Avrupa Komisyonu, Genel Veri Koruma Tüzüğü’nde (GDPR) küçük ve orta ölçekli işletmeler üzerindeki yükü azaltmayı amaçlayan bir sadeleştirme önerisini gündeme getirmiştir. Bu taslak değişiklik, GDPR madde 30(5)’te öngörülen kayıt tutma yükümlülüğü istisnasının kapsamını genişletmeyi ve istisnaya dair bazı şartları yeniden tanımlamayı hedeflemektedir. Söz konusu öneri (Taslak GDPR), 8 Mayıs 2025 tarihinde Avrupa Veri Koruma Kurulu (EDPB) ve Avrupa Veri Koruma Denetçisi (EDPS) tarafından ortak olarak değerlendirilmiştir.
Önerilen başlıca değişiklikler:
- İstisnanın kapsamı genişliyor: GDPR madde 30(5) kapsamında hâlihazırda yalnızca 250’den az çalışanı olan işletmelerin yararlanabildiği kayıt tutma yükümlülüğü istisnası, 500’den az çalışanı olan ve belirli bir yıllık ciroyu aşmayan küçük orta ölçekli şirketleri (SME’ler) ve 500’den az çalışanı olan kâr amacı gütmeyen kuruluşları da kapsayacak şekilde genişletilecektir.
- Risk kriteri yeniden tanımlanıyor: GDPR madde 30(5)’te yer alan “risk doğurabilecek işleme” ifadesi yerine, daha dar bir kavram olan “kişilerin hak ve özgürlükleri açısından yüksek risk doğurabilecek işleme” ifadesi getirilecektir. Böylece yalnızca yüksek riskli işlemler kayıt tutma yükümlülüğüne tabi olacaktır.
- İstisnalara ilişkin bazı şartlar kaldırılıyor: Özellikle istisna için aranan “aralıklı işleme” koşulunun ve özel nitelikli kişisel veri işlenmesine ilişkin ifadenin kaldırılması öngörülmektedir.
- Hukuki yükümlülük için özel veri işleme muafiyeti: İş hukuku, sosyal güvenlik veya sosyal koruma alanındaki yasal yükümlülüklere uygunluk amacıyla özel nitelikli kişisel verilerin işlenmesinin GDPR madde 9(2)(b) uyarınca öngörülen kayıt tutma yükümlülüğünden muafiyetinin sağlanması önerilmektedir.
Taslak GDPR, yalnızca belirli kriterleri sağlayan SME’leri hedeflemektedir. Büyük ölçekli kuruluşlar ya da yüksek risk içeren veri işleme faaliyetleri bu istisnalardan faydalanamayacaktır. Komisyon, önerinin temelinde risk odaklı bir yaklaşımın yer aldığını vurgulamaktadır.
EDPB ve EDPS, özellikle yüksek riskli veri işleme faaliyetlerinde kayıt tutma yükümlülüğünün korunmasının gerekliliğini vurgulamaktadır. Bu kapsamda, veri koruma etki değerlendirmesi (DPIA) rehberlerinde yer alan “yüksek risk” kriterlerinin esas alınacağı belirtmektedir. Ayrıca, çok küçük ölçekli işletmelerin dahi yüksek riskli işleme faaliyetlerinde bulunabileceği göz önüne alındığında, risk temelli yaklaşımın benimsenmesinin önemi görülmektedir. Sadeleştirme girişiminin kişisel verilerin korunmasıyla kuruluşların operasyonel yükleri arasında adil ve orantılı bir denge sağlaması gerektiğinin altını çizmektedir. Bu nedenle, taslak değişiklikten faydalanacak şirket sayısına ve düzenlemenin uygulamadaki etkilerine ilişkin Komisyon tarafından kapsamlı bir etki analizi yapılması önerilmektedir.
Taslak GDPR’a ilişkin resmi danışma sürecinin, GDPR madde 42(2) uyarınca, taslak mevzuatın yayımlanmasının ardından başlatılması beklenmektedir. Değişikliklerin yalnızca madde 30(5) ile sınırlı kalmayıp, madde 40(1), 42(1) ve 42(2)’yi de etkilemesi öngörülmektedir. Bu öneri, risk odaklı bir GDPR yaklaşımının ilk adımı olarak değerlendirilmekte olup, kabul edilmesi halinde bilgi yükümlülükleri (madde 13–14), sorumluluk ilkesi (madde 24), DPIA (madde 35), veri işleyenlerle sözleşmeler (madde 28) ve ihlal bildirimleri (madde 33) gibi diğer alanlarda da benzer sadeleştirme çalışmaları gündeme gelebilecektir.
Benzer değişikliklerin Strateji Raporu ve raporlarda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nın (KVKK) GDPR ile paralel hale getirilmesi beklenebilecek iken, Türkiye’nin Avrupa Birliği nezdindeki konumu sonucu KVKK’yi etkileyip etkilemeyeceği önem arz edecektir.
