Veri Sorumluları Siciline Kimler Kayıt Olmalı?
Kişisel verileri işleyen gerçek ve tüzel kişiler (veri sorumluları), kişisel veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne (VERBİS) kaydolmakla yükümlüdür. Kurul, KVKK m.16 uyarınca; veri niteliği ve sayısı, işleme amacı, aktarım durumu, kanundan kaynaklanma, saklama süresi gibi objektif kriterlere dayanarak sınırlı kapsamda kayıt istisnası tanımlayabilir. Ayrıca Kanun m.28 kapsamındaki belirli faaliyetler bakımından da kayıt yükümlülüğü söz konusu olmayabilir.
Bu rehberde; veri sorumlusu ve VERBİS tanımlarını, kimlerin kayıt olmak zorunda olduğunu, m.16 ve m.28 istisna çerçevesini, kayıt sürecini, süregelen yükümlülükleri ve örnek kayıt içeriği başlıklarını kurumsal uyum perspektifiyle ele alıyoruz.
Danışmanlık yaklaşımı: Uygunluk değerlendirmesi, kayıt planı ve dokümantasyon setinin birlikte kurgulanması, hem denetimlere hazırlığı hem de paydaş güvenini güçlendirir.
İşleme niyeti → Kayıt yükümlülüğü
Kural olarak; kişisel veri işlemeye başlamadan önce VERBİS kaydı ve eksiksiz bildirim esastır. İstisnalar
sınırlı, KVKK uyum yükümlülükleri ise genel ve süreklidir.
VERBİS’e kayıt zorunluluğu, KVKK’dan muafiyet anlamına gelmez; tüm veri sorumluları temel ilkelere ve madde bazlı yükümlülüklere tam uyumla sorumludur.
1. Tanımlar
1.1 Veri Sorumlusu
Veri sorumlusu; kişisel verilerin işlenme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişidir. Uygulamada şirket yönetimi ve üst yönetim; kurumsal politika ve kontrolleri tesis eden ve işleme faaliyetlerinin çerçevesini çizen aktör konumundadır.
1.2 Veri Sorumluları Sicili (VERBİS)
VERBİS; veri sorumlularına ilişkin bildirimlerin tutulduğu, Kurum tarafından yönetilen ve kamuya açık bir kayıt sistemidir. Şeffaflık, hesap verebilirlik ve denetlenebilirlik ilkelerinin somutlaştırıldığı temel araçlardan biridir.
VERBİS’e kayıt zorunluluğu, KVKK’dan muafiyet anlamına gelmez; yalnızca sicil boyutunda bir yükümlülük getirir ve kayıtlı olsun olmasın tüm veri sorumluları KVKK hükümlerine tam uyumla sorumludur.
2. Kimler Kayıt Olmalı?
2.1 Genel Kural
- Kişisel verileri işlemeye başlamadan önce tüm veri sorumluları kural olarak Veri Sorumluları Sicili’ne kaydolmakla yükümlüdür.
- Türkiye’de yerleşik olmayan veri sorumluları; Türkiye’de yerleşik tüzel kişi veya T.C. vatandaşı gerçek kişi temsilci atayarak temsilci eliyle kayıt yaptırır.
- Kamu kurum ve kuruluşları, ilgili mevzuatta belirlenen usul ve esaslar çerçevesinde sicile kayıt olmakla yükümlüdür.
2.2 Risk ve Kapsam Göstergeleri
Aşağıdaki göstergeler, VERBİS uyumunda önceliklendirme ve kapsam analizine yardımcı olur:
- Büyük ölçekli ve yüksek hacimli kişisel veri işleme faaliyetleri,
- Özel nitelikli kişisel veri işleme (sağlık, biyometrik, ceza mahkûmiyeti vb.),
- Yurt dışına aktarım ve üçüncü kişilere yaygın veri paylaşımı,
- Çok sayıda veri kategorisi ve uzun saklama süreleri,
- Birden fazla işleme amacı ve kanal (online/offline, mobil, çağrı merkezi vb.).
3. İstisnalar (Kurul m.16 Kriterleri & Kanun m.28)
VERBİS’e kayıt; KVKK’da kural olarak tüm veri sorumluları için öngörülmüş olmakla birlikte, Kurul’a tanınan yetki çerçevesinde belirli istisna grupları bulunmaktadır. Ayrıca Kanun m.28 kapsamındaki bazı faaliyetler bakımından da kayıt yükümlülüğü gündeme gelmeyebilir.
3.1 Kurulun Objektif Kriterleri (KVKK m.16)
Kurul, aşağıdaki ölçütleri dikkate alarak belirli veri sorumlularını kayıt yükümlülüğünden istisna tutabilir:
- Kişisel verinin niteliği ve sayısı,
- Veri işleme amacı ve işlendiği faaliyet alanı,
- Üçüncü kişilere aktarım durumu ve yurt dışı aktarım,
- İşlemenin kanunlardan kaynaklanıp kaynaklanmadığı,
- Saklama süresi ve imha dinamikleri,
- Veri konusu kişi grupları ve veri kategorileri,
- Yıllık çalışan sayısı veya yıllık mali bilanço toplamı (ölçek).
Bu istisna yalnızca VERBİS kaydı bakımındandır; aydınlatma, veri güvenliği, saklama–imha, ihlal bildirimi gibi KVKK yükümlülükleri aynen devam eder.
3.2 Kanun m.28 Kapsamı
KVKK m.28, belirli faaliyet türleri bakımından kanun hükümlerinin kısmen veya tamamen uygulanmayabileceğini düzenler. Bu faaliyetler kapsamındaki belirli veri işleme süreçlerinde VERBİS kayıt yükümlülüğü de söz konusu olmayabilir.
Ancak m.28 kapsamı dar yorumlanmalı ve her somut işlem türü için ayrı ayrı hukuki analiz yapılmalıdır. Yanlış veya geniş yorum; istisnaya dayanarak kayıt yaptırmayan veri sorumlularını idari yaptırım riskiyle karşı karşıya bırakabilir.
4. VERBİS Kayıt Süreci
VERBİS kaydı, yalnızca form doldurmadan ibaret teknik bir işlem değildir; veri envanteri, amaç–hukuki sebep eşlemesi ve süreç tasarımı ile birlikte ele alınması gereken kurumsal bir uyum adımıdır.
4.1 Adım Adım Süreç
- Ön Uygunluk Analizi: İşleme amaçları, kişisel veri kategorileri, veri konusu kişi grupları, alıcılar, yurt içi/yurt dışı aktarım, saklama süreleri ve teknik/idari tedbirler envanteri çıkarılır.
- Temsilci Ataması (Varsa): Türkiye’de yerleşik olmayan veri sorumluları için Türkiye’de temsilci atanır; görev tanımı, sözleşme ve yetkilendirme belgeleri tamamlanır.
- Hesap & Başvuru: VERBİS üzerinden hesap açılır; kuruluş/temsilci bilgileri doğrulanır, zorunlu alanlar doldurulur.
- Bildirim & Yayın: Bildirim onaylanır; kamuya açık sorgu ekranı üzerinden şeffaflık sağlanır. Kayıt sonrası aydınlatma metinleri, sözleşme hükümleri ve iç politika seti VERBİS beyanlarıyla hizalanır.
- Güncelleme & Denetim Hazırlığı: Faaliyet ve organizasyon değişiklikleri, sicile derhal yansıtılır. Denetimlerde kullanılabilecek kayıt ve delil mimarisi sürdürülebilir kılınır.
Çıktı olarak, sicil kaydı; yalnızca bir yükümlülüğün yerine getirilmesi değil, aynı zamanda hesap verebilirlik, denetlenebilirlik ve paydaş güveni açısından kritik bir görünürlük sağlar.
5. Süregelen Yükümlülükler
VERBİS kaydı, KVKK uyum programının başlangıç adımıdır. Kayıt sonrasında, veri sorumlularının devam eden ve ölçülebilir hâle getirmesi gereken yükümlülükleri bulunmaktadır.
5.1 Şeffaflık ve Aydınlatma
- Aydınlatma yükümlülüğünün tüm kanallarda (web, fiziksel form, çağrı merkezi vb.) yerine getirilmesi,
- Açık rıza gerektiren işlemlerde rızanın özgür iradeyle ve ispatlanabilir şekilde alınması,
- İşleme faaliyetlerinin kayıt altına alınması ve VERBİS beyanları ile uyumlu yönetilmesi.
5.2 Veri Güvenliği ve İhlal Yönetimi
- Teknik ve idari tedbirlerin uygulanması (erişim kontrolü, loglama, şifreleme, yedekleme, fiziksel güvenlik vb.),
- İhlal durumunda etki analizi, Kurum ve ilgili kişi bildirim süreçlerinin işletilmesi,
- Saklama–imha süreçlerinin politika, prosedür ve periyodik imha kayıtlarıyla desteklenmesi.
5.3 Hak Yönetimi ve Başvuru Süreçleri
- Veri sahiplerinin erişim, düzeltme, silme, itiraz ve işlem kısıtlama taleplerine yanıt verilmesi,
- Başvuru/şikâyet süreçlerinin kayıt altına alınması ve süre yönetiminin (ör. 30 günlük cevap süresi) gözetilmesi,
- İlgili talepler doğrultusunda VERBİS, aydınlatma metni ve iç sistem kayıtlarının tutarlılığının sağlanması.
6. Örnek Kayıt İçeriği (Başlıklar)
Aşağıdaki tablo, tipik bir VERBİS kaydında yer alması beklenen ana başlıkları ve bunların kurumsal uygulamadaki karşılıklarını özetler. Sektör, ölçek ve iş modeli bazında detaylandırılarak özelleştirilmelidir.
| Alan | Açıklama |
|---|---|
| Veri Sorumlusu / Temsilci | Kurum/şirket unvanı, MERSİS/Vergi No, adres ve iletişim bilgileri; Türkiye’de yerleşik olmayan veri sorumluları için temsilci kimlik ve iletişim bilgileri. |
| İşleme Amaçları | Belirli, açık ve meşru amaçlar; her bir amaç için ilgili hukuki sebep (açık rıza, sözleşme, hukuki yükümlülük, meşru menfaat vb.) eşlemesi. |
| Kişi Grupları & Veri Kategorileri | Çalışan, çalışan adayı, müşteri, potansiyel müşteri, tedarikçi, ziyaretçi vb. kişi grupları; kimlik, iletişim, işlem, finans, işlem güvenliği, özel nitelikli veriler gibi kategori bazlı sınıflandırma. |
| Alıcı Grupları & Aktarım | Grup şirketleri, iş ortakları, tedarikçiler, yetkili kamu kurumları, yargı mercileri, yurt dışı alıcılar; aktarım amaçları ve hukuki dayanaklar. |
| Saklama Süreleri | Azami süre yaklaşımıyla; mevzuat ve işleme amacı bazlı saklama süreleri, süre sonunda silme, yok etme veya anonimleştirme tetikleyicileri. |
| Güvenlik Tedbirleri | Şifreleme, erişim yönetimi, yedekleme, loglama, fiziksel ve çevresel güvenlik, eğitim ve farkındalık programları, tedarikçi sözleşme hükümleri vb. |
Bildirim, aydınlatma metinleri, sözleşme hükümleri ve fiilî işleme pratikleriyle tutarlı ve uyumlu bir çerçeve oluşturmalı; “kâğıt üzerinde uyum” yerine operasyonel uyum hedeflenmelidir.
7. Sık Sorulan Sorular
7.1 Kişisel veri işlemeye başlamadan önce VERBİS kaydı zorunlu mu?
Evet. Kural olarak, kişisel veri işlemeye başlamadan önce VERBİS kaydının yapılması ve kayıt bilgilerinin güncel tutulması gerekir. Faaliyet başladıktan sonra kayıt, uyum perspektifinden gecikmiş kabul edilir ve denetimlerde olumsuz değerlendirilir.
7.2 İstisnayı kim ve nasıl belirler?
VERBİS kayıt istisnaları, KVKK m.16 çerçevesinde Kurul tarafından belirlenir ve objektif kriterlere dayanır. Kurum içi değerlendirme ile “kendiliğinden istisna” kararı verilmesi uygun değildir; somut durum ve ilgili Kurul kararları birlikte incelenmelidir.
7.3 KVKK m.28 kapsamı beni otomatik olarak VERBİS’ten muaf kılar mı?
Hayır. m.28 kapsamı yalnızca madde metninde sayılan faaliyetlerle sınırlıdır ve dar yorumlanmalıdır. Somut işleme faaliyetinin m.28 kapsamında olup olmadığı, ayrı bir hukuki analiz ile değerlendirilmelidir.
7.4 Yerleşik olmayan veri sorumluları nasıl kayıt olur?
Türkiye’de yerleşik olmayan veri sorumluları, Türkiye’de yerleşik tüzel kişi veya T.C. vatandaşı gerçek kişi temsilci atar ve tüm bildirim/tebligat süreçleri temsilci üzerinden işletilir. Temsilci atanması, kayıt öncesinde tamamlanmalıdır.
