VERBİS’e Kayıt Yükümlülüğü İstisnaları
VERBİS, kural olarak tüm veri sorumlularının kayıt olması gereken kanuni bir sicil sistemidir. Bununla birlikte, KVKK m.16 Kurul’a; belirli ölçütler çerçevesinde bazı veri sorumlularını sicile kayıt yükümlülüğünden istisna tutma yetkisi tanımaktadır. Söz konusu ölçütler, 30.12.2017 tarihli Veri Sorumluları Sicili Hakkında Yönetmelik’te düzenlenmiş; istisna kapsamı ise 15.05.2018 ve 18.08.2018 tarihli Resmî Gazete’lerde yayımlanan Kurul kararlarıyla somutlaştırılmıştır.
Bu rehberde, Kurulun istisna ölçütlerini, istisna kapsamındaki veri sorumlularını ve sicile kayıt yükümlülüğünün uyum, şeffaflık ve hesap verebilirlik açısından önemini kurumsal bir çerçevede ele alıyoruz.
Kritik not: Sicilden istisna olmak, KVKK hükümlerinden istisna olmak anlamına gelmez. Tüm veri sorumluları; aydınlatma, rıza, imha, ihlal bildirimi ve güvenlik tedbirleri dâhil olmak üzere KVKK’ya tam uyumla hareket etmekle yükümlüdür.
İstisna ≠ KVKK’dan muafiyet
Sicilden istisna olunsa dahi; aydınlatma, rıza, imha, ihlal bildirimi ve güvenlik yükümlülükleri tam
kapsamıyla devam eder.
Kurumlar için kritik soru: “VERBİS’e kayıt zorunluluğu altında mıyım?” kadar; “KVKK’ya bütünsel uyumum ne seviyede?” sorusudur.
1. Kurulun İstisna Ölçütleri (Yönetmelik, 30.12.2017)
KVKK m.16 uyarınca, Kurul belirli veri sorumlularını Veri Sorumluları Sicili’ne kayıt yükümlülüğünden istisna tutabilir. Bu yetkinin çerçevesi; 30.12.2017 tarihli Resmî Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik ile çizilmiştir.
İstisna kararı verilirken dikkate alınan başlıca ölçütler şunlardır:
- Kişisel verinin niteliği ve sayısı,
- Veri işleme amacı ve işlendiği faaliyet alanı,
- Üçüncü kişilere aktarım durumu ve kapsamı,
- İşleme faaliyetinin kanunlardan kaynaklanıp kaynaklanmadığı,
- Saklama süresi (verilerin ne kadar süreyle tutulduğu),
- Veri konusu kişi grupları ve bu gruplara ait veri kategorileri,
- Yıllık çalışan sayısı veya yıllık mali bilanço toplamı.
Bu ölçütler; risk temelli bir yaklaşımla, belirli veri sorumlusu tiplerinin sicile kayıt yükümlülüğünden muaf tutulabilmesine imkân verir. Kurul kararları, bu çerçeveyi somut sektör ve meslek grupları üzerinden detaylandırmaktadır.
2. İstisna Getiren Kurul Kararları (KVKK m.16/2)
Kurul, 02.04.2018 ve 28.06.2018 tarihli kararları ile tüm veri sorumlularına yönelik genel kayıt kuralından istisna tutulan grupları belirlemiş; bu kararlar 15.05.2018 ve 18.08.2018 tarihli Resmî Gazete’lerde yayımlanarak yürürlüğe girmiştir.
2.1 VERBİS İstisna Tablosu
| # | Veri Sorumluları | Kurul Tarihi | Karar No | Resmî Gazete Tarihi |
|---|---|---|---|---|
| 1 | Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler | 02.04.2018 | 2018/32 | 15.05.2018 |
| 2 | 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler | 02.04.2018 | 2018/32 | 15.05.2018 |
| 3 | 5253 sayılı Dernekler Kanunu, 5737 sayılı Vakıflar Kanunu ve 6356 sayılı Kanun kapsamındaki dernek, vakıf ve sendikalar (yalnızca mevzuat ve faaliyet alanlarıyla sınırlı olmak üzere; kendi çalışan, üye, mensup ve bağışçılarına dair veriler) | 02.04.2018 | 2018/32 | 15.05.2018 |
| 4 | 2820 sayılı Kanuna göre kurulmuş siyasi partiler | 02.04.2018 | 2018/32 | 15.05.2018 |
| 5 | 1136 sayılı Kanun uyarınca faaliyet gösteren avukatlar | 02.04.2018 | 2018/32 | 15.05.2018 |
| 6 | 3568 sayılı Kanun uyarınca faaliyet gösteren SMMM ve YMM’ler | 02.04.2018 | 2018/32 | 15.05.2018 |
| 7 | 4458 sayılı Kanun uyarınca faaliyet gösteren Gümrük Müşavirleri ve Yetkilendirilmiş Gümrük Müşavirleri | 28.06.2018 | 2018/68 | 18.08.2018 |
| 8 | Arabulucular | 05.07.2018 | 2018/75 | 18.08.2018 |
| 9 | Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek/tüzel veri sorumlularından; ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar | 19.07.2018 | 2018/87 | 18.08.2018 |
Bilgilendirme: Kurul kararları; 15.05.2018 ve 18.08.2018 tarihli Resmî Gazete nüshalarında yayımlanmıştır.
3. VERBİS Kayıt Yükümlülüğünün Önemi
VERBİS’e kayıt; salt bir “form doldurma” sürecinden ibaret olmayıp, kurumların veri işleme envanterini çıkardığı, saklama ve imha süreçlerini yapılandırdığı, şeffaflık ve hesap verebilirlik mimarisini kurduğu stratejik bir uyum adımıdır.
3.1 Hukuki Uyum
- KVKK ve ikincil düzenlemelere uyumun kayıt altına alınması,
- Kurul incelemeleri ve denetimlerine hazırlık,
- İdari yaptırım risklerinin azaltılması.
3.2 Şeffaflık & Hesap Verebilirlik
- Veri işleme faaliyetlerinin kamuya açık bir sicil üzerinden görünür kılınması,
- Veri sahibi haklarının daha etkin kullanılabilmesi,
- Kurumsal yönetim ve uyum kültürünün güçlenmesi.
3.3 Veri Güvenliği
- Teknik ve idari tedbirlerin sistematik biçimde izlenmesi,
- Saklama–imha, erişim yönetimi ve ihlal müdahale süreçlerine referans oluşturması,
- Bilgi güvenliği mimarisinin, KVKK perspektifiyle dokümante edilmesi.
4. Kimler Kayıt Olmak Zorundadır?
Esas kural; KVKK kapsamında veri sorumlusu sıfatını haiz olan tüm gerçek ve tüzel kişilerin, Kurulun belirlediği istisnalar dışında VERBİS’e kayıt yükümlülüğü altında olduğudur.
4.1 Veri Sorumluları
- Veri işleme amaç ve vasıtalarını belirleyen gerçek veya tüzel kişiler,
- Türkiye’de yerleşik veri sorumluları,
- Türkiye’de yerleşik olmamakla birlikte Türkiye’de bulunan kişilere ait verileri işleyen yurt dışı veri sorumluları (temsilci atama yükümlülüğü doğabilir).
4.2 Veri İşleyenler & Temsilciler
- Veri sorumlusu adına kişisel veri işleyen hizmet sağlayıcılar,
- Yurtdışında yerleşik veri sorumlularının Türkiye’de belirledikleri temsilciler,
- Sözleşmesel ilişkiler nedeniyle fiilen veri işleyen konumunda olan iş ortakları.
Her somut durumda; kurumun rolü (veri sorumlusu/veri işleyen), faaliyet alanı, veri hacmi ve özel nitelikli veri işleme düzeyi birlikte değerlendirilerek kayıt yükümlülüğü analizi yapılmalıdır.
5. İstisna Uygunluk Kontrolü
Kurumunuzun VERBİS’e kayıt yükümlülüğü bakımından istisna kapsamında olup olmadığını değerlendirirken; yalnızca tek bir kritere bakmak yerine, aşağıdaki sorulara bütünsel yanıt vermek gerekir:
- Yıllık çalışan sayınız kaç? (50 ve üzeri ise istisna kapsamı dışına çıkma olasılığı artar.)
- Yıllık mali bilanço toplamınız ne kadar? (25 milyon TL ve üzeri ise kayıt yükümlülüğü gündemdedir.)
- Ana faaliyet konunuz, özel nitelikli kişisel verilerin sistematik işlenmesine mi dayanıyor?
- Kişisel verileri yalnızca otomatik olmayan yollarla mı işliyorsunuz?
- Hangi kişi gruplarına ait verileri, hangi kategorilerde ve hangi amaçlarla işliyorsunuz?
- Verileri üçüncü kişilere, özellikle yurt dışına aktarıyor musunuz?
Bu sorulara verilen cevaplar; Kurul kararlarındaki istisna tablolarıyla karşılaştırılarak, kurumun VERBİS’e kayıt yükümlülüğü pozisyonu netleştirilebilir.
6. Uyum Notu & En İyi Uygulamalar
VERBİS’e kayıt olsun veya olmasın, her veri sorumlusu için KVKK uyum programının bazı temel bileşenleri değişmez. Aşağıdaki başlıklar, iyi uygulama seti olarak dikkate alınmalıdır.
6.1 Kayıt ve Güncelleme Disiplini
- Faaliyet başlamadan önce kayıt yükümlülüğünün değerlendirilmesi,
- İşleme faaliyetlerinde değişiklik olduğunda VERBİS kaydının güncellenmesi,
- Veri envanteri, saklama–imha ve aydınlatma metinleriyle eşgüdümlü hareket edilmesi.
6.2 Aydınlatma & Rıza Yönetimi
- Amaç, hukuki sebep, alıcılar ve saklama sürelerine ilişkin şeffaf aydınlatma metinleri,
- Açık rıza gerektiren faaliyetler için rıza metni ve tercih yönetimi (opt-in/opt-out),
- Verilen/geri çekilen rızaların ispat yükümlülüğünü karşılayacak şekilde kayıt altına alınması.
6.3 Güvenlik ve İhlal Yönetimi
- Teknik ve idari güvenlik tedbirlerinin kurumsal politika ve prosedürlere bağlanması,
- Kişisel Veri Saklama ve İmha Politikası’nın hayata geçirilmesi,
- Olası veri ihlallerinde 72 saat prensibi, etki analizi ve Kurul/ilgili kişiye bildirim süreçlerinin işletilmesi.
6.4 Denetim Açıklığı
- Kurul incelemelerine hazır kayıt ve delil mimarisi oluşturulması,
- İç denetim ve öz değerlendirme mekanizmalarının planlı biçimde yürütülmesi,
- Risk bazlı iyileştirme aksiyonlarının dokümante edilmesi.
7. Sık Sorulan Sorular
7.1 Sicilden istisna olmak KVKK’dan muafiyet anlamına gelir mi?
Hayır. VERBİS’e kayıt yükümlülüğünden istisna olmak, yalnızca sicile kayıt ve güncelleme operasyonuna ilişkindir. Aydınlatma yükümlülüğü, açık rıza yönetimi, saklama–imha, veri güvenliği ve ihlal bildirimleri dâhil tüm KVKK hükümleri aynen uygulanmaya devam eder.
7.2 50’den az çalışanım ve 25 milyon TL’nin altında bilanço büyüklüğüm var, otomatik olarak istisna mıyım?
Çalışan sayısı ve bilanço tutarı tek başına belirleyici değildir. Ana faaliyet konunuzun özel nitelikli kişisel veri işlemeye dayanmaması ve Kurul kararlarındaki diğer kriterleri de karşılamanız gerekir. Her somut durumda ayrı uyum analizi yapılmalıdır.
7.3 Yalnızca kağıt ortamında veri işliyorum, VERBİS’e kayıt zorunluluğum var mı?
Kurul kararı uyarınca, herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyen veri sorumluları istisna kapsamındadır. Ancak fiili süreçlerinizin bu tanıma uyup uymadığı dikkatle değerlendirilmelidir.
7.4 İstisna kapsamına girdikten sonra VERBİS’e kayıt olmamın bir faydası var mı?
İstisna; kayıt zorunluluğunu ortadan kaldırsa da, gönüllü kayıt imkânını engellemez. Özellikle kurumsal yönetim, şeffaflık ve paydaş güveni açısından; envanterin çıkarılması ve kayıt altına alınması, iyi uygulama olarak değerlendirilebilir.
İlgili hizmet: VERBİS kayıt rehberi hakkında detaylı bilgi almak için sayfamızı inceleyebilirsiniz.
