VERBİS Kayıt Yükümlülüğü: Kimler Kaydolmalı, Nasıl Başvurulur?
Veri Sorumluları Sicili'ne (VERBİS) kayıt yükümlülüğü, muafiyetler, başvuru süreci ve ihlal yaptırımları KVKK çerçevesinde.
VERBİS nedir?
VERBİS (Veri Sorumluları Sicili Bilgi Sistemi), 6698 sayılı KVKK m.16 kapsamında kurulan ve Kişisel Verileri Koruma Kurumu (KVKK) tarafından tutulan kamuya açık sicildir. Veri sorumluları, kişisel veri işleme faaliyetlerini bu sisteme kaydeder.
VERBİS kaydının amacı; hangi kurumun, ne tür verileri, hangi amaçla ve ne kadar süreyle işlediğinin şeffaf biçimde ilan edilmesidir.
Kimler kayıt olmak zorunda?
Kayıt yükümlüsü olanlar
Kural olarak her veri sorumlusu VERBİS'e kaydolmak zorundadır. Ancak Kurul, muafiyet kriterleri belirlemiştir.
Kayıt yükümlüsü olan gruplar:
- Yıllık çalışan sayısı 50'den fazla olan özel hukuk kişileri,
- Yıllık mali bilanço toplamı 25 milyon TL üzerinde olan özel hukuk kişileri (her yıl güncellenen eşik),
- Her büyüklükteki kamu kurum ve kuruluşları,
- Yurt dışında yerleşik tüm veri sorumluları (Türkiye'de temsilci atama zorunluluğuyla birlikte).
Muafiyetler
Kurul kararlarıyla belirlenen eşiğin altındaki küçük işletmeler VERBİS kaydından muaf tutulmuştur:
- Çalışan sayısı 50'den az,
- Mali bilançosu eşiğin altında olan,
- Özel nitelikli veri işlemeyen işletmeler.
Muafiyet, diğer KVKK yükümlülükleri (aydınlatma, güvenlik, ihlal bildirimi) için geçerli değildir; muaf işletme de bu yükümlülüklere uymalıdır.
VERBİS'e ne kaydedilir?
VERBİS kaydı şu bilgileri içerir:
| Alan | Açıklama |
|---|---|
| Veri sorumlusu bilgileri | Ad, adres, temsilci |
| Veri işleme amacı | Pazarlama, müşteri yönetimi, İK vb. |
| Veri kategorileri | Kimlik, iletişim, finansal, sağlık vb. |
| Veri sahibi grupları | Müşteri, çalışan, tedarikçi vb. |
| Aktarım alıcıları | Yurt içi/yurt dışı alıcılar |
| Saklama süreleri | Her kategori için belirlenen süre |
| Veri güvenliği tedbirleri | Teknik ve idari önlemler (özet) |
Bu bilgiler, şirketin Kişisel Veri İşleme Envanteri oluşturulmasının ürünüdür.
Kişisel Veri İşleme Envanteri zorunluluğu
VERBİS kaydının yapılabilmesi için önce Kişisel Veri İşleme Envanteri hazırlanmalıdır. Envanter:
- Tüm veri akışlarını haritalandırır (veri toplama → işleme → aktarım → silme),
- Her işleme faaliyeti için hukuki dayanak belirlenir,
- Saklama süreleri tespit edilir,
- Güvenlik önlemleri belgelenir.
Envanter olmadan VERBİS kaydı yapılsa da denetimde eksik kalır.
Başvuru süreci
- 1verbis.kvkk.gov.tr adresinde hesap oluşturulur (KEP adresi veya e-Devlet girişiyle).
- 2Veri işleme faaliyetleri sisteme girilir.
- 3Kayıt tamamlandıktan sonra Kurul onay sürecine girer.
- 4Kurul, ihtiyaç duyarsa ek bilge talep edebilir.
Sistemde kayıt sonrası güncelleme yükümlülüğü doğar: işleme faaliyetlerinde değişiklik olduğunda kayıt güncellenmeli.
Yurt dışı veri sorumlularının yükümlülüğü
Türkiye'de yerleşik olmayan ancak Türk vatandaşlarının veya Türkiye'deki kişilerin verilerini işleyen yurt dışı veri sorumluları:
- VERBİS'e kayıt yaptırmak,
- Türkiye'de temsilci atamak zorundadır (KVKK m.12/5).
Temsilci; veri ihlali bildirimlerini, Kurul yazışmalarını ve veri sahibi başvurularını yönetir.
İhlal yaptırımları — KVKK m.18
VERBİS kaydı yapmayan veri sorumlularına idari para cezası uygulanır:
- 2024 itibarıyla ceza aralığı: 1.951.534 TL – 9.757.677 TL (yıllık güncellenen tutarlar),
- Kurul, her ihlal için ayrıca ceza uygulayabilir.
Yaptırım yalnızca kayıt eksikliğinde değil, güncel olmayan kayıt ve eksik içerik nedeniyle de uygulanır.
KVKK denetimi ve VERBİS
Kurul denetimleri sırasında VERBİS kaydı, şirketin KVKK uyumunun ilk kontrol noktasıdır:
- VERBİS kaydı yoksa uyumsuzluk karinesi oluşur,
- Kayıtta beyan edilen veri kategorileri ve saklama süreleri, gerçek uygulama ile çapraz kontrol edilir,
- Envanter ve KVKK politikasıyla tutarsızlık tespit edilirse ek yaptırım gündeme gelir.
VERBİS ve GDPR farkı
Avrupa'da GDPR kapsamında benzer kayıt yükümlülüğü İşleme Faaliyetleri Kaydı (Records of Processing Activities — RoPA) adıyla tutulur; ancak GDPR'da bu kayıt kamuya açık değil, iç belgedir. VERBİS ise kamuya açık bir sicildir; şirketin veri işleme faaliyetleri herkes tarafından sorgulanabilir.
Pratik kontrol listesi
| Adım | Durum |
|---|---|
| Çalışan/bilanço eşiği kontrol edildi mi? | Zorunlu |
| Kişisel veri işleme envanteri hazırlandı mı? | Zorunlu |
| KEP adresi/e-Devlet girişi mevcut mu? | Zorunlu |
| VERBİS kaydı tamamlandı mı? | Zorunlu |
| Değişiklik güncelleme prosedürü belirlendi mi? | Zorunlu |
Sık yapılan 5 hata
1. "Küçük şirketiz, gerek yok" demek — eşik incelenmeden muafiyet varsayılır; eşiği aşan şirket cezayla karşılaşır.
2. Envanteri hazırlamadan VERBİS'e eksik giriş yapmak — sistemde yer alan bilgiler gerçek işleme faaliyetlerini yansıtmalı; eksik kayıt denetimde sorun çıkarır.
3. Kaydı yapıp güncellememek — VERBİS canlı bir belge; yeni işleme faaliyeti başlatıldığında ya da eskisi sona erdiğinde güncellenmeli.
4. Saklama sürelerini belirsiz bırakmak — "gerektikçe" veya "süresiz" ifadesi KVKK m.7 ile çelişir; her kategori için somut süre belirtilmeli.
5. Yurt dışı şirketin temsilci atamayı atlaması — temsilci yoksa Kurul yazışmaları ve ihlal bildirimleri işletilemez; ciddi yaptırım riski doğar.
Kapanış
VERBİS kaydı, KVKK uyumunun görünür yüzüdür. Kaydın yapılması kadar, içeriğinin doğru ve güncel tutulması da kritiktir. VERBİS süreci aynı zamanda şirketi veri akışlarını anlamaya ve envanterini çıkarmaya zorlayan yapısal bir KVKK uyum adımıdır. Avukatın görevi müvekkilin eşik analizini yaparak kaydın kapsamını ve içeriğini doğru belirlemektir.
KVKK alanında dilekçe üretmek veya içtihat aramak ister misiniz?
Hukuk Asistanı'nı Dene →Yasal Uyarı: Bu yazı yalnızca bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. İçerik Hukuk Asistanı tarafından oluşturulmuştur; aktarılan Yargıtay kararları özet niteliğindedir, resmi karar metinleri için ilgili mahkeme kayıtlarını esas alınız. Spesifik hukuki durumunuz için lütfen bir avukattan görüş alınız.
Bu konuda dilekçe oluşturmak ister misiniz?
Dilekçe üretimi, Yargıtay içtihat araması, sözleşme analizi ve KVKK uyum kontrolleri — Türk avukatlar için tasarlanmış yapay zeka platformu.