Küçük şirketler için GDPR temelleri tek bir gerçekle başlar: şirketin küçük olması, kuralı ortadan kaldırmaz; sadece hangi kayıtların ne kadar derin tutulacağını etkiler. Lead topluyorsanız, bordro yürütüyorsanız, web formu kullanıyorsanız ya da müşteri e-postası saklıyorsanız kişisel veri işliyorsunuz. GDPR metni ile Avrupa Veri Koruma Kurulu'nun KOBİ rehberi bunu açık biçimde gösteriyor.
Bu yüzden konu kurumsal devlere özgü değildir. Küçük şirketin de hukuki dayanağa, açık aydınlatma metinlerine, tedarikçi kontrolüne, makul güvenliğe ve ihlal ya da başvuru anında işleyecek bir plana ihtiyacı vardır. Corpenza'nın bağımsız denetim ve uyum desteği, daha geniş denetim, uyum ve AML rehberi ve ilk şirket denetimi hazırlık yazısı aynı operasyonel tabloya bağlanır.
GDPR gerçekten küçük şirkete de uygulanır mı?
Evet. Küçük şirket kişisel veri işlediği anda GDPR kapsamına girer. İşletmenin ölçeği bazı kayıtların ya da rollerin zorunlu olup olmadığını etkileyebilir, fakat veriyi hukuka uygun işleme, kişilere ne yaptığını anlatma, veriyi güvenli tutma ve haklara saygı gösterme yükümlülüğünü ortadan kaldırmaz.
Bunu en net operasyon tarafından okuyabilirsiniz. Çalışan dosyası, CRM kaydı, bülten abonesi, tedarikçi irtibat bilgisi ya da web formundan gelen lead saklıyorsanız konu başlamıştır. Your Europe işletme rehberi controller ve processor ayrımını sade anlatır: controller verinin neden ve nasıl işlendiğine karar verir, processor ise bu veriyi controller adına işler.
Bu ayrım çok hızlı önem kazanır. Bordro aracı, e-posta platformu, bulut depolama hizmeti, pazarlama aracı ve dış HR tedarikçisi bu zincirin bir yerinde durur.
Küçük şirket hangi hukuki dayanağa yaslanmalıdır?
Küçük şirket tek cümlelik genel bir formül kullanmamalı, her işleme faaliyeti için ayrı hukuki dayanak seçmelidir. GDPR'nin 6. maddesi, işlemenin ancak rıza, sözleşme, hukuki yükümlülük, hayati menfaat, kamu görevi veya meşru menfaat gibi dayanaklardan en az biri varsa hukuka uygun olacağını söyler. Çoğu küçük şirkette karışık yapı vardır.
Uygulamada çalışan dosyaları çoğu zaman sözleşme ve hukuki yükümlülükle ilgilidir. Satış sözleşmeleri ve onboarding evrakı genelde sözleşme dayanağına oturur. Pazarlama e-postaları ise bağlama göre rıza veya meşru menfaat altında değerlendirilebilir. Sık hata şudur: aynı cümleyi her forma koyup tüm şirketi koruduğunu sanmak.
Kısa bir veri haritası çıkarın. Her süreç için veri kategorisini, amacı, hukuki dayanağı, saklama süresini, alıcıyı ve sistem sahibini not edin. Tek sayfalık bu çalışma ileride çok iş çözer.
İlk günden hangi belge ve kontroller gerekir?
Küçük şirketin ilk günde kalın bir uyum klasörüne ihtiyacı yoktur. Ama çalışan asgari set gerekir: aydınlatma metni, kişisel veri işleyen tedarikçilerle sözleşmesel kontrol, saklama yaklaşımı, iç başvuru ve ihlal akışı, ayrıca şirketin ne yaptığını ispat etmeye yetecek kayıt düzeni.
| Kontrol | Neden önemli | Küçük şirket hatası |
|---|---|---|
| Aydınlatma metni | Hangi veriyi neden topladığınızı ve ne kadar tuttuğunuzu açıklar. | Gerçek sistemlerle uyuşmayan hazır şablon kullanmak. |
| Tedarikçi sözleşmeleri | Bordro, CRM, e-posta ve bulut araçlarında processor ilişkisini yazılı çerçeveye sokar. | Aracı kullanmaya başlayıp veri işleme şartlarını hiç kontrol etmemek. |
| Saklama kuralları | Her veriyi süresiz tutma alışkanlığını kırar. | Eski aday, lead veya pasif müşteri verisini canlı sistemde bırakmak. |
| Başvuru akışı | Erişim, düzeltme ve silme taleplerinin kaybolmasını önler. | Talebi ortak inbox'ta sahipsiz bırakmak. |
| İhlal planı | Veri sızarsa ekibin hızlı risk değerlendirmesi yapmasını sağlar. | Olay yaşandıktan sonra kimse hangi adımı atacağını bilmiyor olmak. |
Your Europe ayrıca şirketin GDPR'ye uygun davrandığını ispat edebilmesi gerektiğini söylüyor. Bu, hesap verebilirlik ilkesinin düz iş dilindeki halidir. Regülatör, banka, yatırımcı ya da due diligence ekibi süreç sorduğunda “korunduğumuzu sanıyorduk” cevap sayılmaz.
250 çalışanın altındaki şirket yine kayıt veya DPO tutar mı?
Bazen evet. GDPR küçük organizasyonlara kayıt yükümlülüğünde daha dar bir alan tanır, fakat 30(5). madde tam muafiyet yaratmaz. İşleme risk doğuruyorsa, arızi değilse veya özel nitelikli veri ya da suç verisi içeriyorsa hafif rejim biter. Kurucuların çoğu bu istisnayı beklediğinden daha geniş bulur.
Bu nedenle küçük işverenin de yapılandırılmış işlem kayıtlarına ihtiyacı olabilir. Çünkü HR verisi arızi değil, süreklidir. Bir health-tech girişimi özel nitelikli veriye doğrudan dokunabilir. Kullanıcı profillemesi yapan e-ticaret şirketi daha ağır beklentilere yaklaşabilir.
Veri Koruma Görevlisi de otomatik değildir. 37. madde, büyük ölçekli düzenli ve sistematik izleme ya da özel nitelikli verilerin büyük ölçekte işlenmesi gibi tetikleri sayar. Pek çok küçük şirketin resmi DPO'su gerekmez. Bazılarında ise açıkça gerekir. Doğru soru sadece çalışan sayısı değildir. Şirketin veriyi her gün fiilen nasıl kullandığıdır.
İhlal yaşanırsa veya müşteri başvuru yaparsa ne olur?
Küçük şirketin bu güne gelmeden önce yanıt yolunu kurması gerekir. GDPR, kişilerin hak ve özgürlükleri için risk doğurma ihtimali bulunan ihlallerde, denetim otoritesine gereksiz gecikme olmadan ve mümkünse farkındalıktan itibaren 72 saat içinde bildirim bekler. Bu saat hızlı akar.
Aynı hız veri sahibi başvurularında da vardır. Your Europe, taleplerin gecikmeksizin ve her hâlde bir ay içinde cevaplanması gerektiğini, karmaşık ya da çoklu taleplerde iki aylık ek sürenin ancak kişiye bildirilerek kullanılabileceğini anlatır. Operasyonel ders nettir: talebi isimli sorumluya yönlendirin, süreyi kayda alın, cevabın kanıtını saklayın.
Küçük şirketlerin burada zorlanma nedeni hukukun anlaşılmaz olması değildir. Inbox'un sahipsiz kalması, tedarikçi listesinin eski olması ve olay bilgilerinin Slack, e-posta ve kurucunun telefonuna dağılmasıdır.
Küçük şirket için gerçek GDPR riski ve ceza nedir?
Başlıktaki ceza sınırları gerçektir; tek tek olaylardaki sonuç elbette bağlama göre değişir. GDPR'nin 83. maddesi bazı ihlaller için 20 milyon EUR'ya veya dünya çapındaki yıllık cironun %4'üne kadar idari para cezasına izin verir. Küçük şirket bunu korku cümlesi olarak değil, yönetişim uyarısı olarak okumalıdır.
Pratikte zayıf GDPR alışkanlığının maliyeti çoğu zaman azami cezadan önce çıkar. Satış sürecinde uzayan güvenlik soru formları. Banka ve yatırımcı incelemelerinde gelen sorular. Dağınık çalışan çıkışları. Temizlik işi için harcanan zaman. Regülatör kapıyı çalmadan önce küçük şirkete bunlar yeterince pahalıdır.
Bu hafta temel adımla başlayın: veri akışlarını listeleyin, hukuki dayanak atayın, tedarikçi sözleşmelerini gözden geçirin, saklama sürelerini kısaltın ve baskı anında tek kişinin işletebileceği ihlal ile başvuru akışını yazın. Sonra yeni araç, pazar ya da işe alım kanalı eklendiğinde bunu tekrar gözden geçirin.
SSS: küçük şirketler için GDPR temelleri
İki kişilik startup da GDPR kapsamına girer mi?
Evet. GDPR sadece ekip büyüklüğüne bakmaz, işleme faaliyetine bakar. Lead toplayan, fatura kesen, çalışan istihdam eden ya da AB kullanıcı analitiği tutan iki kişilik girişim de kişisel veri işler.
Her küçük şirkette ana dayanak rıza mıdır?
Hayır. Rıza yalnızca dayanaklardan biridir. Pek çok rutin işlem sözleşme veya hukuki yükümlülük altında yürür. Aslında başka dayanak gerekirken rıza kullanmak sonradan gereksiz sorun çıkarabilir.
Küçük şirket her zaman 30. madde kaydı tutmalı mı?
Her zaman zorunlu olmayabilir, ama çoğu şirketin yine de kısa pratik kayıt tutması faydalıdır. 250 kişi altı kuralının istisnaları vardır ve işlem kaydı denetimde çok iş görür.
Yatırım turu öncesi DPO gerekir mi?
Yatırım toplamak tek başına DPO tetiklemez. Test, şirketin ana faaliyeti içinde büyük ölçekli izleme ya da büyük ölçekli özel veri işlemesi yapıp yapmadığıdır.
En hızlı ilk düzeltme nedir?
Bir veri haritası ve bir tedarikçi listesi çıkarın. Eksik hukuki dayanak, belirsiz saklama, zayıf sözleşme ve unutulmuş sistem boşlukları en hızlı burada görünür.
Bu içerik genel bilgilendirme amaçlıdır; hukuki veya vergisel danışmanlık değildir. Kurallar değişir ve somut duruma göre değerlendirilmelidir.
Şirketiniz AB müşterisi, çalışanı ya da lead verisi işliyorsa ve genel şablon yerine uygulanabilir bir kurgu istiyorsanız Corpenza'nın bağımsız denetim ve uyum desteği ile iletişim kanalı üzerinden kapsamlı bir değerlendirme planlanabilir.
