Dijitalleşen ticari hayatta verinin en değerli enstrüman haline gelmesi, kişisel verilerin korunması hukukunu kurumsal uyumluluğun en dinamik alanlarından biri kılmıştır. Türk hukuk sisteminde 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile veri işleme faaliyetleri sıkı bir yasal disipline ve şeffaflık rejimine tabi tutulmuştur. Bu şeffaflık rejiminin ve kamusal denetimin en temel sütununu ise Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) oluşturmaktadır.
Kişisel verileri işleyen gerçek ve tüzel kişilerin veri işleme mimarilerini kamunun incelemesine açması anlamına gelen VERBİS’e kayıt yükümlülüğü, idari bir formalite olmanın ötesinde, uyulmaması halinde çok ağır mali yaptırımları tetikleyen emredici bir yasal ödevdir. Kişisel Verileri Koruma Kurulu’nun (“Kurul”) geçmiş dönemde küresel mücbir sebepler doğrultusunda tesis ettiği süre uzatım kararları, bu yükümlülüğün takvimsel sınırlarını belirlemiş olup; günümüz itibarıyla yasal kayıt süreçlerini tamamlamayan veri sorumluları yönünden ciddi birer risk alanı teşkil etmektedir.
VERBİS’in Hukuki Niteliği ve Yasal Kayıt Zorunluluğu

KVKK Madde 16/2 Işığında Veri Sicili Müessesesi
Kişisel verileri işleyen aktörlerin, bu faaliyetlerine başlamadan önce veri kategorilerini, işleme amaçlarını, aktarılacağı alıcı gruplarını ve veri güvenliğine ilişkin aldıkları teknik/idari tedbirleri ilan ettikleri sisteme VERBİS denilmektedir. KVKK’nın 16. maddesinin ikinci fıkrası, bu yükümlülüğün sınırlarını kesin bir dille çizmiştir:
Yasal Norm: “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.”
Bu düzenleme uyarınca, kanunda ve Veri Sorumluları Sicili Hakkında Yönetmelik’te (“Yönetmelik”) açıkça sayılan istisnalar (örneğin yalnızca noterler, avukatlar veya siyasi partiler gibi Kurulca istisna tutulan kategoriler) haricinde kalan tüm veri sorumluları, sisteme kaydolmak ve güncel veri envanterlerini bildirmekle mükelleftir.
Kurulun Tarihi Süre Uzatım Kararları ve Yasal Takvimin Netleşmesi
11.03.2021 Tarihli ve 2021/238 Sayılı Kurul Kararının Analizi
VERBİS’e kayıt süreçlerinde, özellikle Covid-19 küresel salgınının yarattığı operasyonel ve ekonomik zorluklar nedeniyle veri sorumluları ve meslek odaları tarafından Kuruma yoğun erteleme talepleri iletilmiştir. Kurul, bu haklı talepleri değerlendirerek 11.03.2021 tarihli ve 2021/238 sayılı kararı ile yasal kayıt sürelerini son kez ve kademeli olarak uzatmıştır.
Söz konusu kurul kararı uyarınca, farklı veri sorumlusu kategorileri için belirlenen nihai yasal sınırlar şu şekilde somutlaştırılmıştır:
| Veri Sorumlusu Kategorisi | Kararda Belirlenen Nihai Kayıt Tarihi |
| Büyük Ölçekli ve Yabancı Aktörler: Yıllık çalışan sayısı 50’den veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek/tüzel kişiler ile yurtdışında yerleşik veri sorumluları | 31.12.2021 |
| Özel Nitelikli Veri İşleyen Sağlık/Klinik Aktörleri: Yıllık çalışan sayısı 50’den ve yıllık mali bilançosu 25 milyon TL’den az olup, ana faaliyet konusu özel nitelikli kişisel veri (sağlık verisi, biyometrik veri vb.) işleme olanlar | 31.12.2021 |
| Kamusal Aktörler: Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu (odalar, barolar, birlikler vb.) veri sorumluları | 31.12.2021 |
Önemli Not: 11.03.2021 tarihli ve 2021/238 sayılı Kurul kararı ile tanınan bu sürelerin tamamı 31.12.2021 tarihi itibarıyla nihayete ermiştir. Bu tarihten sonra VERBİS’e kayıt olması gerektiği halde bu yükümlülüğü yerine getirmeyen veya yeni kurulan ve veri işlemeye başladığı halde bildirim yapmayan şirketler doğrudan “temerrüt” ve ihlal statüsüne düşmüşlerdir.
Yasal Yükümlülüğe Aykırılığın Yaptırım Rejimi
KVKK Madde 18/1-ç Uyarınca İdari Para Cezaları
Yasa koyucu, VERBİS’e kayıt ve bildirim yükümlülüğünün ihlal edilmesini basit bir usul hatası olarak görmemiş; doğrudan idari para cezası yaptırımına bağlamıştır. KVKK’nın 18. maddesinin birinci fıkrasının (ç) bendi, bu ihlale uygulanacak cezai sınırı belirlemektedir.
İlgili hüküm uyarınca, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında Kurul tarafından çok ciddi miktarlarda idari para cezası tatbik edilir. Bu cezaların miktarı belirlenirken; ihlalin boyutu, veri sorumlusunun ekonomik gücü, işlenen verinin niteliği ve kusur derecesi gibi parametreler dikkate alınır. Yasal sürenin kaçırılmış olması, cezanın kesilmesi için tek başına yeterli bir hukuki olgudur.
Veri Sorumlularının Uyması Gereken Hukuki Uyum Metodolojisi
VERBİS cezalarından kaçınmak ve tam hukuki koruma sağlamak adına işletmelerin şu kurumsal adımları takip etmesi zorunludur:
| VERBİS KAYIT SÜRECİ (KVKK UYUM DÖNGÜSÜ) | |
|---|---|
| 1. Kişisel Veri İşleme Envanterinin Hazırlanması | Veri akış analizi yapılır. |
| İşletmede hangi departmanda, hangi hukuki sebebe dayanarak ve hangi kişisel verilerin işlendiği belirlenir. | |
| Envanter (data inventory) hazırlanır ve VERBİS bildiriminin temelini oluşturur. | |
| ↓ | ↓ |
| 2. VERBİS İrtibat Kişisinin Belirlenmesi | Kurumsal atama yapılır. |
| Tüzel kişi veri sorumluları, Kurum ile iletişimi ve VERBİS süreçlerini yürütecek irtibat kişisini belirler. | |
| Bu kişi sisteme kaydedilir. | |
| ↓ | ↓ |
| 3. Sicile Kayıt ve Kategorik Bildirim | Sistemsel giriş aşamasıdır. |
| Veri envanteri doğrultusunda VERBİS’e veri kategorileri, kişi grupları, alıcı grupları ve saklama süreleri girilir. | |
| Kayıt tamamlanarak sistem onaylanır. |
Sonuç
Kişisel Verileri Koruma Kurulu’nun 2021/238 sayılı tarihi kararı ile ilan edilen VERBİS kayıt süreleri, veri sorumlularına kurumsal adaptasyon sağlamak amacıyla verilmiş son kamusal mühlettir. 31.12.2021 tarihi itibarıyla bu sürelerin dolmuş olması, günümüz hukuk pratiğinde VERBİS’e hâlâ kayıt olmamış veya envanterini güncellenmemiş şirketleri doğrudan hukuka aykırı ve cezai müeyyideye açık bir konuma taşımıştır.
VERBİS’e kayıt, sadece sisteme veri girmekten ibaret olmayıp; şirketin fiili veri işleme süreçleri ile sistemdeki beyanlarının tam bir uyum içinde olmasını gerektirir. Aksi takdirde, yapılacak bir idari denetimde “yanlış veya yanıltıcı beyan” verilmesi gerekçesiyle de idari yaptırımlarla karşılaşılması kaçınılmazdır. Bu nedenle, veri sorumlularının KVKK uyum süreçlerini profesyonel bir hukuki danışmanlık eşliğinde sürekli güncel tutmaları, telafisi imkansız maddi ve prestij kayıplarının önüne geçilmesi adına hayati bir öneme sahiptir.
Sıkça Sorulan Sorular

1. Şirketimiz 2021 yılındaki Kurul kararında belirtilen 25 milyon TL mali bilanço sınırının altındaydı ancak bu yıl bu sınırı geçtik. VERBİS’e kayıt olmalı mıyız?
Evet, olmalısınız. Kurulun belirlediği kriterler (çalışan sayısı veya mali bilanço) dinamiktir. Şirketiniz, belirlenen yasal mali bilanço veya çalışan sayısı kriterlerini son mali tablolar itibarıyla geride bıraktığı an, o yılı takip eden belirli yasal süreler içerisinde VERBİS’e kayıt olmakla yükümlü hale gelir. Geçmişte kapsam dışı olmanız, ömür boyu muaf olduğunuz anlamına gelmez.
2. Ana faaliyet konusu özel nitelikli kişisel veri işleme olan eczaneler, klinikler ve hekimler için VERBİS’e kayıt zorunluluğu devam etmekte midir?
Evet, devam etmektedir. Kararda da açıkça belirtildiği üzere, yıllık çalışan sayısı veya mali bilançosuna bakılmaksızın, ana faaliyeti özel nitelikli kişisel veri (sağlık verileri, laboratuvar sonuçları vb.) işleme olan tüm gerçek ve tüzel kişi veri sorumluları (hekimler, diş hekimleri, eczaneler, tıp merkezleri, psikologlar vb.) için son kayıt tarihi 31.12.2021 olarak uygulanmıştır. Bu tarihten sonra faaliyete başlayanların ise işe başlar başlamaz derhal kayıt işlemlerini tamamlaması gerekir.
3. VERBİS’e kayıt olurken sisteme müşterilerimizin veya çalışanlarımızın isimlerini ve T.C. kimlik numaralarını tek tek yükleyecek miyiz?
Hayır. VERBİS, kişisel verilerin kendisinin depolandığı bir veri tabanı değildir. VERBİS’e sadece kategorik bazda bildirim yapılır. Örneğin sisteme “Şirketimizde çalışanların kimlik ve iletişim verileri, özlük haklarının tesisi amacıyla işlenmekte ve kanuni yükümlülük gereği SGK’ya aktarılmaktadır” şeklinde soyut ve kategorik başlıklar girilir; kişilerin somut verileri sisteme asla yüklenmez.
4. VERBİS bildirimini yaptıktan sonra şirket içindeki veri işleme süreçlerimiz değişirse ne yapmalıyız?
Yönetmelik uyarınca, VERBİS’e kayıtlı bilgilerin değişmesi halinde, veri sorumlusu bu değişiklikleri meydana geldiği tarihten itibaren en geç yedi gün içinde VERBİS sistemi üzerinden güncellemekle yükümlüdür. Şirkete yeni bir veri kategorisinin dahil edilmesi (örneğin işyerine parmak iziyle giriş sistemi kurulması veya yeni bir yazılım alınması) halinde bu durum en geç 7 gün içinde sicile işlenmelidir.
5. Bir holding veya grup şirketi, bünyesindeki tüm alt şirketler adına tek bir VERBİS kaydı yapabilir mi?
Hayır, yapamaz. KVKK kapsamında hukuki sorumluluk her bir tüzel kişiliğin (anonim şirket, limited şirket vb.) kendisine aittir. Her bir şirket bağımsız bir “veri sorumlusu” statüsünü haiz olduğundan, holding çatısı altında bulunsalar dahi her bir alt şirketin kendi T.C. kimlik numarası veya MERSİS numarası üzerinden sisteme ayrı ayrı VERBİS kaydı yaptırması yasal bir zorunluluktur.
Geçmez Hukuk Bürosu