VERBİS’e Kayıt Zorunlu mudur? Veri Sorumluları İçin KVKK Rehberi
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), KVKK kapsamında kişisel veri işleyen veri sorumlularının kayıt olmakla yükümlü tutulduğu, kamuya açık ve şeffaf bir sicil sistemidir. Bu sistem ile; hangi veri sorumlusunun, hangi amaçlarla, hangi kategorideki kişisel verileri işlediği ve aktardığı gibi bilgiler kayıt altına alınır ve denetlenebilir hâle gelir.
Kişisel verilerin işlenmesi, aktarılması ve saklanmasında KVKK’nın getirdiği güçlü yaptırımlar nedeniyle; VERBİS’e kayıt yükümlülüğü salt teknik bir formalite değil, hukuki bir zorunluluk ve aynı zamanda kurumsal hesap verebilirlik aracıdır. Bu nedenle veri sorumlularının, hem kayıt olmak zorunda olup olmadıklarını doğru tespit etmeleri hem de sicile yapılacak bildirimleri eksiksiz ve doğru biçimde tamamlamaları kritik öneme sahiptir.
VERBİS; veri sorumlularının kişisel veri işleme faaliyetlerini şeffaf şekilde beyan ettiği kamuya açık bir sistemdir. Kişisel verileri işleyen gerçek ve tüzel kişi veri sorumluları, Kurul’un belirlediği kriterlere göre VERBİS’e kayıt olmakla yükümlüdür. Bildirimlerde veri sorumlusunun kimlik bilgileri, işlenen veri kategorileri, amaçlar, alıcı grupları, aktarım ve saklama süreleri ile alınan güvenlik tedbirleri yer alır.
2. VERBİS ve KVKK İlişkisi
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), KVKK çerçevesinde kurulmuş ve işletilen bir kayıt ve şeffaflık mekanizmasıdır. Amaç; kişisel veri işleyen veri sorumlularının, veri işleme faaliyetlerini Kurul’a bildirmesi ve bu bilgilerin kamuya açık bir sicilde tutulmasıdır.
VERBİS;
- Kişisel verilerin hangi amaçlarla işlendiğini,
- Hangi veri kategorilerinin hangi gruplara ait olduğunu,
- Verilerin yurtiçi ve yurtdışı aktarımlarını,
- Veri güvenliği kapsamında alınan önlemleri
sistematik bir şekilde görünür kılar. Sicilin kurulması, işletilmesi ve kayıt yükümlülüğüne ilişkin planlamaların tamamı, Kişisel Verileri Koruma Kurumu tarafından yürütülür.
VERBİS aynı zamanda kamuya açık bir sicil olduğundan; vatandaşlar, iş ortakları ve paydaşlar, veri sorumlularının KVKK’ya uyum düzeyi hakkında genel bir fikir edinebilmektedir.
3. VERBİS’e Kimler Kayıt Olmak Zorundadır?
KVKK kapsamında, kişisel verileri işleyen ve bu verilerin işlenme amaç ve vasıtalarını belirleyen veri sorumluları, Kurulun belirlediği kriterler doğrultusunda VERBİS’e kayıt olmak zorundadır. Genel çerçevede:
- Kişisel verileri işlemeleri söz konusu olan gerçek kişiler (şirket sahibi gerçek kişi vb.),
- Tüzel kişiler (şirketler, dernekler, vakıflar, odalar vb.),
belirli eşik değerler (örneğin çalışan sayısı, bilanço büyüklüğü, faaliyet alanı gibi kriterler) kapsamında VERBİS’e kayıt yükümlüsü olabilir.
Kurum; kayıt dönemlerini, başlangıç ve bitiş sürelerini dönemsel olarak belirler ve ilan eder. Veri sorumlularının, kendileri için tanımlanan süreler içinde VERBİS başvurularını ve kayıt işlemlerini tamamlamaları gerekir.
Bununla birlikte Kanun ve ikincil düzenlemelerde, bazı veri sorumluları için istisnalar ve muafiyetler öngörülebilir. Örneğin; belirli ölçeğin altındaki veri sorumluları veya faaliyet alanı gereği sınırlı veri işleyen kurumlar açısından Kurul kararıyla muafiyet tanınabilir.
Kurum tarafından yapılan değerlendirmeler sonucunda istisna kapsamında olduğu belirlenenlerin, VERBİS’e kayıt yükümlülüğü bulunmayabilir; ancak bu durum, KVKK’nın diğer hükümlerine uyma zorunluluğunu ortadan kaldırmaz.
4. VERBİS Bildiriminde Hangi Bilgiler Yer Alır?
VERBİS bildirimleri, veri sorumlularının kişisel veri işleme faaliyetlerini kapsamlı ve sistematik şekilde beyan ettiği bir çerçeve sunar. Sicile yapılacak bildirimlerde, veri sorumlusu tarafından en az aşağıdaki unsurların yer alması beklenir:
- Veri sorumlusunun ve varsa temsilcisinin kimlik ve unvan bilgileri,
- Kişisel verilerin hangi amaçlarla işleneceği,
- Veri konusu kişi grupları (müşteri, çalışan, tedarikçi, ziyaretçi vb.) ve bu gruplara ilişkin veri kategorileri,
- Kişisel verilerin aktarılabileceği alıcı ve alıcı grupları,
- Verilerin yurtiçi ve/veya yurtdışına aktarımı söz konusuysa; bu aktarımlara ilişkin açıklamalar,
- Kişisel veri güvenliğine ilişkin alınan teknik ve idari tedbirler,
- Kişisel verilerin işleneceği ve saklanacağı süreler (amaçlarla bağlantılı olarak),
- Varsa, ilgili süreçlere özgü diğer açıklamalar.
Bu bilgilerin doğru, güncel ve gerçeği yansıtır olması son derece önemlidir. Özellikle saklama süreleri, yurtdışı aktarım bilgileri ve güvenlik tedbirleri gibi alanlarda hatalı veya eksik bildirimler; ileride yapılacak denetimlerde ciddi uyumsuzluk riskleri doğurabilir.
Süreler, yurtdışı aktarım planları ve veri kategorileri belirlenirken; KVKK’ya, Kurul kararlarına ve ikincil mevzuata hâkim bir uzmandan destek almak, ilk adımda doğru bir yapı kurulmasını sağlar.
5. Uyum, Doğru Bildirim ve Danışmanlık Süreci
VERBİS’e kayıt süreci; yalnızca sisteme girilip birkaç form doldurmakla sınırlı değildir. Aslında bu süreç, veri sorumlusunun kendi veri envanterini oluşturmasına, süreçleri sınıflandırmasına ve risklerini analiz etmesine yardımcı olur. Bu nedenle:
- Önce kurum içinde kapsamlı bir kişisel veri envanteri çıkarılmalı,
- Veri işleme amaçları, hukuki sebepler, saklama süreleri ve aktarım senaryoları netleştirilmeli,
- Teknik ve idari tedbirler, KVKK ve kurum kararlarına uygun biçimde kurgulanmalı,
- Sonrasında tüm bu bilgiler VERBİS bildirimiyle uyumlu hâle getirilmelidir.
NESİL TEKNOLOJİ olarak; veri sorumlularının VERBİS sürecini yalnızca bir “kayıt zorunluluğu” olarak görmeyip, aynı zamanda KVKK uyum projesinin omurgası haline getirebilmeleri için:
- Mevcut durum analizi ve kişisel veri envanteri çalışmaları,
- VERBİS öncesi süreç, sistem ve doküman incelemeleri,
- Doğru saklama süreleri ve aktarım senaryolarının kurgulanması,
- VERBİS bildirimlerinin hazırlanması ve sisteme işlenmesine destek,
- Çalışan farkındalık eğitimleri ve KVKK kültürü oluşturulması
gibi adımları kapsayan uçtan uca bir uyum ve danışmanlık yaklaşımı sunuyoruz. Bu sayede hem yasal yükümlülüklerinizin eksiksiz yerine getirilmesine hem de kurumsal veri güvenliği kültürünüzün güçlenmesine katkı sağlıyoruz.
6. Sık Sorulan Sorular
VERBİS’e kayıt olmak tüm veri sorumluları için zorunlu mu?
Hayır. VERBİS’e kayıt yükümlülüğü; Kurulun belirlediği kriterleri sağlayan veri sorumluları için geçerlidir. Çalışan sayısı, bilanço büyüklüğü, faaliyet alanı gibi ölçütler dikkate alınarak bazı veri sorumlularına muafiyet tanınabilir. Ancak muaf olanlar bile KVKK’nın diğer hükümlerine uymakla yükümlüdür.
VERBİS’e kayıt olmazsam ne olur?
Kayıt yükümlüsü olduğu hâlde VERBİS’e kayıt olmayan veri sorumluları; KVKK kapsamında idari para cezaları ve denetim süreçleriyle karşılaşabilir. Ayrıca bu durum, kurumun itibarı ve paydaş güveni açısından da ciddi riskler doğurur.
VERBİS bildirimi yaptım, KVKK’ya tamamen uyumlu muyum?
Hayır. VERBİS bildirimi KVKK uyumunun önemli bir bileşeni olsa da tek başına yeterli değildir. Aydınlatma metinleri, sözleşmeler, teknik/idari tedbirler, politika ve prosedürler gibi unsurların da KVKK ile uyumlu şekilde kurgulanması gerekir.
VERBİS’te hangi bilgilerim kamuya açık görülebilir?
VERBİS; veri sorumlusunun kimliği, işlenen veri kategorileri, amaçlar, kişi grupları ve genel aktarım bilgileri gibi özet nitelikte verileri kamuya açık hale getirir. Bu, şeffaflık ve hesap verebilirlik amacı taşır; kişisel verilerin içeriği veya detaylı kayıtlar sistemde görünmez.
VERBİS bildirimi yaptım; değişiklik olursa güncellemek gerekir mi?
Evet. Veri işleme amaçları, veri kategorileri, saklama süreleri veya aktarım senaryolarında önemli değişiklikler olduğunda, VERBİS kaydının güncellenmesi gerekir. Aksi halde sicilde yer alan bilgiler güncelliğini yitirir ve bu da uyumsuzluk riskine yol açar.
VERBİS süreci için mutlaka danışmanlık almak zorunda mıyım?
Hukuken zorunlu değildir; ancak VERBİS süreci, veri envanteri, saklama süreleri, yurtdışı aktarımlar ve teknik/idari tedbirler gibi pek çok uzmanlık alanını aynı anda içerir. Bu nedenle birçok kurum, hatalı veya eksik bildirim riskini azaltmak için profesyonel KVKK danışmanlığı almayı tercih eder.
