi olan bir internet sitesi bakımından, söz konusu içeriğin koruma altında bulunduğu ülkede ‘kamuya iletim’ gerçekleştiği sonucuna varılamaz.

Son soru bakımından Rantos, coğrafi engelleme tedbirinin aşılması nedeniyle eserin engellenen ülkede internet üzerinden erişilebilir hâle gelmesinin kamuya iletim sonucunu doğurduğu varsayılsa dahi, esere erişimin engellendiği bir ülkedeki kullanıcının bu engeli aşmak amacıyla VPN veya benzeri hizmetlerden yararlanması hâlinde, ilgili hüküm uyarınca bu hizmet sağlayıcısının kullanıcının fiillerinden sorumlu tutulamayacağını, hizmet sağlayıcının korunan esere bu ülkede erişim sağlanması amacıyla söz konusu hukuka aykırı kullanımı aktif biçimde teşvik etmesi hâli dışında, belirtmiştir.[14]

4. Değerlendirme

Anne Frank davası, coğrafi engelleme tedbirlerine ilişkin olarak ABAD’ın yaklaşım ve değerlendirmelerinin ortaya konulması bakımından önem arz etmektedir. Zira daha önce Grand Production v GO4YU davasında, ön karar başvurusunda bulunan Avusturya Yüksek Mahkemesi talebini geri çekmiş ve bu nedenle ABAD’ın karar verme imkânı bulunmamıştı. Dolayısıyla, eğer esastan sonuçlanırsa, Anne Frank davası bu konuda ABAD’ın yaklaşımını göreceğimiz ilk dava olacaktır.

Anne Frank davası kapsamında Hukuk Sözcüsü Rantos’un görüşü önemli bazı noktalar içermektedir. İlk olarak, Rantos’a göre bir ‘kamuya iletim’ fiilinin varlığı için, söz konusu yayının belirsiz sayıda kişiye, daha önce erişim imkânına sahip olmadıkları korunan belgelere erişme olanağını sunmuş olması yeterlidir. Bu kişilerin fiilen erişim sağlamış olup olmamaları ya da yayının belirli bir kamu kitlesine özellikle yöneltilmiş bulunup bulunmaması belirleyici değildir.[15] Bu çerçevede, bir fiilin ‘kamuya iletim’ olarak nitelendirilebilmesi bakımından erişilebilirlik ölçütünün esas alınmasının, coğrafi engelleme bağlamında daha önceki tek görüşü bildirmiş olan Hukuk Görüşü Szpunar’ın yaklaşımıyla paralellik arz ettiği belirtilmelidir.[16]

İkinci bir husus ise, Hukuk Sözcüsü Szpunar’ın Grand Production v GO4YU davasındaki görüşünde sınırlı kalan VPN değerlendirmelerinin, Hukuk Sözcüsü Rantos’un görüşünde de benzer şekilde dar bir çerçevede ele alınmış olmasıdır. VPN sağlayıcısının sorumluluğu bakımından Rantos, erişimin engellendiği ülkedeki bir kullanıcının coğrafi engeli aşmak amacıyla VPN veya benzeri hizmetlerden yararlanması hâlinde, hizmet sağlayıcısının bu ülkede korunan esere erişim sağlanmasına yönelik hukuka aykırı kullanımı aktif biçimde teşvik etmemesi durumunda, kullanıcının fiillerinden dolayı sorumlu tutulamayacağı yönünde bir değerlendirme ile yetinmiştir.[17]

Bununla birlikte, söz konusu Görüş’te dikkat çekici bir diğer husus, meselenin insan hakları ve ifade özgürlüğü perspektifinden kısmen de olsa ele alınmış olması ve Rantos’un çeşitli noktalarda bu boyuta açıkça atıf yapmış bulunmasıdır. Bu çerçevede Görüş, Telif Hakkı Direktifi’nin 3(1). maddesinin yorumunda yalnızca hak sahibinin münhasır yetkisine değil, aynı zamanda bilgiye erişim özgürlüğüne de ağırlık verilmesi gerektiğini, burada bir adil denge kurulması gerektiğini ortaya koymaktadır.[18] Özellikle davacı, eserin tamamen yayımlanmamasını veya korunan belgelerin yalnızca kısmen erişime açılmasını; ayrıca kütüphane bilgisayar terminallerine benzer sınırlı bir erişim modeli ya da kullanıcı adı ve şifre ile korunan abonelik esaslı bir erişim sistemi uygulanmasını önermiştir. Rantos, bu kapalı erişim modellerinin, telif korumasını güçlendirmekle birlikte, kamu malı statüsündeki ülkelerdeki kullanıcıların bilgiye erişimini ciddi biçimde sınırlandıracağını değerlendirmiştir.[19] Bu değerlendirmeler ifade özgürlüğü ve telif hakkı arasındaki çekişmenin ABAD tarafından da detaylı bir incelemeye tabi tutulmasını sağlayabileceği için son derece kıymetlidir.

Son olarak belirtmek gerekir ki, Hukuk Sözcüsü görüşleri bağlayıcı nitelikte değildir; dolayısıyla ABAD, nihai kararında farklı bir sonuca ulaşabilir. Bununla birlikte, ABAD’ın bu meselede esastan bir karar vererek, özellikle VPN sağlayıcıları ile kullanıcılarının sorumluluğu ve temel hak ve özgürlükler bağlamında telif hakkı ile ifade ve bilgi özgürlüğü arasındaki adil dengeye ilişkin daha ayrıntılı bir değerlendirme ortaya koyması tarafımızca temenni edilmektedir.

Bu yazıya atıf için: Fatmanur Cebeci Çorum, “Anne Frank Davası: Hukuk Sözcüsü Rantos’un 15 Ocak 2026 tarihli Görüşüne İlişkin Değerlendirme”, Yaşayan Avrupa Birliği Hukuku Blogu, 2/3/2026, Link: <https://yasayanabhukuku.blogspot.com/2026/03/AG-in-C-788-24.html>

Bu yazıyı faydalı buldunuz mu? Hiç bir içeriği kaçırmayın bizi takip edin.

---

[1] Trimble, Marketa (2017) “The Role of Geoblocking in the Internet Legal Landscape” IDP, Revista de Internet, Derecho y Política S. 33, ss. 45-58, s. 46.

[2] Opinion of Advocate General Szpunar in Case C-507/17 Google LLC v Commission nationale de l’informatique et des libertés (CNIL) ECLI:EU:C:2019:15, par. 71. Daha fazla tanım için bkz: Cebeci Çorum, Fatmanur. 2025. “‘Bu İçeriğe Bulunduğunuz Konumda Erişilemiyor’: İnternet Ortamında Yapılan Coğrafi Engellemelerin AB Hukukunda Yansımaları”. Yıldırım Beyazıt Hukuk Dergisi, sy 1: ss 192-194. https://doi.org/10.33432/ybuhukuk.1570016.

[3] Telif Hakkı Direktifi 3. maddesi, eserlerin umuma iletimi hakkı ve diğer konuların kamunun erişimine sunulması hakkını düzenlemektedir. 1. fıkrası Türkçe’ye şu şekilde çevrilebilir: Üye devletler, eser sahiplerine, eserlerini, bireylerin kendi seçtikleri yer ve zamanda erişimlerine sunulmasını da içeren, telli veya telsiz araçlarla umuma her türlü iletimine izin verme ve yasaklama münhasır haklarını sağlar.

[4] Stef van Gompel, (2025) ‘Geo-Blocking Measures and the Online Publication of Anne Frank’s Diaries’, GRUR International 74(8): ss. 705–706, https://doi.org/10.1093/grurint/ikaf077.

[5] Opinion of Advocate General Rantos in Case C-788/24 Anne Frank Fonds v Anne Frank Stichting, Koninklijke Nederlandse Akademie van Wetenschappen, Vereniging voor Onderzoek en Ontsluiting van Historische Teksten ECLI:EU:C:2026:12 (bundan sonra “Hukuk Sözcüsü Görüşü” olarak anılacaktır), par. 8.

[6] Hukuk Sözcüsü Görüşü par. 9.

[7] Hukuk Sözcüsü Görüşü par. 9.

[8] Hukuk Sözcüsü Görüşü par. 10.

[9] Hukuk Sözcüsü Görüşü par. 10.

[10] Jan Jacobi, ‘Dutch court rejects copyright infringement claim on Anne Frank’s works due to geoblocking’ (IPKat, 10 February 2022) <https://ipkitten.blogspot.com/2022/02/dutch-court-rejects-copyright.html> son erişim 23 Şubat 2026.

[11] Hukuk Sözcüsü Görüşü par. 12.

[12] Hukuk Sözcüsü Görüşü par. 30.

[13] Hukuk Sözcüsü Görüşü par. 31, aynı doğrultuda Opinion of Advocate General Szpunar in Case C‑423/21 Grand Production d.o.o. v GO4YU GmbH and Others ECLI:EU:C:2022:818, par 2.

[14] Hukuk Sözcüsü Görüşü par. 43-48.

[15] Hukuk Sözcüsü Görüşü par. 23.

[16] Opinion of Advocate General Szpunar in Case C‑423/21 Grand Production d.o.o. v GO4YU GmbH and Others ECLI:EU:C:2022:818, par. 33. Aynı doğrultuda, bakınız https://ipkitten.blogspot.com/2026/02/how-anne-frank-will-also-have-say-on.html son erişim 23 Şubat 2026.

[17] Hukuk Sözcüsü Görüşü par. 46.

[18] Hukuk Sözcüsü Görüşü par. 26, 27 ve 41.

[19] Hukuk Sözcüsü Görüşü par. 41.

Sessiz bir İdari Bütünleşme Örneği: Avrupa Birliği Veri Koruma Hukukunda 2025/2518 sayılı Tüzük

 

*Görsel, yazar tarafından yapay zekâ destekli bir araç kullanılarak üretilmiştir.

Mehmet Kipriksiz

Ankara Üniversitesi Sosyal Bilimler Enstitüsü Avrupa Birliği ve Uluslararası Ekonomik İlişkiler Anabilim Dalı Avrupa Birliği Hukuku Tezli Yüksek Lisans Programı Öğrencisi

GİRİŞ

Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (General Data Protection Regulation (GDPR)) uygulanmasına ilişkin ek usul kuralları belirleyen 2025/2518 sayılı Tüzük (Usul Tüzüğü) 26 Kasım 2025 tarihinde Avrupa Parlamentosu ve Konsey tarafından kabul edilmiştir. Bu düzenlemeyle, Avrupa Birliği’nde (AB) veri koruma hukuku, paylaşılan yetkiler çevresinde kalmasına rağmen, kısmen rekabet, kısmen bankacılık hukuku gibi alanlara benzeyen ilginç bir idari uygulamaya bürünmektedir. Bu çalışmada, Usul Tüzüğü’nün Birlik hukukunda ne şekilde konumlanacağı ve pratikteki etkileri incelenmeye çalışılacaktır. Öncelikle Usul Tüzüğü’nden önceki mevcut sistemden bahsedilecek, ardından Usul Tüzüğü’nün yeniliklerine değinilecektir.

1. 2025/2518 Sayılı Tüzük’ten Öncesi

1.1. Genel Olarak

Uzun yıllar boyunca AB veri koruma hukuku, işlerliğini 95/46 sayılı Direktif üzerinden sağlamıştır ve en temel hukuki meseleler, üye devlet mevzuatlarının yakınlaştırılması ve kapasite düzeylerinin eşlenmesi olagelmiştir. 2016/679 sayılı Tüzük, namı diğer GDPR ise 27 Nisan 2016 tarihinde kabul edilmiş, AB veri koruma hukuku sisteminde yeni bir paradigma değişimine sebep olmuştur.

Bilindiği üzere direktiflerde, AB ulaşılması istenen sonucu ve asgari koşulları çizerken, üye devlet AB’nin çizdiği sınırlar doğrultusunda ulusal mevzuatını inşa edip çeşitlendirir. Tüzükler ise her üye devlette doğrudan uygulanabilir nitelikteki sui generis düzenlemelerdir. Bu düzenlemeler, adeta üye devlet yasa koyucusu tarafından çıkarılmış bir kanun gibi sonuç doğurmaktadır.[1]

Bu açıdan 20 yılı aşan Direktif uygulamasının ardından gelen GDPR, bütünleşik bir uyum aracı olarak planlanmış, hem maddi hem usulî anlamda dönemin gereklerine uygun kapsamlı bir reform getirmiştir.

1.2. Kurumsal Çerçeve

GDPR’nin getirdiği kurumsal yenilikler 3 başlık altında özetlenebilir: Birincisi, Direktif döneminden kalan yumuşak güç WP29 yapılandırılmış, Avrupa Veri Koruma Kurulu (European Data Protection Board (EDPB) adıyla bağlayıcı kararlar alabilen bir AB organına dönüştürülmüştür. İkincisi, Veri Koruma Otoritelerinin (Data Protection Authority (DPA)) tam teşekküllü idari uygulayıcılar haline gelmesi için pek çok düzenleme ihdas edilmiş, otoriteler arası kapasite düzeyleri büyük ölçüde eşlenmiştir. Üçüncüsü, yıllardır AB’nin DPA’sı olarak faaliyet göstermekte olan Avrupa Veri Koruma Denetçisi (European Data Protection Supervisor (EDPS)), GDPR’a uyumlu çıkarılan 2018/1725 sayılı Tüzük ile oldukça geniş yetkilere kavuşmuş, yüksek kapasitesiyle nevi şahsına münhasır bir kuruluş haline gelmiştir.

Yenilenen işbu kurumsal yapı şu şekilde gözlemlenebilir:

EDPB, ağırlıklı olarak koordinasyon sağlayıcı olarak faaliyet göstermektedir. Kurul, selefi olan WP29’a benzer şekilde, DPA temsilcileri ve EDPS temsilcisinden mürekkeptir.[2] EDPB, kendi üyeleri arasından seçilen -primus inter pares- bir Başkan ve iki Başkan Yardımcısı ile idare edilir ve kararlarını ağırlıklı olarak salt çoğunlukla alır.[3] Bu açıdan oldukça federal bir görünüme sahiptir. Ayrıca tüzel kişiliğe sahiptir.[4] Bu nedenle duruma göre davacı veya davalı olabilir, Kurul’a karşı tazminat taleplerinde bulunulabilir.[5] Bütün bu faaliyetleri yerine getirirken Kurul’un sekretarya hizmetleri ve bütçesi ise EDPS’den sağlanır.[6]

EDPS, Birlik’in DPA’sı olarak AB Kurum, Organ, Ofis ve Ajansları’nın veri işleme faaliyetlerinde münhasır olarak yetkilendirilmiş bir AB organı olarak faaliyet göstermektedir. EDPS, geniş sekretaryasıyla çalışan tekil bir denetçi tarafından yönetilir. İşbu Denetçi, bağımsızlığı şüphe götürmez veri koruma uzmanları arasından seçilir ve Avrupa Parlamentosu ve Konsey’in ortak mutabakatıyla atanır. EDPS, AB genel bütçesinde özerk bir bölüme sahiptir ve Denetçi dış etkilerden uzak, bağımsız biçimde faaliyetlerini yürütür.[7]

DPA’lar ise kurulu oldukları üye devlet sınırları içerisinde yetkilendirilmiş, ulusal uygulayıcılar olarak faaliyet göstermektedir. GDPR, DPA’ların bağımsızlığına yönelik yeni denge mekanizmaları kurgulamış, bu otoritelerin üye seçimlerini ve görev sürelerini güvence altına almış, bütçesel özerklik gibi standartlar öngörmüştür.[8] DPA’lar Tüzük ile geniş yetkilere de kavuşmuştur. Bütün DPA’lar, salt Tüzük hükümlerine dayanarak, emir ve talimatlarda bulunup, işleme faaliyetlerine yönelik yasaklar ihdas edebilir,[9] ihlal tespitinde bulundukları teşebbüslere 20 milyon Avro’ya veya küresel cirolarının %4’üne varan ağır para cezaları uygulayabilir hale gelmiştir.[10] Bu sistemle DPA’lar arası kapasite farklılıkları gün geçtikçe azalmaktadır.

İşbu EDPB, EDPS ve DPA’lardan oluşan üçlü yapılanma, -iç pazarı etkileyen mevzularda Komisyonun da katılımıyla- AB veri koruma hukukunun idari uygulama boyutunu oluşturmaktadır. GDPR bu aktörleri deyim yerindeyse kaslandırırken, yeni bir ulusüstü işleyişi de beraberinde getirmektedir.

1.3. Mevcut İdari Uygulama

AB, veri koruma hukukunu düzenlerken, Direktif döneminden bu yana sürdürdüğü anlayışla, bir taraftan gerçek kişilerin temel haklarını korurken, diğer yandan verilerin Birlik genelinde serbest dolaşımının sağlanmasını da hedeflemektedir.[11] İşbu ikili hedef, başlı başına bir iç pazar kurmanın gereğidir. Zira Birlik içinde üye devlet uygulamaları arasındaki farklar, teşebbüslerin pazara en rahat nüfus edebilecekleri uygulayıcıları tercih edebilmelerine imkân tanımaktadır.

Bu çerçevede temel hakların muhafızları olan DPA’lar,[12] GDPR ile geniş bir sorumluluk rejiminin parçası haline getirilmiş,[13] çeşitli işbirliği araçlarıyla birbirine bağlanmıştır.[14] Otoriteler yalnızca ulusal yetki alanlarındaki bireyleri korumakla kalmayıp, Birlik menfaatini gözetme yükümlülüğünü de üstlenmişlerdir.[15] Bunun en çarpıcı örneğini tek durak mekanizması (one stop shop) adıyla anılan sistem oluşturmaktadır. Bireyler, işbu sistem vasıtasıyla haklarını diledikleri otoriteye başvurarak kullanabilecek, teşebbüsler Birlik genelinde tek bir otoriteyle muhatap olacak, bu yolla uygulama birörnek yürütülebilecek, hukuki belirlilik sağlanacaktır.

Sistemin işleyişi şu şekilde özetlenebilir: Uyuşmazlıkla ilgili otoritelerden birinin baş denetim otoritesi (lead supervisory authority (LSA)) olarak seçilmesi (i), LSA’nın ulusal usul kurallarını dikkate alarak ve gerektiğinde ilgili diğer otoritelere de (concerned supervisory authority (CSA)) danışarak incelemeyi yürütmesi ve bir taslak karar hazırlaması (ii), eldeki kararın CSA’lara sunulması ve fikir birliğine varılarak uyuşmazlığın çözülmeye çalışılması (iii).[16]

GDPR işbu DPA’lar arası uyuşmazlıkların çözümünü ise EDPB üzerinden kurgulamıştır. Bu doğrultuda EDPB, CSA’nın LSA’nın taslak kararına itiraz etmesi ve anlaşmaya varılamaması durumunda, LSA’nın belirlenemediği durumda ve tutarlılık mekanizmasına aykırılık durumunda bağlayıcı karar almak zorunda tutulmuş, ilgili DPA’nın işbu kararın kendisine bildirilmesini takiben 1 ay içerisinde ve gecikmeksizin nihai kararını vermesi gerektiği düzenlenmiştir.[17] İşbu bağlayıcı güç, EDPB’ye uyuşmazlık çözücü bir işlev yüklemiştir.

GDPR’de genel DPA kararlarına itiraz yeri DPA’nın bulunduğu üye devlet mahkemeleri olarak düzenlenmiştir.[18] EDPB’nin bağlayıcı kararlarına itiraz yeri ise ABAD olmaktadır. DPA’lar ilgili kararı takiben 2 ay içerisinde kararın iptalini talep edebilecek, yine bir Kurul kararı, herhangi bir gerçek veya tüzel kişiyi doğrudan ve bireysel olarak ilgilendiriyorsa, ABİHA’nın 263. maddesi doğrultusunda o kişi de bir iptal davası açabilecektir.[19] Ancak kâğıt üzerinde bu şekilde kurgulanan sistem, ne yazık ki arzulanan biçimde ilerleyememektedir.

1.4. Uygulamadaki Sorunlar

GDPR dönemi sorunlarının başında kapasite sorunları, ulusal yaklaşım farklılıkları ve tek durak mekanizması gelmektedir. Bu noktada en büyük tartışmalar İrlanda DPA’sı çevresinde gerçekleşmektedir. Zira pek çok küresel teknoloji firmasının AB faaliyet merkezi İrlanda’da bulunmakta, bu nedenle İrlanda DPA’sı pek çok uyuşmazlıkta LSA olarak karar verici konumuna gelmektedir. İrlanda hukuku ise Anglosakson sistemine olan yakınlığıyla, genel olarak kıta Avrupası yaklaşımından ayrışmakta, bu doğrultuda zaten Almanya, Fransa gibi ülkelerin DPA’larına kıyasla daha müsamahakâr olan Otorite, bir de oluşan yoğun iş yükü nedeniyle kapasite yetersizliği içerisine girmekte, etkili bir idari uygulama sergileyememektedir. Nitekim 2021 yılında İrlanda Sivil Özgürlükler Konseyi (Irish Council for Civil Liberties (ICCL)) tarafından yayımlanan bir rapor, İrlanda otoritesinin 2018-2021 yılları arasında AB çapında önemi haiz toplam 164 uyuşmazlıkta LSA olarak yer aldığını, bu uyuşmazlıkların %98’ini nihayete erdiremediğini çarpıcı biçimde göstermektedir.[20]

Bir diğer sorun, idari açıdan şikâyetlerin/soruşturmaların ele alınış biçimi olagelmektedir. Zira yetersiz bilgi sağlandığı gerekçesiyle reddedilen bir şikâyet, bir diğer otoritede kabul edilebilmekte, şikâyetçilere verilen haklar otoriteden otoriteye değişiklik gösterebilmektedir. Dahası soruşturma altındaki tarafların hakları, ulusal usul hukuku kuralları doğrultusunda çeşitlenmekte, tarafların dosyaya ne zaman, ne şekilde ve ne ölçüde erişeceği belirsizlik göstermektedir.[21]

Yargısal açıdan ise her ne kadar gerçek veya tüzel kişilerin belirli şartlar altında EDPB kararlarını iptal davasına konu edebilmesi mümkün gibi gözükse de uygulamada bu yollar oldukça güçtür. Özellikle ABİHA md. 263 kriterleri olan doğrudan ve bireysel ilgililik, veri ihlallerinin doğal yapısı gereği, mağdurlar açısından neredeyse hiçbir olayda sağlanamamakta, dahası teşebbüslerce açılan bazı davalar da EDPB’nin kararlarının üzerine nihai kararı verenin ilgili DPA olmasından bahisle, kabul edilemez bulunmaktadır.[22] Dolayısıyla uygulamada ulusal mahkemeler tarafından ön karar prosedürünün işletilmesi, daha standart bir işlerlik göstermektedir. Ancak bu noktada ilgili DPA kararlarına itiraz yerinin, otoritenin bulunduğu üye devlet mahkemeleri olması, sınır ötesi bireysel davacıların, bilmedikleri usul hukuku kurallarına tabi olmasına, dil bariyerlerine ve dolayısıyla yüksek maliyetlere ve hak kayıplarına sebep olmaktadır.

İşbu dağınık ve iyi işlemeyen hukuki çerçevede reforma gidilmiş, GDPR’nin uygulanmasına ilişkin ek usul kuralları belirleyen 2025/2518 sayılı Tüzük getirilmiştir.

2. 2025/2518 sayılı Tüzük’ten Sonrası

2.1. Genel Olarak

Usul Tüzüğü, ABİHA’nın 16. maddesine dayanarak olağan yasama usulüyle kabul edilmiş, 12 Aralık 2025 tarihinde AB Resmi Gazetesinde yayımlanmıştır. 1 Ocak 2026 tarihinde yürürlüğe giren Tüzük, uygulama için ise 15 aylık bir hazırlık süresi öngörmüştür.[23] Tüzük, 37 maddeden ve 68 dibaceden müteşekkildir, oldukça detaylıdır. Kapsama alanı ise sınır ötesi işleme faaliyetleriyle sınırlandırılmıştır.[24] Tüzük, Avrupa Ekonomik Alanı genelinde geçerli olacak, 2 Nisan 2027 tarihinden itibaren bütün hükümleriyle uygulanacaktır.

2.2. Usul Tüzüğü’nün Yenilikleri

Usul Tüzüğü’nün getirdikleri 4 başlık altında özetlenebilir: Şikâyet süreçlerinin yeknesaklaştırılması (i), soruşturmalardaki usulî hakların garanti altına alınması (ii), işbirliğinde usul bütünlüğünün sağlanması ve bağlayıcı sürelerin getirilmesi (iii) ve uyuşmazlık çözümü mekanizmasının netleştirilmesi (iv).

Tüzük öncelikle, şikâyetlerin kabul edilebilirlik kriterlerini, şikâyetçinin adı ve iletişim bilgileri, Sivil Toplum Kuruluşları (STK) için kuruluş belgesi ve temsil yetkisi, şikâyet edilenin kimliği ve ihlalin tanımı şeklinde tahdidi olarak belirlemiş, DPA’ların uyması gereken süreleri ve prosedürü de kesinleştirmiştir.[25] Ardından DPA’ların, kendisine gelen bu şikâyetlerin sınır ötesi nitelik taşıyıp taşımadığını ve ilgili LSA’nın belirlenmesini, ön sorun olarak incelemesini ve gerektiğinde erken çözüm (early resolution) mekanizmasını devreye sokmasını düzenlemiştir.[26] Bu mekanizmayla eğer ihlal giderilip şikâyet konusuz kalırsa, otoritenin dosyayı hızlıca kapatabilmesi sağlanmaktadır.

Daha sonra her DPA’nın, bir diğer DPA ile işbirliği içerisindeyken hangi bilgileri paylaşmaları gerektiği Tüzük’le belirlenmiş,[27] LSA’ya, önemli konuların özetini (summary of key issues) hazırlayıp ilgili DPA’ya iletmesi sorumluluğu yüklenmiştir. Bu özet; soruşturmanın kapsamını, ilgili temel olguları, maddi ve hukuki sorunların tespitini, tarafların görüşlerinin analizini ve uygulanması muhtemel yaptırımları içerecektir. İlgili DPA’lara kendisine bildirilen özete görüşlerini bildirmesi için 4 hafta süre verilmiş olup sessizlik zımni kabul sayılmaktadır.[28] Bu şekilde otoriteler arası fikir ayrılıklarının erkenden tespitinin sağlanması amaçlanmaktadır.

Bu prosedürün ardından LSA, karar taslağını sunmayı arzuluyorsa, bir ön bulgular (preliminary findings) dokümanı hazırlayacaktır. Bu doküman önce ilgili DPA’ların görüşlerine sunulacak, ardından soruşturma altındaki taraflara iletilecektir. Bu bildirim anından itibaren soruşturma altındaki tarafların dosyaya erişim hakkı söz konusu olacak, 3 ila 6 haftalık bir süre kısıtı içerisinde soruşturma altındaki taraf, yazılı veya sözlü biçimde görüşlerini sunabilecektir.[29] LSA taslak kararını yalnızca işbu prosedüre dâhil olgulara dayandırabilecek, bu sistemle soruşturmalar daha öngörülebilir biçimde sonuçlandırılabilecektir.

Bu standart işleyişin yanı sıra Usul Tüzüğü, kararların değerlendirilmesinde daha hızlı, basit işbirliği prosedürü (simple cooperation procedure) olarak anılan bir mekanizmayı da duyurmuştur. Sistem, vakanın tartışmasız şekilde ortaya konulabildiği konularda ve/veya EDPB kararlarıyla daha önceleri üzerinde mutabakata varılmış konularda uygulanacak bir istisna olarak kurgulanmıştır. Basit işbirliği prosedürünü uygulamak isteyen DPA, bunu duyuracak, eğer diğer otoritelerce itiraz gelmezse somut uyuşmazlık hızlı biçimde sonuçlandırılacak, yaptırımlar seri şekilde gerçekleştirilecektir.[30] Bu uygulama muhtemelen EDPB kararlarının yapısını da etkileyecek, EDPB kararlarının sürekli takip edilen bir içtihat havuzu oluşturmasına neden olacaktır.

Usul Tüzüğü tarafların erişebileceği bilgilerin bulunduğu dosya ile otoriteler arasındaki işbirliğinin sağlandığı dosya arasında da ayrıma gitmiş, iş birliği dosyası (cooperation file) ve idari dosya (administrative file) şeklinde ikili bir sistem kurgulamıştır. Dahası dosyaya giren ticari bilgilerin gizliliğinin yalnızca tek bir DPA tarafından kabul edilmesiyle bile bütün otoriteler için sonuç doğurması sağlanmıştır.[31] Bu yenilik, teşebbüslerin ticari sır endişeleri açısından sağlıklı bir gelişme olmuştur.

Son olarak Tüzük, uyuşmazlık çözümü prosedürünü de geliştirmiştir. LSA’nın hazırladığı taslak karara gelen ilgili ve gerekçeli itirazlar üzerine 3 ay içerisinde ya revize edilmiş bir taslak karar hazırlayacağı ya da konuyu EDPB’ye havale edeceği düzenlenmiş, havale edilen dosyanın hangi bilgileri içereceği sıralanmıştır. Dahası EDPB’nin gelen dosyayı ön incelemeden geçireceği ve yeni olgulara dayandığı takdirde soruşturma altındaki taraflara savunma hakkı tanıyacağı da belirtilmiştir.[32] Bu şekilde dosyanın EDPB’ye karar vermeye hazır şekilde iletilmesinin sağlanması ve adil yargılanma hakkının korunması amaçlanmıştır.

SONUÇ

AB hukukunda DPA’lar, bir zamanlar yalnızca bildirim alan ve tavsiye veren bağlı/bağımlı kurumlarken, günümüzde soruşturmalar yürütüp, baskınlar düzenleyen ve devasa para cezaları kesen bağımsız idari uygulayıcılara dönüşmüştür. Dahası AB, kurmuş olduğu sistemde, bu bağımsız yapılanmaları, bir şekilde uzlaşı ve işbirliği mekanizmalarıyla yeknesak hareket etmeye zorlamakta, kimi zaman yumuşak hukuk, kimi zaman sert hukuk araçlarıyla süreci idare etmektedir.

Bu noktada ulusal çıkarlar, Birlik yaklaşımıyla uyuşmayabilmekte, hem siyasi hem ilkesel çatışma alanları gözlemlenebilmektedir. Bir yanda Birlik uygulamasındaki idari özerklik kavramı ve veri koruma hukukunun bağımsız idari otorite esası, diğer yanda Birlik hukukunun denkliği ve etkililiği ilkeleri yer almaktadır.[33] Şimdilik 2025/2518 sayılı Tüzük ile terazinin Birlik tarafına eğildiği, uyumlaştırma doğrultusundaki düzenlemelerin ağır bastığı söylenebilir.

Usul Tüzüğü, Birlik rekabet hukuku uygulamasından alışık olduğumuz sözlü savunma benzeri idari prosedürlerin veri koruma hukukuna da kısmi entegrasyonunu içermektedir. Bu düzenlemeler GDPR cezalandırma rejimine daha hukuki bir çerçeve kazandırabilir. Dahası kısa ve bağlayıcı süreler, yeni itiraz prosedürleriyle birlikte değerlendirildiğinde, teşebbüsleri bekle ve gör stratejisinden uzaklaştırıp, daha sıkı, sistematik bir yaklaşıma da itecektir.

Bu gelişmelerin dijital değişiklikler paketi (EU digital omnibus) tartışmaları da süregelirken AB’nin veri koruma hukukuna yönelik hak temelli yaklaşımını nasıl etkileyeceği ise merak konusudur. Bu belirsiz geçiş dönemi muhtemelen ABAD’a taşınacak itirazlar ve ilk EDPB kararlarıyla şekillenecektir. En doğrusu 2 Nisan 2027’yi beklemek olacaktır.

 

Bu yazıya atıf için: Mehmet Kipriksiz, “Sessiz bir İdari Bütünleşme Örneği: Avrupa Birliği Veri Koruma Hukukunda 2025/2518 sayılı Tüzük”, Yaşayan Avrupa Birliği Hukuku Blogu, 3/2/2026, Link: <https://yasayanabhukuku.blogspot.com/2026/02/blog-post.html>

Bu yazıyı faydalı buldunuz mu? Hiç bir içeriği kaçırmayın bizi takip edin.

---

[1] Bkz. ABİHA md. 288.

[2] 2016/679 sayılı Tüzük md. 68 (3).

[3] 2016/679 sayılı Tüzük md. 72; 73.

[4] 2016/679 sayılı Tüzük md. 68 (1).

[5] Bkz. ABİHA md. 268; 340.

[6] 2016/679 sayılı Tüzük md. 75.

[7] 2018/1725 sayılı Tüzük md. 53; 54; 55.

[8] 2016/679 sayılı Tüzük md. 52 (4); (6); 54.

[9] 2016/679 sayılı Tüzük md. 58.

[10] 2016/679 sayılı Tüzük md. 83.

[11] Bkz. 2016/679 sayılı Tüzük md. 1; Dibace (6); (10).

[12] Judgment of the Court (Grand Chamber) of 9 March 2010, Commission v Germany, C-518/07, EU:C:2010:125, para. 23.

[13] Bkz. 2016/679 sayılı Tüzük md. 57.

[14] 2016/679 sayılı Tüzük md. 63.

[15] 2016/679 sayılı Tüzük md. 51 (2).

[16] Bkz. 2016/679 sayılı Tüzük md. 60- 62. Ayrıca LSA’nin belirlenmesine ilişkin bkz. 2016/679 sayılı Tüzük md. 4 (16); 56.

[17] 2016/679 sayılı Tüzük md. 65.

[18] 2016/679 sayılı Tüzük md. 78 (3).

[19] 2016/679 sayılı Tüzük Dibace (143).

[20] İrlanda DPA’sı bu süreçte yalnızca 4 adet taslak kararını EDPB’ye iletebilmiştir. Bkz. Irish Council for Civil Liberties, “Europe’s enforcement paralysis: ICCL’s 2021 report on the enforcement capacity of data protection authorities”, (2021), s. 5.

[21] Konuya ilişkin olarak Komisyon taslağı incelenebilir. Bkz. Proposal for a Regulation of The European Parliament and of The Council laying down additional procedural rules relating to the enforcement of Regulation (EU) 2016/679 (COM/2023/348 final). 

[22] Bkz. Opinion of Advocate General, WhatsApp Ireland v EDPB, C-97/23 P, EU:C:2025:210, paras. 31-34.

[23] Bkz. 2025/2518 sayılı Tüzük Dibace (67); md. 36-37.

[24] 2025/2518 sayılı Tüzük md. 1.

[25] 2025/2518 sayılı Tüzük md. 4.

[26] Bkz. 2025/2518 sayılı Tüzük md. 5.

[27] 2025/2518 sayılı Tüzük md. 9.

[28] 2025/2518 sayılı Tüzük md. 10.

[29] Bkz. 2025/2518 sayılı Tüzük md. 19.

[30] Bkz. 2025/2518 sayılı Tüzük md. 6.

[31] Bkz. 2025/2518 sayılı Tüzük md. 24; 25; 26.

[32] Bkz. 2025/2518 sayılı Tüzük md. 27-30.

[33] Bkz. Judgment of the Court of 16 December 1976, REWE, Case 33-76, EU:C:1976:188, para. 5; Judgment of the Court of 16 December 1976, Comet BV, Case 45-76, EU:C:1976:191, paras. 13-16.