VERBİS: Veri Sorumluları Siciline Kayıt Sistemi
VERBİS; kişisel veri işleyen veri sorumlularının kayıt altına alındığı, şeffaflık, hesap verebilirlik ve denetlenebilirlik sağlayan kamuya açık bir sistemdir. Sistem; işlenen veri kategorileri, amaçlar, saklama süreleri, alıcı grupları ve güvenlik tedbirleri gibi ayrıntılı bildirim alanlarını içerir.
VERBİS’in temel amacı, kişisel verilerin gizliliği ve güvenliğine ilişkin kurumsal sorumluluğun etkin biçimde yerine getirilmesini sağlamak, veri işleme faaliyetlerini kayıt, kontrol ve denetim altında tutmaktır.
Hızlı Uyum Paketi: Veri envanteri → VERBİS bildirimi → Aydınlatma metinleri → Eğitim → Denetim hazırlığı.
2. Sistemin İşleyişi ve Kapsamı
VERBİS, veri sorumlularının kişisel veri işleme faaliyetlerini işleme amaçları, veri kategorileri, kişi grupları, saklama süreleri, alıcı grupları ve güvenlik tedbirleri bazında beyan ettiği, kamuya açık ve denetlenebilir bir kayıt sistemidir.
2.1 Ne Sağlar?
- Şeffaflık: Kamuya açık sorgu ile veri işleme amaçları, saklama süreleri, alıcı grupları ve benzeri bilgiler görüntülenebilir.
- Hesap Verebilirlik: VERBİS bildirimi ile fiilî veri işleme faaliyetleri arasındaki tutarlılık denetlenebilir; kayıtlar, uyum kontrolleri için referans alınabilir.
- Güvenlik: Teknik ve idari tedbirlerin beyanı; kurumun veri güvenliği yaklaşımının görünür ve izlenebilir olmasını sağlar.
2.2 Bildirim İçeriği (Örnek Başlıklar)
- Veri sorumlusu veya varsa temsilcisinin kimlik ve adres bilgileri,
- İşleme amaçları ve ilgili hukuki sebepler,
- Kişi grupları ve kişisel veri kategorileri,
- Alıcı grupları ve (varsa) yurtdışına veri aktarımı,
- Saklama süreleri ve imha kriterleri,
- Teknik ve idari güvenlik tedbirleri.
İlke: Kayıt, kişisel verilerin işlenmesine başlamadan önce yapılır; işleme faaliyetinde bir değişiklik olması hâlinde VERBİS kaydı derhal güncellenir.
3. Geçici Madde 1 ve Kayıt Yükümlülüğünün Başlangıcı
Kanunun Geçici 1. maddesi, veri sorumlularının yerine getirmesi gereken hususları ve kayıt yükümlülüğünün başlangıcına ilişkin çerçeveyi düzenler. Madde 2’ye göre: “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.”
Bu kapsamda kayıt yükümlülüğü; Kişisel Verileri Koruma Kurulu’nun 19/07/2018 tarihli ve 2018/88 sayılı Kararı ile belirlenen başlangıç tarihleri ilan edilerek fiilen başlamıştır.
Kayıt yükümlülüğü bulunan veri sorumluları, kişisel veri işleme faaliyetine başlamadan önce VERBİS’e kaydolmak ve kayıtlarını güncel tutmak zorundadır.
4. Kurul Kararı Takvimi (2018/88)
Kurulun 19/07/2018 tarihli ve 2018/88 sayılı Kararı ile VERBİS’e kayıt yükümlülüğü kapsamındaki veri sorumluları için başlangıç ve bitiş tarihleri aşağıdaki şekilde ilan edilmiştir:
| # | Veri Sorumlusu Grubu | Kayıt Yükümlülüğü Başlangıç | Kayıt İçin Verilen Süre | Son Tarih |
|---|---|---|---|---|
| 1 | Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek/tüzel kişi veri sorumluları | 01.10.2018 | 15 Ay | 31.12.2019 |
| 2 | Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları | 01.10.2018 | 15 Ay | 31.12.2019 |
| 3 | Çalışanı 50’den az / bilançosu 25 milyon TL’den az olup ana faaliyeti özel nitelikli kişisel veri işleme olan gerçek/tüzel kişi veri sorumluları | 01.01.2019 | 15 Ay | 31.03.2020 |
| 4 | Kamu kurum ve kuruluşları veri sorumluları | 01.04.2019 | 15 Ay | 30.06.2020 |
Bu tarih aralıkları, veri sorumlularının VERBİS kayıtlarını oluşturması, iç süreçlerini uyarlaması ve gerekli dokümantasyonu tamamlaması için tanınmış geçiş sürelerini göstermektedir.
5. Kayıt Yükümlülüğü Nasıl Başlar?
VERBİS kayıt yükümlülüğünün başlangıcı, hukuki düzenlemelerin yürürlüğe girmesi, Kurul kararlarının ilanı ve kurumların iç hazırlıkları ile birlikte değerlendirilmelidir.
5.1 Yasal Düzenlemelerin Yürürlüğe Girmesi
Yetkili organlarca kabul ve ilan edilen düzenlemeler, belirlenen tarihte yürürlüğe girer; ilgili yükümlülükler bu tarihlerle bağlantılı olarak uygulanır. Bu kapsamda VERBİS kayıt zorunluluğu da, Kurul’un belirlediği tarih aralıkları çerçevesinde fiilen başlamıştır.
5.2 Geçiş Süreçleri
Uygulama öncesi tanınan geçiş dönemleri, kurumların hazırlıklarını tamamlaması ve kayıt başvurularını gerçekleştirmesi için süre sağlar. Bu süreçte:
- Veri envanteri ve süreç haritalarının çıkarılması,
- Aydınlatma metinleri, sözleşme hükümleri ve politika setlerinin güncellenmesi,
- Teknik ve idari güvenlik tedbirlerinin gözden geçirilmesi,
- Veri ihlali prosedürleri ve sorumluluk matrislerinin netleştirilmesi
gibi adımlar kritik önem taşır.
5.3 Hükümet / Yetkili Otorite Tarihleri
Başlangıç ve son tarihler, ilgili otorite (KVKK Kurulu) tarafından ilan edilir. Uyum takvimine riayet; idari para cezaları ve diğer yaptırım risklerini azaltır.
5.4 İlgili Kuruluşların Hazırlıkları
- Veri envanteri ve süreç haritaları: Hangi verinin hangi amaçla, hangi hukuki sebebe dayanarak işlendiğinin netleştirilmesi.
- Aydınlatma metinleri ve sözleşme hükümleri: VERBİS bildirimi ile uyumlu, güncel doküman seti.
- Güvenlik tedbirleri ve ihlal prosedürleri: KVKK m.12 kapsamındaki teknik/idari tedbirlerin uygulanması.
- İç denetim ve uygunluk kontrol listeleri: Kayıt, politika ve fiilî işleme süreçleri arasındaki tutarlılığın test edilmesi.
Operasyonel İlke: Bildirim–politika–fiilî işleme tutarlılığı esastır. Değişiklikler, VERBİS üzerinde anlık veya gecikmeksizin güncellenmelidir.
6. Kavramsal Açıklamalar
6.1 Şeffaflık ve Hesap Verebilirlik
Kamuya açık bir sicil olarak VERBİS, veri sahiplerine veri işleme faaliyetleri hakkında görünürlük sağlar. Bu şeffaflık, uygunsuz veri işleme riskini azaltır; denetim ve uyum süreçleri için somut bir referans noktası sunar.
Hesap verebilirlik ilkesi çerçevesinde; veri sorumluları, VERBİS kayıtları ile fiilî işleme süreçleri arasındaki tutarlılığı göstermek, gerektiğinde bunu denetim ve incelemelerde belgelendirmekle sorumludur.
6.2 Denetim ve Sorumluluk
Kurumsal iç ve dış denetimler; VERBİS kayıtlarının doğruluğunu, veri işleme süreçlerinin etkinliğini ve mevzuata uyum düzeyini güvence altına alır. Denetim bulguları, düzeltici ve önleyici aksiyonların tetiklenmesi açısından kritik önem taşır.
VERBİS’e yapılan bildirimler, yalnızca bir formalite olarak değil; KVKK uyum programının omurgası olarak ele alınmalı, risk yönetimi ve kurumsal sorumluluk perspektifiyle düzenli gözden geçirmelere tabi tutulmalıdır.
7. Sonuç & Aksiyon
VERBİS, kişisel veri işleme faaliyetlerinde kurumsal uyum, şeffaflık ve risk azaltımı için stratejik bir zorunluluktur. Kayıt öncesi hazırlıkların eksiksiz tamamlanması ve kayıtların düzenli güncellenmesi; idari yaptırım risklerini düşürür, paydaş güvenini ve kurumsal itibarı güçlendirir.
Pratikte etkili bir VERBİS uyumu için:
- Güncel veri envanteri ve süreç haritalarının hazır tutulması,
- VERBİS bildirimi ile uyumlu aydınlatma metinleri ve politika setinin oluşturulması,
- Personel için düzenli KVKK ve bilgi güvenliği eğitimleri verilmesi,
- İç denetim ve ön kontrol mekanizmalarının işletilmesi,
- Kurul kararları ve duyurularının yakından takip edilmesi
temel aksiyon alanlarıdır. Bu yaklaşım, yalnızca idari para cezası riskini azaltmakla kalmaz; veri odaklı iş modellerinde sürdürülebilir ve güvenilir bir kurumsal çerçeve inşa edilmesine katkı sağlar.
8. Sıkça Sorulan Sorular
VERBİS’e kimlerin kayıt olması zorunludur?
Kurul kararları ile belirlenen eşikleri sağlayan veri sorumluları (çalışan sayısı, bilanço büyüklüğü, özel nitelikli veri işleme faaliyeti vb.) ile yurtdışında yerleşik veri sorumlularının VERBİS’e kayıt olması zorunludur. Kayıt yükümlülüğü bulunup bulunmadığı, ölçek ve faaliyet alanı dikkate alınarak ayrıca değerlendirilmelidir.
VERBİS’e kayıt olmak KVKK uyumu için yeterli midir?
Hayır. VERBİS, uyum programının yalnızca bir bileşenidir. Veri envanteri, aydınlatma metinleri, sözleşme ve politika hükümleri, teknik ve idari tedbirler ile eğitim–denetim süreçleri de ayrı ayrı kurgulanmalıdır.
VERBİS kaydını ne sıklıkla güncellemek gerekir?
Kural olarak, veri işleme faaliyetinde anlamlı bir değişiklik olduğunda (yeni amaç, yeni alıcı grubu, yeni veri kategorisi, saklama süresinde değişiklik vb.) kayıt gecikmeksizin güncellenmelidir. Yıllık periyodik gözden geçirme yapılması iyi uygulama kabul edilir.
VERBİS’e kayıt olmamanın yaptırımı nedir?
Kayıt yükümlülüğü bulunan veri sorumlularının VERBİS’e hiç kayıt olmaması veya eksik/yanlış bildirimde bulunması, KVKK m.18 kapsamında idari para cezasına konu olabilir ve Kurul kararları ile duyurulan tutarlarda yaptırım uygulanabilir.
VERBİS’e girilen bilgiler kamuya açık mıdır?
Evet. Sicil, veri sahiplerine şeffaflık sağlamak amacıyla kamuya açıktır. Ancak sistemde, kurumun ticari sırlarını ifşa edecek ayrıntıdan ziyade, veri işleme faaliyetlerinin çerçevesini gösteren kategorik bilgiler yer alır.
