Veri Sorumlusu Temsilcisi Atama Kimler Zorunda 2026 Rehber
Türkiye’de kullanıcı kitlesi bulunan yurt dışı merkezli şirketler için en kritik uyum başlıklarından biri veri sorumlusu temsilcisi atama yükümlülüğüdür. Bu konu çoğu zaman sadece Sicil işlemi gibi görülür. Sahada ise temsilci, başvuru yönetimi, Kurum yazışmaları, Sicil beyanlarının sürekliliği ve denetim dayanıklılığı açısından operasyonun omurgasına dönüşür.
Bu rehber, 2026 uygulama beklentilerine uygun biçimde kimlerin temsilci atamak zorunda olduğunu, atama kararının nasıl kurgulanacağını, VERBİS ile nasıl entegre edileceğini ve temsilci modelinin güvenlik ile uyum kontrolleriyle birlikte nasıl işletileceğini sade ve anlaşılır bir dille açıklar. Kamu kurumları, üretim tesisleri, fabrikalar ve özel sektör kuruluşlarıyla çalışan global tedarikçi ekosistemlerinde görülen tipik riskler ayrıca ele alınır.
Temsilci atama yükümlülüğü, ağırlıkla Türkiye’de yerleşik olmayan veri sorumluları için gündeme gelir. Doğru karar metni, doğru yetki kapsamı, envanter ile tutarlı beyan ve başvuru yönetimi birlikte kurulmalıdır. Temsilci, sorumluluğu devralmaz ancak Türkiye’deki iletişim ve operasyonu çalıştırır.
1. Kimler Temsilci Atamak Zorunda
Temsilci atama zorunluluğunu doğru okumak için iki kavramı aynı anda netleştirmek gerekir. Birincisi veri sorumlusu kimdir. İkincisi veri sorumlusu Türkiye’de yerleşik midir. Bu iki başlık net değilse, temsilci ihtiyacı da yanlış değerlendirilir. Uygulamada yapılan en yaygın hata, temsilciyi sadece bir iletişim kişisi olarak görmek ve rolün Sicil, başvuru ve denetim etkisini gözden kaçırmaktır.
Veri sorumlusu kavramı pratikte nasıl tespit edilir
Veri sorumlusu, kişisel verilerin hangi amaçlarla işleneceğini ve hangi yöntemlerle işleneceğini belirleyen taraftır. Burada belirleyici kriter, karar merciidir. Kurum hangi veriyi toplayacağına, ne kadar süre tutacağına, hangi tedarikçilerle paylaşacağına, hangi güvenlik kontrollerini uygulayacağına karar veriyorsa veri sorumlusu rolündedir. Aynı kurum, bazı senaryolarda veri işleyen de olabilir. Örneğin bir SaaS sağlayıcısı, müşterisinin talimatlarıyla işliyorsa veri işleyen rolünde kalır. Aynı sağlayıcı, ürün geliştirme, sahtekarlık önleme, analitik veya pazarlama gibi kendi amaçları için de işliyorsa o kısımda veri sorumlusu rolü doğabilir.
Türkiye’de yerleşik olmama hali neden önemlidir
Türkiye’de yerleşik olmama hali, veri sorumlusunun merkezinin veya iş yerinin Türkiye dışında olması anlamına gelir. Türkiye’de şirket kurulmamış olması, Türkiye’den hizmet verilemeyeceği anlamına gelmez. Tam tersine dijitalleşme ile birlikte Türkiye’deki kişilerle temas eden yurt dışı kuruluş sayısı arttı. Üyelik sistemleri, uzaktan satış, online eğitim, bulut servisleri, çağrı merkezi destek hatları, tedarikçi portalları, mobil uygulamalar ve reklam teknolojileri bu temasın ana kanallarıdır.
Temsilci atama ihtiyacını doğuran tipik iş modelleri
Aşağıdaki senaryolar, temsilci atama konusunun en sık gündeme geldiği sahalardır.
- Türkiye’deki kullanıcıların hesap açtığı global uygulamalar ve platformlar
- Türkiye’ye online satış yapan yurt dışı e ticaret markaları
- Türkiye’deki bayiler ve iş ortakları üzerinden kampanya yürüten grup şirketleri
- Türkiye’deki çalışan adaylarından özgeçmiş toplayan global şirketler
- Türkiye’deki tedarikçi yetkilileriyle sözleşme ve ödeme süreçleri yürüten portallar
- Türkiye’deki müşterilere uzaktan destek sağlayan teknik servis organizasyonları
Bu senaryolarda ortak payda şudur. Türkiye’de bulunan ilgili kişilerin verisi işlenir. Sadece web sitesinin Türkiye’den erişilebilir olması tek başına yeterli bir kriter değildir. Ancak Türkiye’deki kişilere yönelik hizmet sunumu, fiyatlandırma, dil seçimi, yerel kampanya, yerel ödeme yöntemi ve Türkiye’deki kullanıcıların hedeflenmesi gibi işaretler bir arada olduğunda yükümlülük tartışması güçlenir.
İrtibat kişisi ile temsilci ayrımı
İrtibat kişisi, Sicil sürecinde veri sorumlusu adına Kurum ile iletişimi kolaylaştırmak için bildirilen gerçek kişidir. Temsilci ise Türkiye’de yerleşik olmayan veri sorumlularında, Kurum ile iletişim ve süreç yürütümü için konumlanan bir roldür. Pratikte temsilci modeli, yurt dışı veri sorumlularının Türkiye’deki başvuru ve yazışmalarını yönetilebilir hale getirir. Temsilci, veri sorumlusu adına karar almaz. Ancak süreçlerin zamanında ve tutarlı biçimde işlemesini sağlar.
Kimlerin temsilci atamak zorunda olmaması daha olasıdır
Türkiye’de yerleşik veri sorumluları açısından temsilci atama genellikle gündemde değildir. Bu kurumlar, uyum bileşenlerini kendi tüzel kişilikleri üzerinden yürütür. Bununla birlikte her veri sorumlusu Sicile kayıt yükümlüsü olmayabilir. Sicil yükümlülüğü, ayrı bir kapsam değerlendirmesi gerektirir. Bu rehberin odağı temsilci atamadır ve temsilci atama, yurt dışı veri sorumlularında Sicil ile birlikte sahada anlam kazanır.
Hızlı karar tablosu
Aşağıdaki tablo, pratik bir ön değerlendirme için kullanılabilir. Kurumsal karar, her zaman süreç envanteri ve faaliyet modeline dayanmalıdır.
| Durum | Türkiye’de yerleşiklik | Türkiye’de ilgili kişi verisi | Temsilci ihtimali |
|---|---|---|---|
| Türkiye’de şirketi olan kurum | Var | Var | Düşük |
| Yurt dışı merkezli SaaS Türkiye’ye hizmet veriyor | Yok | Var | Yüksek |
| Yurt dışı marka Türkiye’ye online satış yapıyor | Yok | Var | Yüksek |
| Yurt dışı tedarikçi Türkiye’de kişi verisine hiç temas etmiyor | Yok | Yok | Düşük |
Bu tablo bir yön gösterir. Nihai karar, veri sorumlusu rolünün doğru tespiti, Türkiye’deki ilgili kişi gruplarının belirlenmesi, veri kategorileri ve veri akışlarının netleştirilmesiyle verilir.
2. Atama Kararı Belgeler ve VERBİS Uygulaması
Temsilci atama sürecinde başarının anahtarı, atama kararının uygulanabilir şekilde yazılması ve Sicil süreciyle tutarlı biçimde kurgulanmasıdır. Sadece bir metin üretmek yeterli olmaz. Kararın kapsamı, temsilcinin hangi süreçleri yürüteceğini net biçimde göstermelidir. Ayrıca karar, veri sorumlusunun iç operasyonu ile temsilci arasında bilgi paylaşım düzenini desteklemelidir.
Atama kararında bulunması gereken temel unsurlar
Kurumsal uygulamada atama kararının aşağıdaki unsurları içermesi, hem kayıt sürecini hem de denetim dayanıklılığını güçlendirir.
- Veri sorumlusunun unvanı ve merkez ülke bilgisi
- Temsilcinin Türkiye’de yerleşik unvanı veya gerçek kişi kimliği
- Kurum yazışmalarını alma ve iletme yetkisinin tanımı
- VERBİS işlemlerini yürütme yetkisinin tanımı
- İlgili kişi başvurularını alma, kayda alma ve yönlendirme süreci
- Yetki sınırları ve veri sorumlusunun sorumluluğunun devam ettiği çerçeve
- Kararın onay mekanizması ve imza düzeni
Belge seti sadece karar metninden ibaret olmamalıdır
Sahada sürdürülebilirlik için belge setini geniş düşünmek gerekir. Temsilci ile veri sorumlusu arasında süreç yönetimini taşıyacak kısa ve net ek dokümantasyon önerilir. Örneğin bilgi paylaşım protokolü, başvuru yönetimi prosedürü, Kurum yazışmaları iş akışı, envanter güncelleme döngüsü ve yetki matrisi gibi belgeler, karar metnini hayata geçirir.
VERBİS beyanının envantere dayalı kurulması
VERBİS beyanı, kişisel veri işleme envanterine dayanır. Envanter yoksa, beyanın doğruluğu da yoktur. Envanter, süreç bazlı çıkarılır. Hangi süreçte hangi kişi grubunun verisi işleniyor, hangi veri kategorileri var, hangi amaçlarla işleniyor, hangi hukuki sebeplere dayanılıyor, kimlere aktarılıyor, ne kadar süre saklanıyor, hangi güvenlik tedbirleri uygulanıyor. Bu sorular netleşmeden yapılan beyanlar genellikle şablon kalır ve denetimde zayıflık yaratır.
Saklama süreleri ve imha tasarımı
Saklama süreleri, mevzuat gereklilikleri ile iş ihtiyaçlarını birlikte dikkate almalıdır. Ancak ölçülülük ilkesi ihmal edilirse risk artar. Gereksiz uzun saklama süreleri, ihlal halinde etkiyi büyütür. İmha süreçleri ise sadece silme değildir. Silme, yok etme ve anonim hale getirme gibi yöntemler veri ortamına göre farklılaşır. Temsilci, Sicil beyanının saklama yaklaşımını envanterle uyumlu tutacak koordinasyonu destekler.
Alıcı grubu ve tedarikçi zinciri görünürlüğü
Yurt dışı veri sorumlularında tedarikçi zinciri genellikle geniştir. Bulut barındırma, e posta altyapısı, ödeme servisleri, analitik araçlar, reklam teknolojileri, destek masası yazılımları ve müşteri ilişkileri yönetimi platformları buna örnektir. Bu nedenle veri akış haritası çıkarılmadan doğru beyan yapmak zorlaşır. Kurumsal yaklaşım, alıcı grubunu kategorik tanımlar ve her kategoride hangi veri türlerinin hangi amaçlarla paylaşıldığını netleştirir.
VERBİS ve envanter uyumu için kontrol tablosu
Aşağıdaki tablo, beyan kalitesini artırmak için sık kullanılan bir kontrol yaklaşımını özetler.
| Kontrol başlığı | Beklenen çıktı | Saha hatası | Çözüm yaklaşımı |
|---|---|---|---|
| Kişi grubu eşleşmesi | Envanter ile beyan aynı kişi grupları | Başvuru yapan kişi grubu beyana yazılmamış | Süreç bazlı kişi grubu listesi standartlaştırma |
| Veri kategorisi kapsamı | Veri kategorileri eksiksiz ve ölçülü | Şablon kategoriler ile gerçek veri seti farklı | Veri alanı bazlı örnekleme ve veri haritalama |
| Hukuki sebep tutarlılığı | Amaç ve sebep uyumlu | Pazarlama meşru menfaat gibi yazılmış | Amaç bazlı hukuki sebep matrisi |
| Saklama süreleri | Süreler mevzuat ve iş ihtiyacına uygun | Süreler yuvarlanmış veya çok uzun | Süre gerekçelendirme ve imha planı |
| Alıcı grubu ve aktarım | Tedarikçi zinciri görünür | Alt tedarikçi unutulmuş | Tedarikçi envanteri ve sözleşme ekleri |
Bu kontrol yaklaşımı, temsilci atama sürecini bir kayıt işlemi olmaktan çıkarır ve uyumun sürdürülebilir bir yönetişim modeline dönüşmesini sağlar.
3. Temsilcinin Görevleri ve İşletim Modeli
Temsilcinin rolünü doğru kurgulamak için şu yaklaşım yeterince net bir çerçeve sunar. Temsilci, veri sorumlusunun yükümlülüklerini üstlenmez ancak Türkiye’deki süreçlerin çalışması için iletişim, koordinasyon, kayıt tutma ve süre yönetimi fonksiyonlarını işletir. Bu nedenle temsilci seçimi ve temsilci ile veri sorumlusu arasındaki çalışma modeli, uyum kalitesini doğrudan etkiler.
İlgili kişi başvuru yönetimi
Başvuru yönetimi, uyum olgunluğunun en görünür alanıdır. Başvurular gelmeye başladığında, kurumun veriyi nerede tuttuğu, kimlerin eriştiği, hangi amaçla işlediği ve hangi süreyle sakladığı soruları pratik olarak önünüze gelir. Temsilci, başvurunun alınacağı kanalı netleştirir, kayıt altına alır ve veri sorumlusunun iç ekiplerine doğru biçimde yönlendirir. Ayrıca yanıtın süre içinde ve tutarlı şekilde üretilmesini destekler.
Kurum yazışmaları ve tebligat akışı
Kurum yazışmaları sadece bir formalite değildir. Yazışmaların konusu Sicil, şikayet, inceleme, veri ihlali veya başka bir uyum bileşeni olabilir. Temsilci, gelen yazışmayı alır, içerik kapsamını sınıflandırır, ilgili birimlerden kanıt ve açıklama toplar, yanıtın kurumsal dilde hazırlanmasını koordine eder. Burada hız kadar doğruluk da önemlidir. Çelişkili veya eksik yanıtlar, denetim riskini artırır.
Envanter ve beyan güncelleme döngüsü
Yurt dışı veri sorumlularında ürünler hızlı değişir. Yeni modüller, yeni entegrasyonlar, yeni tedarikçiler, yeni pazarlama kanalları devreye girer. Envanter ve beyan güncellenmezse, bir süre sonra beyan gerçeği yansıtmaz hale gelir. Temsilci, değişiklik yönetimi toplantılarına dahil edilerek, envanter ve Sicil beyanının güncelliğini koruyan bir döngü kurabilir. Bu döngü, özellikle Türkiye’de kullanıcı sayısı hızla artan platformlarda kritik hale gelir.
Rol dağılımı için pratik matris
Aşağıdaki tablo, temsilci ve veri sorumlusu tarafındaki ekiplerin rol dağılımını sade biçimde gösterir. Amaç rol belirsizliğini azaltmaktır.
| Faaliyet | Temsilci | Uyum ve hukuk | BT ve güvenlik | İş birimi |
|---|---|---|---|---|
| Başvurunun alınması ve kayıt | Yürütür | Danışılır | Bilgilendirilir | Bilgilendirilir |
| Başvuru kapsam analizi | Yürütür | Yürütür | Danışılır | Danışılır |
| Veri kaynağı tespiti | Koordine eder | Danışılır | Yürütür | Danışılır |
| Yanıt metni üretimi | Koordine eder | Yürütür | Danışılır | Danışılır |
| Kurum yazışması yanıtı | Koordine eder | Yürütür | Danışılır | Danışılır |
| Envanter güncelleme | Takip eder | Yürütür | Danışılır | Yürütür |
Temsilci seçimi için saha kriterleri
Temsilci seçimi sadece maliyet üzerinden yapılırsa süreç zayıflar. Özellikle kamu kurumları, üretim tesisleri ve kritik tedarik zincirlerinde, uyum talepleri teknik ve idari kanıtla desteklenmek zorundadır. Bu nedenle temsilci seçiminde aşağıdaki kriterler önem kazanır.
- Süre yönetimi ve kayıt disiplininin bulunması
- Başvuru yönetiminde ölçülü doğrulama ve standart iş akışı
- VERBİS beyanlarını envanterle tutarlı yürütebilecek metodoloji
- Kurum yazışmalarında kurumsal dil ve teknik doğruluk
- Gizlilik, erişim yetkisi ve bilgi paylaşım protokollerine uyum
Nesil Teknoloji ile uygulama yaklaşımı
Nesil Teknoloji, TSE A Sınıfı Sızma Testi yetkisine sahip profesyonel bir kurum olarak, temsilci modelini sadece dokümantasyonla sınırlamaz. Yurt dışı veri sorumlularında Türkiye ayağında sürdürülebilir uyum için süreç, kayıt ve teknik kontrol katmanlarını birlikte tasarlar. Bu yaklaşım, özellikle tedarikçi zinciri karmaşık olan sektörlerde denetim dayanıklılığını güçlendirir ve sahada krize dönüşen başvuru süreçlerini yönetilebilir hale getirir.
4. Riskler Denetim Senaryoları ve Teknik Kontroller
Temsilci atama sürecinde gerçek risk, atama sonrası süreçlerin işletilmemesidir. 2026 uygulama beklentisi, beyanın yapılması kadar beyanın arkasındaki fiili işleyişin tutarlı olmasına dayanır. Denetimde en hızlı görünür olan alanlar başvuru yönetimi, tedarikçi zinciri, saklama süreleri ve güvenlik kontrolleridir. Bu nedenle temsilci modeli, uyumun teknik ve idari tedbirleriyle birlikte ele alınmalıdır.
Risk alanı beyan ile fiili süreç uyumsuzluğu
En sık görülen risk, VERBİS beyanının şablon kalması ve gerçek süreçleri yansıtmamasıdır. Örnek olarak beyan sadece birkaç alıcı grubu söyler ancak fiili süreçte analitik, reklam, destek masası ve bulut servisleriyle geniş bir aktarım ekosistemi vardır. Beyan kısa saklama süresi söyler ancak sistemlerde veri çok daha uzun süre kalır. Beyan belirli bir hukuki sebep söyler ancak pazarlama süreçleri farklı bir kurgu ile yürür ve rıza kayıtları kanıtlanamaz. Denetimde bu uyumsuzluklar hızlı biçimde görünür hale gelir.
Risk alanı başvuru yönetiminde kanıt üretememe
Başvuru süreci işletilse bile kanıt üretilmiyorsa risk devam eder. Kanıt, başvurunun alındığı kayıt, doğrulama adımı, iç yazışmalar, veri kaynağı arama çıktısı, yanıt metni ve kapanış kaydıdır. Bu kayıtlar yoksa, süreç yürütülmüş gibi görünse bile denetimde savunulabilirlik azalır. Temsilci, bu kayıt mimarisinin standardını kurmalı ve veri sorumlusu ile birlikte işletmelidir.
Teknik kontroller ve denetim delilleri
KVKK çerçevesinde teknik ve idari tedbirler, veri güvenliğinin temelidir. Burada amaç uzun kontrol listeleri üretmek değildir. Amaç kanıt üreten ve etkiyi azaltan bir kontrol seti kurmaktır. Aşağıdaki tablo, sahada en çok aranan teknik kontrolleri, hedefini ve delil örneklerini gösterir.
| Kontrol | Hedef | Delil örnekleri | Uygulama notu |
|---|---|---|---|
| Çok faktörlü doğrulama | Hesap ele geçirme riskini düşürmek | Politika ayarları, yönetici hesap listesi, oturum kayıtları | Yönetici ve uzaktan erişim hesaplarında zorunlu olmalı |
| Loglama ve izleme | Yetkisiz erişimi erken tespit | Log saklama süresi, örnek alarm ve olay kayıtları | Kimlik doğrulama, veri tabanı, uygulama katmanı kapsanmalı |
| Yetki matrisi ve periyodik gözden geçirme | Gereksiz erişimi azaltmak | Rol matrisi, onay kayıtları, erişim gözden geçirme tutanakları | İşten ayrılan kullanıcı kapatma süreci entegre olmalı |
| Şifreleme ve anahtar yönetimi | İhlal etkisini azaltmak | Şifreli depolama kanıtı, anahtar rotasyon kayıtları | Yedekler ve günlükler dahil düşünülmeli |
| Zafiyet ve yama yönetimi | Bilinen açıklıkları kapatmak | Tarama çıktıları, yama planı, düzeltme kanıtları | Varlık envanteri olmadan sürdürülebilir olmaz |
Denetim senaryosu hızlı büyüyen global platform
Türkiye’de hızlı büyüyen global bir platform düşünün. Kullanıcılar hesap açıyor, fatura bilgisi giriyor, destek talebi açıyor ve pazarlama mesajları alıyor. Platform yeni bir analitik aracı entegre ediyor, yeni bir destek masası sistemi kullanıyor ve kampanya hedeflemesini genişletiyor. Envanter güncellenmezse, beyan gerçekliği kaybeder. Bu süreçte ilgili kişi başvuruları artar. Silme talebi gelir, veri kaynakları bulunamaz, yanıt süresi aşılır veya yanıtta çelişki oluşur. Aynı dönemde Kurum yazışması gelirse, beyan ile fiili aktarım farkı büyür.
Bu senaryoda etkili çözüm, temsilci atama sonrası periyodik bakım döngüsü kurmaktır. Ürün değiştiğinde, tedarikçi eklendiğinde, kampanya modeli değiştiğinde envanter güncellenir. Beyan, envanterin özetidir. Metinler, sürüm yönetimiyle kontrol edilir. Başvuru yönetimi, ölçülü doğrulama ve kayıt mimarisiyle işletilir. Bu yaklaşım, denetim dayanıklılığını yükseltir.
Kritik altyapı ve üretim tesisleri açısından ek notlar
Kamu kurumları, üretim tesisleri ve kritik altyapılarda tedarikçi zinciri daha hassas değerlendirilir. Yurt dışı veri sorumlusu veya yurt dışı tedarikçi ile çalışılıyorsa, sözleşmelerde veri işleme şartları, alt tedarikçi kullanımı, denetim hakkı, log paylaşımı, olay bildirim prosedürü ve saklama imha düzeni netleşmelidir. Temsilci modeli, iletişim ve süreç yürütümünü sağlar. Ancak güvence, sözleşme ve teknik kontrol seti ile birlikte oluşur.
Sık Sorulan Sorular
Temsilci atama zorunluluğu hangi yapılarda daha sık görülür
Türkiye’de yerleşik olmayan ve Türkiye’deki kişilere ürün veya hizmet sunan yapılarda daha sık görülür. Üyelik, satış, destek, pazarlama veya sözleşme süreçlerinde Türkiye’deki kişilerin verisi işleniyorsa temsilci ihtiyacı güçlenir.
Temsilci, veri sorumlusu adına karar verir mi
Temsilci, sorumluluğu devralmaz. Temsilci, Kurum iletişimi, Sicil işlemleri ve başvuru yönetimi koordinasyonunu sağlar. Karar ve sorumluluk veri sorumlusunda kalır.
Temsilci atandıktan sonra yapılması gereken ilk operasyon adımı nedir
Başvuru yönetimi kanalı, kayıt standardı ve doğrulama yaklaşımı netleştirilmeli, envanter ve tedarikçi akış haritası güncel hale getirilmeli, ardından beyan ve metin seti bu gerçekliğe uyarlanmalıdır.
En sık yapılan hata nedir
Atama kararını üretip operasyonu kurmamak en sık yapılan hatadır. Temsilciye yetki tanımlanır ancak veri sorumlusu bilgi paylaşımını işletmez. Bu durumda başvuru ve yazışma anında süreç tıkanır.
Teknik güvenlik kontrolleri bu konuya neden dahil edilir
Denetim ve başvuru süreçlerinde kanıt gerekir. Loglama, yetki yönetimi, şifreleme, yama yönetimi gibi kontroller çalışmıyorsa uyum beyanı sahada karşılığını bulmaz. Temsilci, bu kanıtların toplanması ve yazışmada doğru konumlandırılmasını koordine eder.
