byKVKK

Giriş

Kişisel Verilerin Korunması Kanunu (KVKK, 6698 sayılı Kanun) m.16 uyarınca Türkiye’de kişisel veri işleyen tüm gerçek ve tüzel kişilerin, veri işlemeye başlamadan Veri Sorumluları Siciline (VERBİS) kayıt olması zorunludur. VERBİS, Kişisel Verileri Koruma Kurumu (KVKKurumu) tarafından yönetilen ve internet üzerinden erişilebilen bir kayıt sistemidir. Bu sisteme kayıt, kanunun öngördüğü şeffaflık ve hesap verebilirlik ilkelerinin bir gereğidir; veri sorumluları, işledikleri kişisel verilere ilişkin kategoriler, işleme amaçları, veri konusu kişi grupları, aktarım alıcıları, saklama süreleri ve alınan güvenlik tedbirleri gibi bilgileri VERBİS üzerinden kamuya beyan ederler.

VERBİS’e kayıt yükümlülüğü getirilmesindeki amaç, veri sorumlularının faaliyetlerini denetlenebilir kılmak ve veri sahiplerini bilgilendirmektir. Bu kapsamda kayıt dışı veri işleme faaliyetlerinin önlenmesi, kişisel verilerin korunması hakkının etkin temini hedeflenmektedir. Nitekim, kanuna aykırı şekilde sicile kayıt yaptırmayanlar hakkında 20.000 TL ile 1.000.000 TL arasında idari para cezası öngörülmüştür (KVKK m.18). Bu miktarlar her yıl yeniden değerleme oranıyla artırılmakta olup, örneğin 2024 yılı için VERBİS’e kayıt yaptırmamanın cezası 119.428 TL – 5.972.040 TL aralığına yükselmiştir. Dolayısıyla veri sorumluları açısından VERBİS’e kayıt yükümlülüğüne uyum sağlamak, ciddi mali yaptırımlardan kaçınmak için hayati önemdedir.

Bu makalede öncelikle VERBİS’in kapsamı ve kayıt olmak zorunda olanlar açıklanacak, ardından kayıt yükümlülüğüne getirilen istisnalar (muafiyetler) ele alınacaktır. Ayrıca uygulamada sıkça karşılaşılan hatalar ve bunların doğurduğu sonuçlar incelenecek; konuyla ilgili içtihatlar (yüksek yargı kararları) ve doktrin görüşleri ile uluslararası mevzuat ve yargı kararlarına da değinilecektir. Amaç, VERBİS kayıt zorunluluğuna ilişkin 2025 itibarıyla güncel durumu ve doğru uygulama yöntemlerini kapsamlı bir şekilde ortaya koymaktır.

VERBİS Kayıt Yükümlülüğünün Dayanağı Nedir?

VERBİS, “Veri Sorumluları Sicil Bilgi Sistemi”, KVKKurumu nezdinde tutulan Veri Sorumluları Siciline başvuru ve ilgili işlemlerin yapıldığı çevrimiçi platformdur. 6698 sayılı KVKK’nın 16. maddesi, Kurul gözetiminde kamuya açık bir sicil tutulacağını ve kişisel verileri işleyen herkesin bu sicile kayıt olmak zorunda olduğunu hükme bağlamıştır. Kanunun yürürlüğe girdiği 2016 yılında VERBİS kayıt yükümlülüğü düzenlenmiş; devamında 2017 sonunda çıkarılan Veri Sorumluları Sicili Hakkında Yönetmelik ile sistemin usul ve esasları belirlenmiştir. Sistem 2018 yılı itibarıyla uygulamaya alınmış ve Kurul tarafından duyurulan takvimler çerçevesinde kademeli olarak kayıtlar başlamıştır.

Veri sorumlusu, KVKK md.3’te tanımlandığı üzere kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişidir. Kişisel veri işleme faaliyeti de verilerin otomatik yollarla veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla üzerinde gerçekleştirilen her türlü işlemi ifade eder. Bu tanımlar ışığında, bir kişinin veya kuruluşun veri sorumlusu sayılması için mutlaka şirket veya resmi kurum olması gerekmez. Önemli olan, kendi belirlediği amaçlarla kişisel veri işleyip işlemediğidir. Bu nedenle serbest meslek sahipleri, esnaflar, dernekler gibi birçok farklı yapı veri sorumlusu olabilir.

VERBİS kayıt yükümlülüğü de veri sorumlusu kavramıyla doğrudan bağlantılıdır. Kural olarak, veri sorumlusu sıfatını haiz olan herkes, faaliyetine başlarken sicile kayıt yaptırmalıdır. Veri sorumlusunun gerçek kişi (örn. şahıs şirketi, serbest meslek erbabı) veya tüzel kişi (örn. anonim/limited şirket, dernek, vakıf) olması fark etmez; her ikisi de kayıt yükümlüsüdür. Örneğin tek başına diyetisyenlik yapan bir uzman, danışanlarının kişisel verilerini işlediği için gerçek kişi veri sorumlusu olarak VERBİS’e kaydolmalıdır. Benzer şekilde bir tıp merkezi veya diyetisyenlik merkezi de tüzel kişi veri sorumlusu olarak sicile kayıt yaptırmak zorundadır. Kısaca, faaliyet kapsamında kişisel veri işlemek (hasta, müşteri, çalışan, üye vb. verisi) söz konusu ise KVKK kapsamına girer ve kayıt zorunluluğu doğar.

Yurt içinde yerleşik olmayan (yabancı) veri sorumluları da Türkiye’de kişisel veri işledikleri takdirde VERBİS kayıt yükümlülüğüne tabidir. Ancak yabancı yerleşiklerin kaydı, Türkiye’de temsilci atamak suretiyle yapılır (Yönetmelik m.5/1-b). Örneğin Avrupa’da bulunan bir e-ticaret şirketi Türkiye’deki müşterilerinin verilerini işliyorsa, Türkiye’de bir veri sorumlusu temsilcisi belirleyerek onun aracılığıyla sicile kayıt olmalıdır. Bu temsilci, Kurum ile iletişim ve tebligat süreçlerini yürütmekten sorumlu olacaktır. Buna paralel olarak, Türkiye’de yerleşik veri sorumlularının ise bir irtibat kişisi belirtmesi gerekmektedir (Yönetmelik m.11). İrtibat kişisi, ilgili kişi başvuruları ve Kurumla iletişimde şirket adına görev yapacak gerçek kişidir. Bu kişi, şirket çalışanı olabileceği gibi dışarıdan da görevlendirilebilir; ancak temel işlevi, VERBİS kayıt sürecinde ve sonrasında Kurumla hızlı iletişim kurulmasını sağlamaktır.

Önemle belirtilmelidir ki, VERBİS’e kayıt olmak diğer yükümlülükleri ortadan kaldırmaz. Yani veri sorumlusu, sicile kayıt olsa dahi KVKK’daki aydınlatma yükümlülüğü, veri güvenliği tedbirlerini alma, kişisel verileri gerektiğinde silme/anonimleştirme, ilgili kişi başvurularını yanıtlama gibi sorumluluklarını da eksiksiz yerine getirmek zorundadır. VERBİS kaydı, KVKK uyum sürecinin sadece bir aşamasıdır; hesap verebilirlik ilkesi gereği veri sorumluları fiili uygulamalarının beyan ettikleri bilgilerle tutarlı olmasını sağlamalı ve gereken her durumda VERBİS kayıtlarını güncellemelidir. Aksi halde eksik veya hatalı beyanda bulunmuş sayılırlar ki bu da yaptırıma yol açabilir.

VERBİS Kayıt Zorunluluğu Olanlar Kimlerdir?

Yukarıda açıklandığı gibi temel kural, kişisel veri işleyen her gerçek ve tüzel kişinin kayıt yükümlülüğü olduğudur. KVKK md.16/2 bu kuralı koyarken, Kurul’a belirli kriterlere dayanarak istisna tutma yetkisi de vermiştir. Bu nedenle, kuralın kapsamına giren ancak Kurul kararıyla muaf tutulan bazı istisnai durumlar bulunmaktadır (aşağıda “İstisnalar” başlığında ele alınacaktır). İstisnalar dışında kalan tüm veri sorumluları VERBİS’e kaydolmak zorundadır.

Şirketler ve İşletmeler: Türkiye’de faaliyet gösteren tüm şirketler (anonim, limited, şahıs işletmesi vb.), çalışan sayısı veya cirosu ne olursa olsun eğer kişisel veri işliyorlarsa sicile kayıtla yükümlüdür. Kurul belirli büyüklük kriterlerine göre kademeli geçiş takvimi uygulamışsa da (örneğin 50’den fazla çalışanı veya 25 milyon TL’den fazla mali bilançosu olanlar için 2019 sonuna kadar süre tanınması gibi), nihai olarak bu nitelikleri taşıyan büyük ölçekli şirketlerin tamamı için VERBİS kayıt şartı yürürlüğe girmiştir. Hatta pek çok şirketin KVKK ve VERBİS yükümlülükleri konusunda yeterince bilgi sahibi olmadığı ve bu yüzden son tarihlerden sonra bile kayıt yaptırmayanların çıktığı, Kurum tarafından vurgulanmıştır. Bugün itibariyle özel sektör şirketlerinin büyük çoğunluğu kapsama girmektedir.

Kamu Kurumları: Kamu kurum ve kuruluşları da veri sorumlusu olarak sicile kayıt olmalıdır. Kurul, kamu idareleri için kayıt başlangıç tarihini 01.04.2019 olarak belirlemiş ve 30.06.2020’ye kadar süre tanımıştır. Dolayısıyla bakanlıklar, belediyeler, üniversiteler, kamu iktisadi teşekkülleri gibi tüm kamu tüzel kişileri de KVKK kapsamındaki veri işleme faaliyetleri için VERBİS’e kayıt yaptırmış olmalıdır. Bu kurumlar genellikle irtibat kişisi olarak kurum içinden bir çalışan atamakta ve Kurum’la iletişimi bu kişi üzerinden sağlamaktadır.

Serbest Meslek Mensupları: Avukat, doktor, diş hekimi, mali müşavir, noter, mühendis, danışman gibi kendi başına mesleki faaliyette bulunanlar da veri sorumlusu sayılır. Örneğin bir diş hekimi muayenehanesinde hastaların kimlik ve sağlık bilgilerini tuttuğu için; bir mali müşavir mükelleflerinin finansal verilerini işlediği için; bir psikolog danışan bilgilerini kaydettiği için KVKK kapsamındadır. Dolayısıyla, eğer bu kişiler Kurulun belirlediği bir muafiyet grubuna girmiyorsa (örneğin avukatlar için bir istisna mevcuttur, aşağıda değinilecek), VERBİS’e kayıt olmaları gerekir. Özellikle özel nitelikli kişisel veriler ile iştigal eden serbest meslekler dikkat çekicidir: Özel nitelikli kişisel veri, KVKK md.6’da sayılan sağlık, biyometrik, ceza mahkûmiyeti gibi hassas verilerdir ve bunları işleyen veri sorumlularının muafiyet kapsamı daralmaktadır. Nitekim Kurul kararı gereği ana faaliyet konusu özel nitelikli veri işlemek olan küçük ölçekli veri sorumluları dahi kayıt yükümlülüğünden muaf değildir (bu konu “istisnalar”da detaylandırılacaktır). Buna uygun olarak yakın dönemde Danıştay da önemli bir kararında, bağımsız çalışan hekimlerin hastalarıyla ilgili işledikleri sağlık verilerinin özel nitelikli kapsamına girdiğini, dolayısıyla küçük işletme olsalar bile VERBİS kaydından muaf tutulamayacaklarını hükme bağlamıştır. Bu karar, özellikle muayenehane işleten hekimler ve benzeri meslek erbabı için kayıt zorunluluğunun altını çizen bir içtihat niteliğindedir.

Dernek, Vakıf ve Sendikalar: Kişisel veri işleyen tüm dernekler, vakıflar ve sendikalar da kural olarak sicile kayıtla yükümlüdür. Örneğin bir dernek üyelerinin iletişim bilgilerini, bağışçıların kimlik bilgilerini tutuyorsa, bu verileri elektronik ortamda veya belirli bir sistematik dahilinde işliyorsa KVKK kapsamındadır. Ancak bu gruplar için Kurulun getirdiği özel bir istisna bulunmaktadır (aşağıda açıklanacaktır). Bu istisna kapsamına girmeyen dernek/vakıf/sendikaların da 2020’ye dek sicile kayıt olması gerekmiştir. Öte yandan, derneklerin iktisadi işletmeleri ayrı tüzel kişilik olduğundan, bunların durumuna aşağıda ayrıca değinilecektir.

Yurt Dışında Yerleşik Veri Sorumluları: Türkiye’de herhangi bir merkezi veya şubesi olmasa bile Türkiye’de yaşayan kişilere yönelik mal/hizmet sunan veya Türkiye’de veri işleme faaliyetinde bulunan yabancı şirketler de KVKK md.16 gereği yükümlüdür. Bunlar sicile kayıt işlemini Türkiye’de atadıkları temsilci aracılığıyla yaparlar. Bu temsilci genellikle bir danışmanlık şirketi ya da avukatlık bürosu olabilmektedir. Örneğin Amazon, Facebook gibi global şirketlerin Türkiye’de kullanıcı verisi işledikleri için temsilcileri vasıtasıyla VERBİS’e kayıtlı oldukları bilinmektedir. Bu bağlamda, Avrupa Birliği GDPR düzenlemesi kapsamındaki “EU representative” mekanizmasına benzer bir yaklaşımın Türkiye’de de uygulandığı söylenebilir.

Sonuç olarak, istisnai hükümler dışında kalan tüm gerçek ve tüzel kişiler VERBİS’e kayıt yaptırmak zorundadır. Bu zorunluluğa uymamak Kanun’un 18. maddesi uyarınca idari para cezasına tabidir. Türkiye’de KVKKurumu, farklı sektörlerde yaptığı denetimlerde kayıt yükümlülüğünü ihlal eden birçok kuruluşa ceza uygulamıştır; örneğin halihazırda birçok e-ticaret, sağlık, turizm, eğitim şirketine bu nedenle yüksek idari para cezaları verilmiştir.

VERBİS Kayıt Yükümlülüğüne İstisnalar (Muafiyetler)

KVKK md.16/2, Kurul’a bazı objektif kriterleri göz önünde bulundurarak hangi veri sorumlularının Verbis kayıt yükümlülüğünden muaf tutulabileceğini belirleme yetkisi vermiştir. Bu kriterler; işlenen kişisel verinin niteliği, sayısı, işleme amacı, faaliyet alanı, üçüncü kişilere aktarılma durumu, veri işlemenin kanundan kaynaklanması, verilerin saklama süresi, veri konusu kişi grubu, veri sorumlusunun büyüklüğü gibi unsurlardır. Kurul bu kriterlere dayanarak 2018 yılından itibaren bir dizi karar alarak bazı veri sorumlularını VERBİS’e kayıt zorunluluğu dışında bırakmıştır. Aşağıda bu istisnalar özetlenmektedir:

  • Tamamen Otomatik Olmayan Yolla Veri İşleyenler: Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler, 2018/32 sayılı Kurul Kararı ile kayıt yükümlülüğünden muaf tutulmuştur. Örneğin verilerini sadece kağıt üzerinde, manuel olarak işleyen ve hiçbir dijital sisteme aktarmayan bir küçük esnaf ya da işletme, bu muafiyetten yararlanır. Gerçek hayatta bu duruma pek az örnek kalmakla birlikte, veri işlemenin tamamen geleneksel yöntemlerle yapıldığı haller istisna kapsamındadır. (Not: Burada kilit şart, verilerin bir kayıt sisteminin parçası olmasıdır. Dağınık ve sistematik olmayan kağıt notları bu kapsama girmeyebilir. Ancak belirli bir düzen içinde tutulan fiziki kayıtlar bir “veri kayıt sistemi” sayılır.)
  • Noterler: 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler de aynı Kurul kararı (2018/32) ile VERBİS’e kayıttan muaf tutulmuştur. Noterler yaptıkları işlemler gereği çok sayıda kişisel veriyi (kimlik, belge, vb.) işleseler de, kendi özel kanunlarındaki yükümlülükler ve kamusal nitelikleri gereği ayrıca sicile kayıt zorunluluğu aranmamıştır.
  • Siyasi Partiler: 2820 sayılı Siyasi Partiler Kanunu’na göre kurulan siyasi partiler de 2018/32 sayılı karar kapsamında kayıt istisnasına tabidir. Siyasi partiler üyelerinin ve seçmenlerin verilerini işlemekle birlikte, bu veriler parti faaliyetlerinin doğal bir parçası olduğundan ve ilgili diğer kanunlarla denetlendiğinden, ayrıca VERBİS kayıt yükümlülüğü öngörülmemiştir.
  • Avukatlar: 1136 sayılı Avukatlık Kanunu’na göre faaliyet gösteren avukatlar, yani baroya kayıtlı serbest avukatlar da 2018/32 sayılı kararla muaf tutulmuştur. Avukatlar müvekkillerine ait pek çok kişisel veri işlese de (dava dosyaları, iletişim bilgileri, sağlık raporları vb.), mesleki faaliyetlerinin niteliği gereği ve Avukatlık Kanunu’nun getirdiği sır saklama yükümlülükleri gibi güvenceler dikkate alınarak VERBİS’ten istisna edilmiştir. Bu nedenle örneğin bağımsız çalışan bir avukatın VERBİS’e kayıt yapması beklenmez (baro levhasına kayıt yeterli görülmüştür). Doktrinde bazı yazarlar, avukatlar için getirilen bu muafiyetin Avrupa uygulamalarıyla uyumlu olduğunu, zira avukatların müvekkil gizliliği ve meslek etiği kurallarıyla zaten sıkı düzenlemelere tabi olduğunu belirtmektedir.
  • Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler: 3568 sayılı kanuna tabi olarak çalışan SMMM ve YMM’ler de 2018/32 sayılı kararla VERBİS kayıt zorunluluğundan muaftır. Bu meslek mensupları da müşterilerinin finansal ve kişisel verilerini işlemesine rağmen, yine mesleki mevzuatları çerçevesinde belirli yükümlülük ve denetim altında olduklarından ayrıca sicile kayıt gerekmemesi uygun bulunmuştur.
  • Dernekler, Vakıflar, Sendikalar (Sınırlı Kapsamda): 5253 sayılı Dernekler Kanunu, 5737 sayılı Vakıflar Kanunu ve 6356 sayılı Sendikalar Kanunu’na göre kurulan dernek, vakıf ve sendikalardan yalnızca ilgili mevzuatlarına ve amaçlarına uygun faaliyet alanlarıyla sınırlı olarak, sadece kendi üyelerine, mensuplarına, bağışçılarına yönelik kişisel veri işleyenler 2018/32 sayılı Kurul Kararı ile istisna tutulmuştur. Bu tanımdan, örneğin sadece kendi üye ve gönüllülerinin kaydını tutan bir dernek ya da sendikanın muaf olduğu anlaşılmaktadır. Ancak kapsam dışına çıkan bir faaliyet olursa – örneğin bir derneğin üyeleri dışındaki kişilere yönelik veri işlemesi – istisna geçerli olmaz. Önemli bir ayrıntı olarak, 2021 yılında Kurul, dernek/vakıf/sendika istisnasını revize etmiştir: Eğer bu kuruluşların kendilerine bağlı bir iktisadi işletmesi varsa, istisnadan yararlanamayacakları karara bağlanmıştır. 09.06.2021 tarih ve 2021/571 sayılı Kurul Kararı ile, önceki “dernekler muaf” ifadesi “iktisadi işletmesi bulunmayan dernek, vakıf ve sendikalar” şeklinde değiştirilmiştir. Buna göre bünyesinde iktisadi işletme bulunduran dernek, vakıf ve sendikalar VERBİS’e kayıt yapmak zorundadır; kayıt yapılırken de sadece iktisadi işletmenin faaliyetlerine ilişkin verilerin beyan edilmesi yeterli görülmüştür. Örneğin bir vakfın bir iktisadi işletmesi (ticari işletmesi) varsa, vakfın hem kendi hem işletmesinin veri işlemesi için artık sicile kaydolması gerekecektir.
  • Gümrük Müşavirleri: 4458 sayılı Gümrük Kanunu kapsamında faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri, Kurulun 28.06.2018 tarih ve 2018/68 sayılı kararıyla VERBİS kayıt zorunluluğundan muaf kılınmıştır. Bu meslek grubu, işlemlerini resmi makam adına ve yasal mevzuat çerçevesinde yürüttüğü için ayrıca bir sicil kaydı aranmamıştır.
  • Arabulucular: 6325 sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu kapsamında faaliyet gösteren arabulucular da 05.07.2018 tarihli 2018/75 sayılı Kurul Kararı ile istisna kapsamına alınmıştır. Arabulucuların, uyuşmazlık çözümü sırasında taraflara ait verileri işlemesi yasal bir süreç olduğundan, bu veriler için sicile kayıt aranmayacağı kararlaştırılmıştır.
  • Küçük Ölçekli İşletmeler (Belirli Şartla): Kurulun 19.07.2018 tarih ve 2018/87 sayılı kritik kararı ile, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işlemek olmayan gerçek ve tüzel kişi veri sorumlularının VERBİS kayıt yükümlülüğünden muaf tutulmasına karar verilmiştir. Bu karar, KVKK kapsamındaki pek çok KOBİ ve küçük işletmeyi istisna tutmuştur. Yani 50 çalışan altı ve 25 milyon TL’den küçük işletmeler, eğer hassas nitelikte veri esas işi yapmıyorlarsa kayıt olmak zorunda değildi. Ancak bu karar alınırken Türkiye ekonomisindeki koşullar farklıydı; sonraki yıllarda özellikle mali bilanço eşik değeri çok düşük kaldı. Nitekim 2023 yılında Kurul bu eşiği güncellemiştir: 06.07.2023 tarih ve 2023/1154 sayılı Kararla yıllık mali bilanço sınırı 25 milyon TL’den 100 milyon TL’ye yükseltilmiştir. Karar, 25.07.2023 tarihli Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Böylece mevcut durumda çalışan sayısı <50 ve bilançosu <100 milyon TL olan (ve ana faaliyeti özel nitelikli veri işleme olmayan) veri sorumluları VERBİS kayıt yükümlülüğünden muaftır. Bu muafiyet özellikle küçük esnaf, butik işletmeler, lokal hizmet sağlayıcıları gibi çok sayıda verisi olmayan küçük ölçeklileri kapsamaktadır. Ancak burada kritik kıstas, özel nitelikli veri işlenip işlenmediğidir: Eğer işletme küçük olsa da sağlık, ceza kaydı, biyometrik veri gibi hassas verilerle uğraşıyorsa bu muafiyetten yararlanamaz. Örneğin tek şubeli bir diş kliniği sadece 5 personeli olsa da hastaların sağlık verileriyle işlem yaptığı için VERBİS’e kayıt olmalıdır. Yukarıda bahsedilen Danıştay kararı da bu noktayı teyit etmiştir: Serbest hekimler, küçük işletme olsalar bile ana faaliyetleri özel nitelikli veri olduğu için istisna kapsamı dışında kalır. Kurum da SSS’lerinde “çalışan sayısı ve ciro önemli değil; özel nitelikli veri işleniyorsa kayıt zorunludur” diyerek bu durumu açıklamıştır.

Yukarıda sayılan istisna kararları dışında, KVKKurumu gerektiğinde yeni istisnalar getirmekte veya mevcutları revize edebilmektedir. Örneğin Kurul, 2019 ve 2020 yıllarında VERBİS’e kayıt için son tarihleri uzatırken bazı sektörlerden gelen talepleri değerlendirmiş; ayrıca ortaklık yapılarında birden fazla veri sorumlusunun yükümlülüğü nasıl paylaşacağı gibi konularda duyurular yayınlamıştır. 2020 sonrası dönemde özellikle pandemi koşulları nedeniyle son tarih ertelenmiş ve 31.12.2021 itibarıyla fiilen tüm geçiş süreci tamamlanmıştır. Güncel durumda, yukarıdaki istisnalar haricinde kalan her veri sorumlusu için kayıt yükümlülüğü başlamıştır.

İstisna kapsamında bulunan bir veri sorumlusu, ileride şartları değişirse (örneğin çalışan sayısı artar veya artık özel nitelikli veri işlemeye başlarsa) artık istisna geçerli olmaz ve derhal sicile kaydolmalıdır. Aynı şekilde başlangıçta muaf olmayıp da sonradan muafiyet kapsamına girenler (örneğin çalışan sayısı düşen bir şirket) Kuruma bildirim yaparak kayıtlarını silebilir. Sicile kayıtlı olanlar içinde faaliyetini sona erdiren, birleşen vb. durumlar olursa yine durumu Kuruma bildirmek ve gerekirse kaydı silmek gerekir (Yönetmelik m.8, 9).

Özetle, VERBİS istisnaları sınırlı ve özel haller olup kuralın istisnası şeklinde dar yorumlanmalıdır. Kendisinin muaf olduğunu düşünen veri sorumlularının, gerçekten ilgili Kurul kararının kapsamına girip girmediklerini dikkatlice değerlendirmeleri gerekir. Aksi takdirde, muaf olmadıkları halde kayıt yaptırmamış olanlar ciddi cezalarla karşı karşıya kalabilirler (aşağıda “Hatalar” bölümünde değinileceği üzere, uygulamada bu sıkça görülmektedir).

VERBİS Kayıt Sürecinde Sık Yapılan Hatalar

VERBİS kayıt yükümlülüğü, birçok kurum ve işletme için yeni bir uygulama olduğundan, uygulamada çeşitli hata ve eksiklikler gözlemlenmiştir. KVKKurumu hem kendi yaptığı denetimlerde hem de gelen şikâyet ve ihbarlar neticesinde sık yapılan hataları tespit ederek zaman zaman duyurularla kamuoyunu uyarmaktadır. Aşağıda en yaygın karşılaşılan hatalar sıralanmıştır:

  • Kayıt Yaptırmamak: En temel ve en ciddi ihlal, yükümlü olduğu halde hiç VERBİS’e kayıt olmamaktır. Bazı veri sorumluları ya farkındalık eksikliği ya da “nasıl olsa bize rastlamaz” düşüncesiyle kayıt yükümlülüğünü yerine getirmemiştir. KVKKurumu farklı sektörlerde re’sen incelemeler başlatarak bu durumu tespit etmekte ve idari para cezaları uygulamaktadır. Örneğin 50’den fazla çalışanı olup da kayıt yaptırmayan bir şirkete yüzbinlerce TL ceza kesilebilmektedir. Bu nedenle, kapsamda olup olmadığı belirsiz olan şirketlerin bile hukuk uzmanlarına danışarak durumlarını teyit etmesi önemlidir. Özellikle küçük işletmeler “biz muafız herhalde” diyerek kayıt yaptırmamışsa ve aslında özel veri işledikleri için yükümlü konumdaysalar, ciddi risk altındadırlar.
  • Yanlış veya Eksik Bildirim: VERBİS’e kayıt olmuş olsa dahi, beyan edilen bilgilerin hatalı veya noksan olması da ihlale yol açar. Uygulamada birçok kuruluşun kişisel veri işleme envanterini doğru hazırlamadan sisteme eksik bilgi girdiği görülmektedir. Örneğin bazıları yalnızca birkaç veri kategorisi beyan edip, gerçekte işlediği diğer veri tiplerini sisteme yazmamıştır; ya da verileri aktardıkları alıcı gruplarını tam listelememiştir. Ayrıca saklama imha sürelerini “belirsiz” gibi yanlış ifadelerle dolduranlar olmuştur. Bu tür eksik/hatalı kayıtlar, gerçeğe aykırı beyan anlamına gelmekte ve Kurum nezdinde yaptırım konusu olabilmektedir. KVKK yetkilileri, VERBİS’te beyan edilen bilgiler ile fiili uygulamanın uyumlu olması gerektiğini, aksi halde kayıt yaptırılmış olsa bile yükümlülüğün tam yerine getirilmemiş sayılacağını vurgulamıştır.
  • Tüzel Kişi Bilgilerinin Hatalı Girilmesi: Kurumun bir duyurusunda dikkat çektiği önemli bir hata, tüzel kişi veri sorumlularının kendi Vergi Kimlik Numaraları yerine, temsilci kişilerin T.C. Kimlik numaralarını sisteme girmeleridir. Özellikle bazı şirketler, VERBİS’e kayıt olurken “Veri Sorumlusunun VKN/TCKN” alanına şirketin vergi numarası ve unvanı yerine, şirket adına işlemi yürüten çalışanının veya yöneticinin kimlik bilgilerini yazmıştır. Oysa tüzel kişilerde veri sorumlusu bizzat tüzel kişiliğin kendisidir, çalışan veya yöneticiler değil. Dolayısıyla bir şirket adına sicile kayıt yapılırken, şirketin yasal unvanı ve vergi numarası kullanılmalıdır. Kurum, bu şekilde yanlış kayıt yapmış olanların sorumluluktan kurtulmuş sayılmayacağını, aksine derhal doğru bilgilerle yeniden başvuru yapılması gerektiğini duyurmuştur. Bu uyarı, özellikle kayıt sürecini dış danışmanlara bırakan şirketlerin, sisteme girilen bilgileri kontrol etmesinin önemini göstermiştir.
  • Envanter ile Gerçek Faaliyetin Uyuşmaması: VERBİS’e girilen bilgiler, veri sorumlusunun hazırladığı Kişisel Veri İşleme Envanteri temel alınarak doldurulur. Bazı şirketler kağıt üzerinde bir envanter hazırlayıp sisteme yükümlülük savmak için asgari bilgiler girmiş; fakat günlük operasyonlarında çok daha geniş çapta veri işlemeye devam etmiştir. Bu durumda beyan ile fiili durum arasında tutarsızlık ortaya çıkar. Örneğin sistemde “müşteri verisi işlenmiyor” beyan eden bir firma, gerçekte pazarlama amacıyla binlerce müşterinin verisini kullanıyorsa, bu usulsüz beyandır. Böyle bir durumda Kurum inceleme başlatırsa, şirket hem kayıt yükümlülüğüne aykırılıktan hem de olası diğer KVKK ihlallerinden ceza alabilir. Dolayısıyla envanterin güncel ve gerçeği yansıtır olması esastır; VERBİS bu envanterin özet bir dışa vurumu olmalıdır.
  • Bilgileri Güncellememek: Sicile ilk kayıt olduktan sonra, zaman içinde gerçekleşen değişikliklerin bildirilmemesi en sık rastlanan hatalardandır. KVKK md.16 ve Yönetmelik uyarınca, veri sorumlusu beyanlarında bir değişiklik olursa (yeni bir veri işleme amacı eklenmesi, veri kategorisi eklenmesi, alıcı grubunun değişmesi, saklama süresinin değişmesi, irtibat kişisinin değişmesi gibi) bunu en geç 7 gün içinde VERBİS üzerinden güncellemelidir. Uygulamada birçok kurum ilk kayıt sonrası bunu unutmakta veya ihmal etmektedir. Örneğin şirket yeni bir proje ile biyometrik veri toplamaya başlamış ama sicil kaydını güncellememiş ise, ortaya çıkacak uyuşmazlıkta Kurum bunu kayıt ihlali sayacaktır. Güncelleme yapılmaması, tespit edildiği anda idari para cezası riskini doğurur. Bu nedenle şirketlerin belirli periyotlarla faaliyetlerini gözden geçirip, gerekirse VERBİS kayıtlarını revize etmeleri önerilir. Özellikle aktif olarak büyüyen, yeni hizmetler sunan kuruluşlar için bu konu kritik önemdedir.
  • İrtibat Kişisi Bilgilerinin Güncellenmemesi: KVKKurumu, şirketlerle iletişimde çoğunlukla VERBİS üzerinde kayıtlı irtibat kişisine e-posta/telefon ile ulaşır. Ancak bazı durumlarda şirketler personel değişikliklerini sisteme yansıtmamaktadır. İrtibat kişisi değiştiği halde eski kişinin bilgileri VERBİS’te bırakılırsa, Kurum’un tebligat ve yazışmaları doğru kişiye ulaşmayabilir. Bu da şirket açısından yasal sürelerin kaçırılmasına veya önemli bir bildirimin görülmemesine yol açabilir. Bu nedenle irtibat kişisi atanan personel işten ayrılırsa veya görev değiştirirse derhal yeni atamanın 7 gün içinde bildirilmesi gereklidir. Aksi halde Kurum nezdinde şirketin özensizliği olarak değerlendirilir ve olumsuz sonuçlar doğurabilir.
  • Aydınlatma ve Rıza Süreçlerini İhmal Etmek: Bazı veri sorumluları, “nasıl olsa VERBİS’e kaydımı yaptım” diyerek KVKK’nın diğer gereklerini geri planda bırakabiliyor. Oysa VERBİS kayıt şartını yerine getirmek, veri işlemenin hukuka uygun olduğunu tek başına göstermez. Veri sahiplerinin KVKK md.10 kapsamında aydınlatılması (kimlik, amaç, aktarılan taraflar, haklar vb. bilgilerin verilmesi) ve gerektiğinde md.5-6 uyarınca açık rıza alınması yükümlülükleri aynen devam eder. Uygulamada en sık görülen hatalardan biri, aydınlatma metinlerinin hiç hazırlanmamış veya kopyala-yapıştır usulüyle uygunsuz hazırlanmış olmasıdır. Şirketlerin web sitelerinde veya fiziksel ortamda aydınlatma metni bulundurmaması sıkça tespit edilen bir eksikliktir. Aynı şekilde, hukuki dayanağı açık rıza olan işlerde (örneğin pazarlama iletişimi, sağlık verisi işleme gibi) rıza alınmadan veri işlenmesi yaygın bir hatadır. Bu tür ihlaller, VERBİS kaydından bağımsız olarak KVKK m.18 kapsamında ayrıca cezalandırılır (aydınlatma yükümlülüğüne aykırılık ve hukuka aykırı veri işleme fiilleri için ayrı ceza bantları vardır). Dolayısıyla veri sorumlularının, VERBİS kaydını bir “checklist” maddesi olarak görmeyip, bütüncül bir uyum programının parçası olarak ele almaları gerekir.
  • Güvenlik Tedbirlerinin Yetersizliği: KVKK m.12, veri sorumlularına uygun teknik ve idari tedbirleri alma yükümlülüğü getirir. Bir kısım şirket, VERBİS kayıt şartını yerine getirdikten sonra veri güvenliği konusunu ikinci plana atabilmektedir. Oysa Kurum, olası veri ihlallerinde ilk olarak ilgili şirketin teknik ve idari tedbirleri alıp almadığını incelemektedir. Veri sorumlusu VERBİS’te “gerekli tüm tedbirler alınmıştır” şeklinde beyan vermiş ancak gerçekte basit güvenlik açıkları nedeniyle veri sızması yaşanmışsa, hem veri ihlali cezası hem de yanlış beyan sonucu ceza alabilir. Bu nedenle antivirüs, firewall, erişim kontrolü, şifreleme, sızma testi gibi teknik önlemler ile erişim yetkilerinin sınırlandırılması, gizlilik taahhütnameleri, politika ve prosedürlerin oluşturulması gibi idari önlemlerin gerçekten hayata geçirilmiş olması gerekir. Bu tedbirler, VERBİS’e kayıt sırasında da listelenmektedir; ancak kağıt üzerindeki liste kadar, fiiliyatta uygulanması önem taşır.
  • İmha Politikalarının Hazırlanmaması: KVKK ve Yönetmelik, veri sorumlularının periyodik imha süreçleri yürütmesini, işlenme amacı sona eren verileri silmesini/anonimleştirmesini zorunlu kılar. Birçok kurum VERBİS’e kayıt esnasında “kişisel verileri saklama ve imha politikası mevcut” demekte ancak gerçekte böyle bir politika belgesi olmamakta veya uygulamada imha yapmamaktadır. Bu da bir hatadır. Kurum incelemelerinde, veri sorumlularından yazılı imha politikalarını ibraz etmeleri istenebilir. Ayrıca belirli periyotlarla (örneğin 6 ayda bir) verilerin silinmesi süreçlerinin işletildiği kanıtlanmalıdır. Eğer VERBİS’te “Imha politikamız vardır” deyip hiç imha yapmamak ortaya çıkarsa, bu da bir uyumsuzluk göstergesidir. Dolayısıyla, VERBİS beyanları ile şirket içi politika ve prosedürlerin uyumlu hale getirilmesi önem arz eder.

Yukarıdaki maddeler, uygulamada en sık görülen aksaklıklardır. KVKKurumu, bu konularda sektörel denetimler de yapmaktadır. Örneğin 2022-2023 döneminde hastaneler, e-ticaret siteleri, oteller, danışmanlık firmaları gibi yoğun veri işleyen sektörler mercek altına alınmış; bu sektörlerde VERBİS kayıtları ve beyanları incelenerek hatalar tespit edilmiştir. Kurum, gerektiğinde kamuya açık kaynaklardan (web siteleri gibi) tarama yaparak da beyanların doğruluğunu kontrol etmektedir. Örneğin bir şirket VERBİS’te “web sitemizden kişisel veri toplamıyoruz” demiş ancak fiilen web sitesinde üyelik formu varsa, Kurum bunu ihbar kabul edebilmektedir. Bu yüzden doğru ve tutarlı beyan çok kritik hale gelmiştir.

VERBİS Kayıt Yükümlülüğünün İhlali, Yaptırımlar ve Sonuçlar

VERBİS kayıt ve bildirim yükümlülüğüne uymamanın yaptırımları, KVKK m.18’de idari para cezası olarak düzenlenmiştir. Yukarıda da belirtildiği gibi 2023 yılı itibarıyla bu cezanın üst sınırı yeniden değerleme ile yaklaşık 6 milyon TL gibi çok yüksek bir düzeye ulaşmıştır. Kurul, ihlalin niteliğine göre ceza miktarını belirlerken şirketin ekonomik durumunu, ihlalin ağırlığını, kusur derecesini dikkate almaktadır. Özellikle kayıt yaptırmayanlara ceza kaçınılmaz olurken; eksik beyan veya geç güncelleme gibi durumlarda bazen öncelikle uyarmayı tercih edebilmektedir. Ancak tebliğlere rağmen eksiklik düzeltilmezse yine cezai yaptırım uygulanır.

İdari para cezalarının yanı sıra, VERBİS kayıt durumu diğer yükümlülüklerle de ilişkilidir. Örneğin bir veri ihlali yaşandığında Kurum, o şirketin sicile kayıtlı olmamasını ağırlaştırıcı bir unsur sayabilmektedir. Zira kayıtlı olmamak, genel olarak KVKK uyumuna yönelik bir ihmal göstergesi kabul edilebilir. Ayrıca Kurum kararlarına karşı yapılan itirazlarda da yargı mercileri, şirketin önleyici yükümlülüklere riayet edip etmediğine bakar. Örneğin Danıştay, KVKK kapsamında kesilen bir ceza yargıya taşındığında, ilgili şirketin sorumluluklarını (ör. VERBİS kaydı yapmış mı, diğer tedbirleri almış mı) değerlendirerek karar vermektedir. Son dönemde Danıştay’ın önüne gelen vakalarda, usule uygun şekilde süresinde dava açılmamış olması nedeniyle bir cezaya karşı itirazın süre aşımından reddedildiği örnekler olmuştur. Bu da, KVKK alanında yargısal itiraz prosedürlerinin titizlikle takip edilmesi gerektiğini göstermektedir.

Ulusal yargı kararlarına bakıldığında, Anayasa Mahkemesi de kişisel verilerin korunmasına ilişkin hak ihlallerini bireysel başvuru kapsamında incelemektedir. Nitekim AYM, KVKKurumu tarafından kesilen cezalara karşı sulh ceza hâkimliklerine yapılan itirazlarda etkin bir yargısal denetim yapılmamasını eleştiren başvurularda hak ihlali tespit edebilmektedir. Bu çerçevede, kişisel veri koruma rejiminin etkin işleyebilmesi için idari ve yargısal mekanizmaların uyum içinde olması, veri sorumlularının da yükümlülüklerini ciddiyetle ele alması gerekmektedir.

Sonuç olarak, VERBİS kayıt ve ilgili uyum yükümlülükleri 2025 itibarıyla Türkiye’de kişisel veri koruma düzeninin olmazsa olmaz bir parçasıdır. Veri sorumluları, kendilerinin kayıt yükümlüsü olup olmadığını dikkatlice analiz etmeli; eğer yükümlü iseler kayıtlarını doğru, eksiksiz ve güncel şekilde tutmalıdır. Muafiyet kapsamındalarsa dahi bunu tevsik edici şekilde işlem yapmaları (örneğin ilgili Kurul kararını inceleyip gerçekten şartların sağlandığını doğrulamaları) önemlidir. Aksi halde ileride bir incelemede “neden kayıt olmadınız?” sorusuna makul bir cevap verilemeyebilir.

Doktrinde bazı uzmanlar, Türkiye’nin AB Genel Veri Koruma Tüzüğü (GDPR) ile tam uyum sağlaması hedefi doğrultusunda VERBİS gibi bir sicil sisteminin uzun vadede kaldırılabileceğini veya en azından daha dar kapsamlı hale getirilebileceğini belirtmektedir. Zira GDPR’da genel bir sicil kaydı zorunluluğu bulunmamakta; onun yerine hesap verebilirlik ilkesi temelinde veri sorumlularının kendi iç kayıtlarını tutması (işleme faaliyetleri kayıtları) ve yüksek riskli işlemler için önceden etki değerlendirmesi yapması gibi yöntemler benimsenmiştir. Bu kapsamda ABAD (Avrupa Adalet Divanı) da önceki bir kararında (Lindqvist, 2003) genel bildirim yükümlülüklerinin her zaman kişisel veri korumasını güçlendirmediğini gözlemlemiştir. Nitekim Lindqvist davasında bir birey, kişisel verileri internet sitesinde yayınlayıp bunu yetkili makamlara bildirmediği için ulusal mahkemece cezaya çarptırılmış; AAD ise Direktif 95/46 kapsamındaki bildirim yükümlülüğünün ihlal edildiğini teyit etmiştir. Bu tür Avrupa deneyimleri, gereksiz bürokratik yüklerin kaldırılması gerektiğine işaret etmiş ve GDPR hazırlanırken “genel kayıt/bildirim zorunluluğunun kaldırılması” Recital 89’da açıkça vurgulanmıştır.

Bununla birlikte, Türkiye’nin mevcut KVKK sistemi halen VERBİS’i merkezi bir unsur olarak barındırmaktadır. VERBİS, şeffaflık ve kamusal denetim fonksiyonlarıyla veri koruma ekosistemine katkı sunmaktadır. Özellikle vatandaşlar, VERBİS üzerinden hangi kurumun hangi amaçlarla veri işlediğini sorgulayabilmekte, kendileriyle ilgili veri işleyip işlemediğini öğrenebilmektedir. Bu yönüyle sisteme kaydolmak, sadece yasal bir zorunluluk değil, aynı zamanda kurumların şeffaflık ve güvenilirlik göstergesi haline gelmiştir. Bir şirketin VERBİS’te kaydının bulunması, müşteriler nezdinde o şirketin KVKK’ya uyum konusunda adım attığı izlenimini vermektedir.

Son tahlilde, veri sorumlularının “ceza almamak için en asgari gerekliliği yerine getirme” anlayışından öteye geçip, kişisel veri koruma kültürünü içselleştirmeleri gerekmektedir. VERBİS’e kayıt olunması bu yolculukta ilk adımdır ancak tek başına yeterli değildir. Kayıtla birlikte beyan edilen ilkelerin günlük iş süreçlerine de yansıtılması, iç politikaların canlı tutulması, çalışan farkındalığının sağlanması şarttır. Aksi halde, kağıt üstünde kalan uyum çalışmalarının gerçek bir koruma sağlaması mümkün değildir.

Özetlemek gerekirse, VERBİS 2025 itibarıyla kimlerin kayıt olması gerektiği konusunda kapsam netleşmiş, istisnalar belirli kategorilerle sınırlanmıştır. Uygulamada yapılan hatalar da deneyimle sabit hale gelmiştir. Bundan sonraki süreçte hem KVKKurumu’nun hem de yargının, daha pro-aktif denetim ve yaptırımlarla veri koruma standartlarını yükseltmesi beklenir. Veri sorumlularına düşen ise erken harekete geçmek, uzman desteği almak ve tüm yükümlülüklerini entegre bir biçimde yerine getirmektir. Böylece hem yasal riskler minimize edilecek hem de bireylerin mahremiyet haklarına saygı gösteren bir veri işleme ekosistemi tesis edilecektir.

Kaynakça

  1. Babayiğit Avukatlık, “VERBİS’e Kayıt Zorunluluğu Nedir, Kimler İçin Geçerlidir?” (2025)babayigit.av.trbabayigit.av.tr
  2. KVKK Kurumu Duyurusu (Gerede TSO Haber), “VERBİS’e Yapılan Kayıt Başvuruları Hakkında” (2020)geredemedyatakip.com.trgeredemedyatakip.com.tr.
  3. Nesil Teknoloji, “Verbis Kayıt Süreci, Zorunluluklar 2025” (Uygar Aydın, 24 Haziran 2025)nesilteknoloji.comnesilteknoloji.com.
  4. Mehmet Bedii Kaya, “KVKK Reformu: 2024 Değişiklikleri Raporu” (2024)mbkaya.commbkaya.com.
  5. GDPR Recital 89, “Elimination of the General Reporting Requirement” (2016)gdpr-info.eu.
  6. Avrupa Adalet Divanı, C-101/01 Lindqvist Kararı – Özet (Pinsent Masons haberi, 2003)pinsentmasons.com.
  7. Erdem & Erdem Hukuk, “Dernek, Vakıf ve Sendikalara Ait İktisadi İşletmelerin VERBİS’e Kayıt Yükümlülüğü” (Hukuki Gelişme, 25.06.2021)erdem-erdem.av.trerdem-erdem.av.tr.

İlgili Mevzuat

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)
  • Veri Sorumluları Sicili Hakkında Yönetmelik (RG 30.12.2017, yür. 01.01.2018)
  • Kişisel Verileri Koruma Kurulu’nun 02.04.2018 tarihli ve 2018/32 sayılı Kararı (VERBİS istisnaları hakkında)
  • Kişisel Verileri Koruma Kurulu’nun 28.06.2018 tarihli ve 2018/68 sayılı Kararı (Gümrük müşavirleri istisnası)
  • Kişisel Verileri Koruma Kurulu’nun 05.07.2018 tarihli ve 2018/75 sayılı Kararı (Arabulucular istisnası)
  • Kişisel Verileri Koruma Kurulu’nun 19.07.2018 tarihli ve 2018/87 sayılı Kararı (Küçük ölçekli işletmeler istisnası)
  • Kişisel Verileri Koruma Kurulu’nun 09.06.2021 tarihli ve 2021/571 sayılı Kararı (Dernek, vakıf, sendika – iktisadi işletme düzenlemesi)
  • Kişisel Verileri Koruma Kurulu’nun 06.07.2023 tarihli ve 2023/1154 sayılı Kararı (Finansal eşik değer güncellemesi)
  • Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR, 2016/679)
  • Avrupa Konseyi 108 nolu Sözleşme (Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi)

Yorum Yazın

Nunc velit metus, volutpat elementum euismod eget, cursus nec nunc.