Veri Sorumluları Siciline Bildirim Unsurları
Veri sorumluları sicili; kişisel verilerin işlendiğine ilişkin bilgilerin kayıt altına alındığı, genellikle ilgili ülkenin veri koruma otoritesi tarafından yönetilen kamuya açık bir kayıt sistemidir. KVKK kapsamında VERBİS’e yapılacak bildirimler, şeffaflık ve hesap verebilirlik ilkeleri gereği veri işleme faaliyetlerine dair kapsamlı unsurlar içerir.
Bu metinde; veri sorumlularının VERBİS’e bildirmekle yükümlü olduğu zorunlu bildirim unsurları ile bu unsurların kurumsal uygulamadaki yeri ve etkisi ayrıntılı olarak ele alınmakta; kimlik ve iletişim bilgilerinden saklama sürelerine, teknik/idari tedbirlerden veri sahibi haklarına kadar uçtan uca bir çerçeve ortaya konulmaktadır.
Amaç; beyan edilen bilgiler ile sahadaki uygulamalar arasında tutarlılık sağlayan, denetime hazır ve sürdürülebilir bir VERBİS yönetim modeli oluşturmaktır.
VERBİS bildirimi = Kimlik + Amaç + Kategori + Alıcı + Saklama + Güvenlik + Haklar
Sağlıklı bir kayıt; yalnızca yükümlülüğü yerine getirmekle kalmaz, veri envanteri, saklama–imha, aydınlatma metinleri ve sözleşmelerle bütünleşik bir uyum omurgası sunar.
1. Zorunlu Bildirim Unsurları (VERBİS)
KVKK m.16 çerçevesinde tutulan Veri Sorumluları Siciline yapılacak bildirimler; veri işleme faaliyetlerine ilişkin asgari olarak aşağıdaki unsurları içermelidir. Bu unsurlar, VERBİS üzerinde yapılandırılırken veri envanteri ve saklama–imha politikaları ile uyumlu kurgulanmalıdır.
- Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
- Kişisel verilerin işlenme amaçları,
- Veri konusu kişi grupları ve bu gruplara ait kişisel veri kategorileri,
- Alıcı/alıcı grupları (verilerin aktarılabileceği taraflar),
- Yurt dışına aktarım öngörülen kişisel veriler ve aktarım çerçevesi,
- Veri güvenliğine ilişkin alınan teknik ve idari tedbirler,
- İşleme amacıyla bağlantılı azami saklama süreleri.
1.1 Unsurların Kurumsal Önemi
| Bildirim Unsuru | İçerik | Kurumsal Önemi |
|---|---|---|
| Kimlik & adres | Veri sorumlusu ve varsa temsilciye ilişkin temel tanımlayıcı bilgiler. | Veri sahibinin kime karşı hak kullanacağını ve hangi kanallardan ulaşacağını netleştirir. |
| İşleme amaçları | Hizmet sunumu, pazarlama, güvenlik, hukuki süreçler vb. amaç başlıkları. | Veri envanterinin omurgasını oluşturur; minimizasyon ve uyum kontrolü bu alanda yapılır. |
| Kişi grupları & kategoriler | Müşteri, çalışan, tedarikçi vb. gruplar ve bunlara ilişkin veri türleri. | Kim için hangi verinin hangi kapsamda işlendiğini sistematik hâle getirir. |
| Alıcılar & aktarım | Verinin paylaşıldığı taraflar ve yurt içi/yurt dışı aktarım çerçevesi. | Şeffaflığı güçlendirir; sözleşmesel ve teknik tedbirlerin çerçevesini belirler. |
| Saklama süreleri | Kategori bazında azami saklama süreleri ve imha tetikleyicileri. | KVKK m.7 ve saklama–imha politikasının uygulama ayağını oluşturur. |
| Güvenlik tedbirleri | Teknik ve idari koruma önlemleri. | Veri güvenliği mimarisinin üst düzey özetini sunar; ihlal yönetimi için referans oluşturur. |
2. Veri Sorumlusu Kimlik & İletişim
VERBİS bildiriminde ilk katman, veri sorumlusunun ve varsa temsilcisinin doğru ve güncel kimlik–iletişim bilgileriyle tanımlanmasıdır. Bu alanlar, veri sahiplerinin bilgiye şeffaf biçimde erişmesi ve haklarını etkin kullanması için zorunludur.
2.1 Kimlik Bilgileri
- Kurum/şirket adı veya ticaret unvanı,
- MERSİS numarası / Vergi Kimlik Numarası (varsa),
- Merkez adresi,
- KEP adresi,
- Kurumsal web sitesi bilgisi,
- Vekâleten hareket eden temsilcinin kimlik ve iletişim bilgileri (varsa).
2.2 İletişim & Sorumlu Kişiler
- İrtibat kişisi veya veri koruma görevlisi (DPO, varsa) adı–soyadı,
- Başvuru ve iletişim kanalları (e-posta, posta adresi, başvuru formu linkleri),
- Aydınlatma metni, veri sahibi başvuru prosedürü ve KVKK başvuru formuna erişim yolları.
3. Kişisel Verilerin İşlenme Amaçları & Hukuki Sebep
VERBİS kaydında her bir işleme faaliyeti; amaç ve hukuki sebep boyutuyla net şekilde tanımlanmalıdır. Amaçlar; KVKK m.4’teki “belirli, açık ve meşru olma” kriterlerini karşılamalıdır.
3.1 Örnek İşleme Amaçları
- Hizmet/ürün sunumu ve sonrasında hizmet iyileştirme,
- Pazarlama, reklam, kampanya yönetimi (açık rıza gerektiren haller),
- İş süreçlerinin verimliliği ve operasyonel optimizasyon,
- Güvenlik ve suç önleme (erişim güvenliği, dolandırıcılık önleme vb.),
- Hukuki süreçlerin yürütülmesi ve mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi,
- Sağlık hizmetleri kapsamında özel nitelikli verilerin işlenmesi (ilave şartlara tabi).
3.2 Hukuki Sebepler
- Açık rıza (KVKK m.5/1),
- Sözleşmenin kurulması veya ifası için gerekli olması,
- Hukuki yükümlülüğün yerine getirilmesi için zorunlu olması,
- Meşru menfaat (temel hak ve özgürlüklere zarar vermeme şartıyla),
- Kanunda açıkça öngörülme,
- Veri sahibinin verisini alenileştirmiş olması ve amacına uygun işleme,
- Özel nitelikli veriler için KVKK m.6 ve ikincil düzenlemelerdeki özel şartlar.
4. İşlenen Kişisel Veri Kategorileri
Bildirimde; hangi kategoride kişisel verilerin işlendiği, kapsam ve alt kırılımlarıyla açıklanmalıdır. Bu kategoriler, ilgili amaç ve hukuki sebep ile birebir eşleştirilmeli; gereksiz veri toplanmasından kaçınılmalıdır.
Örnek kategori seti:
- Kimlik: Ad, soyad, TCKN, doğum tarihi vb.
- İletişim: Telefon, e-posta, adres vb.
- Finansal: IBAN, ödeme bilgileri, fatura bilgileri vb.
- İş/Özlük: Unvan, departman, kıdem, performans ve özlük dosyası bilgileri.
- İşlem güvenliği: Log kayıtları, IP, oturum bilgileri.
- Görsel/işitsel: Kamera kayıtları, çağrı merkezi ses kayıtları.
- Sağlık (ÖNV): Raporlar, engellilik bilgileri, periyodik muayene verileri.
- Biyometrik (ÖNV): Parmak izi, yüz tanıma, damar izi vb.
- Lokasyon: GPS verisi, erişim noktası kayıtları.
Her kategori için; hangi kişi grubuna ait olduğu, hangi amaçla işlendiği ve azami saklama süresi ayrı ayrı belirlenmelidir.
5. Alıcı/Alıcı Grupları & Yurt Dışı Aktarım
VERBİS bildiriminde; kişisel verilerin kimlere ve hangi çerçevede aktarılabileceği açık ve kategorik şekilde tanımlanmalıdır. Aktarım şeffaflığı, veri sahibinin verisinin hangi veri kategorilerinde, kime, hangi amaç ve dayanakla aktarıldığını görmesini sağlar.
5.1 Alıcı/Alıcı Grupları
- İş ortakları, grup şirketleri ve iştirakler,
- Tedarikçiler (lojistik, çağrı merkezi, barındırma, bulut, yazılım hizmeti vb.),
- Yetkili kamu kurum ve kuruluşları, düzenleyici–denetleyici otoriteler,
- Yargı mercileri, bağımsız denetçiler ve danışmanlar,
- Sözleşmesel yükümlülüklerin ifası için zorunlu diğer hizmet sağlayıcılar.
5.2 Yurt Dışı Aktarım
- Aktarım yapılan ülke veya ülkeler,
- Aktarılan veri kategorileri ve aktarım amaçları,
- Aktarımın hukuki altyapısı (yeterlilik kararı, taahhüt, açık rıza vb.),
- Ek güvenlik ve sözleşmesel tedbirler (şifreleme, anonimleştirme, standart sözleşme maddeleri vb.).
6. Azami Saklama Süreleri
Her bir kişisel veri kategorisi için, işleme amacıyla bağlantılı azami saklama süresinin VERBİS’te kategori bazında belirtilmesi gerekir. Bu sürelerin tespitinde; ilgili mevzuattan kaynaklanan zorunlu saklama süreleri de dikkate alınmalıdır.
- Vergi ve ticaret hukuku kaynaklı saklama süreleri,
- İş hukuku ve SGK mevzuatındaki saklama yükümlülükleri,
- Uyuşmazlık ve zamanaşımı süreleri,
- Kurumsal politikalar ve risk iştahı çerçevesinde belirlenen süreler.
Süre dolduğunda ilgili veri; Kişisel Veri Saklama ve İmha Politikasına uygun şekilde silinmeli, yok edilmeli veya anonim hâle getirilmelidir.
7. Teknik & İdari Güvenlik Tedbirleri
VERBİS bildiriminde veri güvenliği için alınan teknik ve idari tedbirlerin çerçevesi beyan edilir. Bu beyan; kurumun bilgi güvenliği mimarisi ve iç politika setiyle uyumlu olmalıdır.
7.1 Teknik Tedbirler
- Ağ segmentasyonu, güvenlik duvarları, IDS/IPS ve DLP çözümleri,
- Uygulama ve veri tabanı düzeyinde şifreleme, anahtar yönetimi,
- Erişim kontrolü, rol tabanlı yetkilendirme, MFA,
- Log yönetimi, zaman damgası, yetkisiz erişim tespiti,
- Düzenli sızma testleri, zafiyet taramaları ve yama yönetimi.
7.2 İdari Tedbirler
- Politika ve prosedürler (saklama–imha, erişim yönetimi, ihlal müdahalesi vb.),
- Görev tanımları, rol-tabanlı yetkilendirme ve görevler ayrılığı,
- Çalışan eğitimleri ve farkındalık programları,
- Tedarikçi sözleşmelerinde KVKK’ya özgü hükümler ve veri işleyen taahhütleri,
- İç denetim, öz değerlendirme ve iyileştirme aksiyonları.
8. Veri Sahibinin Hakları & Başvuru
VERBİS kaydının tamamlayıcı unsurlarından biri, veri sahiplerinin KVKK m.11 kapsamındaki haklarını fiilen kullanabileceği başvuru kanallarının net ve erişilebilir olmasıdır.
- Kişisel verilerin işlenip işlenmediğini öğrenme,
- İşlenmişse buna ilişkin bilgi talep etme,
- Amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
- Eksik veya yanlış işlenmişse düzeltilmesini isteme,
- İşleme şartlarının ortadan kalkması hâlinde silinmesini veya yok edilmesini talep etme,
- İşleme sonucunda aleyhe bir durum ortaya çıkması hâlinde itiraz etme,
- Uğradığı zararın giderilmesini talep etme.
Başvuru kanalları (e-posta, KEP, posta adresi, başvuru formu linki) aydınlatma metinleri ile uyumlu olmak kaydıyla VERBİS’te de tutarlı şekilde yer almalıdır.
9. Kişisel Verilerin İşlenme Amaçlarına Örnekler
İşleme amaçlarının somut örneklerle tanımlanması, hem VERBİS kayıtlarının hem de aydınlatma metinlerinin anlaşılabilirliğini artırır.
9.1 Hizmet & Süreç İyileştirme
Müşteri tercihleri, davranışları ve geri bildirimleri analiz edilerek kişiselleştirilmiş deneyimler tasarlanır; operasyonel süreçlerde verimlilik artışı sağlanır. Bu kapsamda, istatistiksel analiz ve raporlama faaliyetleri meşru menfaat ve sözleşme dayanakları ile ilişkilendirilebilir.
9.2 Pazarlama & Reklam
Segmentasyon, hedefleme, kampanya duyuruları ve kişiye özel tekliflerin iletilmesi faaliyetleri; çoğu durumda açık rızaya dayanır. Ayrılma (opt-out) ve tercih yönetimi mekanizmalarının somut şekilde işletilmesi zorunludur.
9.3 Güvenlik & Suç Önleme
Dolandırıcılık tespiti, sistem ve ağ güvenliğinin sağlanması, tesis güvenliği ve kamu güvenliği amaçlı işlemler; ilgili mevzuattan kaynaklanan hukuki yükümlülük veya meşru menfaat dayanağı ile yürütülebilir.
9.4 Sağlık Hizmetleri
Hasta bakımı, tedavi planlaması ve epidemiyolojik çalışmalar kapsamında; özel nitelikli kişisel veriler işlenebilir. Bu durumda, KVKK ve ikincil düzenlemelerdeki ilave şartlar ile üst düzey teknik ve idari tedbirler gözetilmelidir.
10. Veri Konusu Kişi Grupları — Örnek Tablo
Aşağıdaki tablo, VERBİS kaydına temel oluşturabilecek kişi grupları, amaçlar ve güvenlik yaklaşımlarına ilişkin örnek bir çerçeve sunar. Tablo, sektöre özgü ihtiyaçlara göre genişletilerek kategori bazında sisteme işlenebilir.
| Grup Adı | Tanım | Özellikler / Veri Tipleri | Amaç | İletişim Kanalları | Pazarlama Stratejisi | Veri Güvenliği | Analiz & İyileştirme |
|---|---|---|---|---|---|---|---|
| Müşteriler | Ürün veya hizmet alan gerçek kişiler. | Kimlik, iletişim, işlem bilgisi, finansal veriler. | Sözleşme kurulması/ifası, hizmet sunumu ve sonrası destek. | E-posta, SMS (izinli), çağrı merkezi, müşteri portalı. | İzinli ileti yönetimi, segmentasyon, kampanya optimizasyonu. | MFA, şifreleme, DLP, erişim kontrolü, log yönetimi. | Memnuniyet analizi, churn analizi, hizmet kalitesi ölçümü. |
| Çalışanlar | Kadro çalışanları ve çalışan adayları. | Özlük, bordro, performans, eğitim, disiplin kayıtları. | İK süreçlerinin yürütülmesi, iş sağlığı ve güvenliği, hukuki yükümlülükler. | İç portal, kurumsal e-posta, toplantılar. | İK marka iletişimi, iç iletişim kampanyaları. | Rol-tabanlı yetkilendirme, log kayıtları, fiziksel erişim kontrolü. | Yetkinlik analizi, performans yönetimi, organizasyonel gelişim. |
| Tedarikçiler | Ürün/hizmet sağlayan gerçek veya tüzel kişi temsilcileri. | Sözleşme, fatura, iletişim ve temsil bilgileri. | Tedarik ve sözleşme yönetimi, finansal süreçlerin yürütülmesi. | KEP, e-posta, portal, e-fatura sistemleri. | Genellikle doğrudan pazarlama yapılmaz. | Sözleşmesel tedbirler, erişim kısıtları, veri işleyen kontrolleri. | KPI takibi, mali süreç ve tedarik zinciri optimizasyonu. |
11. Kişisel Veri Kategorileri — Örnek Liste
Aşağıdaki liste, VERBİS’te kullanılabilecek temel kategori setine örnek teşkil eder. Sektör ve iş modeli doğrultusunda genişletilebilir veya daraltılabilir.
- Kimlik: Ad, soyad, TCKN, pasaport no, doğum tarihi vb.
- İletişim: Telefon numarası, e-posta adresi, yerleşim yeri adresi.
- Finansal: IBAN, hesap bilgileri, fatura ve ödeme bilgileri.
- İş/Özlük: Unvan, görev, kıdem, performans, özlük dosyası verileri.
- İşlem Güvenliği: IP adresi, log kayıtları, oturum ve cihaz bilgileri.
- Görsel/İşitsel: Kamera (CCTV) kayıtları, çağrı merkezi ses kayıtları.
- Sağlık (ÖNV): Sağlık raporları, engellilik durumuna ilişkin veriler.
- Biyometrik (ÖNV): Parmak izi, yüz tanıma verisi, retina vb.
- Lokasyon: GPS koordinatları, erişim noktası ve konum verileri.
Özel Nitelikli Veriler (ÖNV): KVKK ve ikincil düzenlemelere göre ilave koruma gerektiren veri kategorileridir. Bu kategoriler için ayrı teknik/idari tedbir seviyesi ve daha sıkı erişim kontrolleri tanımlanmalıdır.
12. Sık Sorulan Sorular
12.1 VERBİS bildiriminde yer alan unsurlar zaman içinde güncellenebilir mi?
Evet. Veri işleme faaliyetlerinizde amaç, kapsam, kategori, alıcı veya saklama sürelerinde değişiklik olması hâlinde VERBİS kaydınızın da güncellenmesi gerekir. Böylece beyan ile fiili uygulama arasındaki tutarlılık korunur.
12.2 Veri kategorileri ile kişi gruplarını nasıl eşleştirmeliyim?
Önce veri konusu kişi gruplarınızı (müşteri, çalışan, tedarikçi vb.) belirlemeli, ardından her grup için işlenen veri kategorilerini, amaç ve hukuki sebep bazında ayrı ayrı eşleştirmelisiniz. Bu yapı, hem envanter hem VERBİS kaydı hem de aydınlatma metinleri arasında tutarlılık sağlar.
12.3 Saklama süresini yanlış beyan edersem ne olur?
VERBİS’te beyan edilen saklama süreleri, denetimlerde referans alınır. Gerçekten daha uzun saklama yapmanız veya süresi dolmuş verileri imha etmemeniz; KVKK m.7 ve ilgili ikincil düzenlemeler kapsamında uyumsuzluk riskini artırır.
12.4 Teknik tedbirleri VERBİS’te ne kadar detayda belirtmeliyim?
VERBİS’te üst seviye başlıkların (şifreleme, erişim yönetimi, loglama, sızma testi vb.) beyanı yeterlidir. Ancak kurum içi politikalarda ve teknik dokümantasyonda bu tedbirlerin ayrıntılı ve güncel biçimde tanımlanmış olması beklenir.
