Kişisel verilerin korunması hukuku sistematiği içerisinde şeffaflık ve hesap verilebilirlik ilkelerinin somut bir yansıması olan VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), veri sorumlularının kamuya beyanda bulunduğu ve yasal denetim süreçlerinin temelini oluşturan bir kayıt platformudur. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16. maddesi uyarınca ihdas edilen bu sicil, Kişisel Verileri Koruma Kurulu gözetiminde tutulmakta olup kamuya açık bir nitelik taşır. Kanun koyucu, bu sistemle kişisel verisi işlenen ilgili kişilerin, kendi verilerinin kimler tarafından, hangi amaçla ve ne kadar süreyle işlendiğini sorgulayabilmesine imkân tanımıştır. Dolayısıyla VERBİS, veri sorumlusunun veri işleme süreçlerini disiplin altına alan ve bu süreçleri ilan etmesini zorunlu kılan hukuki bir bildirim mekanizmasıdır.
Sistemin işleyişi ve veri sorumlusuna yüklediği sorumluluklar, Veri Sorumluları Sicili Hakkında Yönetmelik hükümleriyle detaylandırılmıştır. Bu mevzuat çerçevesinde veri sorumluları; veri kategorilerini, kişisel verilerin işlenme amaçlarını, verilerin aktarıldığı alıcı gruplarını, yabancı ülkelere aktarımı öngörülen verileri ve veri güvenliğine ilişkin alınan teknik ve idari tedbirleri sisteme tanımlamakla yükümlüdür. Burada dikkat edilmesi gereken en kritik husus, VERBİS’e somut kişisel verilerin (isim, T.C. kimlik no vb.) değil, bu verilerin hangi türde olduğuna dair kategorik açıklamaların girilmesidir.
VERBİS’e kayıt ve bildirim yükümlülüğü, veri işleme faaliyetine başlanmadan önce yerine getirilmesi gereken bir yasal zorunluluktur. Bu kayıt, sadece bir prosedürden ibaret olmayıp, veri sorumlusunun KVKK uyum sürecindeki ciddiyetini ve hukuki uygunluğunu yansıtan bir beyan niteliğindedir. Sisteme girilen her bilgi, olası bir şikâyet veya resen denetim durumunda kurumun beyanı olarak kabul edildiğinden, verilerin güncelliği ve doğruluğu veri sorumlusunun bizzat sorumluluğundadır.
VERBİS KAYDI NEDİR?
VERBİS kaydı, kişisel veri işleyen gerçek ve tüzel kişilerin veri işleme faaliyetlerine ilişkin bilgileri resmi sicile bildirmesi işlemidir. Bu kayıt yükümlülüğü, veri sorumlularının faaliyetlerini kamuya açık hale getirmeyi ve kişisel verilerin işlenmesinde şeffaflığı sağlamayı amaçlamaktadır.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun m.16 hükmü uyarınca, kişisel veri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Aynı maddenin devamında, sicilin kamuya açık tutulacağı ve usul ile esasların Kurul tarafından belirleneceği düzenlenmiştir. Bu kapsamda sicil, Kişisel Verileri Koruma Kurumu bünyesinde tutulmaktadır.
Kanunun m.10 maddesinde düzenlenen aydınlatma yükümlülüğü ile değerlendirildiğinde, VERBİS kaydı veri sorumlusunun şeffaflık ve hesap verebilirlik ilkesinin bir uzantısıdır. Veri sorumlusu; işlenen veri kategorilerini, veri işleme amaçlarını, veri aktarım yapılan kişi gruplarını, saklama sürelerini ve alınan teknik-idari tedbirleri sisteme beyan etmekle yükümlüdür.
Öte yandan, kayıt yükümlülüğünün yerine getirilmemesi halinde uygulanacak yaptırımlar Kanunun 18. maddesi açıkça düzenlenmiştir. Buna göre, Sicile kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında idari para cezası uygulanmaktadır. Bu nedenle kayıt sürecinin yalnızca şekli bir işlem olarak görülmemesi, veri envanteri ile birebir uyumlu ve gerçeğe uygun şekilde tamamlanması gerekmektedir.
VERBİS’İN YASAL DAYANAĞI NEDİR?
VERBİS’in yasal dayanağı, 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur. Kanunun özellikle 16. maddesi, Veri Sorumluları Sicili’ne ilişkin temel düzenlemeyi içermektedir. Anılan maddeye göre; kişisel veri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Sicilin kamuya açık tutulacağı ve kayıt usul ve esaslarının Kurul tarafından belirleneceği hüküm altına alınmıştır.
Kanunun m.16/2 hükmü uyarınca, Sicile kayıt zorunluluğuna ilişkin istisnalar belirleme yetkisi Kurula verilmiştir. Bu kapsamda bazı veri sorumluları, belirli kriterler (çalışan sayısı, mali bilanço büyüklüğü, faaliyet konusu vb.) dikkate alınarak kayıt yükümlülüğünden muaf tutulabilmektedir.
Ayrıca Kanunun m.22/1-d maddesinde, Sicilin tutulması görevi ve yetkisi Kurula verilmiş; m.18/1-ç bendinde ise Sicile kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında idari para cezası uygulanacağı düzenlenmiştir. Böylece Sicile kayıt yükümlülüğü yalnızca idari bir prosedür değil, yaptırıma bağlanmış açık bir kanuni zorunluluktur; bu noktada idari makamların tesis ettiği işlemlere karşı yargı yoluna başvurulması süreci, genel idare hukuku prensipleriyle sıkı sıkıya bağlıdır.
Kanuna dayanılarak çıkarılan Veri Sorumluları Sicili Hakkında Yönetmelik ile kayıt sürecinin teknik ve idari ayrıntıları belirlenmiştir. Sicil, Kişisel Verileri Koruma Kurumu bünyesinde tutulmakta ve elektronik ortamda yürütülmektedir.
Sonuç olarak VERBİS, doğrudan kanundan kaynaklanan, yaptırıma bağlanmış ve Kurul tarafından düzenlenen bir yükümlülüktür. Bu nedenle veri sorumlularının kayıt zorunluluğunu yalnızca teknik bir işlem olarak değil, KVKK kapsamındaki temel uyum adımlarından biri olarak değerlendirmesi gerekmektedir.
VERBİS KAYDI KİMLER İÇIN ZORUNLUDUR?
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16. maddesi, kişisel veri işleyen tüm gerçek ve tüzel kişilerin Veri Sorumluları Siciline kaydolmasını ana kural olarak belirlemiştir. Ancak aynı maddenin ikinci fıkrası, bu zorunluluğa istisna getirme yetkisini Kişisel Verileri Koruma Kurulu’na tanımıştır. Kurul, bu yetkiye dayanarak yayımladığı çeşitli kararlar ile kayıt yükümlülüğünün kapsamını somut kriterlere bağlamıştır. Bu bağlamda, kimlerin VERBİS’e kaydolmak zorunda olduğu sorusunun cevabı, işletmenin mali hacmi, personel sayısı ve faaliyet alanına göre değişkenlik göstermektedir.
Bu kapsamda, Kişisel Verileri Koruma Kurumu tarafından alınan kararlar doğrultusunda;
- Türkiye’de yerleşik olup 50’den fazla çalışanı bulunan veya
- Yıllık mali bilanço toplamı belirlenen parasal sınırı aşan (2026 için 100 milyon TL)
Gerçek ve tüzel kişi veri sorumluları için VERBİS kaydı zorunludur. Bu iki kriterden yalnızca birinin sağlanması dahi kayıt yükümlülüğü için yeterlidir. Bunun yanında, çalışan sayısı ve mali bilanço kriterlerine bakılmaksızın; ana faaliyet konusu özel nitelikli kişisel veri işlemek olan veri sorumluları için de Sicile kayıt yükümlülüğü bulunmaktadır. Örneğin sağlık kuruluşları, laboratuvarlar veya özel nitelikli veri işleyen bazı danışmanlık firmaları bu kapsamda değerlendirilebilmektedir.
Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları da Kanun kapsamında veri sorumlusu sıfatını haiz olduklarından, herhangi bir ekonomik bareme takılmaksızın VERBİS’e kaydolmakla mükelleftirler.
Yurt dışında yerleşik olan ancak Türkiye’de veri işleyen veri sorumluları ise, Türkiye’deki faaliyetlerinin kapsamına bakılmaksızın bir veri sorumlusu temsilcisi atayarak sicile kayıt yaptırmak zorundadırlar. Bu yükümlülük, 6698 sayılı Kanun’un yer bakımından uygulama alanını belirleyen temel prensiplerden biridir.
Kayıt zorunluluğu kapsamında olmasına rağmen bu ödevi yerine getirmeyenler için Kanun’un 18. maddesinin (ç) bendi uyarınca ağır idari yaptırımlar öngörülmüştür. İlgili madde, sicile kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında Kurul tarafından idari para cezası uygulanacağını açıkça hükme bağlamıştır. Dolayısıyla bir işletmenin veya kurumun, Kurul tarafından ilan edilen istisna listesinde yer alıp almadığını titizlikle analiz etmesi, telafisi güç hukuki ve mali risklerin önüne geçilmesi adına zaruridir.
VERİ SORUMLUSU KİMDİR?
Kişisel verilerin korunması hukukunun merkezinde yer alan veri sorumlusu kavramı, 6698 sayılı Kanun’un 3. maddesinin (ı) bendinde açıkça tanımlanmıştır. İlgili madde hükmüne göre veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bu tanım, bir verinin neden ve nasıl işleneceğine dair “karar verici” mekanizmayı işaret eder.
Bu tanım çerçevesinde belirleyici unsur, kişisel verinin hangi amaçla ve hangi yöntemle işleneceğine karar verme yetkisidir. Örneğin bir şirket, çalışanlarının özlük dosyalarını tutarken, müşterilerine ait iletişim bilgilerini pazarlama amacıyla işlerken veya tedarikçi bilgilerini muhasebe sistemine kaydederken veri sorumlusu sıfatını taşımaktadır.
Veri sorumlusu, yalnızca veriyi fiilen işleyen kişi değildir; verinin işlenmesine ilişkin karar mercii olan kişidir. Bu nedenle veri işleme faaliyetini teknik olarak bir başka firmaya devretmiş olsa dahi, işleme amacını ve kapsamını belirleyen taraf veri sorumlusu olmaya devam eder.
Kanunun m.10 maddesinde düzenlenen aydınlatma yükümlülüğü, m.12 maddesinde düzenlenen veri güvenliğine ilişkin teknik ve idari tedbir alma yükümlülüğü ve m.16 maddesinde düzenlenen Sicile kayıt yükümlülüğü doğrudan veri sorumlusuna aittir. Dolayısıyla veri sorumlusu, KVKK kapsamındaki temel yükümlülüklerin muhatabıdır ve özellikle işçi-işveren ilişkisinin kurulduğu anlarda bu sıfat, iş hukuku mevzuatının getirdiği özlük dosyası tutma ödeviyle eş zamanlı olarak yönetilmelidir.
Uygulamada şirketler, dernekler, vakıflar, hastaneler, özel eğitim kurumları ve birçok ticari işletme veri sorumlusu sıfatını taşımaktadır. Gerçek kişiler de ticari faaliyetleri kapsamında kişisel veri işliyorlarsa veri sorumlusu olabilirler. Veri sorumlusu sıfatının doğru belirlenmesi hem yükümlülüklerin kapsamının hem de VERBİS kayıt zorunluluğunun tespiti açısından kritik öneme sahiptir.
VERİ İŞLEYEN İLE VERİ SORUMLUSU ARASINDAKİ FARK
6698 sayılı Kanun’un 3. maddesi, kişisel verilerin korunması sürecindeki iki temel aktör olan veri sorumlusu ve veri işleyen arasındaki sınırı net bir şekilde çizmiştir. Kanun’un (ı) bendinde tanımlanan veri sorumlusu, işleme faaliyetinin “neden” ve “nasıl” yapılacağına karar veren en üst iradedir. Buna mukabil, (ğ) bendinde tanımlanan veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına verileri fiilen işleyen ayrı bir gerçek veya tüzel kişidir. Bu iki kavram arasındaki temel fark, verinin kaderi üzerindeki karar verme yetkisidir.
Hukuki sorumluluk bakımından en belirgin fark, 6698 sayılı Kanun’un 12. maddesinde kendini gösterir. Veri sorumlusu, veri işleme faaliyetinin hukuki dayanağını oluşturmak ve stratejik amaçları belirlemekle yükümlüyken; veri işleyen, kendisine çizilen sınırların dışına çıkmadan sadece teknik operasyonu yürütür. Örneğin, bir şirketin çalışan maaşlarını hesaplatmak için dışarıdan hizmet aldığı bir muhasebe firması “veri işleyen” konumundadır. Burada hangi verinin toplanacağına ve ne amaçla kullanılacağına muhasebe firması değil, hizmeti alan şirket (veri sorumlusu) karar vermektedir.
Veri sorumlusu, ilgili kişilere karşı doğrudan sorumlu olan ve Kanun’un 10. maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmek zorunda olan taraftır. Veri işleyenin ise ilgili kişiye karşı doğrudan bir aydınlatma yükümlülüğü bulunmasa da veri sorumlusu ile arasındaki sözleşmeye ve Kanun’un 12. maddesinin 2. fıkrasına göre, verilerin güvenliğini sağlamak için gerekli tedbirleri alma konusunda veri sorumlusu ile müştereken sorumludur.
Diğer yandan bir veri sızıntısı meydana geldiğinde, idari para cezalarının muhatabı öncelikle veri sorumlusu olsa da verilerin hukuka aykırı olarak ele geçirilmesi boyutuyla konu ceza hukuku kapsamındaki bilişim suçlarıyla da direkt ilişkilidir.
VERBİS KAYDI İÇİN GEREKLİ ŞARTLAR
Sicile kayıt yükümlülüğü, her veri sorumlusu için aynı koşullara bağlanmamış; 6698 sayılı Kanun’un 16. maddesinin 2. fıkrasının Kurul’a verdiği yetki uyarınca belirli objektif kriterlere dayandırılmıştır. Bir gerçek veya tüzel kişinin VERBİS’e kayıt yaptırmak zorunda olması için öncelikle “veri sorumlusu” sıfatını haiz olması ve Kurul tarafından ilan edilen istisnaların kapsamı dışında kalması gerekir. Bu noktada şartlar, işletmenin ekonomik büyüklüğü ve işlediği verinin niteliği üzerinden iki ana eksende toplanmaktadır.
Ekonomik kriterler bakımından ilk şart, yıllık çalışan sayısı veya yıllık mali bilanço toplamıdır. Mevcut Kurul kararları uyarınca, yıllık çalışan sayısı 50’den çok olan veya yıllık mali bilanço toplamı 100 milyon TL’den fazla olan veri sorumluları için kayıt şartı oluşmaktadır. Bu hesaplamada, bir önceki yılın Sosyal Güvenlik Kurumu verileri ve Gelir İdaresi Başkanlığı’na sunulan beyannameler esas alınır. Şirketin cirosu ne kadar düşük olursa olsun, çalışan sayısı sınırı aşılmışsa veya tam tersi durumda, kayıt yükümlülüğü hukuken doğmuş kabul edilir.
İkinci temel şart ise işlenen verinin türüyle ilgilidir. Özel nitelikli kişisel verileri (sağlık, cinsel hayat, biyometrik veri vb.) ana faaliyet konusu olarak işleyen veri sorumluları için herhangi bir çalışan sayısı veya ciro şartı aranmaz. Bu kapsamda; doktorlar, diş hekimleri, eczaneler, hastaneler ve diğer sağlık kuruluşları, sadece bir çalışanı olsa dahi doğrudan kayıt yükümlülüğü altındadır. Bu şart, Kanun’un 6. maddesinde yer alan özel nitelikli verilerin daha sıkı korunması gerektiği ilkesinden kaynaklanmaktadır.
Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları için kayıt şartı, herhangi bir mali veya idari eşiğe tabi tutulmaksızın kanun gereği mevcuttur. Yurt dışında yerleşik olup Türkiye’de yerleşik ilgili kişilerin verilerini işleyenler için ise, Türkiye’de bir veri sorumlusu temsilcisi atamış olma şartı kayıt sürecinin ön koşuludur. Bu şartların karşılanıp karşılanmadığı, Kanun’un 18. maddesinde düzenlenen yaptırımlarla karşılaşmamak adına her mali yıl başında yeniden değerlendirilmelidir.
Son olarak, Kayıt işlemi bittiğinde sorumluluk sona ermez; nitekim süresi içinde güncellenmeyen her bilgi, idari makamlarca verilen bir karardır ve bu cezalara karşı iptal davası açma hakkı her zaman saklıdır.
VERBİS’E KAYIT SÜRECİ NASIL YAPILIR?
VERBİS’e kayıt süreci, rastgele bir bilgi girişi değil, 6698 sayılı Kanun’un 16. maddesi ve Veri Sorumluları Sicili Hakkında Yönetmelik hükümlerine göre yürütülmesi gereken idari bir prosedürdür. Kayıt işlemi, Kişisel Verileri Koruma Kurumu’nun resmi internet sitesi üzerinden erişilen online bir modül aracılığıyla gerçekleştirilir. Ancak sisteme teknik girişi yapmadan önce, hukuki olarak veri sorumlusunun kendi bünyesinde bir hazırlık evresini tamamlamış olması şarttır.
Sürecin ilk ve en önemli adımı, Veri Sorumlusu Yöneticisi veya İrtibat Kişisi atanmasıdır. Türkiye’de yerleşik olan tüzel kişiler (şirketler, dernekler vb.), sistem üzerinden bir kullanıcı oluşturarak kurum adına işlemleri yürütecek bir irtibat kişisi tanımlarlar. İrtibat kişisi, Kurum ile veri sorumlusu arasındaki iletişimi sağlayan ve sisteme veri girişlerini gerçekleştiren kişidir. Yurt dışında yerleşik veri sorumluları için ise bu süreç, Türkiye’de mukim bir Veri Sorumlusu Temsilcisi atanmasıyla başlar.
Teknik kayıt aşamasında veri sorumlusunun beyan etmesi gereken bilgiler, Yönetmeliğin 11. maddesinde sınırlı sayıda sayılmıştır. Bu bilgiler sisteme girilirken, önceden hazırlanmış olan Kişisel Veri İşleme Envanteri esas alınmalıdır. Kayıt ekranında şu kategorik başlıkların doldurulması zorunludur:
- Veri sorumlusunun kimlik ve adres bilgileri,
- Veri konusu kişi grupları (Çalışan, müşteri, ziyaretçi vb.) ve bu kişilere ait veri kategorileri,
- Verilerin işlenme amaçları,
- Verilerin aktarılabileceği alıcı veya alıcı grupları,
- Yabancı ülkelere aktarımı öngörülen veriler,
- Veri güvenliğini sağlamaya yönelik alınan teknik ve idari tedbirler,
- Verilerin işlendikleri amaç için gerekli olan azami muhafaza süresi.
Sürecin tamamlanması, bu bilgilerin onaylanarak sisteme kaydedilmesiyle gerçekleşir. Ancak kayıt işlemi bittiğinde sorumluluk sona ermez. Kanun gereği, işleme süreçlerinde meydana gelen herhangi bir değişiklik (yeni bir veri türü işlenmesi veya aktarım kanallarının değişmesi gibi), değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden güncellenmelidir. Bu güncellemelerin ihmal edilmesi, sicil bilgilerinin güncel tutulmaması nedeniyle idari yaptırım riskini doğurur.
VERBİS’E KAYIT İÇIN GEREKLİ BELGELER NELERDİR?
VERBİS kaydı için kesin bir belge listesi mevzuatta tek tek sayılmamış olmakla birlikte, kayıt sürecinin sağlıklı yürütülebilmesi için bazı temel bilgi ve belgelerin hazırlanması gerekmektedir. 6698 sayılı Kişisel Verileri Koruma Kanunu’nun m.16 hükmü uyarınca Sicile yapılacak bildirimlerin doğru ve gerçeğe uygun olması zorunludur. Kayıt işlemi sırasında öncelikle veri sorumlusuna ait kimlik ve iletişim bilgileri talep edilmektedir. Tüzel kişiler bakımından ticaret unvanı, MERSİS numarası, vergi numarası, merkez adresi ve yetkili kişi bilgileri sisteme girilmelidir. Gerçek kişi veri sorumluları için ise T.C. kimlik bilgileri ve iletişim verileri yeterli olabilmektedir.
En önemli belge ve hazırlık aşaması, kişisel veri işleme envanterinin oluşturulmasıdır. Veri envanterinde; işlenen kişisel veri kategorileri, veri işleme amaçları, hukuki sebepler, veri saklama süreleri, veri aktarım yapılan kişi veya gruplar ve alınan teknik-idari güvenlik tedbirleri açık şekilde belirtilmelidir. Bu envanter, VERBİS bildirimlerinin temel dayanağını oluşturmaktadır. Ayrıca veri sorumlularının, 6698 sayılı Kanun’un m.12 hükmü kapsamında veri güvenliğini sağlamak amacıyla aldığı teknik ve idari tedbirlere ilişkin bilgileri de hazır bulundurması gerekmektedir. Örneğin erişim yetkilendirme politikaları, şifreleme yöntemleri, log kayıt sistemleri ve benzeri güvenlik uygulamaları kayıt sürecinde değerlendirilebilmektedir.
Başvuru sırasında vekâletname, yetkilendirme yazısı veya temsilci atanmasına ilişkin belgeler de talep edilebilir. Özellikle profesyonel danışmanlık alınarak yürütülen süreçlerde bu belgelerin önceden hazırlanması, kayıt işleminin hızlı tamamlanmasını sağlamaktadır. VERBİS kaydı hukuki açıdan zorunlu bir uyum süreci olduğundan, eksik belge veya hatalı beyan verilmesi idari yaptırım riskine yol açabilmektedir. Bu nedenle kayıt öncesinde kapsamlı bir hukuki değerlendirme yapılması önemlidir.
İRTIBAT KİŞİSİ ATAMA ZORUNLULUĞU
Veri Sorumluları Sicili Hakkında Yönetmelik hükümleri uyarınca, VERBİS’e kayıt yaptırmakla yükümlü olan Türkiye’de yerleşik tüzel kişilerin, Kurum ile iletişimi sağlamak amacıyla bir irtibat kişisi atamaları hukuki bir zorunluluktur. İrtibat kişisi, veri sorumlusunun kişisel verilerin korunması mevzuatına uyum sürecindeki teknik ve idari köprüsü niteliğindedir. Ancak önemle belirtmek gerekir ki, irtibat kişisi atanmış olması, veri sorumlusunun kanun karşısındaki asli sorumluluğunu ortadan kaldırmaz.
Hukuki dayanak noktasına bakıldığında, irtibat kişisinin görev tanımı Yönetmeliğin 11. maddesinde netleştirilmiştir. Bu kişi; veri sorumlusunun sicile kayıt başvurularını gerçekleştiren, ilgili kişilerin (verisi işlenen bireylerin) başvurularını yöneten ve Kişisel Verileri Koruma Kurumu ile yapılacak yazışmaları yürüten kişidir. İrtibat kişisi bir karar mercii değildir; yalnızca veri sorumlusunun talimatları doğrultusunda sistem üzerindeki beyanları giren ve tebligatları kabul eden bir görevlidir.
Tüzel kişilerde irtibat kişisi olarak atanacak kişinin, kurumun üst düzey yöneticisi olması şart değildir; ancak verilerin işlenme süreçlerine hâkim ve mevzuat hakkında bilgi sahibi olması, hatalı bildirimlerin önlenmesi açısından kritiktir. Bir gerçek kişi veri sorumlusu (avukat, doktor vb.) ise bizzat kendisini irtibat kişisi olarak atayabileceği gibi bir başkasını da görevlendirebilir. Kamu kurum ve kuruluşlarında ise durum biraz daha farklıdır; bu yapılarda irtibat kişisinin, ilgili kurumun üst düzey yöneticisi tarafından belirlenmiş bir “daire başkanı” veya “birim amiri” düzeyinde olması beklenir.
İrtibat kişisi atanmaması veya atanan kişinin bilgilerinin VERBİS üzerinde güncel tutulmaması, veri sorumlusunun Kurum ile iletişiminin kopmasına ve dolayısıyla tebligatların usulüne uygun yapılamamasına sebebiyet verebilir. Bu durum, 6698 sayılı Kanun’un 18. maddesi kapsamında düzenlenen “Kayıt ve bildirim yükümlülüğüne aykırılık” kabahatinin bir parçası olarak değerlendirilerek idari para cezası riskini tetikleyebilir. Dolayısıyla irtibat kişisi seçimi ve sisteme tanımlanması, sadece teknik bir giriş değil, hukuki bir temsil görevinin tesisi mahiyetindedir.
VERBİS KAYIT SÜRESİ VE GÜNCELLEME YÜKÜMLÜLÜĞÜ
6698 sayılı Kanun’un 16. maddesi uyarınca veri sorumlularına yüklenen kayıt ödevi, belirli sürelerle sınırlandırılmış ve bu bilgilerin her an güncel tutulması emredilmiştir. Kurul, veri sorumlularının niteliklerine göre (kamu, özel sektör, yabancı şirketler vb.) farklı son kayıt tarihleri belirlemiş olsa da bu sürelerin geçirilmesi doğrudan hukuki yaptırım sonucunu doğurmaktadır.
Kayıt yükümlülüğü altındaki bir veri sorumlusu için süre, veri işleme faaliyetine başlanmadan önce işlemeye başlar. Ancak asıl kritik olan husus, kayıt gerçekleştikten sonraki güncelleme yükümlülüğüdür. Veri Sorumluları Sicili Hakkında Yönetmelik’in 13. maddesi, kayıtlı bilgilerde meydana gelen değişikliklerin, değişikliğin meydana geldiği tarihten itibaren en geç 7 gün içerisinde VERBİS üzerinden bildirilmesini zorunlu kılar. Bu süre, yeni bir veri kategorisinin (örneğin biyometrik veri) işlenmeye başlanması, verilerin aktarıldığı alıcı gruplarının değişmesi veya verilerin saklama sürelerinde yapılan revizyonlar için geçerlidir.
Güncelleme yükümlülüğünün ihlali, sicildeki bilgilerin gerçeği yansıtmaması anlamına gelir ki bu durum 6698 sayılı Kanun’un 18. maddesinin (ç) bendi kapsamında değerlendirilir. Kanun koyucu, sicilin kamuya açık olma niteliği gereği, vatandaşların yanlış bilgilendirilmesini önlemek adına bu süreleri “hak düşürücü” bir titizlikle takip etmektedir. Özellikle şirket birleşmeleri, devirleri veya unvan değişiklikleri gibi durumlarda, sicil bilgilerinin güncellenmemesi veri sorumlusunu ağır idari para cezalarıyla karşı karşıya bırakabilir.
VERBİS BİLDİRİMİNDE YER ALMASI GEREKEN BİLGİLER
VERBİS’e yapılacak bildirimler, veri sorumlusunun kişisel veri işleme faaliyetlerinin genel bir haritasını oluşturur. 6698 sayılı Kanun’un 16. maddesi ve Veri Sorumluları Sicili Hakkında Yönetmelik’in 11. maddesi, sicile hangi bilgilerin girilmesi gerektiğini net bir şekilde belirlemiştir. Bu bildirimlerin en önemli özelliği, somut kişisel verileri değil, bu verilerin hangi kategorilere ait olduğunu ve hangi kurallarla işlendiğini içermesidir.
Bildirim sürecinde sisteme girilmesi zorunlu olan temel unsurlar şunlardır:
- Veri Sorumlusu Bilgileri: Veri sorumlusunun ve varsa temsilcisinin kimlik, adres ve iletişim bilgileri.
- Veri Kategorileri: İşlenen kişisel verilerin niteliğine göre sınıflandırılmış başlıkları (Örneğin: Kimlik, İletişim, Finans, Özlük, Mesleki Deneyim vb.).
- Veri İşleme Amaçları: Verilerin hangi hukuki veya ticari gerekçelerle işlendiği (Örneğin: Sözleşme süreçlerinin yürütülmesi, Pazarlama analiz çalışmalarının yapılması, İş sağlığı ve güvenliği faaliyetleri vb.).
- Veri Konusu Kişi Grupları: Verisi işlenen kişilerin kategorize edilmiş hali (Örneğin: Çalışan, Müşteri, Tedarikçi Yetkilisi, Ziyaretçi vb.).
- Veri Aktarılan Alıcı Grupları: Kişisel verilerin paylaşıldığı üçüncü taraflar (Örneğin: Yetkili kamu kurum ve kuruluşları, Grup şirketleri, Tedarikçiler vb.).
- Yurt Dışına Aktarım: Verilerin Türkiye dışındaki bir ülkeye aktarılıp aktarılmadığına dair beyan.
- Veri Güvenliği Tedbirleri: 6698 sayılı Kanun’un maddesi kapsamında alınan teknik ve idari tedbirlerin (Örneğin: Şifreleme, Sızma testi, KVKK eğitimi, Gizlilik sözleşmeleri vb.) kategorik seçimi.
- Veri Saklama Süreleri: Her bir veri kategorisi için öngörülen azami saklama süreleri.
Hukuki açıdan bu bilgiler, rastgele seçilen seçeneklerden ibaret değildir. Her bir seçimin kurum bünyesinde hazırlanan Kişisel Veri İşleme Envanteri ile birebir örtüşmesi gerekir. Bildirimde yer alan amaçlar ile fiili işleme faaliyetleri arasındaki herhangi bir uyumsuzluk, Kanun’un 18. maddesi uyarınca “sicil bildirim yükümlülüğüne aykırılık” olarak değerlendirilir.
VERI KATEGORİLERİ VE VERİ İŞLEME AMAÇLARININ BİLDİRİMİ
VERBİS bildiriminin temelini oluşturan veri kategorileri ve işleme amaçları, veri sorumlusunun hangi tür verileri hangi gerekçelerle işlediğini gösteren resmi birer bildirimdir. 6698 sayılı Kanun’un 4. maddesinde yer alan “belirli, açık ve meşru amaçlar için işlenme” ilkesi, bu bildirimlerin yasal sınırını oluşturur. Veri sorumluları, sicile kayıt sırasında işledikleri her bir veri grubunu mevzuatta tanımlanan kategorilere ayırmak ve her kategori için ayrı bir işleme amacı tanımlamak zorundadır.
Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca veri kategorileri; kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği gibi başlıklar altında toplanır. Örneğin, bir şirketin çalışanına ait T.C. kimlik numarası “Kimlik” kategorisinde, yerleşim yeri adresi ise “İletişim” kategorisinde beyan edilir. Bu kategorizasyonun doğru yapılması, Kanun’un 5. ve 6. maddelerinde düzenlenen veri işleme şartlarının (hukuki sebeplerin) her kategori için ayrı ayrı analiz edildiğinin göstergesidir.
İşleme amaçları ise, verinin toplanma motivasyonunu açıklar. Bir veri kategorisi birden fazla amaçla işlenebilir; örneğin müşterinin telefon numarası hem “Sözleşme Süreçlerinin Yürütülmesi” hem de “Reklam/Kampanya/Promosyon Süreçlerinin Yürütülmesi” amacıyla işleniyor olabilir. Hukuki açıdan en kritik nokta, “amaçla sınırlılık” ilkesidir. VERBİS’te ilan edilen amacın dışında bir veri işleme faaliyeti yürütülmesi, 6698 sayılı Kanun’un 12. maddesindeki güvenlik yükümlülüklerinin ihlali ve m. 18 kapsamındaki aykırılıklar olarak kabul edilir.
Sicile girilen bu bilgiler, kurumun hazırladığı Kişisel Veri İşleme Envanteri ile doğrudan uyumlu olmalıdır. Eğer envanterde yer almayan bir amaç veya kategori VERBİS’e girilirse veya tam tersi bir durum söz konusu olursa, bu durum idari denetimlerde “yanıltıcı beyan” olarak nitelendirilir. Özellikle Kanun’un 6. maddesinde yer alan özel nitelikli verilerin daha sıkı korunması gerektiği ilkesinden kaynaklanmaktadır ki bu verilerin usulsüz paylaşılması, kişisel hakların ihlali nedeniyle açılacak manevi tazminat davası süreçlerine doğrudan zemin hazırlar.
SAKLAMA SÜRELERİNİN BELİRLENMESİ
Kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi ve bu sürenin sonunda imha edilmesi, 6698 sayılı Kanun’un 4. maddesinde yer alan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ile “ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkelerinin bir gereğidir. VERBİS bildiriminde her bir veri kategorisi için bu sürelerin açıkça belirtilmesi zorunludur.
Hukuki süreçte saklama süreleri belirlenirken öncelikle özel mevzuattaki hükümler dikkate alınır. Örneğin, Türk Ticaret Kanunu veya Vergi Usul Kanunu uyarınca bazı belgelerin 10 yıl saklanması zorunluluğu, kişisel verilerin korunması hukukunda da geçerli bir saklama süresidir. Eğer mevzuatta spesifik bir süre öngörülmemişse, veri sorumlusu veriyi işleme amacını, zamanaşımı sürelerini ve olası bir hak kaybı riskini analiz ederek makul bir süre belirlemekle yükümlüdür.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca, VERBİS’e kayıt yükümlüsü olan veri sorumluları bir Kişisel Veri Saklama ve İmha Politikası hazırlamak zorundadır. VERBİS’e girilen saklama süreleri, hazırlanan bu politika ve veri envanteri ile tam bir uyum içerisinde olmalıdır. Sistemde beyan edilen sürenin dolmasına rağmen verinin hala saklanmaya devam etmesi, Kanun’un 7. maddesinin ihlali anlamına gelir ve hapis cezasını da içeren Türk Ceza Kanunu hükümleri ile KVKK m. 18’deki idari yaptırımlar gündeme gelebilir. Belirtmek gerekir ki idari para cezası şirketlere kesilse de verilerin çalınması veya başkasına verilmesi durumu işin içine girdiğinde, olay özel hayatın gizliliğini ihlal suçu kapsamında bir ceza davasına dönüşebilir.
YURT DIŞINA VERİ AKTARIMI VE VERBİS
Kişisel verilerin Türkiye sınırları dışına çıkarılması, 6698 sayılı Kanun’un 9. maddesinde çok sıkı şartlara bağlanmış özel bir veri işleme faaliyetidir. VERBİS bildiriminde, veri sorumlusunun işlediği veri kategorilerinden herhangi birini yurt dışına aktarıp aktarmadığına dair beyanda bulunması zorunludur. Bu beyan, sadece bir “evet” veya “hayır” seçeneğinden ibaret görünse de arka planda ciddi bir hukuki sorumluluğu ve denetim riskini barındırır.
Kanun’un 9. maddesinde yapılan son değişiklikler uyarınca, yurt dışına veri aktarımı; ya Kurul tarafından ilan edilen yeterlilik kararı bulunan ülkelere ya da yeterlilik kararı bulunmayan durumlarda taraflar arasında imzalanan standart sözleşmeler veya bağlayıcı şirket kuralları gibi uygun güvencelerin sağlanması şartına bağlanmıştır. Eğer bir veri sorumlusu, bulut bilişim hizmetleri (Google Drive, Microsoft 365, Dropbox vb.) kullanıyorsa veya sunucuları yurt dışında bulunan bir yazılım aracılığıyla veri işliyorsa, VERBİS bildiriminde “Yurt Dışına Veri Aktarımı Yapılıyor” seçeneğini işaretlemekle yükümlüdür.
VERBİS üzerinde “Yurt dışına aktarım yapmıyorum” beyanında bulunup, fiilen yabancı menşeli servisler üzerinden veri trafiği yöneten kurumlar, 6698 sayılı Kanun’un 18. maddesi uyarınca “sicil bildirim yükümlülüğüne aykırılık” ve 9. maddedeki aktarım şartlarına uymama nedeniyle ağır idari yaptırımlarla karşılaşabilir. Özellikle aktarılan verinin niteliği (özel nitelikli veriler gibi) yaptırımın boyutunu artırmaktadır. Sicile girilen bu bilgi, Kurum’un veri trafiğini izlemesi için en temel veri kaynağıdır.
Hukuki açıdan bakıldığında, VERBİS’teki yurt dışı aktarım beyanı, veri sorumlusunun aktarım için gerekli olan uygun güvenceleri (standart sözleşme bildirimleri gibi) aldığının da bir ikrarı sayılır. Dolayısıyla, sisteme bu yönde bir giriş yapmadan önce, verinin aktarıldığı üçüncü taraflarla yapılan sözleşmelerin Kanun’un güncel metnine uygun hale getirilmesi ve aktarımın hukuki sebebinin netleştirilmesi, veri sorumlusunun hukuki güvenliği için bir ön şarttır.
VERBİS KAYDI YAPMAMANIN CEZASI
6698 sayılı Kişisel Verilerin Korunması Kanunu, VERBİS’e kayıt ve bildirim yükümlülüğünü bir temenni değil, emredici bir hukuk kuralı olarak düzenlemiştir. Bu yükümlülüğün yerine getirilmemesi, Kanun’un 18. maddesinin 1. fıkrasının (ç) bendi uyarınca doğrudan idari para cezası yaptırımına bağlanmıştır. Kanun koyucu, veri sorumlularının şeffaflık ilkesine aykırı hareket etmesini kamu düzenini bozan bir kabahat olarak nitelendirmektedir.
Uygulanacak idari para cezalarının miktarı, her yıl yeniden değerleme oranına göre güncellenmektedir. 2026 yılı itibarıyla, kayıt ve bildirim yükümlülüğüne aykırı hareket eden veri sorumluları hakkında Kurul tarafından kesilen cezalar altı rakamlı tutarlardan başlayıp milyonlarca Türk Lirası’na kadar ulaşabilmektedir. Bu cezalar sadece kaydın hiç yapılmaması durumunda değil, aynı zamanda kayıtlı bilgilerin güncel tutulmaması veya sisteme yanıltıcı beyan girilmesi hallerinde de uygulanmaktadır.
Hukuki süreçte en çok dikkat edilmesi gereken husus, idari para cezasının muhatabıdır. Tüzel kişilerde (şirketler, vakıflar vb.) ceza doğrudan tüzel kişiliğin kendisine kesilir. Kamu kurum ve kuruluşlarında ise Kanun’un 18. maddesinin 3. fıkrası uyarınca, ihlale sebebiyet veren memurlar ve diğer kamu görevlileri hakkında disiplin hükümlerine göre işlem yapılır ve sonuç Kurul’a bildirilir. Dolayısıyla özel sektör için mali bir yıkım riski söz konusu iken, kamu sektörü için idari ve disipliner bir sorumluluk mekanizması işletilmektedir.
Ayrıca, VERBİS kaydının yapılmamış olması, Kurul nezdinde veri sorumlusunun “kötü niyetli” veya “uyumsuz” olduğu karinesini güçlendirir. Olası bir veri ihlali şikayetinde, sicile kayıtlı olmayan bir veri sorumlusuna verilecek ana ceza, kayıt yükümlülüğüne aykırılık nedeniyle katlanarak artabilir. Bu yaptırımlardan kaçınmanın tek yolu, Kurul tarafından belirlenen istisnalar kapsamında olunmadığı sürece, süresi içinde eksiksiz bir veri envanteri hazırlayarak kaydı tamamlamak ve süreçteki her değişikliği sisteme yansıtmaktır.
VERBİS KAYDININ SİLİNMESİ VEYA İPTALİ
VERBİS kaydı, bir veri sorumlusunun veri işleme faaliyetlerine devam ettiği sürece aktif kalması gereken resmi bir sicildir. Ancak ticari hayatın doğal akışı içerisinde veya yasal şartların değişmesi durumunda, bu kaydın silinmesi veya iptali gündeme gelebilir. Bu süreç, Veri Sorumluları Sicili Hakkında Yönetmelik’in 15. maddesinde “Kaydın Silinmesi” başlığı altında düzenlenmiştir.
Bir veri sorumlusunun sicilden silinmesi temel olarak şu üç durumda gerçekleşir:
- Faaliyetin Sona Ermesi: Tüzel kişiliğin tasfiyesi, şirketin kapanması veya derneğin feshi gibi durumlarda veri işleme faaliyeti hukuken duracağından kaydın silinmesi gerekir.
- Kayıt Yükümlülüğünün Ortadan Kalkması: Kurul tarafından belirlenen yıllık çalışan sayısı veya mali bilanço eşiklerinin altına düşülmesi sebebiyle artık kayıt zorunluluğu kalmayan veri sorumluları silme talebinde bulunabilir.
- İstisna Kapsamına Girme: Yapılan yasal düzenlemelerle veri sorumlusunun yürüttüğü faaliyetin sicilden muaf tutulması durumu.
Hukuki prosedür, veri sorumlusunun veya temsilcisinin sistem üzerinden “Silme Talebi” oluşturmasıyla başlar. Bu talep, Kişisel Verileri Koruma Kurumu tarafından incelenir. Eğer veri sorumlusu bir şirket birleşmesi veya devri nedeniyle silme istiyorsa, bu durumun belgelerle ispatlanması istenir. Kaydın silinmesi, veri sorumlusunun silme tarihinden önceki dönemlere ait sorumluluklarını ortadan kaldırmaz. Yani, sicilden silinen bir kurumun geçmişte işlediği verilere ilişkin 6698 sayılı Kanun kapsamındaki yükümlülükleri ve olası ihlallerden doğan tazminat sorumluluğu devam eder.
Ayrıca, Kurum tarafından yapılan denetimlerde bir veri sorumlusunun aslında kayıt yükümlüsü olmadığı veya yanlış beyanla sisteme girdiği tespit edilirse, Kurul resen (kendiliğinden) kaydın iptaline karar verebilir. Kaydın silinmesiyle birlikte, sistemdeki bilgiler kamuya açık olmaktan çıkarılır ancak veri sorumlusunun daha önce hazırladığı Kişisel Veri Saklama ve İmha Politikası gereği, elindeki verileri de kanuna uygun şekilde yok etmesi veya anonim hale getirmesi gerekmektedir.
VERBİS İLE KVKK UYUM SÜRECİ ARASINDAKİ İLİŞKİ
6698 sayılı Kanun kapsamında yürütülen uyum süreci, bir kurumun tüm işleyişini kapsayan bütüncül bir yapı iken; VERBİS, bu yapının dış dünyaya ilan edildiği bir şeffaflık aracıdır. Dolayısıyla, VERBİS kaydı yapmakla “KVKK sürecini tamamladığını” düşünmek, hukuken en büyük yanılgılardan biridir.
Hukuki terminolojiyle ifade etmek gerekirse; VERBİS bir sonuç, uyum süreci ise bir sebeptir. Sağlıklı bir VERBİS bildirimi yapabilmek için öncelikle kurumun tüm departmanlarında hangi verinin işlendiğinin analiz edildiği bir Kişisel Veri İşleme Envanteri oluşturulmuş olmalıdır. Envanter çalışması yapılmadan, yani uyum sürecinin temel analizi tamamlanmadan sisteme girilen bilgiler, Kanun’un 4. maddesindeki “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil eder. Bu durum, olası bir denetimde sisteme beyan edilen bilgiler ile fiili durumun örtüşmemesi nedeniyle idari yaptırım uygulanmasına yol açar.
VERBİS ile uyum süreci arasındaki ilişkiyi gösteren diğer temel unsurlar şunlardır:
- Aydınlatma Yükümlülüğü: VERBİS’e girilen işleme amaçları ile ilgili kişilere sunulan aydınlatma metinleri birebir uyumlu olmalıdır.
- Teknik ve İdari Tedbirler: VERBİS ekranında “alındı” olarak işaretlenen şifreleme, sızma testi veya eğitim gibi tedbirlerin, uyum süreci kapsamında fiilen hayata geçirilmiş ve belgelendirilmiş olması gerekir.
- İmha Süreçleri: Sicile beyan edilen saklama süreleri dolduğunda, uyum süreci içerisinde belirlenen Saklama ve İmha Politikası uyarınca verilerin sistemlerden silinmesi zorunludur.
Sonuç olarak VERBİS, veri sorumlusunun Kanun’a ne kadar uyumlu olduğunun karinesidir. Bir kurum VERBİS kaydını yapmış olsa bile; eğer açık rıza formları eksikse, veri aktarım sözleşmeleri imzalanmamışsa veya veri güvenliği sağlanmamışsa, KVKK uyum süreci tamamlanmamış sayılır. Bu iki süreç arasındaki ilişkiyi koparmak, kurumu hem idari para cezalarına hem de tazminat davalarına karşı karşıya bırakacaktır.
SIKÇA SORULAN SORULAR (SSS)
VERBİS kaydı zorunlu mu?
6698 sayılı Kanun’un 16. maddesi uyarınca, Kurul tarafından belirlenen kriterleri karşılayan tüm veri sorumluları için VERBİS’e kayıt yaptırmak yasal bir zorunluluktur. Bu yükümlülük, veri işleme faaliyetlerinin şeffaflığını sağlamak amacıyla getirilmiş olup isteğe bağlı bir işlem değildir. Kayıt kapsamındaki bir kuruluşun bu yükümlülüğü yerine getirmemesi, ağır idari para cezalarına yol açmaktadır.
Kimler VERBİS’e kayıt olmak zorunda değildir?
Kişisel Verileri Koruma Kurulu, bazı veri sorumlularını kayıt yükümlülüğünden muaf tutmuştur. Bu kapsamda; sadece manuel veri kayıt sisteminin parçası olarak veri işleyenler, noterler, avukatlar, gümrük müşavirleri ve belirli kriterlerin altında kalan dernek/vakıflar istisna tutulmuştur. Ancak bu muafiyet sadece “siciline kayıt” yükümlülüğünü kapsar; bu kişilerin Kanun’un diğer tüm maddelerine uyma zorunluluğu devam eder.
Şahıs şirketleri VERBİS’e kayıt olmak zorunda mı?
Bir işletmenin şahıs şirketi veya limitet/anonim şirket olması VERBİS yükümlülüğünü doğrudan değiştirmez. Eğer bir şahıs şirketi, yıllık 50’den fazla çalışan istihdam ediyorsa veya yıllık mali bilanço toplamı 100 milyon TL’yi aşıyorsa kayıt yaptırmak zorundadır. Ayrıca, ana faaliyet konusu özel nitelikli veri işleme (örneğin muayenehaneler) olan şahıs işletmeleri, ciro ve çalışan sayısına bakılmaksızın kayıt kapsamındadır.
Dernek ve vakıflar için VERBİS kaydı gerekli mi?
Sadece üyelerine, çalışanlarına ve bağışçılarına yönelik faaliyet yürüten dernek, vakıf ve sendikalar kayıt yükümlülüğünden istisna tutulmuştur. Ancak bu kuruluşlar, iktisadi işletme kurmaları veya istisna kapsamı dışındaki amaçlarla veri işlemeleri halinde VERBİS’e kaydolmak zorundadır. Vakıf ve derneklerin faaliyet alanlarını ve veri trafiğini bu istisnalar ışığında titizlikle analiz etmesi gerekir.
VERBİS kaydı nasıl yapılır?
Kayıt işlemi, Kişisel Verileri Koruma Kurumu’nun çevrimiçi portalı üzerinden dijital olarak gerçekleştirilir. İlk aşamada bir irtibat kişisi atanır ve ardından hazırlanan veri envanterine uygun olarak kategorik bilgiler sisteme girilir. Tüm bilgilerin doğruluğu onaylandıktan sonra bildirim tamamlanmış olur; süreci fiziksel bir evrak gönderimi gerekmeden yönetmek mümkündür.
VERBİS kaydı için son tarih nedir?
Kayıt yükümlülüğü kapsamına giren veri sorumluları için Kurul tarafından belirlenen genel son tarihler (31 Aralık 2021 gibi) geçmiş bulunmaktadır. Yeni kurulan veya büyüme nedeniyle sonradan kayıt kapsamına giren işletmeler için süre, yükümlülük şartlarının oluştuğu tarihten itibaren başlar. Bu nedenle, kriterleri yeni karşılayan şirketlerin vakit kaybetmeden 30 gün içinde kayıt sürecini başlatması tavsiye edilir.
VERBİS’e kayıt olmamanın cezası nedir?
VERBİS’e kayıt ve bildirim yükümlülüğüne aykırı hareket etmenin yaptırımı, 6698 sayılı Kanun’un 18. maddesi uyarınca idari para cezasıdır. 2026 yılı itibarıyla bu cezalar, ihlalin niteliğine ve veri sorumlusunun ekonomik büyüklüğüne göre milyonlarca liraya ulaşabilmektedir. Ceza sadece kaydı yapmamayı değil, eksik veya yanıltıcı bilgi vermeyi de kapsamaktadır.
İrtibat kişisi kim olabilir?
rtibat kişisi, Türkiye’de yerleşik tüzel kişilerde kurumun üst düzey yönetimi tarafından belirlenen bir gerçek kişidir. Bu kişinin hukuk, bilişim veya idari süreçlere hakim olması bildirimlerin doğruluğu açısından önemlidir ancak özel bir sertifika şartı aranmaz. Kamu kurumlarında ise irtibat kişisi olarak birim amiri veya daire başkanı düzeyinde bir görevlinin atanması zorunludur.
VERBİS kaydı ne kadar sürede tamamlanır?
Eğer kurumun veri işleme envanteri hazırsa, VERBİS portalı üzerindeki teknik kayıt işlemi birkaç saat içinde tamamlanabilir. Ancak doğru bir bildirim için gereken hazırlık süreci, yani veri haritalama ve analiz çalışmaları, kurumun büyüklüğüne göre birkaç hafta sürebilmektedir. Teknik giriş kısa sürse de altyapı hazırlığı yapılmadan kayıt yapılması hatalı bildirim riskini doğurur.
VERBİS bilgileri sonradan güncellenebilir mi?
Evet, VERBİS üzerindeki bilgiler veri işleme süreçlerindeki değişikliklere paralel olarak her zaman güncellenebilir. Yönetmelik uyarınca, kayıtlı bilgilerde bir değişiklik meydana gelmesi durumunda, bu değişikliğin 7 gün içerisinde sisteme işlenmesi zorunludur. Bu güncellemeler, sicilin her zaman güncel ve doğru kalmasını sağlamak adına kritik bir yükümlülüktür.
VERBİS kaydı yapmak KVKK’ya tam uyum anlamına gelir mi?
VERBİS kaydı, KVKK uyum sürecinin sadece bir aşamasıdır ve tek başına tam uyum sağlandığı anlamına gelmez. Uyum süreci; aydınlatma metinlerini, açık rıza formlarını, veri imha politikalarını ve teknik güvenlik önlemlerini de kapsayan çok yönlü bir disiplindir. Sadece VERBİS kaydı yapıp diğer hukuki yükümlülükleri ihmal etmek, olası bir denetimde ceza alınmasını engellemeyecektir.
Yurt dışındaki şirketler VERBİS’e kayıt yaptırmak zorunda mı?
Türkiye’de yerleşik olmasa dahi, Türkiye’deki ilgili kişilerin verilerini işleyen yurt dışı merkezli veri sorumluları VERBİS’e kaydolmak zorundadır. Bu şirketler, Türkiye’de bir “Veri Sorumlusu Temsilcisi” atayarak kayıt süreçlerini bu temsilci aracılığıyla yürütürler. Bu zorunluluk, sınır ötesi veri trafiğinde Türk vatandaşlarının haklarını korumayı amaçlamaktadır.
