Posted on

AB ‘Genel Veri Koruma Yönetmeliği’nde Sadeleşme Programı Minvalinde Küçük İşletmeler İçin Muafiyetlerin Genişletilmesi (Derleme)*

  1. Avrupa Birliği’nin KOBİ’lere İlişkin “Mevcut” Tanımı

Küçük ve orta büyüklükte işletmeler (“KOBİ”; small and medium-sized enterprises), tüm işletmelerin yüzde 99’unu temsil eder. KOBİ tanımı, finansmana ve Avrupa Birliği (AB) destek programlarına erişim açısından kritik öneme sahiptir. Ancak KOBİ’ler belirli bir büyüklüğün üzerine çıktıklarında, genellikle (mevzuata) uyum yükümlülüklerinde önemli bir yükle karşı karşıya kalırlar ve bu da büyümeyi engelleyen ve rekabet gücünü sınırlayan bir “uçurum kenarı” etkisi (cliff-edge effect) yaratabilir.

Avrupa Komisyonu bu zorluğun üstesinden gelmek için, büyüme aşamasındaki işletmeler için daha kademeli bir geçiş sağlamak amacıyla yeni bir kategori olan küçük orta sermayeli işletmeler[1] (“KOSİ”; small mid-caps) üzerinde çalışmıştır. KOBİ ve KOSİ tanımları, çalışan sayısına, ciroya ve bilanço toplamına dayanmaktadır.

Avrupa Birliği’nin ‘2003/361 sayılı Tavsiye Kararı’nda KOBİ’ler tanımlanmış olup bir işletmenin KOBİ olup olmadığını belirleyen temel faktörler şunlardır: (i) Çalışan sayısı, (ii) ciro veya bilanço toplam tutarı.

Bu tavan değerler yalnızca bireysel firmalar (yani ticari işletmeler) için geçerlidir. Daha büyük bir grubun parçası olan bir firmanın, o grubun “çalışan sayısı/ciro/bilanço büyüklüğü” verilerini de eklemesi gerekebilir.

Bir işletmenin aşağıdaki ölçütleri karşılaması halinde 2 genel potansiyel fayda türü vardır:

(i) KOBİ’lere özel olarak yönelik birçok AB işletme destek programı kapsamında destek almaya hak kazanma: araştırma fonu, rekabet gücü ve inovasyon fonu ve haksız devlet desteği (‘devlet yardımı’) olarak yasaklanabilecek benzer ulusal destek programları,

(ii) AB idari uyumu için daha az koşul veya daha düşük ücretler.

Avrupa Komisyonu, büyüme aşamasındaki işletmeleri desteklemek amacıyla Küçük Orta Sermayeli İşletmeler (KOSİ) için yeni bir kategori sunmakta olup KOSİ tanımı, KOBİ tanımının ötesine geçmiş şirketler için geçerlidir.

  1. Genel Veri Koruma Yönetmeliği’nde Sadeleşme Programı ve Daha Küçük İşletmeler İçin Muafiyetlerin Genişletilmesi

2.1. Sadeleştirmeye Doğru Atılan Bir Adım

Avrupa Komisyonu, Mayıs 2025’te, küçük ve orta büyüklükte işletmeler ile küçük orta sermayeli şirketler için bürokrasiyi ve engelleri azaltmayı amaçlayan bir Tek Pazar Sadeleştirme önerisini kabul etmiştir. Bu önerinin bir parçası olarak, Komisyon 21 Mayıs 2025 tarihinde AB Genel Veri Koruma Yönetmeliği’nde (General Data Protection Regulation-GDPR) ve diğerlerinde bir değişiklik taslağı sunmuştur. AB Konseyi’nin buna ilişkin görüşü 26 Eylül 2025 tarihinde açıklanmış ve Komisyon’un ilk taslağında daha fazla değişiklik önerilmiştir.

Önerilen değişiklikler, kişisel veri sorumlularının ve işleyicilerinin işleme faaliyetlerinin kaydını tutmasını (record of processing activities) gerektiren 30. madde de dâhil olmak üzere bir dizi Genel Veri Koruma Yönetmeliği hükmüyle ilgilidir.

2.2. Veri İşleme Faaliyetlerinin Kaydedilmesi: 30. Maddede Önerilen Değişiklikler

Şu anda, Madde 30(5), 250’den az çalışanı olan KOBİ’ler ve kuruluşlar için bir muafiyet sağlamaktadır. Bu muafiyet uyarınca, söz konusu kuruluşlar, işlemenin veri sahiplerinin hak ve özgürlükleri açısından risk oluşturması muhtemel olmadığı, işlemenin ara sıra yapılmadığı veya cezai hükümler ve suçlarla ilgili özel kategorilerdeki veriler veya kişisel veriler işlenmediği sürece, veri işleme faaliyetlerinin kaydını tutmak zorunda değildir.

Komisyon’un bu konudaki ilk önerisi, yukarıdaki muafiyetin 750’den az çalışanı olan KOSİ’lere ve kuruluşlara genişletilmesini amaçlıyordu. AB Konseyi’nin revize edilmiş önerisi ise muafiyetin binden (1.000) az çalışanı olan işletme ve kuruluşlara genişletilmesini amaçlamaktadır. Bu kuruluşların, kişisel verilerinin işlenmesinin anılan Yönetmeliğin 35. maddesi uyarınca yüksek risk içerdiği kabul edilebiliyorsa, yine de veri işleme faaliyetlerinin kaydını tutmaları gerekecektir. Konsey’in önerisi, binden (1.000) az çalışanı olan ve yüksek riskli veri işleme faaliyetleri yürüten işletme ve kuruluşların, yalnızca veri sahiplerinin hakları ve özgürlükleri açısından yüksek risk oluşturması muhtemel belirli veri işleme faaliyetlerinin kaydını tutmaları gerekeceğini daha da açıklığa kavuşturmaktadır.

Açıklayıcı olması amacıyla, aşağıda Madde 30(5)’in güncel hali, Avrupa Komisyonu’nun önerisindeki ifadeler ile AB Konseyi’nin tutumunu yansıtan ifadelerle birlikte yer almaktadır:

2.3. Küçük Orta Sermayeli İşletmelerin (KOSİ) Tanımlanması

KOSİ’ler, KOBİ tanımının eşiklerini aşan (yani 250’den az çalışanı olan, yıllık cirosu 50 milyon avroya veya bilanço toplamı 43 milyon avroya kadar olan işletmeler) ancak yine de büyük işletme olarak kabul edilmeyen şirketlerdir. AB Komisyonu, 28 Mayıs 2025 tarihinde, küçük orta sermayeli işletmeleri tanımlayan (AB) 2025/1099 sayılı Tavsiye Kararı’nı yayımlamıştır. Komisyon’un Genel Veri Koruma Yönetmeliği’ne yönelik taslak değişiklikleri, 4. maddeye “mikro, küçük ve orta büyüklükte işletmeler” ile “küçük orta sermayeli işletmeler” (micro, small and medium-sized enterprises and small mid-cap enterprises) ifadelerinin eklenmesini de içermektedir. AB Konseyi’nin revize edilmiş önerisinde, “küçük orta sermayeli işletmeler” tanımı revize edilerek, mikro, küçük ve orta büyüklükte olmayan, binden (1.000) az çalışanı istihdam eden ve yıllık cirosu 200 milyon avroyu veya yıllık bilanço toplamı 172 milyon avroyu geçmeyen işletmeler olarak tanımlanmaktadır.

2.4. Davranış Kuralları ve Sertifikasyon

Taslak değişikliği aynı zamanda 40. ve 42. maddelerle de ilgilidir. Bu hükümler, Üye Devletlerin, veri koruma otoritelerinin, Avrupa Veri Koruma Kurulu’nun ve AB Komisyonu’nun, sektör birliklerini davranış kuralları oluşturmaya ve sertifikasyon kuruluşları veya veri koruma otoriteleri tarafından veri koruma sertifikasyon mekanizmaları, mühürler ve işaretler oluşturmaya teşvik etmesini gerektirmektedir. Davranış kuralları ve sertifikasyon mekanizmaları vb. geliştirilirken, mikro, küçük ve orta büyüklükte işletmelerin özel ihtiyaçlarının dikkate alınması gerekmektedir. Öneri, bu kapsamı KOBİ’lerden KOSİ’lere kadar genişleterek onların ihtiyaçlarının da dikkate alınmasını sağlamaktadır.

* Bu derlemede yer alan görüşler İnternet Sitelerine ve/veya ekibine ait olup derleyenin çalıştığı kurumu bağlamaz, derleyenin çalıştığı kurum veya göreviyle ilişki kurulmak suretiyle kullanılamaz. Derlemedeki tüm hatalar, kusurlar, noksanlıklar ve eksiklikler derleyene aittir. Derleme yapılan kaynaklar şunlardır:

  • GDPR Simplification: Exemptions Expanded for Smaller Businesses, Compliance & Risks, October 14, 2025, <https://www.complianceandrisks.com/blog/gdpr-simplification-exemptions-expanded-for-smaller-businesses/ > erişim tarihi 14 Ekim 2025.
  • Simplifying the Single Market, the European Commission, <https://single-market-economy.ec.europa.eu/single-market/simplification_en > erişim tarihi 14 Ekim 2025.
  • Regulation of the European Parliament and of the Council amending Regulations (EU) 2016/679, (EU) 2016/1036, (EU) 2016/1037, (EU) 2017/1129, (EU) 2023/1542 and (EU) 2024/573 as regards the extension of certain mitigating measures available for small and medium sized enterprises to small mid-cap enterprises and further simplification measures, <https://commission.europa.eu/document/download/7fd9c846-b894-4f9f-b164-3b926d1b264b_en?filename=Proposal%20GDPR%20Omnibus.pdf > erişim tarihi 14 Ekim 2025.
  • SME definition, the European Commission,<https://single-market-economy.ec.europa.eu/smes/sme-fundamentals/sme-definition_en> erişim tarihi 14 Ekim 2025.
  • Commission Recommendation (EU) 2025/1099 of 21 May 2025 on the definition of small mid-cap enterprises, the European Union, C/2025/3500, Document 32025H1099, < https://eur-lex.europa.eu/eli/reco/2025/1099/oj > erişim tarihi 14 Ekim 2025.

[1] “Orta sermayeli küçük işletmeler” olarak da adlandırılabilir.

Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.

Okurlarımızın Bilgisine:
Legal Blog’da ve Legalbank'ta yayımlanan blog yazıları, yazarların görüşlerini aktardığı yazılar olup yazanın görüşlerinin Legal Yayıncılık A. Ş. tarafından benimsendiği manasına gelmemektedir. Blog yazıları, hakemli makale formatında olmayıp bilgi verme amaçlıdır. Kesinlikle hukuki mütalaa ya da tavsiye niteliğinde değildir.
Legal Yayıncılık A.Ş.