Veri Sorumlusu Nedir? KVKK Kapsamında Sorumluluklar ve VERBİS Rehberi
KVKK uyumu, yalnızca “metin yayınlamak” ile sınırlı bir faaliyet değildir. Veri sorumlusu sıfatına sahip kurumlar; kişisel verilerin işlenmesine ilişkin kararları belirledikleri için aydınlatma yükümlülüğü, veri güvenliği, ilgili kişi başvurularının yanıtlanması ve Kurul kararlarına uyum gibi kritik sorumlulukları sistematik şekilde yönetmek zorundadır.
Bu rehber; “veri sorumlusu kimdir?” sorusuna net bir çerçeve sunar, VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kavramını açıklar ve Türkiye’de kurumların en çok ihtiyaç duyduğu pratik başlıklarla kayıt sürecini adım adım ele alır. Böylece uyum çalışmalarınızı denetlenebilir, sürdürülebilir ve operasyonel olarak yönetilebilir hale getirmenize destek olur.
Veri sorumlusu: Kişisel verilerin işlenme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetiminden sorumlu gerçek/tüzel kişi.
Temel yükümlülükler: Aydınlatma, veri güvenliği tedbirleri, başvurulara cevap, Kurul kararlarına uyum ve ilgili iç süreçlerin işletilmesi.
VERBİS: Veri sorumlularının, belirli şartlarda kayıt olup veri işleme faaliyetlerini bildirdiği sicil bilgi sistemi.
Kritik nokta: Kayıt “tek seferlik” değil; envanter güncelliği ve süreç değişiklikleriyle birlikte sürdürülebilir yönetim gerektirir.
Türkiye’de KVKK uyumunun en çok aksadığı alanlar; süreç sahipliği, envanter güncelliği ve başvuru/ihlal yönetimidir.
1. Veri Sorumlusu Kimdir?
Veri sorumlusu; kişisel verilerin işlenme amaç ve vasıtalarını belirleyen ve veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Uygulamada bu; “hangi veriyi, hangi amaçla, hangi süreçte, kimlerin erişimiyle, hangi sistemlerde ve ne kadar süreyle işleyeceğim?” sorularının yanıtını belirleyen taraf anlamına gelir.
Veri sorumlusu sıfatı; yalnızca büyük ölçekli şirketlere özgü değildir. Türkiye’de faaliyet gösteren pek çok KOBİ, e-ticaret girişimi, sağlık/ eğitim kuruluşu, üretim firması veya hizmet işletmesi; müşteri, çalışan, tedarikçi veya ziyaretçi verisi işlediği anda veri sorumlusu kapsamına girebilir. Bu kapsamda KVKK uyumu; operasyonel süreçlerinize entegre edilmesi gereken bir yönetişim konusudur.
Veri sorumlusu olmanın pratik sonucu nedir?
Veri sorumlusu; mevzuatın öngördüğü yükümlülükleri “kağıt üzerinde” değil, kanıtlanabilir şekilde yerine getirmelidir. Örneğin; aydınlatma metinleri, başvuru yanıt süreçleri, saklama-imha yaklaşımı, erişim yönetimi, loglama ve ihlal müdahale planı gibi mekanizmalar “çalışıyor” olmalıdır.
2. KVKK Kapsamında Veri Sorumlusunun Temel Yükümlülükleri
Veri sorumlusunun KVKK kapsamında yerine getirmesi gereken yükümlülükler; kurumun iş modeline göre çeşitlense de çekirdekte aşağıdaki başlıklarda toplanır. Bu başlıkların her biri, pratikte süreç ve dokümantasyon bütünlüğü gerektirir.
- Aydınlatma Yükümlülüğü: İlgili kişiye; veri işleme amaçları, hukuki sebepler, alıcı grupları, saklama süreleri ve haklar hakkında şeffaf bilgilendirme yapılması.
- Veri Güvenliği Tedbirleri: Yetkisiz erişim, veri sızıntısı, kayıp ve değişiklik risklerine karşı teknik ve idari tedbirlerin alınması ve etkinliğinin izlenmesi.
- Başvuruların Cevaplanması: Veri sahibi başvurularının alınması, kimlik doğrulama, değerlendirme ve yasal sürelerde yanıtlanması.
- Kurul Kararlarına Uyum: Kişisel Verileri Koruma Kurulu kararlarının izlenmesi, kurum içi süreçlere yansıtılması ve gerektiğinde aksiyon planlarının uygulanması.
- Kayıt / Bildirim Süreçleri: Uygunluk halinde VERBİS kayıt ve veri işleme faaliyetlerinin bildirilmesi; bilgilerde değişiklik olduğunda güncelleme yapılması.
Veri güvenliği yükümlülüğü nasıl “ölçülebilir” hale gelir?
Veri güvenliği; yalnızca antivirüs veya firewall yatırımı değildir. Erişim kontrolü, rol bazlı yetkilendirme, log yönetimi, yedekleme, şifreleme, parola/MFA uygulamaları, farkındalık eğitimleri ve tedarikçi sözleşmeleri gibi katmanlı bir yaklaşım gerekir. Bu katmanların her birinin politika/prosedürlerle desteklenmesi, kurumun olgunluğunu artırır.
3. Veri Sorumluları Sicili (VERBİS) Nedir?
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi); veri sorumlularının belirli şartlar dahilinde kayıt olmak zorunda oldukları ve kişisel veri işleme faaliyetlerine ilişkin beyan/bildirimlerini gerçekleştirdikleri sistemdir. Uygulamada VERBİS; kurumun veri envanterini, işleme amaçlarını, alıcı gruplarını, saklama sürelerini ve güvenlik tedbir yaklaşımını temel hatlarıyla görünür kılan bir çerçeve olarak değerlendirilir.
Kimler VERBİS’e kayıt olmak zorundadır?
VERBİS kayıt zorunluluğu; veri sorumlusunun niteliği, faaliyet alanı, çalışan sayısı, mali ölçütler ve istisnalar gibi parametrelere göre değişebilir. Bununla birlikte, bazı veri sorumluları kayıttan muaf tutulabilir. Bu nedenle; “kayıt olurum/olmam” kararı, sadece tahminle değil, mevcut durum analizi ve mevzuat kriterleriyle birlikte ele alınmalıdır.
| Başlık | Pratik Anlamı | Kurum İçin Kontrol Noktası |
|---|---|---|
| Kayıt Yükümlülüğü | VERBİS’e kayıt ve işleme faaliyetlerinin bildirilmesi | Veri envanteri / süreç sahipliği / güncelleme disiplini |
| Muafiyet Durumu | Belirli koşullarda sicile kayıt zorunluluğunun bulunmaması | Mevzuat kriterleri + kurum ölçeği + işlenen veri türleri |
| Güncelleme | Değişiklik oldukça bildirimin revize edilmesi | Yeni sistem/tedarikçi/devreye alınan süreçler için kontrol |
4. Sicil Kayıt Mantığı: Envanter ve Süreç İlişkisi
VERBİS kaydı; tek başına bir form doldurma faaliyeti değildir. Sağlıklı bir kayıt ve sürdürülebilir güncelleme için kurumun; kişisel veri işleme envanterini, süreç bazlı olarak oluşturması ve bunu yaşam döngüsü boyunca yönetmesi gerekir.
İşin özünde şu ilişki vardır: Süreçler → Envanter → Politikalar/Prosedürler → Tedbirler → Kayıt/Bildirim. Eğer süreç sahipliği ve envanter güncelliği zayıfsa; VERBİS kaydı zamanla gerçeği yansıtmaz ve bu durum kurum açısından uyum riskini artırır.
Kurumsal yönetim açısından kritik kontroller
- Süreç sahipliği: Her işleme faaliyetinin sorumlusu, onay mekanizması ve değişiklik yönetimi tanımlı mı?
- Saklama-imha disiplini: Veriler “gerekli olduğu kadar” mı tutuluyor, periyodik imha gerçekten çalışıyor mu?
- Tedarikçi/aktarım yönetimi: Alıcı grupları, veri işleyen ilişkileri ve sözleşmesel güvence seti güncel mi?
- Başvuru ve ihlal yönetimi: Veri sahibi başvurusu ve olası ihlaller için kayıt/yanıt/raporlama akışları tanımlı mı?
5. VERBİS Kayıt Süreci Nasıl İlerler?
VERBİS’e kayıt süreci, başvuru tipine göre değişebilmekle birlikte genel yaklaşım aşağıdaki adımlar üzerinden yürür. Buradaki hedef; başvuruyu “tam ve doğru” yapmak, ardından kayıt sonrası sürdürülebilir güncelleme mekanizmasını kurmaktır.
1. Uygun Başvuru Tipini Belirleyin
Veri sorumlusu sicil bilgi sistemine kayıt için; kurumunuzun niteliğine göre (yurtiçinde yerleşik gerçek/tüzel kişi, yurtdışında yerleşik gerçek/tüzel kişi, kamu kurumu vb.) uygun başvuru tipini seçin. Bu adım, temsilci/irtibat kişisi gibi rollerin doğru kurgulanması açısından kritiktir.
2. Başvuru Formunu Eksiksiz Doldurun
Formun eksiksiz ve tutarlı şekilde doldurulması; süreçte gecikmeyi önler. Özellikle unvan, MERSİS/VKN/TCKN gibi temel kimlik alanları, iletişim bilgileri ve yetkili kişilere ilişkin kısımlar; daha sonra düzeltmesi zor sorunlar yaratabildiği için dikkatle yönetilmelidir.
3. Islak İmzalı ve Kaşeli/Mühürlü Evrak Sürecini Tamamlayın
Başvuru evraklarını ıslak imzalı ve kurum türüne göre kaşeli/mühürlü şekilde hazırlayın. Evrakları Kişisel Verileri Koruma Kurumu Başkanlığı’na mevzuata uygun yöntemle (ör. posta yoluyla) iletin. Kurum içi evrak kayıt/zimmet süreçlerini de eş zamanlı işletmeniz, izlenebilirlik sağlar.
4. Başvuru Durumunu Düzenli Olarak Takip Edin
Başvurunuzu tamamladıktan sonra, süreci “tek seferlik” görmeyin. Başvuru durumunu ilgili ekranlardan/kanallardan düzenli kontrol ederek olası eksiklik bildirimlerine hızlı yanıt verin. Bu aşamada gecikmelerin temel nedeni; eksik belge, tutarsız bilgi veya rol tanımlarındaki hatalardır.
5. Kayıt Sonrası Güncelleme Disiplini Kurun
Kayıt tamamlandıktan sonra en kritik konu; yeni süreçler (ör. yeni CRM/ERP, yeni kampanya kurguları, yeni tedarikçi, yeni veri kategorileri) devreye alındıkça envanter ve sicil bilgilerini güncel tutmaktır. Aksi halde kayıt, kısa sürede gerçeği yansıtmayan bir yapıya dönüşür.
6. Sık Sorulan Sorular (SSS)
Veri sorumlusu ile veri işleyen arasındaki temel fark nedir?
Veri sorumlusu, işleme amaç ve vasıtalarını belirler. Veri işleyen ise veri sorumlusunun verdiği yetkiyle ve talimatlarla onun adına kişisel veri işleyen taraftır. Kurumsal yapılarda tedarikçi ve hizmet sağlayıcılar çoğu zaman “veri işleyen” rolünde konumlanır.
VERBİS’e kayıt zorunlu değilse KVKK uyumu gerekir mi?
Evet. Muafiyet, yalnızca sicile kayıt yükümlülüğüyle ilgilidir. Aydınlatma, veri güvenliği tedbirleri, başvuruların yanıtlanması ve diğer KVKK yükümlülükleri veri sorumlusu için devam eder.
VERBİS kaydında en sık hata yapılan alanlar nelerdir?
Pratikte en sık sorun; envanter ile beyanın uyumsuz olması, alıcı gruplarının eksik tanımlanması, saklama sürelerinin süreçlerle eşleşmemesi ve güncelleme disiplininin kurulmamasıdır. Bu nedenle kayıt öncesi kısa bir uyum kontrolü önerilir.
Başvuru sürecini hızlandırmak için ne yapılmalı?
Süreç sahipliği netleştirilmeli, veri envanteri tamamlanmalı, aktarım/tedarikçi listesi güncellenmeli ve saklama-imha yaklaşımı belirlenmelidir. Başvuru formu ve ekleri “tek seferde doğru” hazırlanırsa geri dönüşler azalır.
İlgili kişi başvurularını yönetmek için minimum gereklilikler nelerdir?
Kimlik doğrulama yöntemi, başvuru kanalları, kayıt altına alma, sınıflandırma, iç onay akışı ve yasal sürelerde cevap mekanizması tanımlı olmalıdır. Ayrıca ret/olumlu yanıt şablonları ile kanıtlayıcı kayıtların saklanması önerilir.
Türkiye’de KVKK uyumunda nereden başlamalıyım?
Önce mevcut süreçleri haritalandırıp kişisel veri envanterini oluşturun. Sonra aydınlatma metinleri, başvuru yönetimi, saklama-imha, tedarikçi sözleşmeleri ve teknik-idari tedbirleri tek bir çerçevede kurgulayın. VERBİS gerekliliği varsa bu hazırlık üzerine kayıt süreci daha kontrollü ilerler.
