VERBİS Kayıt Zorunluluğu ve KVKK Kapsamında Veri Sorumlusu Kontrol Listesi

KVKK · VERBİS · Uyum Kontrol Listesi

KVKK Sizi Kapsıyor mu? VERBİS Kayıt Zorunluluğu için Pratik Kontrol Listesi

Aşağıdaki sorulardan en az birine “Evet” diyorsanız; kurumunuzun iş süreçleri, teknik altyapısı veya operasyonları kapsamında kişisel veri işleme faaliyeti yürütüyor olma ihtimali yüksektir. Bu durumda “veri sorumlusu” sıfatınızın ve buna bağlı KVKK uyum adımlarınızın (gerekirse VERBİS kaydı dâhil) değerlendirilmesi gerekir.

Bu sayfa; kamera/ses kayıtları, biyometrik doğrulama, özel nitelikli veri saklama, eski müşteri verileri, üçüncü taraf sözleşmeleri, ticari elektronik ileti, aydınlatma ve imha süreçleri gibi alanlarda hızlı risk taraması yapmanız için hazırlanmıştır.

Kontrol Listesine Git Uyum Adımlarını Gör

İçindekiler 1. Hukuki Çerçeve: Veri Sorumlusu, Sicil ve VERBİS 2. Hızlı Tarama: 11 Soruda KVKK Risk Kontrolü 3. Sonuçların Yorumlanması: “Evet” Çıkanlar Ne Anlama Gelir? 4. Uyum Yol Haritası: 30-60-90 Günlük Plan 5. En Sık Hatalar ve Risk Azaltma Önerileri 6. Sık Sorulan Sorular

Hızlı Özet

Ne yapıyoruz? KVKK kapsamındaki kritik veri işleme alanlarını 11 soruluk kısa testle tarıyoruz.
Ne elde ediyoruz? Riskli süreçleri (kamera, biyometri, sağlık/adli sicil, yurtdışı e-posta, sözleşmeler, imha vb.) tespit edip önceliklendiriyoruz.
Ne öneriyoruz? “Evet” çıkan başlıklara göre uyum aksiyonları, dokümantasyon ve teknik/idarî tedbirler.

VERBİS Aydınlatma Özel Nitelikli Veri İmha & Saklama Tedarikçi Sözleşmeleri

Önemli not: Bu sayfa “hızlı ön değerlendirme” amaçlıdır. VERBİS yükümlülüğü; sektör, çalışan sayısı, mali kriterler ve işlenen veri kategorileri gibi unsurlara göre ayrıca değerlendirilmelidir. Şüphede kalıyorsanız, veri envanteri ve saklama-imha süreçleri üzerinden netleştirmek en doğru yoldur.

1. Hukuki Çerçeve: Veri Sorumlusu, Sicil ve VERBİS

KVKK bakımından veri sorumlusu; kişisel verilerin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. İşletmeniz; çalışan, müşteri, tedarikçi, ziyaretçi, kullanıcı gibi gruplara ait kişisel verileri topluyor, saklıyor, aktarıyor veya kullanıyorsa veri sorumlusu olma ihtimali doğar.

1.1. VERBİS Nedir?

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi); belirli koşulları sağlayan veri sorumlularının sicile kaydolmasını ve veri işleme faaliyetlerinin ana hatlarını beyan etmesini sağlayan çevrimiçi sistemdir. Amaç; veri işleme faaliyetlerinde şeffaflık ve hesap verebilirlik sağlamaktır.

1.2. VERBİS “Mutlaka” mı? Önce Ne Kontrol Edilmeli?

İşlenen veri kategorileri: Sağlık, biyometrik veri, adlî sicil gibi özel nitelikli veriler var mı?
İşleme amaçları: İşe alım, İK yönetimi, güvenlik, pazarlama, profil çıkarma gibi amaçlar mevcut mu?
Aktarım ve tedarikçiler: E-posta/CRM/analitik gibi üçüncü taraf sistemlere veri gidiyor mu?
Saklama & imha: Saklama süreleri, periyodik imha planı ve kayıtlar var mı?

Pratik yaklaşım: “VERBİS kaydı var/yok” sorusuna geçmeden önce, kurumunuzun veri envanteri ve saklama-imha düzeni netleştirilmelidir. Çünkü hangi veriyi neden işlediğiniz bilinmeden doğru beyan ve doğru uyum tasarımı yapılamaz.

2. Hızlı Tarama: 11 Soruda KVKK Risk Kontrolü

Aşağıdaki sorular; KVKK’da en sık sorun çıkaran alanları tarar. Her bir “Evet” cevabı, somut bir uyum aksiyonu gerektirir.

#	Soru (Evet/Hayır)	Riskli Veri / Süreç	İlk Aksiyon (Öneri)
1	Personel özlük dosyalarında adli sicil veya sağlık kayıtları saklıyor musunuz?	Özel nitelikli veri	Özel nitelikli veri süreçlerini ayırın; erişim yetkilerini daraltın; saklama süresini tanımlayın.
2	İşyerinde kamera ve/veya ses kaydı alınıp kayıt ortamına kaydediliyor mu?	Güvenlik, izleme	Aydınlatma metni + kamera bilgilendirme levhası; saklama süresi; erişim ve loglama.
3	Giriş-çıkışta yüz tanıma/parmak izi gibi biyometrik doğrulama var mı?	Biyometrik veri (özel nitelikli)	Zorunluluk/ölçülülük analizi; alternatif yöntem; yüksek güvenlik tedbirleri ve kayıt altına alma.
4	Uzun süredir ilişki olmayan eski müşteri kimlik/iletişim verilerini hâlâ tutuyor musunuz?	Gereksiz saklama	Saklama & imha politikası; periyodik imha takvimi; gereksiz veriyi temizleme.
5	Danışman/tedarikçi firmalarla sözleşmelerinizde KVKK veri işleme maddeleri var mı?	Tedarikçi riski	Veri işleyen sözleşmesi (DPA); alt işleyenler; güvenlik taahhütleri; denetim hakkı.
6	Müşterilere SMS/e-posta kampanya gibi elektronik ileti gönderiyor musunuz?	Pazarlama iletişimi	İletişim izinleri; ret (opt-out) mekanizması; kayıtların tutulması; hedefleme minimizasyonu.
7	Verileri kullanma/saklama için muvafakat (açık rıza) alıyor musunuz?	Hukuki sebep karmaşası	Hukuki sebep matrisi: rıza gerçekten gerekli mi? (Sözleşme/kanuni yükümlülük/meşru menfaat vs.)
8	İlgili kişilere aydınlatma yapıyor musunuz (haklar, amaç, aktarım, süre)?	Şeffaflık eksikliği	Aydınlatma metinleri (müşteri/çalışan/ziyaretçi); süreç bazlı güncelleme; erişilebilir dil.
9	E-posta sağlayıcınız yurtdışı merkezli mi (örn. Office 365 vb.)?	Yurtdışı aktarım	Aktarım envanteri; hizmet sözleşmesi/teknik tedbirler; aktarım şartlarının değerlendirilmesi.
10	İşleme şartı kalkınca silme/yok etme/anonimleştirme yapıyor musunuz?	İmha yükümlülüğü	Saklama & imha politikası; periyodik imha; imha tutanakları ve kayıtlar.
11	Özel nitelikli veriler için teknik ve idari tedbirler aldınız mı?	Yüksek risk	Şifreleme, erişim kontrolü, MFA, log, yetki matrisi, eğitim, olay müdahale planı.

İpucu: Kontrol listesini doldurduktan sonra her “Evet” maddesi için tek sayfalık aksiyon fişi çıkarın: (i) süreç sahibi, (ii) işlenen veri, (iii) hukuki sebep, (iv) saklama süresi, (v) aktarım/tedarikçi, (vi) alınacak tedbirler, (vii) tamamlanma tarihi.

3. Sonuçların Yorumlanması: “Evet” Çıkanlar Ne Anlama Gelir?

“Evet” sayınız arttıkça, risk yüzeyi büyür; ancak kritik olan “kaç evet” değil, hangi evetler olduğudur. Örneğin biyometrik veri (Soru 3) veya sağlık/adli sicil (Soru 1) tek başına bile yüksek öncelikli uyum gerektirir.

3.1. Önceliklendirme Kuralı

Yüksek Öncelik: Özel nitelikli veri (sağlık, biyometrik, adli sicil), çocuk verisi, yaygın izleme (kamera/ses), yurtdışı aktarım.
Orta Öncelik: Pazarlama iletişimi, tedarikçi sözleşmeleri, aydınlatma eksiklikleri.
Süreç İyileştirme: Saklama-imha, eski müşteri verisi, yetki matrisi ve eğitim.

3.2. VERBİS Perspektifi

Kontrol listesi; tek başına “VERBİS’e kayıt zorunlusunuz” hükmü vermez; ancak veri sorumlusu olduğunuzu ve bazı süreçlerde daha ileri yükümlülükler (envanter, politika, kayıt, tedbir, tedarikçi yönetimi) gerektiğini güçlü şekilde işaret eder.

Hatırlatma: VERBİS kaydı; “kurumun KVKK uyumunun tamamlandığı” anlamına gelmez. Kayıt; uyumun beyan ve şeffaflık boyutudur. Asıl risk; süreçlerin fiilen uyumsuz olmasıdır.

4. Uyum Yol Haritası: 30-60-90 Günlük Plan

Aşağıdaki plan; küçük ve orta ölçekli işletmelerin pratikte en hızlı değer üreten uyum adımlarını sıraya koyar. Kurumunuzun ölçeğine göre süreleri uyarlayabilirsiniz.

4.1. İlk 30 Gün: Haritalama ve Acil Riskler

Veri kategorileri ve süreçleri çıkarın (çalışan, müşteri, ziyaretçi, tedarikçi).
Kamera/biometri/sağlık/adli sicil gibi yüksek riskli alanlarda erişimleri daraltın.
Aydınlatma metinlerini yayınlayın (web + fiziki alanlar + İK).
Yurtdışı sağlayıcılar ve tedarikçiler için aktarım/sözleşme envanteri başlatın.

4.2. 60 Gün: Dokümantasyon ve Süreç Tasarımı

Veri envanteri (amaç, hukuki sebep, süre, aktarım, alıcı grubu) tamamlayın.
Yetki matrisi ve rol tanımlarını yazın (kim, hangi veriye neden erişir?).
Saklama & imha politikası + periyodik imha takvimi oluşturun.
Tedarikçilerle KVKK veri işleme maddelerini ve güvenlik hükümlerini güncelleyin.

4.3. 90 Gün: Teknik Tedbirler ve Denetim Döngüsü

Loglama, erişim kontrolü, MFA, şifreleme gibi temel güvenlik kontrollerini standartlaştırın.
Çalışan eğitimleri ve farkındalık programını başlatın (yılda en az 1 tekrar).
Olay müdahale planı ve ihlal bildirim akışını yazın.
Aylık/çeyreklik iç denetim kontrol listeleri ile sürekli iyileştirme başlatın.

Öneri: “Evet” çıkan maddeleri doğrudan kayıt altına alınabilir aksiyonlara çevirin. Uyumun en hızlı ilerlediği yer; belirsiz metinler değil, somut görevlerdir.

5. En Sık Hatalar ve Risk Azaltma Önerileri

5.1. Sık Yapılan Hatalar

“Her şeye açık rıza” yaklaşımı: Yanlış hukuki sebep seçimi süreçleri kırılgan yapar.
Saklama süresizliği: “Lazım olur” diye veri tutmak; gereksiz veri biriktirir.
Tedarikçi körlüğü: CRM/e-posta/analitik sağlayıcılarında sözleşme ve güvenlik denetimi olmaması.
Kamera kayıtlarında ölçüsüzlük: Amaç belirsizliği, uzun saklama, kontrolsüz erişim.
Biyometriyi varsayılan yapmak: Alternatif yöntem sunmamak ve zorunluluk analizini yapmamak.

5.2. Hızlı Risk Azaltma

Envanter + yetki matrisi + saklama-imha üçlüsünü “çekirdek paket” olarak tamamlayın.
Özel nitelikli veri süreçlerini ayrı güvenlik katmanına alın (sınırlı erişim, güçlü kimlik doğrulama, log).
Üçüncü taraflar için “minimum veri” prensibi: gereksiz alanları kapatın, paylaşımı daraltın.
Eğitim ve farkındalık: veri sızıntılarının büyük kısmı süreç ve insan hatasından doğar.

Mini kontrol: Bugün tek bir şey yapacaksanız: “kime, hangi veriye, hangi gerekçeyle erişim var?” sorusunu yanıtlayan bir yetki matrisi çıkarın.

6. Sık Sorulan Sorular

Bu 11 sorudan birine “Evet” dedim. Kesin VERBİS’e kayıt zorunlu mu?

“Evet” demeniz, işletmenizin kişisel veri işlediğini ve KVKK uyumu için aksiyon gerektiğini güçlü şekilde gösterir. Ancak VERBİS yükümlülüğü; işletmenin niteliği, ölçeği ve belirli istisna kriterleriyle birlikte ayrıca değerlendirilmelidir. En sağlıklı yol; veri envanteri üzerinden netleştirmektir.

Kamera kaydı almak için açık rıza şart mı?

Her durumda otomatik “açık rıza” yaklaşımı doğru değildir. Öncelikle amaç, ölçülülük, aydınlatma, saklama süresi ve erişim kontrolleri kurgulanmalıdır. Gereken hukuki sebep değerlendirmesi süreç bazında yapılmalıdır.

Parmak izi/yüz tanıma kullanıyorsak en kritik nokta nedir?

Biyometrik veri yüksek risklidir. Zorunluluk ve ölçülülük analizi yapılmadan, alternatif yöntem sunulmadan ve güçlü teknik/idarî tedbirler tasarlanmadan biyometrik doğrulamaya geçmek ciddi uyum riski doğurabilir.

Eski müşteri verilerini “belki geri gelir” diye saklayabilir miyim?

Saklama; amaçla sınırlı ve süreli olmalıdır. Amaç ortadan kalktığında; silme, yok etme veya anonimleştirme adımlarının devreye alınması gerekir. Bu nedenle saklama-imha politikası ve periyodik imha takvimi kritik önemdedir.

Başlaması en kolay ve en etkili uyum adımı hangisi?

Uygulamada en hızlı fayda sağlayan üçlü: veri envanteri + yetki matrisi + saklama-imha düzenidir. Bu üçü netleştiğinde; aydınlatma, sözleşmeler, teknik tedbirler ve VERBİS değerlendirmesi çok daha doğru ve hızlı ilerler.

VERBİS KVKK Veri Sorumlusu KVKK Kontrol Listesi Özel Nitelikli Veri Kamera Kaydı Biyometrik Veri Saklama & İmha Tedarikçi Sözleşmeleri

İncelemek isterseniz: