VERBİS Siciline Hangi Kurumlar Nasıl Kayıt Olmalı?
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), 2016 yılından bu yana yürürlükte olan KVKK çerçevesinde, kişisel veri işleyen kurum ve kişilere önemli yükümlülükler getirmiştir. Kişisel verileri işleyen ve veri sorumlusu sıfatını taşıyan gerçek ve tüzel kişiler; Kişisel Verileri Koruma Kurulu tarafından belirlenen kriterlere göre Veri Sorumluları Sicili’ne kayıt olmak zorundadır.
Şirketin kurulması ve fiilen faaliyet göstermeye başlamasından sonra, belirlenen süreler içinde VERBİS’e kayıt başvurusu yapılması gerekir. Bu kayıt, yalnızca bir formalite değil, aynı zamanda kişisel veri işleme faaliyetlerinin şeffaf, izlenebilir ve denetlenebilir olmasını sağlayan kritik bir KVKK uyum adımıdır.
VERBİS, veri sorumlularının kişisel veri işleme faaliyetlerini beyan ettikleri kamuya açık bir sicildir. Türkiye’de yerleşik veri sorumluları kadar, Türkiye’de yerleşik olmayan ancak Türkiye’de veri işleyen yabancı şirketler de belirli koşullar altında sicile kayıt olmak ve temsilci atamak zorundadır. Sicilde; veri sorumlusunun kimlik bilgileri, işlenen veri kategorileri, kişi grupları, amaçlar, aktarım bilgileri ve güvenlik tedbirleri gibi başlıklar yer alır.
2. Hangi Kurumlar VERBİS’e Kayıt Olmalı?
2016 yılından itibaren yürürlükte olan KVKK ve ilgili ikincil düzenlemeler uyarınca, kişisel verileri işleyen veri sorumlularına VERBİS’e kayıt yükümlülüğü getirilmiştir. Kişisel verilerin işlenmesi noktasında Kanun kapsamına giren kişi ve kurumların, Kurul tarafından belirlenen süreler içerisinde Kişisel Verileri Koruma Kurumu nezdindeki Veri Sorumluları Sicili’ne kayıt olmaları beklenir.
Genel çerçevede;
- Kişisel veri işleyen serbest meslek mensupları ve gerçek kişi işletmeler,
- Şirketler, dernekler, vakıflar, meslek kuruluşları gibi tüzel kişiler,
- Faaliyetleri gereği kişisel veri işleyen diğer gerçek ve tüzel kişi veri sorumluları
belirli eşik değerler ve istisnalar çerçevesinde VERBİS’e kayıt yükümlüsü olabilir.
Şirketin açılmasından ve fiilen faaliyete başlamasından sonra; Kurul kararlarıyla belirlenen süreler içinde sicile kayıt başvurusunun yapılması gerekmektedir. Kayıt yükümlüsü olduğu halde başvuru yapmayan veri sorumluları, KVKK kapsamında idari yaptırımlarla karşılaşabilir.
Hangi kurumun hangi tarihe kadar kayıt olması gerektiği, genellikle Kurul kararları ve duyurularıyla belirlenir. Bu nedenle veri sorumlularının, kurumun resmi açıklamalarını ve rehberlerini düzenli olarak takip etmesi önem taşır.
3. Yurtdışında Yerleşik Veri Sorumluları İçin Sicil Düzenlemeleri
Sicile kayıt noktasında Kişisel Verileri Koruma Kurumu tarafından, Türkiye’de yerleşik olmayan veri sorumlularına yönelik özel düzenlemeler öngörülmüştür. Bu nedenle, veri sorumlusu olan gerçek ve tüzel kişilerin Kurul kararlarını ve duyurularını yakından takip etmesi büyük önem taşır.
Türkiye’de yerleşik olmayan ancak Türkiye’de kişisel veri işleyen yabancı şirketler bakımından, kural olarak:
- Türkiye’de yerleşik bir veri sorumlusu temsilcisi atamaları gerekir.
- Bu temsilci, yurtdışındaki veri sorumlusu adına VERBİS’e kaydolur ve veri sorumlularına uygulanan yükümlülükler bakımından iletişim noktası görevi görür.
Temsilci, sicile kayıt işlemleri de dâhil olmak üzere; Kurum ile yazışmaların yürütülmesi, ilgili kişilerin başvurularının iletilmesi ve KVKK kapsamında öngörülen birçok usulî yükümlülüğün yerine getirilmesinde kritik bir rol üstlenir.
4. Yerleşik Olmayan Veri Sorumluları İçin Temsilci Şartları
Türkiye’de yerleşik olmayan veri sorumlularının VERBİS yükümlülükleri, “Türkiye’de Yerleşik Olmayan Veri Sorumluları İçin Veri Sorumlusu Temsilcisi Hakkında” ilgili düzenlemeler çerçevesinde şekillenmektedir. Buna göre:
- Temsilci gerçek kişi olacaksa Türkiye Cumhuriyeti vatandaşı olmalıdır.
- Temsilci tüzel kişi ise, Türkiye’de yerleşik bir tüzel kişi olması gerekir.
- Temsilcinin, ilgili yönetmelikte belirtilen nitelikleri karşılaması ve görev tanımına uygun şekilde hareket etmesi beklenir.
Veri sorumlusu ile Kurum arasındaki tüm resmî iletişim, kural olarak bu temsilci üzerinden yürütülür. Temsil atamasının yapılması ve yetkilendirme işlemlerinin tamamlanmasından sonra; veri işleme faaliyetlerinin başlamasıyla birlikte kanunda öngörülen süreler dahilinde sicile kayıt başvurusu yapılmalıdır.
Bu çerçevede temsilci;
- VERBİS kayıt ve bildirim işlemlerini yürütmekten,
- İlgili kişilerin başvuru ve taleplerini veri sorumlusuna iletmekten,
- Kurumla olan yazışmaların koordinasyonundan
sorumludur. Yani hem uyum hem de operasyonel iletişim açısından kilit bir konumdadır.
5. VERBİS Sicilinde Hangi Veriler Yer Alır?
KVKS (Kişisel Verileri Koruma Sicili) ya da yaygın adıyla Veri Sorumluları Sicili, veri sorumlularının hangi kişisel verileri hangi amaçlarla işlediğini ve bu verilerle ilgili genel parametreleri içerir. Sicile yapılacak kayıtta, asgari olarak aşağıdaki bilgiler yer almalıdır:
- Veri sorumlusunun ve varsa temsilcisinin kimlik ve unvan bilgileri,
- Kişisel verilerin hangi amaçlarla işleneceği ve bu amaçların süresi,
- Veri konusu kişi grupları (müşteriler, çalışanlar, tedarikçiler, ziyaretçiler vb.) ve bu gruplara ilişkin veri kategorileri,
- Kişisel verilerin aktarılacağı alıcı ve alıcı grupları,
- Verilerin yurtdışına aktarımı söz konusuysa; bu aktarımlara ilişkin açıklamalar,
- Kişisel veri güvenliğine ilişkin alınan teknik ve idari önlemler,
- Kişisel verilerin işleneceği ve saklanacağı süreler,
- Gerekli görülen diğer tamamlayıcı bilgiler.
Bu bilgilerin doğru, güncel ve gerçeğe uygun şekilde sicile kaydedilmesi zorunludur. Özellikle saklama süreleri, yurt içi ve yurt dışı aktarım bilgileri, veri güvenliği tedbirleri gibi başlıklar; hem denetimlerde hem de olası şikayet süreçlerinde önem taşır.
Doğru yapılandırılmış bir veri tabanı ve KVKK uyumlu süreçler olmadan, VERBİS kaydının sağlıklı bir şekilde yapılması mümkün değildir. Bu nedenle, ilk adımda kurumsal veri envanterinin çıkarılması ve buna uygun bir sicil bildirimi yapılması gereklidir.
6. Sicil Kayıt Zorunluluğu ve Danışmanlık Süreci
Sicile kayıt olmak; kapsam dışı bırakılan istisnai durumlar hariç, kayıt yükümlüsü veri sorumluları için zorunludur. Başvuruların, Kurul tarafından belirlenen süre ve usullere uygun, eksiksiz ve güncel verilerle yapılması gerekir.
Sicile kayıt başvurusu yapılırken:
- Veri envanterinin ve saklama sürelerinin doğru belirlenmesi,
- Yurtdışı aktarımların gerçek durumu yansıtması,
- Kişisel veri güvenliğine ilişkin alınan önlemlerin net şekilde ifade edilmesi,
- Temsilci atanması gereken durumlarda, temsilci bilgilerinin doğru girilmesi
büyük önem taşır.
NESİL TEKNOLOJİ olarak; VERBİS kayıt süreçlerinizde güncel ve doğru bilgilerle yanınızda yer alıyoruz. Sadece sicil kaydı değil, aynı zamanda:
- Kişisel veri tabanlarının kurulması ve güvenliğinin sağlanması,
- Teknik ve idari güvenlik önlemlerinin planlanması,
- Çalışanların farkındalık ve bilinç düzeyinin artırılması için KVKK eğitimleri,
- Periyodik denetim ve iyileştirme süreçlerinin tasarlanması
gibi alanlarda da kurumsal destek sunmaktayız. Böylece yalnızca yasal bir zorunluluğu yerine getirmekle kalmayıp, kurumsal veri güvenliği kültürünüzü de güçlendirebilirsiniz.
7. Sık Sorulan Sorular
Hangi kurumlar VERBİS’e kayıt olmak zorundadır?
Kişisel veri işleyen ve Kurul tarafından belirlenen kriterleri sağlayan gerçek ve tüzel kişi veri sorumluları VERBİS’e kayıt olmak zorundadır. Çalışan sayısı, bilanço büyüklüğü, faaliyet alanı gibi eşiklere göre bazı istisnalar ve muafiyetler tanınabilir; ancak bu durum KVKK’nın diğer hükümlerine uyma zorunluluğunu ortadan kaldırmaz.
Türkiye’de yerleşik olmayan şirketler nasıl kayıt olur?
Türkiye’de yerleşik olmayan fakat Türkiye’de kişisel veri işleyen yabancı şirketler, öncelikle Türkiye’de yerleşik bir veri sorumlusu temsilcisi atamalıdır. Bu temsilci, yabancı veri sorumlusu adına VERBİS’e kaydolur ve Kurum ile yapılacak yazışmalarda muhatap noktasında yer alır.
Veri sorumlusu temsilcisi kim olabilir?
Temsilci gerçek kişi ise T.C. vatandaşı; tüzel kişi ise Türkiye’de yerleşik bir tüzel kişi olmalıdır. Temsilci; VERBİS kaydı, Kurumla yazışmalar ve ilgili kişilerin başvurularının iletilmesi gibi birçok usulî yükümlülüğü yerine getirmekle sorumludur.
VERBİS sicilinde hangi bilgiler kamuya açıktır?
Sicilde; veri sorumlusunun kimliği, işlenen veri kategorileri, kişi grupları, amaçlar, aktarım bilgileri ve genel güvenlik tedbirlerine dair özet bilgiler kamuya açık şekilde yer alır. Kişisel verilerin içeriği veya ayrıntılı kayıtlar ise sistemde yer almaz.
Şirket açıldıktan ne kadar sonra kayıt yaptırılmalıdır?
Kayıt süreleri, Kişisel Verileri Koruma Kurulu tarafından ilan edilir. Şirket kurulduktan ve veri işleme faaliyetleri başladıktan sonra, Kurulun belirlediği tarihler ve kriterler çerçevesinde gecikmeden başvuru yapılması gerekir. Geç kalınması halinde idari yaptırımlar söz konusu olabilir.
VERBİS kaydı için mutlaka danışmanlık almak gerekir mi?
Hukuken zorunlu olmasa da, VERBİS kaydı; veri envanteri, saklama süreleri, aktarım ve güvenlik tedbirleri gibi çok sayıda teknik ve hukuki konuyu içerir. Bu nedenle birçok kurum, hatalı veya eksik bildirim riskini azaltmak ve KVKK uyumunu bütüncül şekilde sağlamak için profesyonel danışmanlık almayı tercih etmektedir.
