VERBİS (Veri Sorumluları Sicili) – Kurumsal Uyum ve Uygulama Rehberi
Şeffaflık, hesap verebilirlik ve denetlenebilirlik odaklı kayıt sistemi. Kişisel veri işlemeye başlamadan önce sicile kayıt zorunluluğu getirir ve veri sorumlularının işledikleri kişisel verilere ilişkin bilgileri kategorik bazda beyan etmelerini sağlar.
VERBİS; gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce kayıt olmakla yükümlü olduğu, Kişisel Verileri Koruma Kurumu (“KVKK Başkanlığı”) gözetiminde ve kamuya açık şekilde tutulan resmi kayıt sistemidir.
1. VERBİS’in Tanımı ve Amacı
VERBİS (Veri Sorumluları Sicili), gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce kayıt olmakla yükümlü olduğu ve işledikleri kişisel verilere ilişkin bilgileri kategorik bazda beyan ettikleri resmi kayıt sistemidir.
Sicil, KVKK Başkanlığı gözetiminde kamuya açık olarak tutulur ve veri işleme faaliyetlerinin görünür, karşılaştırılabilir ve denetlenebilir olmasını hedefler.
İlke: Şeffaflık, hesap verebilirlik ve denetlenebilirlik, sicil sisteminin temelini oluşturur.
2. Veri Sorumlusu – Tanım ve Sorumluluklar
2.1 Tanım
Veri sorumlusu; kişisel verilerin işleme amaç ve vasıtalarını belirleyen, işleme faaliyetlerinin yürütülmesinden ve güvenliğinden sorumlu gerçek veya tüzel kişidir.
2.2 Temel Yükümlülükler
- Aydınlatma yükümlülüğü ve ilgili kişi hak başvurularının yönetimi,
- Teknik ve idari güvenlik tedbirlerinin uygulanması (erişim, log, şifreleme, DLP vb.),
- VERBİS’e kayıt, güncelleme ve doğruluk beyanı,
- Veri işleme faaliyetlerinin KVKK ilkeleri ile uyumlu şekilde yürütülmesi,
- Veri işleyenlerle yapılan sözleşmelerde veri koruma hükümlerinin güvenceye alınması.
3. Veri Sorumluları Sicilinin İçeriği
VERBİS kaydı; veri sorumlusunun kimliğinden güvenlik tedbirlerine kadar geniş bir yelpazede bilgiyi standart başlıklar altında toplar.
3.1 Kimlik & İletişim
- Veri sorumlusunun veya varsa temsilcisinin adı/unvanı,
- Adres ve iletişim bilgileri,
- İrtibat kişisi bilgileri.
3.2 İşleme Parametreleri
- İşleme amaçları ve ilgili hukuki sebepler,
- Kişisel veri kategorileri ve veri konusu kişi grupları,
- Alıcı/alıcı grupları ve (varsa) yurtdışına aktarım,
- İşleme faaliyetinin kapsamı ve sınırları.
3.3 Güvenlik & Saklama
- Teknik ve idari tedbirler: erişim yetkisi, loglama, şifreleme, maskeleme, DLP vb.
- Maksimum saklama süreleri: her veri kategorisi için işleme amacıyla bağlantılı azami süre.
4. Kimler VERBİS’e Kayıt Olmalı?
Kural olarak; Türkiye’de kişisel veri işlemeye başlayacak tüm gerçek ve tüzel kişi veri sorumluları, faaliyete başlamadan önce VERBİS’e kayıt olmak zorundadır.
Kurul, KVKK m.16 uyarınca belirlediği objektif kriterlerle bazı grupları kayıt yükümlülüğünden istisna tutabilir. Ayrıca, Kanun m.28 kapsamındaki istisnai faaliyetler kayıt yükümlülüğü dışında kalabilir.
5. Yerleşik Olmayan Veri Sorumluları
5.1 Temsilci Zorunluluğu
Türkiye’de yerleşik olmayan veri sorumluları, Türkiye’de bir veri sorumlusu temsilcisi atamak ve temsilci aracılığıyla VERBİS’e kayıt olmak zorundadır.
5.2 İletişim & Bildirim
KVKK ile yürütülecek tüm resmî yazışma ve bildirim süreçleri, sicile bildirilen temsilci üzerinden gerçekleştirilir. Bu nedenle temsilcinin rolü, yalnızca formal bir atamadan ibaret olmayıp, pratikte iletişim, koordinasyon ve uyum fonksiyonlarını da içerir.
6. VERBİS’e Kayıt Süreci
VERBİS kayıt süreci, kabaca aşağıdaki adımlardan oluşur:
6.1 Adım Adım Süreç
- Sistem Erişimi: VERBİS portalına erişim sağlanır, kullanıcı hesabı oluşturulur ve yetkiler tanımlanır.
- Kuruluş Bilgileri: Ticaret unvanı, VKN/MERSİS, adres ve iletişim verileri sisteme girilir.
- İrtibat & Temsil: İrtibat kişisi ve varsa Türkiye’deki temsilci bilgileri beyan edilir.
- Envanter Girişi: Kişi grupları, veri kategorileri, amaçlar, alıcılar, aktarım, saklama ve güvenlik tedbirleri envantere uygun şekilde detaylandırılır.
- Onay & Sicil No: Doğruluk beyanı yapılarak kayıt tamamlanır ve sicil numarası alınır.
Güncelleme: Her değişiklik, ortaya çıkar çıkmaz sistemde derhal güncellenmelidir; yıllık gözden geçirme, iyi uygulama olarak önerilir.
7. Bildirimde Yer Alması Zorunlu Unsurlar
VERBİS kaydı, belirli zorunlu unsurların eksiksiz ve uyumlu biçimde sisteme işlenmesini gerektirir:
- Veri sorumlusu ve (varsa) temsilcinin kimlik/adres bilgileri,
- İşleme amaçları ve hukuki sebepler,
- Veri konusu kişi grupları ve kişisel veri kategorileri,
- Alıcı/alıcı grupları ve yurtdışına aktarım durumları,
- Teknik–idari güvenlik tedbirleri,
- İşleme amacı için azami saklama süreleri.
Bu bilgilerin; veri envanteri, aydınlatma metinleri ve politika/prosedürler ile uyumlu olması esastır.
8. Denetim ve Yaptırımlar
8.1 Denetim Mekanizmaları
- KVKK Başkanlığı tarafından şikayet veya re’sen denetim: VERBİS kayıtları, envanter ve fiilî işleme süreçleri birlikte değerlendirilir.
- VERBİS kayıtlarının kamuya açıklığı: Şeffaflık sayesinde uygunsuz işleme riskleri daha görünür hâle gelir.
8.2 Yaptırımlar
Uygunsuzluk durumunda; idari para cezaları, uyarı/ihtar, faaliyetin sınırlanması veya durdurulması ve genel hükümler çerçevesinde tazminat süreçleri söz konusu olabilir.
| Başlık | Açıklama | Örnek Aksiyon |
|---|---|---|
| İdari Para Cezası | Mevzuata aykırılıklarda Kurul kararıyla uygulanır. | Uygunsuzluk analizi, düzeltici faaliyet planı |
| Uyarı/İhtar | Düşük/orta seviye uygunsuzluklarda süre verilerek düzeltim istenebilir. | Envanter ve VERBİS bildirimlerinin revizyonu |
| Faaliyetin Durdurulması | Ağır veya tekrarlı ihlallerde işleme faaliyetinin sınırlanması/durdurulması gündeme gelebilir. | Etki analizi, iyileştirme sonrası yeniden değerlendirme talebi |
9. Kayıt Takvimi ve Geçiş Bilgilendirmesi
Geçici Madde 1 uyarınca Kurul, kayıt başlangıç ve son tarihlerini ilan etmiş; kayıt yükümlülüğü 19/07/2018 tarih ve 2018/88 sayılı Kurul Kararı ile fiilen başlamıştır.
Esas olan; kişisel veri işleme faaliyetlerine başlamadan önce kayıt yapılması ve işleme parametrelerindeki değişikliklerin derhal güncellenmesidir.
10. Sık Yapılan Hatalar ve Çözümler
10.1 Sık Hatalar
- Yanlış merci: “Kamu Gözetim Kurumu” gibi ifadeler yerine doğru ifade “KVKK Başkanlığı” olmalıdır.
- Tutarsızlık: Veri envanteri, VERBİS bildirimi ve aydınlatma metinleri arasında terminoloji ve kapsam uyumsuzluğu.
- Saklama süresi: “Süresiz” ibaresi kullanımı; işleme amacı ile bağlantılı azami süre belirtilmemesi.
10.2 Çözüm Önerileri
- Terminolojiyi KVKK ve Kurul rehberleri ile uyumlu hale getirmek,
- Envanter–VERBİS–aydınlatma metinlerini birlikte gözden geçirmek,
- Her veri kategorisi için somut ve gerekçeli saklama süreleri belirlemek,
- Değişiklikleri periyodik olarak kontrol edip VERBİS’te güncellemek.
11. Kurumsal Kontrol Listesi
VERBİS ve KVKK uyumu için pratik bir kontrol listesi:
- VERBİS kaydı (kişisel veri işlemeye başlamadan önce tamamlanmış mı?)
- Güncel veri envanteri ve süreç haritaları mevcut mu?
- Aydınlatma metinleri ve açık rıza gerektiren haller netleştirilmiş mi?
- Politikalar: KVKK, Saklama-İmha, İhlal Müdahale, Erişim-Yetkilendirme hazırlanmış mı?
- Teknik–idari tedbirler (erişim, log, DLP, şifreleme, maskeleme vb.) uygulanıyor mu?
- Veri işleyen sözleşmesel hükümleri ve aktarım maddeleri gözden geçirilmiş mi?
- Eğitim ve farkındalık programları düzenli olarak yapılıyor mu?
- İç denetim ve DÖF (düzeltici/önleyici faaliyet) yönetimi çalışıyor mu?
- İlgili kişi başvuru/şikayet süreçleri ve SLA’lar tanımlı mı?
- Periyodik kayıt ve politika güncellemeleri planlı mı?
12. Sonuç
VERBİS, kişisel veri işleme faaliyetlerinde kurumsal uyum, şeffaflık ve risk azaltımı için stratejik bir araçtır. Kayıt öncesi hazırlıklar ve düzenli güncellemeler, hem idari yaptırım risklerini düşürür hem de paydaş güvenini güçlendirir.
Etkili bir uyum yaklaşımı için VERBİS kaydı; veri envanteri, aydınlatma metinleri, teknik/idari tedbirler ve eğitim–denetim mekanizmalarıyla birlikte, bütüncül bir KVKK uyum programı içinde ele alınmalıdır.
13. Sıkça Sorulan Sorular
VERBİS’e kayıt zorunluluğu kimler için geçerlidir?
Türkiye’de kişisel veri işleyen ve Kurulun belirlediği kriterlere giren gerçek ve tüzel kişi veri sorumluları için kayıt zorunludur. Kayıt yükümlülüğü kapsamı; çalışan sayısı, bilanço büyüklüğü ve özel nitelikli veri işleme faaliyeti gibi objektif ölçütlere göre belirlenir.
VERBİS’e kayıt olmak KVKK uyumu için yeterli midir?
Hayır. VERBİS yalnızca kayıt ve şeffaflık boyutunu karşılar. Uyum; hukuki metinler, teknik/idari tedbirler, eğitim ve denetim süreçlerini birlikte gerektirir.
VERBİS’e girilen bilgiler kamuya açık mı?
Evet, sicil kamuya açıktır; ancak detaylı kişisel veri içeriği değil, veri işleme faaliyetlerinin kategorik çerçevesi paylaşılır.
VERBİS kaydımı ne zaman güncellemeliyim?
Yeni amaç, yeni veri kategorisi veya yeni alıcı grubu gibi anlamlı değişikliklerde kayıt gecikmeksizin güncellenmelidir. Yıllık periyodik kontrol önerilir.
VERBİS’e kayıt olmamanın yaptırımı nedir?
Kayıt yükümlülüğü olduğu halde kaydolmamak veya yanlış/eksik bildirimde bulunmak, KVKK m.18 kapsamında idari para cezasına konu olabilir ve Kurul kararlarıyla belirlenen tutarlarda yaptırım uygulanabilir.
