Yerleşik Olmayan Veri Sorumluları için VERBİS Kaydı ve Temsilci Atama
Türkiye’de yerleşik olmayan veri sorumluları, Türkiye’de kişisel veri işleme faaliyetine başlamadan önce, Türkiye’de yerleşik bir tüzel kişi veya T.C. vatandaşı gerçek kişi aracılığıyla VERBİS’e kayıt olmakla yükümlüdür. Kurum (KVKK) ile yapılacak tüm tebligat ve resmi yazışmalar, Sicile bildirilen veri sorumlusu temsilcisi üzerinden yürütülür.
Bu rehberde; temsilci atanmasına ilişkin hukuki çerçeveyi, seçim kriterlerini, VERBİS kayıt sürecini, gerekli belge setini, olası bağımsız denetim beklentilerini ve sicil kayıt ücretine ilişkin temel başlıkları kurumsal bakış açısıyla özetliyoruz.
Hızlı Destek: Uygun temsilci seçimi, kayıt planı ve KVKK uyum matrisinin çıkarılması, genellikle çok paydaşlı ve planlı bir çalışma gerektirir.
Yerleşik değil → Temsilci zorunlu
Türkiye’de yerleşik olmayan veri sorumluları; temsilci atamadan ve VERBİS kaydı olmadan kişisel veri
işleme faaliyetlerine başlamamalıdır.
Temsilci, veri sorumluluğunu devralmaz; ancak idari iletişimin, tebligatın ve KVKK süreçlerinin Türkiye ayağını kurumsal seviyede koordine eder.
1. Veri Sorumlusu Temsilcisi: Hukuki Çerçeve ve Rol
Yerleşik olmayan veri sorumluları için veri sorumlusu temsilcisi; Türkiye’de yerleşik olmayan veri sorumlularını, Veri Sorumluları Sicili Hakkında Yönetmelik’te belirtilen konularda asgari düzeyde temsile yetkili kılınan, Türkiye’de yerleşik tüzel kişi veya T.C. vatandaşı gerçek kişidir.
Temsilci; veri sorumlusunun Türkiye’deki resmî muhatabı olup, veri sorumluluğunu devralmaz; ancak Kurum ile tüm idari iletişimin ve VERBİS operasyonunun kurumsal seviyede yürütülmesinden sorumludur.
1.1 Temel Rol ve Sorumluluklar
- İletişim ve Tebligat: Kurum ile yapılacak resmî yazışmalar, bildirimler ve tebligatlar temsilci üzerinden yürütülür.
- Kayıt & Güncelleme: VERBİS kayıt süreçlerinin yürütülmesi, zorunlu alanların doldurulması ve kayıt değişikliklerinin zamanında güncellenmesi.
- Hak-Yükümlülük Yönetimi: Aydınlatma metinlerinin koordinasyonu, veri sahibinin başvuru/şikâyet taleplerinin yönetimi, ihlal bildirimi süreçlerinin işletilmesi.
- Uyum Koordinasyonu: Veri sorumlusunun yurt dışı ekipleri ile Türkiye’deki operasyon arasında köprü görevi görerek, KVKK’ya uyumlu süreç tasarımına katkı sağlaması.
2. Temsilci Atama Kriterleri ve Seçim
Temsilci seçiminde yalnızca “Türkiye’de yerleşik olmak” kriteri yeterli değildir. Temsilcinin, KVKK ve ikincil düzenlemeler bakımından kurumsal yetkinlike sahip olması ve resmî süreçleri yönetebilecek kapasitede olması kritik önem taşır.
2.1 Asgari Kriterler
- Türkiye’de ikamet eden T.C. vatandaşı gerçek kişi veya Türkiye’de yerleşik tüzel kişi olması,
- KVKK, ikincil mevzuat ve Kurul kararları hakkında kurumsal düzeyde bilgi ve deneyim,
- Kurum yazışmaları, tebligat ve resmî bildirim süreçlerini usulüne uygun yönetebilme kapasitesi,
- Veri güvenliği ve uyum başlıklarında asgari düzeyde organizasyon ve koordinasyon yetkinliği.
2.2 Seçim ve Yetkilendirme
- Hizmet sağlayıcı seçimi: Profesyonel temsilcilik ve KVKK uyum hizmeti sunabilen, referans sahibi kuruluşların tercih edilmesi.
- Sözleşme ve SLA: Görev kapsamı, hizmet seviyesi, yetki sınırları, veri güvenliği hükümleri ve raporlama yükümlülüklerinin ayrıntılı şekilde sözleşmede düzenlenmesi.
- Bildirim ve güncellik: Temsilci bilgilerinin VERBİS başvurusunda beyan edilmesi ve değişikliklerde derhal güncellenmesi.
3. VERBİS Kayıt Süreci (Yerleşik Olmayan Veri Sorumluları)
Yerleşik olmayan veri sorumlularının VERBİS’e kayıt süreci; temsilci ataması, veri envanteri çalışması ve sicile bildirim adımlarından oluşan, hukuki ve teknik bileşenleri olan bir süreçtir.
3.1 Adım Adım Kayıt Akışı
- Temsilci Atama: Uygun temsilci seçilir; görev, sorumluluk ve yetki alanını tanımlayan sözleşme ve yetkilendirme belgeleri hazırlanır.
- Ön Analiz: İşleme amaçları, veri kategorileri, veri konusu kişi grupları, alıcı grupları, yurt dışı aktarım yapısı, saklama süreleri ve teknik/idari tedbirleri içeren veri envanteri oluşturulur.
- Başvuru & Doğrulama: VERBİS hesabı açılır; temsilci bilgileriyle başvuru yapılır, Kurum tarafından öngörülen doğrulama adımları tamamlanır.
- Sicile Bildirim: KVKK ve Yönetmelik uyarınca zorunlu alanlar eksiksiz doldurulur: işleme amaçları, kişi grupları, veri kategorileri, alıcılar, yurt dışı aktarım, saklama süreleri, teknik/idari tedbirler vb.
- Güncelleme & Uyum: Faaliyet veya organizasyon yapısındaki değişiklikler sicile yansıtılır; aydınlatma metinleri, başvuru/şikâyet, ihlal bildirimi ve imha süreçleri fiilen işler hâle getirilir.
Kayıt; yalnızca bir formalite değil, veri sorumlusunun şeffaflık ve hesap verebilirlik taahhüdünün kamuya açık şekilde beyanı niteliğindedir.
4. Gerekli Belgeler ve İçerik Başlıkları
Yerleşik olmayan veri sorumlularının VERBİS kaydı için sunması gereken bilgiler, KVKK ve Veri Sorumluları Sicili Hakkında Yönetmelik’te öngörülen zorunlu bildirim unsurlarına dayanır. Bunlara ek olarak, uyumun kurumsallaşması için destekleyici doküman seti önerilir.
4.1 Zorunlu Bildirim Unsurları
- Veri sorumlusu ve temsilcisinin kimlik ve iletişim bilgileri,
- Kişisel verilerin işlenme amaçları ve hukuki sebepleri,
- Veri konusu kişi grupları ve bu gruplara ait kişisel veri kategorileri,
- Alıcı/alıcı grupları ve yurt dışına aktarım yapısı,
- İşleme amacıyla bağlantılı azami saklama süreleri,
- Veri güvenliği açısından alınan teknik ve idari tedbirlerin özeti.
4.2 Destekleyici Dokümanlar (Önerilen)
- Aydınlatma metinleri ve KVKK başvuru/şikâyet prosedürü,
- Kişisel Veri Saklama ve İmha Politikası ile saklama–imha çizelgeleri,
- Veri ihlal müdahale planı (72 saat ilkesi ve etki analizi çerçevesiyle),
- Varlık/envanter kayıtları ve erişim yetki matrisi,
- Yurt dışı aktarım sözleşmeleri ve SCC benzeri taahhüt mekanizmaları (varsa).
5. Bağımsız Denetim Raporu (Varsa Talep)
KVKK uyumunun güvence altına alınması amacıyla; özellikle yüksek riskli sektörlerde veya geniş ölçekli işleme faaliyetlerinde, bağımsız denetim/bulgu raporu talep edilmesi gündeme gelebilir. Bu raporlar, kurumun KVKK ve bilgi güvenliği kontrollerine ilişkin kanıt temelli değerlendirme sunar.
5.1 Rapor İçeriğinde Beklenen Başlıklar
- Metodoloji ve Bağımsızlık: Kullanılan denetim yöntemi, kapsam ve bağımsızlık beyanı,
- Kontrol Tasarımı & Etkinlik: Erişim yönetimi, loglama, şifreleme, saklama–imha, aktarım ve ihlal yönetimi kontrollerinin tasarım ve işletim etkinliği,
- Bulgular ve Öneriler: Risk dereceleri, etki/olasılık analizi ve düzeltici/önleyici aksiyon planları,
- Raporlama: Yönetici özeti, detaylı teknik ekler ve takip denetimi planı (gerekiyorsa).
Bağımsız denetim, yerleşik olmayan veri sorumlularının hem kendi iç uyum programlarını güçlendirmesine hem de Kurum nezdinde güvenilirliklerini artırmasına katkı sağlar.
6. Sicil Kayıt Ücreti
VERBİS işlemlerine ilişkin güncel ücret, ödeme usulleri ve varsa ek mali yükümlülükler Kurum’un resmî kanalları üzerinden duyurulur. Ücretlerin temel amacı; kayıt altyapısının sürdürülebilirliğini ve işlemlerde şeffaflığı desteklemektir.
6.1 Ücretlendirme ve Ödeme
- Hesaplama: İlgili tarifeye göre belirlenir; ek vergi ve harç yükümlülükleri söz konusu olabilir.
- Ödeme Süreci: Başvuru sonrasında Kurum veya ilgili idare tarafından bildirilen talimatlara uygun biçimde tamamlanır.
- Kayıt–Ücret İlişkisi: Ücret yükümlülüklerinin yerine getirilmemesi veya geciktirilmesi, kayıt sürecinin uzamasına veya idari yaptırım risklerine yol açabilir.
7. Sık Sorulanlar & Uyum Notları
7.1 Yerleşik olmayan veri sorumlusu olarak VERBİS ve temsilci yükümlülüğünden muaf olabilir miyim?
Yerleşik olmayan veri sorumluları için temsilci ve VERBİS kaydı, kural niteliğindedir. Muafiyet istisnaları oldukça sınırlıdır ve ancak Kurul kararları ile belirlenmiş şartların sağlanması hâlinde söz konusu olabilir. Bu nedenle somut durum bazlı hukuki analiz yapılması gerekir.
7.2 Ne zaman kayıt olmam gerekir?
Türkiye’de kişisel veri işleme faaliyetine başlamadan önce temsilci atanmalı ve VERBİS kaydı tamamlanmalıdır. İşleme faaliyetlerinde veya organizasyon yapısında değişiklik olması hâlinde kayıtlar gecikmeksizin güncellenmelidir.
7.3 VERBİS’ten istisna olsam KVKK’dan da muaf olur muyum?
Hayır. VERBİS kayıt istisnası, yalnızca sicile kayıt operasyonuna ilişkindir. Aydınlatma yükümlülüğü, veri güvenliği, saklama–imha, veri ihlali bildirimi, sözleşmesel hükümler ve veri sahibi haklarının tesisi gibi tüm KVKK hükümleri aynen uygulanmaya devam eder.
7.4 Uçtan uca uyum için hangi başlıkları birlikte ele almalıyım?
Yerleşik olmayan veri sorumluları için uçtan uca uyum; temsilci ataması, VERBİS kaydı, güncel aydınlatma ve sözleşme metinleri, aktarım rejimi (yurt dışı aktarım sözleşmeleri), ihlal bildirimi, saklama–imha süreçleri ve veri sahibi başvuru mekanizmalarının bütünleşik olarak tasarlanmasını gerektirir.
