VERBİS KAYDI ŞARTLARI (2025)

VERBİS kaydı şartları 6698 sayılı KVKK uyarınca veri sorumlularının Kişisel Verileri Koruma Kurulu nezdindeki Sicil’e kaydolabilmesi için gerekli olan şartlardır. Bu şartlar kişisel veri işleyen gerçek ya da tüzel kişiler için önem arzetmektedir. Bu yazımızda öncelikle VERBİS sicili ve hukuki dayanağına değinildikten sonra sicile kaydolmanın şartları ve kaydolunmaması halinde meydana gelebilecek idari yaptırımlara değinilecektir.

VERBİS Nedir?

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca veri sorumlularının kişisel veri işleme faaliyetlerini kamuya açık biçimde beyan ettiği BİR SİCİL sistemidir. VERBİS kaydı; veri envanteri, işleme amaçları, veri kategorileri, alıcı grupları, saklama süreleri ve güvenlik tedbirlerinin Kişisel Verileri Koruma Kurulu nezdinde şeffaflaştırılmasını sağlar. Böylece ilgili kişiler (örneğin verilerini paylaşan müşteri), bir veri sorumlusunun verilerini hangi amaçla ve ne kadar süre işlediğini Sicil Sorgulama ekranından görebilir.

VERBİS’in Açılımı ve Amacı

VERBİS’in açılımı “Veri Sorumluları Sicil Bilgi Sistemi”dir. Bu sicil sisteminin amacı, veri sorumlularının verbis kaydı üzerinden kişisel veri işleme süreçlerini standart bir şablonla açıklamasını sağlamak, hesap verebilirlik ve şeffaflık ilkelerini güçlendirmektir. Bu sayede veri işleyen gerçek/tüzel kişilerin denetlenebilirliği artmaktadır. Ayrıca kamuoyu, veri işleme faaliyetlerine dair asgari bilgiyi tek bir yerden doğrulayabilir. VERBİS sistemi, 6698 sayılı Kişisel Verilerin Korunması Kanunu m.16’da düzenlenmektedir.

Kişisel Verilerin Korunması Kanunu (KVKK) ile İlişkisi

KVKK m.16, veri sorumlularının kişisel veri işlemeye başlamadan önce Sicile (VERBİS) kaydolmalarını zorunlu kılmaktadır. Usul ve esaslar Veri Sorumluları Sicili Hakkında Yönetmelik ile belirlenir. Bu sicil sisteminin amacı aynı kanunun 4. maddesinde düzenlenen ilkelerine pratiğe dönüştürmektir.

VERBİS Kaydının Hukuki Dayanağı

6098 sayılı Kişisel Verilerin Korunması Kanunu 16. maddesinde, Kişisel Verileri Koruma Kurulun’un gözetiminde, başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulacağı düzenlenmektedir. Bu sicil VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) olup kişisel veri işleme süreçlerinin açıklamasını sağlamaya, hesap verebilirlik ve şeffaflık ilkelerini gerçekleştirmeye yöneliktir. Bu ilkeler aynı kanunun 4. maddesinde düzenlenmiş olup ilgili sicil sistemi aracılığı ile uygulamada önem kazanmaktadır.

Kimler VERBİS’e Kayıt Olmak Zorundadır?

Kural olarak; Türkiye’de yerleşik olup belirli eşikleri aşan veri sorumluları ve Türkiye’de yerleşik olmasa daTürkiye’de veri sorumlusu sıfatıyla kişisel veri işleyen yurt dışı mukim veri sorumluları verbis kaydı yapmak zorundadır. Bu yükümlülük, veri işleme faaliyetine başlamadan önce yerine getirilir.

VERBİS Kaydı Zorunlu mudur?

Kural olarak verbis siciline kaydolmak kanuni bir zorunluluktur. Sicile kaydolmadan kişisel veri işlenmesi halinde Kişisel Verilerin Korunması Kanunu’nun 18. maddesi uyarınca idari para cezaları uygulanmaktadır. Lakin aynı kanunun 28. maddesinde istisnalar şu şekilde sayılmıştır:

• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması

• İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması

• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması

hallerinde Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğü uygulanmayacaktır. Bunun haricinde Kişisel Verileri Koruma Kurulu tarafından verilen bazı kararlarla da istisna getirilmesi mümkündür.

Gerçek ve Tüzel Kişiler İçin Kayıt Zorunluluğu

Kişisel Verilerin Korunması Kanunu, gerçek ve tüzel kişi farkı gözetmeksizin veri sorumlusunu, “kişisel verilerin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan kişi olarak tanımlamaktadır. Şirketler, dernekler, vakıflar, sendikalar, serbest meslek mensupları veya tek başına faaliyet gösteren girişimciler, veri sorumlusu sıfatına haiz olarak VERBİS kaydı yükümlülüğüne sahip olabilirler.

Yurt Dışında Yerleşik Veri Sorumluları

Türkiye’de kişisel veri işleyen yurt dışında yerleşik veri sorumluları, Türkiye’de bir veri sorumlusu temsilcisi atamak ve VERBİS kaydı yaptırmak zorundadır. Temsilci VERBİS işlemlerini veri sorumlusu adına gerçekleştirmeye yetkilidir.

Bu durum ile ilgili olarak Kişisel Verileri Koruma Kurulunun 16.07.2020 tarihli ve 2020/542 sayılı Karar’ına değinmekte fayda vardır. Kurul bu kararında; bir gerçek kişinin, yurt içinde yerleşik birden fazla veri sorumlusu için irtibat kişisi olarak atanmasının uygun olmadığına lakin yurt dışında yerleşik birden fazla veri sorumlusu için irtibat kişisi olarak atanmasının uygun bulunduğuna karar vermiştir.

İstisna Kapsamında Olanlar (Küçük İşletmeler, Avukatlar, Dernekler vb.)

Kişisel Verilerin Korunması Kanunu’nun 16. maddesinde Kişisel Verileri Koruma Kuruluna istisna getirme yetkisinin mevcut olduğu da düzenlenmektedir. Kurul bu yetkiye dayanarak bazı kararları ile VERBİS kaydı zorunluluğuna istisna getirmiştir:

• Kişisel Verileri Koruma Kurulunun 22/04/2020 Tarihli ve 2020/315 Sayılı Kararı’nda; yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikaların VERBİS kaydı zorunluluğunun istisnası oluşturacağına karar verilmiştir.

• Kişisel Verileri Koruma Kurulu’nun 04/09/2025 Tarihli ve 2025/1572 Sayılı Kararı’nda; Ana faaliyet konusu özel nitelikli kişisel veri işleme olmakla birlikte yıllık çalışan sayısı 10’dan az ve yıllık mali bilanço toplamı 10 milyon Türk Lirasından az olan gerçek veya tüzel kişi veri sorumlularının da Sicile kayıt ve bildirim yükümlülüğünden istisna tutulmasına karar verilmiştir.

Bunlar dışında 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler ile 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar VERBİS kaydı yapmayacaktır. Bunların yanında arabulucuların da ilgili sicile kayıt olmayacaklarını belirtmek mümkündür.

VERBİS Kaydı İçin Şartlar Nelerdir?

VERBİS kaydı için öncelikle veri sorumluları kapsamlı bir biçimde kişisel veri işleme envanterinin hazırlamalıdır. Envanterde kişisel verilerin işlenme amaçları, veri kategorileri, ilgili kişi grupları, alıcı ve alıcı grupları, yurt içi ve yurt dışına aktarım durumları, saklama süreleri ile alınan teknik ve idari tedbirler sistematik biçimde yer alır. Tüzel kişiler, yönetim organı dışında bir irtibat kişisi atar; yurt dışında yerleşik veri sorumluları ise Türkiye’de yerleşik bir veri sorumlusu temsilcisi belirler. İrtibat kişisi, Türkiye’de yerleşik ve Türkiye Cumhuriyeti vatandaşı bir gerçek kişi olmak durumundadır.

Bunların haricinde aydınlatma yükümlülüğünü karşılayan metinler ile kişisel verisi işlenen kişinin açık rızasının alınması için gerekli prosedürler hazırlanır. Aynı zamanda saklama ve imha politikası oluşturularak işlenen kişisel verilerin anonimim hale getirme prosedürleri tanımlanır.

Başvuru, VERBİS sistemi üzerinden gerçekleştirilir. Başvuru sırasında sicile kaydedilecek bilgiler ile temel kimlik ve iletişim verileri (unvan/ad-soyad, MERSİS veya vergi kimlik numarası, KEP adresi ve diğer iletişim bilgileri) eksiksiz girilmelidir. Aynı zamanda irtibat kişisinin e-Devlet doğrulaması tamamlanır ve envanterden türetilen alanlar beyan edilir. VERBİS kaydı tamamlandıktan sonra, beyanların güncelliği ve doğruluğu veri sorumlusunun sorumluluğundadır. Veri işleme faaliyetlerinde değişiklik meydana geldiğinde ilgili kayıtlar gecikmeksizin güncellenmelidir; zira VERBİS kayıtlarının gerçeğe aykırı ile güncel olmama hallerinde veri sorumlusu aleyhine idari yaptırımlar meydana gelebilir.

Veri Sorumlusunun Kayıt Öncesi Hazırlıkları

Kayıt öncesinde veri sorumlusu veri envanteri oluşturmalıdır. Veri envanteri, veri sorumlusunun işledikleri tüm kişisel verileri değerlendirmesi ve bu değerlendirmeler ışığında kişisel verileri raporladıkları alan olması sebebiyle oldukça önemlidir. Veri sorumlusu VERBİS kaydı için veri envanteri hazırlarken işleme amaçlarını, veri kategorilerini, ilgili kişi gruplarını, alıcı/alıcı gruplarını, aktarım ve saklama sürelerini belirler. Ayrıca aydınlatma metinleri ve açık rıza formları oluşturulmalıdır.

Veri Envanteri Oluşturulması

Öncelikle her veri sorumlusunun veri envanteri hazırlama yükümlülüğü yoktur. Yalnızca VERBİS kaydı yaptırma zorunluluğu olan veri sorumlusunun veri envanteri hazırlama yükümlülüğü mevcuttur.. Veri envanteri, bir kurumun kişisel verileri hangi iş süreçlerinde topladığını, neden işlediğini, kimlerle paylaştığını ve ne kadar süre sakladığını sade biçimde göstermesi sebebiyle oldukça önemlidir. Bu envanter hazırlanırken veri sorumlusu olan tüzel kişilik bünyesinde yer alan her bölüm, yaptığı işi gözden geçirir. Örneğin insan kaynakları aday başvurularını, pazarlama kampanya iletişimlerini, satış birimi müşteri bilgilerini hangi amaçla aldığını ve hangi sistemlerde tuttuğunu yazar. Yurt içi ya da yurt dışı paylaşım olup olmadığı, verilerin ne zaman silineceği ve bu bilgileri korumak için alınan temel güvenlik önlemleri de net şekilde belirtilmektedir.

Kişisel Veri İşleme Politikası Hazırlama

Bununla ilgili olarak öncelikle kişisel verilerin hangi koşullarda işlenebileceğine değinmek gerekir. Kişisel veriler aşağıdaki durumlardan birinin varlığında işlenebilecektir:

• İlgili kişinin açık rızasının varlığı
• Kanunlarda açıkça kişisel verinin işleneceği öngörülmüşse
• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması koşuluyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için ilgili kişinin kişisel verisinin işlenmesinin zorunlu olması
• Kişisel verinin ilgili kişi tarafından alenileştirilmiş olması
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

hallerinde ilgili kişinin kişisel verisi işlenebilir. Bu şartlar 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. maddesinde sınırlı sayıda sayılmıştır, dolayısıyla yorum yoluyla genişletilmesi mümkün değildir.

Kişisel Veri İşleme Politikası da veri sorumlusunun kişisel verileri hangi amaçlarla, hangi hukuki sebeplere dayanarak ve hangi ilkelere uygun şekilde işlediğini düzenleyen bir metindir. Politika; veri sorumlusunun veri işleme amaçlarını, veri kategorilerini, ilgili kişi gruplarını, işleme ve aktarım süreçlerini, saklama-imha esaslarını ve alınan teknik-idari tedbirleri ortaya konulmaktadır. Aydınlatma yükümlülüğünün nasıl yerine getirileceği, açık rızanın hangi hallerde alınacağı ve başvuru/şikayet süreçlerinin işleyişi de bu metinde yer alır. Kişisel Veri İşleme Politikası hazırlanırken uzman bir avukattan destek almak önemlidir. Zira yanlış hazırlanması durumunda veri sorumlusunun aleyhine idari yaptırımların uygulanması olası bir durumdur.

Sicile Kaydedilecek Bilgiler

Sicile kaydedilecek bilgiler, veri sorumlusunun kimlik ve iletişim unsurlarını ile envanterden türetilen temel beyanları içerir. Bu kapsamda unvan/ad-soyad, MERSİS veya vergi kimlik numarası, adres, KEP ve diğer iletişim bilgileri ile tüzel kişilerde irtibat kişisi; yurt dışında yerleşik veri sorumlularında ise Türkiye’deki veri sorumlusu temsilcisi bilgileri sisteme girilir.

Ayrıca kişisel veri işleme amaçları, veri kategorileri, ilgili kişi grupları, alıcı ve alıcı grupları, yurt dışına aktarım yapılıp yapılmadığı ile aktarım yapılacak ülke ve kişi/kuruluşlar, saklama süreleri ve alınan teknik–idari tedbirlere ilişkin bilgiler bildirilir. Beyanların güncel ve gerçeğe uygun olması veri sorumlusunun sorumluluğundadır. Veri işleme faaliyetlerinde değişiklik meydana geldiğinde kayıtlar gecikmeksizin güncellenir ve sicildeki açıklamalar kurumun hesap verebilirlik yükümlülüğünü destekler.

VERBİS kaydı yapılırken en önemli durum veri envanterinin hazırlanmasıdır. Hazırlanacak olan bu envanter aslında VERBİS kaydının temelini oluşturmaktadır. Özellikle bu envanterin hazırlanması ile birlikte VERBİS kaydı süreci sisteme girilecek kişisel verilerin fazlalığı göz önüne alındığında teknik ve zor bir işlemdir. Dolayısıyla bu konuda uzman bir avukattan destek alınması veri sorumlusu aleyhine olası bir idari para cezasını önleyebilmektedir.

VERBİS Kayıt Süreci Nasıl Yapılır?

VERBİS kayıt sürecinin en önemli aşaması kişisel veri işleme envanterinin oluşturulmasıdır. Öncelikle veri sorumlusu, kişisel veri işleme envanterini tamamlar. Tüzel kişiler için bir irtibat kişisi, yurt dışında yerleşik olanlar için Türkiye’de bir veri sorumlusu temsilcisi belirlenmektedir. Ardından sistemde kullanıcı oluşturulur ve irtibat kişisi e-Devlet üzerinden doğrulama yapar. Kurum/işletme bilgileri, iletişim ve KEP adresi gibi temel bilgiler kaydedilir.

Adım Adım VERBİS’e Kayıt İşlemi

1. Kişisel veri işleme envanteri hazırlanmalıdır.
2. Tüzel kişiler açısından irtibat kişisi seçilmelidir. Eğer yurt dışında yerleşik bir tüzel kişi ise veri sorumlusu temsilcisi atanma ve sisteme onun kaydı yapılmalıdır.
3. Temel kurum bilgileri (Unvan/ad-soyad, MERSİS veya vergi kimlik numarası, adres, KEP ve iletişim bilgileri) sisteme kaydedilir.
4. Envanter ile birlikte istenen beyanlar (İşleme amaçları, veri kategorileri, ilgili kişi grupları, alıcı/alıcı grupları, yurt içi-yurt dışı aktarım bilgileri ve saklama süreleri) kaydedilir.
5. 6698 sayılı Kişisel Verilerin Korunması Kanunu m.12 ve Kişisel Verileri Koruma Kurulu tarafından öngörülen güvenlik tedbirleri beyan edilmelidir.
6. En son olarak da girilen verilerin doğruluğu kontrol edilmelidir.

e-Devlet Üzerinden Başvuru

e-Devlet üzerinden başvuru, irtibat kişisinin kimlik doğrulaması ile başlar. İrtibat kişisi, e-Devlet Kapısı’nda Kişisel Verileri Koruma Kurumu hizmetleri bölümünden VERBİS bağlantısını seçerek sisteme erişim sağlanır. Kurum/işletme bilgileri MERSİS veya vergi kimlik numarası ile eşleştirilmelidir. KEP adresi ve iletişim bilgileri kontrol edilir ve eksik alanlar tamamlanır. Yurt dışında yerleşik veri sorumluları için temsilci bilgileri sisteme girilir.

Doğrulama sonrasında sicile kaydedilecek bilgiler kişisel veri işleme envanteri ile uyumlu şekilde beyan edilir ve başvuru onaylanır. Kayıt işlemi bitince sistem çıktıları saklanır ve gerekli durumlarda iç denetim kayıtlarına eklenir. Bilgi değişikliği meydana geldiğinde güncellemeler yine e-Devlet üzerinden yapılmalıdır. Özellikle beyanların doğruluğu düzenli olarak gözden geçirilmelidir.

Temsilci Atama ve Yetkilendirme

Yurt dışında yerleşik veri sorumluları, Türkiye’de veri sorumlusu temsilcisi atamak zorundadır. Temsilci, Kurum ve ilgili kişiler nezdinde tebligat ve iletişimi, VERBİS bildirimlerinin yapılmasını ve güncel tutulmasını sağlar. Ayrıca başvuru ve şikayet süreçlerinin yönetimine destek olur. Türkiye’de yerleşik veri sorumluları ayrıca bir irtibat kişisi belirler. İrtibat kişisi, kurum içi koordinasyonu yürütür, kayıt ve bildirim işlemlerini takip eder ve Kurum ile iletişimi sağlar.

Bilgilerin Sisteme Girilmesi ve Onay Süreci

Envanterde belirlenen işleme amaçları, veri kategorileri, ilgili kişi ve alıcı grupları, aktarım bilgileri, saklama süreleri ile teknik-idari tedbirlerin eksiksiz ve tutarlı biçimde beyan edilmesiyle bilgiler sisteme kaydedilir. Tüzel kişiler için irtibat kişisi e-Devlet üzerinden kimlik doğrulamasını tamamlar; unvan, MERSİS/vergi kimlik numarası, adres, KEP ve iletişim bilgileri kontrol edilerek güncel hâle getirilir. Yurt dışında yerleşik veri sorumluları için temsilci bilgileri eklenir.

VERBİS kaydı yapılırken özellikle sisteme yüklenen bilgilerin eksiksiz ve güncel olması oldukça önemlidir. Zira bu bilgilerin doğruluğu açısından veri sorumlusu yükümlülük altındadır. Bilgilerin hatalı girilmesi sebebiyle veri sorumlusunun idari yaptırımlarla karşılaşması olasıdır.

VERBİS Kaydının Zamanı ve Süreleri

VERBİS kaydı, kayıt yükümlülüğü bulunan veri sorumluları için kişisel veri işleme faaliyeti başlamadan önce tamamlanmalıdır. Veri sorumlusu tarafından gerçekleştirilen ilk kayıt sonrasında ayrıca bir yenileme prosedürü bulunmamaktadır. Ancak beyanlarda değişiklik olduğunda kayıt gecikmeksizin güncellenir ve bilgiler güncel tutulur. Yeni kurulan ya da istisna şartları ortadan kalkarak yükümlü hale gelen veri sorumluları, en kısa sürede kayıt yapar ve işleme faaliyetlerini bu kayıtla uyumlu şekilde yürütür.

Kayıt Sürelerinin Belirlenmesi

VERBİS kaydı yükümlülüğü bulunan veri sorumluları, kişisel veri işleme faaliyeti başlamadan önce kayıt yükümlülüğünü tamamlamalıdır. Eğer yükümlü olmasına karşılık veri sorumlusu VERBİS kaydı yaptırmazsa ciddi idari yaptırımlarla karşılaşabilir.

Geç Kayıt veya Eksik Bildirim Durumu

Geç kayıt veya eksik bildirim durumunda VERBİS’e ilişkin yükümlülüklerin ihlali oluşur ve ilgili veri sorumlusu açısından idari yaptırım gündeme gelir. Kişisel Verileri Koruma Kurulu, denetimlerinde ya da şikayet süreçlerinde bu hususlar tespit ettiğinde, veri sorumlusuna eksiklikleri gidermesi için süre verilebilir; süresinde gereğinin yapılmaması halinde idari para cezası uygulanabilir. Bu konuya ilişkin olarak VERBİS bildirimlerinin beyan niteliğinde olduğunu ve gerçeğe aykırı veya güncel olmayan bilgilerin, hesap verebilirlik ilkesini zedelediğini söyleyebiliriz.

Bu durum ortaya çıktığında veri sorumlusu, öncelikle mevcut envanteri ve politika/prosedürleri gözden geçirerek; eksik veya hatalı alanları tespit ederek derhal düzeltmeli ve sistemi güncellemelidir. İrtibat kişisi üzerinden e-Devlet’te gerekli revizyonlar tamamlanarak idari yaptırımın önüne geçilmesi mümkündür.

VERBİS Kaydı Yapmamanın Sonuçları

VERBİS kaydı yapılmaması durumu, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 18. maddesinde “kabahat” olarak düzenlenmiştir. Burada yükümlü olmasına rağmen VERBİS kaydı yapmayan veri sorumluları açısından ciddi miktarda idari para cezaları öngörülmüştür. İdari yaptırımların bu şekilde düzenlenmesinin altında yatan en büyük amaç ise kişisel verilerin daha iyi korunması ve veri sorumlularının denetlenebilmesidir.

İdari Para Cezaları (2025 Güncel Tutarlar)

Yükümlülüğü olmasına rağmen VERBİS kaydı yaptırmama durumunda veri sorumluları açısından ciddi idari para cezaları öngörülmüştür. 2025 yılında güncel olarak VERBİS kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 272.380,00 TL’den 13.620.402,00 TL’ye kadar idari para cezası öngörülmüştür.

Bu cezalarla ilgili olarak değinilmesi gereken başka bir husus ise idari para cezalarının yalnızca gerçek kişilere ve özel hukuk tüzel kişilerine uygulanır. Bu cezalar kamu kurumlarına uygulanmaz. Ayrıca bu idari cezalara itiraz sürecine de değinmekte fayda vardır. Bu cezalara karşı esasen sulh ceza hakimliğine itirazda bulunulurken 12.03.2024 tarihli yasa değişikliği ile artık bu cezalara karşı idare mahkemelerinde dava açılması gerekmektedir.

Denetimler ve KVKK Yaptırımları

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca Kurul, re’sen veya şikayet üzerine veri sorumluları hakkında denetim yapabilir. Denetim sonucunda tespit edilen ihlaller için ilgili Kanun’un 18. maddesi kapsamında idari para cezası uygulanmaktadır. Ayrıca Kurul; eksikliklerin giderilmesi, veri güvenliği tedbirlerinin artırılması, işlenen verilerin silinmesi veya imhası gibi idari tedbirlere de karar verebilir. Veri ihlali bildirim yükümlülüğüne uyulmaması, aydınlatma veya veri güvenliği hükümlerinin ihlali, VERBİS kayıt eksiklikleri ve hukuka aykırı aktarım gibi durumlar yaptırım konuları arasındadır.

Sicil Dışında Kalanların Riskleri

VERBİS kaydı zorunluluğu olup da sicile kayıt yaptırmayan veri sorumluları açısından idari para cezası yaptırımı riski oldukça muhtemeldir. Bu idari para cezası tutarı (2025 yılı için) 272.380,00 TL’den 13.620.402,00 TL’ye kadardır.

VERBİS Kayıt Bilgilerinin Güncellenmesi

VERBİS kaydı zorunluluğu bulunan veri sorumluları kayıt yaptırdıktan sonra bilgilerin değişmesi durumunda, sistemde var olan bilgileri güncellemesi gerekir. İşleme amaçları, veri kategorileri, ilgili kişi ve alıcı grupları, yurt dışına aktarım durumu, saklama süreleri, teknik-idari tedbirler ile unvan, adres, KEP, irtibat kişisi veya temsilci bilgilerindeki değişiklikler envantere işlenir ve sistemde güncellenir. Bununla birlikte özellikle KVKK’da düzenlenen hesap verilebilirlik ilkesi güvence altına alınmış olur.

Değişiklik Bildirimi Yükümlülüğü

Veri işleme faaliyetlerinde meydana gelen her değişikliğin VERBİS’te gecikmeksizin güncellenmesini gerekmektedir. İşleme amaçlarındaki revizyonlar, yeni veri kategorileri veya alıcı grupları, yurt dışına aktarım kararları, saklama süreleri ile teknik-idari tedbirlerdeki değişiklikler envantere işlenerek sistemde beyan edilir; unvan, adres, KEP, irtibat kişisi ya da temsilci bilgilerindeki güncellemeler de aynı şekilde bildirilmesi gerekir.

Güncelleme Süresi ve Usulü

Güncelleme, değişikliğin öğrenilmesiyle birlikte gecikmeksizin ve en kısa sürede yapılmalıdır. Buna ilişkin olarak herhangi bir mevzuatta süre öngörülmemiş olup veri sorumlusunun idari para cezasıyla karşılaşmaması açısından ivedi bir biçimde değişikliğin sicile bildirilmesi gerekir. Usul olarak da irtibat kişisi e-Devlet üzerinden değişikliği gerçekleştirebilir.

Sicil Üzerinden Görülebilirlik

Sicil üzerinden görünürlük, veri sorumlusuna ait temel kimlik ve iletişim bilgileri ile envanterde mevcut olan beyanların kamuya açık şekilde incelenebilmesini sağlamaktadır. Sicilde; işleme amaçları, veri kategorileri, ilgili kişi ve alıcı grupları, yurt dışına aktarım bilgileri, saklama sürelerine ilişkin açıklamalar yer almaktadır. Bu görünürlük, ilgili kişilerin aydınlatılmasına ve Kişisel Verileri Koruma Kurumu’nun gözetimine destek sağlar.

VERBİS Kapsamında Tutulan Bilgiler Nelerdir?

VERBİS sicilinde; veri sorumlusunun kimlik ve iletişim bilgileri, irtibat kişisi veya temsilci bilgileri ile kişisel veri işleme envanterinden türetilen beyanlar yer almaktadır. Bu kapsamda ilgililere ait kişisel verileri işleme amaçları, veri kategorileri, ilgili kişi ve alıcı grupları, yurt dışına aktarım durumu, saklama süreleri ve alınan teknik–idari tedbirler kamuya açık şekilde görüntülenmektedir.

Kişisel Veri Kategorileri

Kişisel veri kategorileri, veri sorumlusunun hangi tür bilgileri işlediğini sınıflandırır. Örnek olarak kimlik, iletişim, finans, müşteri işlem, görsel–işitsel kayıtlar kişisel veri kategorilerine örnek olarak sayılabilir. Kişisel verilere ilişkin kategori seçimi kişisel veri işleme envanterinde belirlenmektedir.

Veri İşleme Amaçları

Veri işleme amaçları, kişisel verilerin neden toplandığını ve kullanıldığını açıklar. Örneğin sözleşme kurulması ve ifası, hukuki yükümlülüklerin yerine getirilmesi, meşru menfaatlerin korunması veya pazarlama–iletişim faaliyetleri bu amaçlara örnek teşkil eder ve VERBİS’te somut şekilde beyan edilir.

Alıcı veya Alıcı Grupları

Alıcı veya alıcı grupları, verilerin aktarıldığı kişi ve kuruluşları ifade eder. Grup bazında kamu kurumları, tedarikçiler, iş ortakları, yurt dışı hizmet sağlayıcıları veya grup şirketleri sayılabilir; aktarımın hukuki dayanağı ve sınırları kişisel veri işleme envanterinde gösterilir.

Veri Saklama Süreleri

Veri saklama süreleri, ilgili mevzuat ve işleme amacı dikkate alınarak belirlenir. Veri saklama ile ilgili olarak belirtilen süre sona erdiğinde ilgiliye ait işlenen kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Sıkça Sorulan Sorular

VERBİS kaydı ücretsiz midir?

VERBİS’e kayıt işlemi ücretsizdir. Gecikme veya eksiklik hâlinde idari yaptırımlar uygulanabilir.

Her işletme VERBİS’e kayıt olmak zorunda mı?

Her işletme için zorunluluk yoktur. Kurul kararlarıyla belirlenen istisna ve eşiklere uyanlar kayıttan muaftır.

VERBİS kaydı için son tarih nedir?

Her veri sorumlusu kişisel veri işleme faaliyetine başlamadan VERBİS kaydını yapmak zorundadır.

Veri sorumlusu ile veri işleyen arasındaki fark nedir?

Veri işleyen, veri sorumlusunun talimatına uygun bir şekilde kişisel verileri işleyen gerçek veya tüzel kişidir. Veri sorumlusu ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirlemektedir.

VERBİS’e yanlış bilgi girilirse ne olur?

Gerçeğe aykırı veya güncel olmayan beyanlar idari yaptırım riskine yol açar. Hata tespit edildiğinde bilgi derhâl düzeltilmelidir.

Yurt dışında yerleşik firmalar nasıl kayıt olur?

Türkiye’de yerleşik bir veri sorumlusu temsilcisi atarlar. Kayıt ve bildirim süreçleri temsilci üzerinden yürütülür.

Küçük ölçekli işletmeler için istisna var mı?

Ana faaliyet konusu özel nitelikli kişisel veri işleme olmakla birlikte yıllık çalışan sayısı 10’dan az ve yıllık mali bilanço toplamı 10 milyon Türk Lirasından az olan gerçek veya tüzel kişi veri sorumlularının da Sicile kayıt ve bildirim yükümlülüğünden istisna tutulmaktadır.