Posted on

“Avrupa Birliği Düzenleyici Otoritelerinin ‘Küçük ve Orta Büyüklükte İşletmeler’ ve ‘Orta Ölçekte Sermayeye Sahip Küçük İşletmeler’ İçin Genel Veri Koruma Yönetmeliği’nin Basitleştirilmesine İlişkin Önerisi Hakkındaki Ortak Görüşü” Üzerine

Giriş

Avrupa Veri Koruma Kurulu ve Avrupa Veri Koruma Gözetim Kurumu [European Data Protection Board and European Data Protection Supervisor], Avrupa Komisyonu’nun Avrupa Birliği (AB) Genel Veri Koruma Yönetmeliği [General Data Protection Regulation] kapsamındaki belirli yükümlülükleri basitleştirme önerisine (kısaca “öneri”) yanıt olarak ortak bir görüş yayınlamıştır[1].

Komisyon önerisinin temel unsurlarından biri, küçük ve orta büyüklükte işletmeler [KOBİ’ler (small and medium sized enterprises)] ve yeni tanımlanan orta ölçekte sermayeye sahip küçük işletmeler [small mid-cap enterprises] için kayıt tutma yükümlülüklerini düzenleyen 30(5) no.lu maddede yapılan revizyondur. Kısacası, Avrupa Birliği, daha küçük işletmeler üzerindeki veri koruma düzenlemelerinin miktarını azaltmayı hedeflemektedir.

Bu yazıda bu öneri ve önerinin Avrupa Birliği’nde faaliyet gösteren şirketleri nasıl etkileyebileceği incelenecektir.

  1. Avrupa Komisyonu’nun önerisi

Öneride, KOBİ eşiklerini aşmış ancak henüz büyük işletme olarak sınıflandırılmamış şirketler olan orta ölçekte sermayeye sahip küçük işletmeler için daha tutarlı bir düzenleyici yaklaşımın sağlanması amaçlanmaktadır.

Öneride, KOBİ’lere özgü bazı hafifletme önlemleri (örneğin Avrupa Birliği Genel Veri Koruma Yönetmeliği’ndeki önlemler) orta ölçekte sermayeye sahip küçük işletmeleri de kapsayacak şekilde genişletilerek, mevzuata uyum yüklerini azaltma ve çok daha büyük kuruluşlar için tasarlanan kuralların aşırı geniş uygulanmasından kaçınarak büyümeyi kolaylaştırma amaçlanmaktadır.

Avrupa Komisyonu, dördüncü (Omnibus IV) mevzuat paketi[2] kapsamında Genel Veri Koruma Yönetmeliği’ne ilişkin olarak aşağıdaki temel değişiklikleri önermiştir:

  • Avrupa Birliği Genel Veri Koruma Yönetmeliği içerisinde KOBİ’ler ile orta ölçekte sermayeye sahip küçük işletmeler için tanımların getirilmesi ve iki kategorinin kodlanması.
  • 30(5) no.lu madde uyarınca ‘işleme faaliyetleri kayıtları’nın [records of processing activities] tutulması yükümlülüğünden muafiyetin, 750’den az çalışanı olan kuruluşlara genişletilmesi [ancak bu kuruluşların işlenmesinin veri sahipleri için yüksek risk oluşturması (ki, mevcut “risk” seviyesinden yükseltiliyor) muhtemel olmadığı takdirde (250’den az çalışanı olan kuruluşlar için de mevcut muafiyet genişletiliyor)].
  • Devletlerin davranış kuralları ve sertifikasyon şemaları geliştirme veya üretme konusundaki Avrupa Birliği Genel Veri Koruma Yönetmeliği yükümlülükleri kapsamına orta ölçekte sermayeye sahip küçük işletmelerin de açıkça dâhil edilmesi, potansiyel olarak orta ölçekte sermayeye sahip küçük işletme olarak nitelendirilen kuruluşların üye devlet düzeyindeki düzenlemelerinin genişletilmesi.
  1. Avrupa Veri Koruma Kurulu ve Avrupa Veri Koruma Gözetim Kurumu ne diyor: Önemli noktalar

Avrupa Komisyonu, Avrupa Veri Koruma Kurulu ve Avrupa Veri Koruma Gözetim Kurumu’nun Komisyon önerisi hakkındaki görüşünü resmen talep etmiştir.

Bu kurumlar, anılan önerinin Avrupa Birliği Genel Veri Koruma Yönetmeliği’ni basitleştirmeye yönelik önlemlerine geniş destek vermiştir.

Ancak Avrupa Veri Koruma Kurulu ve Avrupa Veri Koruma Gözetim Kurumu, bu tür değişikliklerin veri koruma ilkelerini ya da AB Genel Veri Koruma Yönetmeliği kapsamındaki bireylerin haklarını tehlikeye atmaması gerektiğini de vurgulamıştır.

Söz konusu kurumlar ayrıca, önerinin temel haklar ve AB Genel Veri Koruma Yönetmeliği çerçevesinin genel etkinliği üzerindeki etkisinin daha ayrıntılı bir değerlendirmesi de dâhil olmak üzere daha fazla gerekçe ve destekleyici kanıt talep etmiştir.

2.1. İdari yükün azaltılmasına yönelik destek [support for reducing administrative burden]

Avrupa Veri Koruma Kurulu ve Avrupa Veri Koruma Gözetim Kurumu, özellikle işleme faaliyetlerinin düşük riskli olduğu durumlarda KOBİ’ler ve orta ölçekte sermayeye sahip küçük işletmeler için idari yüklerin azaltılması hedefini memnuniyetle karşılamaktadır. Ancak, her türlü basitleştirmenin orantılı, gerekli ve kişisel verilerin korunması hakkını güvence altına alan Avrupa Birliği Temel Haklar Şartı’nın 8. maddesi[3] ile uyumlu olması gerektiğini vurgulamaktadırlar.

Bilhassa, ‘işleme faaliyetlerinin kayıtları’nın tutulmasına ilişkin AB Genel Veri Koruma Yönetmeliği yükümlülüğünden muafiyetin orta ölçekte sermayeye sahip küçük işletmelere genişletilmesinin bireylerin haklarını nasıl etkileyebileceği konusunda resmi bir değerlendirme yapılmasını talep ediyorlar; Avrupa Veri Koruma Kurulu ve Avrupa Veri Koruma Gözetim Kurumu, bu değerlendirmenin anılan öneri ile birlikte sunulmadığını belirtmiştir.

2.2. Sınırlı ve hedefli kapsam [limited and targeted scope]

Avrupa Veri Koruma Kurulu ve Avrupa Veri Koruma Gözetim Kurumu, Madde 30(5)’te önerilen değişikliğin AB Genel Veri Koruma Yönetmeliği’nde hedefli ve sınırlı bir değişiklik olduğunu kabul etmektedir. Bu nedenle, bahsi geçen öneri, AB Genel Veri Koruma Yönetmeliği’nin temel ilkelerini veya şeffaflık, yasal dayanak veya veri koruma etki değerlendirmesi [data protection impact assessments] yapma yükümlülüğü gibi diğer yükümlülüklerini önemli ölçüde etkilememiştir.

Anılan kurumlar ayrıca hesap verebilirliğin Genel Veri Koruma Yönetmeliği’nin temel taşlarından biri olmaya devam ettiğini vurgulamıştır. Resmi kayıt tutmanın artık yasal olarak gerekli olmadığı durumlarda bile, KOBİ’ler ve orta ölçekte sermayeye sahip küçük işletmeler, mevzuata sürekli uyumu göstermek için orantılı ve pratik önlemler (örneğin basitleştirilmiş kayıtlar veya dâhili şablonlar) benimsemeye teşvik edilmektedir.

2.3. Risk tabanlı kayıt tutmayı açıklığa kavuşturma [clarify risk-based record‑keeping]

Anılan öneride, madde 30 uyarınca işleme kayıtlarının tutulması yükümlülüğü risk bazlı bir eşiğe bağlanmaktadır: Kayıtlar yalnızca işlemenin veri sahipleri için yüksek risk oluşturması muhtemel olduğunda gerekli olacaktır ki; bu, Genel Veri Koruma Yönetmeliği’nin 35’inci maddesi uyarınca veri koruma etki değerlendirmeleri için kullanılan standartla aynıdır.

Bu istisnanın şu anda 250’den az çalışanı olan kuruluşlar için geçerli olduğu unutulmamalıdır. Ancak Madde 30(5)’teki mevcut ifade, 250’den az çalışanı olan bir kuruluşun, işlemin yalnızca ‘yüksek risk’ değil, ‘risk’ ile sonuçlanması muhtemelse muafiyete güvenemeyeceğini belirtmektedir.

Avrupa Veri Koruma Kurulu ve Avrupa Veri Koruma Gözetim Kurumu, bu değişikliğin, 250 eşiğini 750’ye çıkarmaktan daha etkili olma ihtimalinin yüksek olduğunu, çünkü her boyuttaki işletmenin veri sahipleri için ‘risk’ oluşturabilecek verileri işleyeceğini belirtmiştir.

Ayrıca, anılan öneride, Genel Veri Koruma Yönetmeliği’ne, kişisel verilerin istihdam, sosyal güvenlik ve sosyal koruma amacıyla işlendiği durumlarda işleme faaliyeti kaydının gerekli olmayacağını açıklığa kavuşturacak bir ifade eklenmesi amaçlanmaktadır. Bu, işletmeler tarafından işlenen yüksek riskli kişisel verilerin ana kaynağının (çalışanlarına ait özel kategori kişisel veriler), işleme faaliyetlerine ilişkin kayıt tutma yükümlülüğünü kendiliğinden doğurmayacağı anlamına gelmektedir.

Avrupa Veri Koruma Kurulu ve Avrupa Veri Koruma Gözetim Kurumu, bu alandaki bazı faaliyetlerin, çalışanların sistematik olarak izlenmesi gibi, hâlâ yüksek riskli işlemler gerektirebileceğini açıklığa kavuşturmak için bu ilavenin kısıtlanması gerektiğini vurgulamıştır.

2.4. Tanımları ve kapsamı açıklığa kavuşturma [clarifications as to definitions and scope]

Ortak görüşte ayrıca, daha geniş veya tanımlanmamış işletme kategorilerine dayanmak yerine, KOBİ ve orta ölçekte sermayeye sahip küçük işletmelerin yeni tanımlarının Madde 30(5) kapsamında nasıl uygulanacağına dair daha fazla netlik sağlanması talep edilmektedir. Ayrıca, Avrupa Veri Koruma Kurulu ve Avrupa Veri Koruma Gözetim Kurumu, karışıklığı önlemek için kamu otoriteleri ve kuruluşlarının muafiyetten açıkça hariç tutulmasını önermektedir.

Ayrıca, Komisyonun Genel Veri Koruma Yönetmeliği kapsamında kayıt tutma muafiyeti için uygunluk sınırı olarak neden ‘750 kişiden az’ sınırını seçtiğini sorguluyorlar ve net bir politika gerekçesi talep ediyorlar.

2.5. Kurallar ve sertifikasyona ilişkin ilave noktalar [additional points on codes and certification]

Davranış kurallarının ve sertifikasyon şemalarının geliştirilmesi ve sürdürülmesiyle ilgili olan 40. ve 42. maddelerin KOBİ’lere ve orta ölçekte sermayeye sahip küçük işletmelere sektöre özgü davranış kurallarına ve sertifikasyon şemalarına erişim sağlaması nedeniyle orta ölçekte sermayeye sahip küçük işletmelere doğru genişletilmesi memnuniyetle karşılanmaktadır.

Bu mekanizmalar, özellikle sınır ötesi veri koruma sorumluluklarını yerine getiren orta ölçekli kuruluşlar için daha hafif ancak yine de etkili yasal uyum yaklaşımlarını destekleyebilir.

Avrupa Veri Koruma Kurulu ve Avrupa Veri Koruma Gözetim Kurumu, orta ölçekte sermayeye sahip küçük işletmenin benzersiz ihtiyaçlarını göz önünde bulundurarak bu tür çerçevelerin sürekli geliştirilmesini teşvik etmektedir.

  1. Peki, bu durum kuruluşlar için ne anlama gelir?

3.1. KOBİ’ler ve orta ölçekte sermayeye sahip küçük işletmeler: Esnek kayıt tutma [hazırlıklı (flexible record-keeping)]

Kabul edilmesi halinde, mezkûr öneri, KOBİ’ler ve orta ölçekte sermayeye sahip küçük işletmeler için Genel Veri Koruma Yönetmeliği’nin 30. maddesi kapsamındaki resmi kayıt tutma yükümlülüklerini gevşetecek, yani yüksek riskli bir işlem yapılmadığı takdirde tüm işlem faaliyetlerini otomatik olarak belgelemeleri artık zorunlu olmayacaktır.

Dolayısıyla Avrupa Birliği’nde faaliyet gösteren işletmelerin büyük çoğunluğu AB Genel Veri Koruma Yönetmeliği kapsamındaki önemli bir yükümlülükten muaf tutulacaktır.

Bununla birlikte, kuruluşlar riski belirlemek için her bir işleme faaliyetini değerlendirmelidir. İşlemenin yüksek riske yol açması muhtemel durumlarda (örneğin, büyük ölçekli profilleme, biyometrik veya suç verileri), kayıt tutma ve veri koruma etki değerlendirme incelemesi yapma yükümlülüğü devam etmektedir.

Kuruluşlar ayrıca, yalnızca çalışan sayısını [employee count] değil, aynı zamanda ciro ve bilanço eşiklerini [turnover and balance sheet thresholds] de içeren yeni orta ölçekte sermayeye sahip küçük işletme tanımlarını iç politikalarının yansıtmasını sağlamalıdır.

Kamu kuruluşları [public bodies] muafiyetin dışında kalacak olup bu ayrım uygulanabilirliğe ilişkin iç değerlendirmelerde dikkate alınmalıdır.

3.2. Davranış kuralları ve sertifikasyon planları [codes of conduct and certification schemes]

Orta ölçekte sermayeye sahip küçük işletmelerin Genel Veri Koruma Yönetmeliği’nin davranış kuralları ve sertifikasyon mekanizmalarına dâhil edilmesi önerisi, bu kuruluşlara uyumu göstermenin daha özel ve verimli yollarını benimseme fırsatı sunmaktadır. Sektöre özgü çerçeveler, ölçeklerine ve kaynak düzeylerine uygun pratik araçlar sağlayabilir.

3.3. Hesap verebilirlik [accountability] devam ediyor

Resmi kayıt tutma yükümlülükleri kaldırılsa bile, KOBİ’ler ve orta ölçekte sermayeye sahip küçük işletmelerin basitleştirilmiş kayıtlar, dokümantasyon şablonları veya otomatik günlükler gibi alternatif gözetim izi formları tutmaları teşvik edilmektedir.

Bu araçlar, AB Genel Veri Koruma Yönetmeliği’nin hesap verebilirlik ilkesini desteklemekte ve gözetimi kolaylaştırmaktadır. Avrupa Veri Koruma Kurulu ve Avrupa Veri Koruma Gözetim Kurumu, bu dâhili araçları, resmi yükümlülüklerin azaltıldığı durumlarda dahi Genel Veri Koruma Yönetmeliği ilkelerinin korunmasında önemli görmektedir.

Sonuç

Avrupa Veri Koruma Kurulu ve Avrupa Veri Koruma Gözetim Kurumu’nun ortak görüşü, KOBİ’ler ve orta ölçekte sermayeye sahip küçük işletmeler için Genel Veri Koruma Yönetmeliği yükümlülüklerinin basitleştirilmesine yönelik mezkûr önerinin ihtiyatlı ancak yapıcı bir şekilde desteklendiğini göstermektedir. Düzenleyici otoriteler, basitleştirmelerin temel veri koruma haklarını zayıflatmaması koşuluyla, gereksiz yasal uyum yüklerinin azaltılmasının önemini kabul etmektedir.

Ancak, Avrupa Veri Koruma Kurulu ve Avrupa Veri Koruma Gözetim Kurumu’nun daha net tanımlamalar talep etmesi, kamu kurumlarının açıkça hariç tutulması ve anılan önerinin haklar üzerindeki etkisinin kapsamlı bir şekilde değerlendirilmesi, bahsi geçen önerinin nihai hale getirilmesinden önce daha fazla iyileştirme yapılmasının beklendiğini göstermektedir.

AB Genel Veri Koruma Yönetmeliği’ndeki bu reform, Birleşik Krallık Genel Veri Koruma Yönetmeliği’ndeki reformlar[4] ile yakından bağlantılıdır. Elbette Avrupa’da, yapay zekâ veya çevrimiçi güvenlik gibi belirli endişe alanlarına odaklanmak (ve daha sıkı bir şekilde düzenlemek) amacıyla, mümkün olan yerlerde veri koruma düzenlemelerini hafifletmeye yönelik sınır ötesi bir eğilim mevcuttur.

Kuruluşlar gelişmeleri yakından izlemeli, işlem risk profillerini incelemeye başlamalı ve AB Genel Veri Koruma Yönetmeliği’ne (ve Birleşik Krallık Genel Veri Koruma Yönetmeliği’ne) ilişkin reformların nihai hükümleri doğrultusunda dâhili mevzuata uyum çerçevelerini uyarlamaya hazırlanmalıdır.

[1]<https://www.edpb.europa.eu/system/files/2025-07/edpb_edps_jointopinion_202501_proposalsimplification_en.pdf >.

[2] < https://single-market-economy.ec.europa.eu/publications/omnibus-iv_en >.

[3] < https://fra.europa.eu/en/eu-charter/article/8-protection-personal-data >.

[4] < https://emlaw.co.uk/the-data-use-and-access-act-2025/ >.

Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.

Okurlarımızın Bilgisine:
Legal Blog’da ve Legalbank'ta yayımlanan blog yazıları, yazarların görüşlerini aktardığı yazılar olup yazanın görüşlerinin Legal Yayıncılık A. Ş. tarafından benimsendiği manasına gelmemektedir. Blog yazıları, hakemli makale formatında olmayıp bilgi verme amaçlıdır. Kesinlikle hukuki mütalaa ya da tavsiye niteliğinde değildir.
Legal Yayıncılık A.Ş.