Veri Sorumluları Sicili VERBİS’e Kayıt Zorunluluğu ve İdari Para Cezaları
Giriş
Kişisel verilerin korunması hukuku, yalnızca aydınlatma metni hazırlamak veya açık rıza almakla sınırlı değildir. Kişisel veri işleyen birçok gerçek ve tüzel kişi açısından en önemli yükümlülüklerden biri de Veri Sorumluları Sicili’ne, yani uygulamadaki adıyla VERBİS’e kayıt ve bildirim yükümlülüğüdür. VERBİS, veri sorumlularının hangi kişisel veri kategorilerini, hangi amaçlarla, hangi kişi grupları bakımından, hangi alıcı gruplarına aktararak ve hangi saklama süreleriyle işlediğini kategorik düzeyde beyan ettiği kamuya açık bir sicil sistemidir.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16. maddesi kapsamında kişisel veri işleyen gerçek ve tüzel kişiler, kural olarak kişisel veri işlemeye başlamadan önce Veri Sorumluları Sicil Bilgi Sistemi’ne kayıt olmak zorundadır. Ancak Kanun, Kurula belirli objektif kriterler çerçevesinde sicile kayıt zorunluluğuna istisna getirme yetkisi tanımıştır. Bu nedenle her veri sorumlusu otomatik olarak VERBİS’e kayıt yükümlüsü değildir; yıllık çalışan sayısı, mali bilanço toplamı, ana faaliyet konusunun özel nitelikli kişisel veri işleme olup olmadığı, kamu kurumu niteliği, yurt dışında yerleşik olma durumu ve Kurul kararları birlikte değerlendirilmelidir.
VERBİS’e kayıt yükümlülüğünün doğru değerlendirilmemesi ciddi sonuçlar doğurabilir. Zira 2026 yılı için Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi hâlinde uygulanabilecek idari para cezası 341.809 TL’den 17.092.242 TL’ye kadar çıkabilmektedir. KVKK’nın 2026 yılı idari para cezası tablosunda, 18/1-ç kapsamında sicile kayıt ve bildirim yükümlülüğüne aykırılık için bu aralık açıkça gösterilmiştir.
VERBİS Nedir?
VERBİS, “Veri Sorumluları Sicil Bilgi Sistemi”nin kısaltmasıdır. Bu sistem, veri sorumlularının kişisel veri işleme faaliyetlerini kategorik düzeyde beyan ettiği elektronik sicil sistemidir. VERBİS’e girilen bilgiler, ilgili kişilerin hangi veri sorumlusunun hangi tür verileri hangi amaçlarla işlediğini görebilmesini sağlayan şeffaflık mekanizmasıdır.
VERBİS kişisel verilerin kendisinin yüklendiği bir sistem değildir. Yani veri sorumlusu, çalışanlarının kimlik fotokopilerini, müşteri listelerini, hasta kayıtlarını, üyelik bilgilerini veya özlük dosyalarını VERBİS’e yüklemez. Kurumun açıklamasına göre VERBİS’e ilgili kişilerin kişisel verileri değil; kategorik bazda hangi tür kişisel verilerin hangi amaçlarla işlendiği, ne kadar süreyle saklanacağı ve hangi alıcı gruplarına aktarılabileceği gibi bilgiler girilir. Bu nedenle VERBİS, kişisel veri veri tabanı değil, veri işleme faaliyetlerine ilişkin bir bildirim sistemidir.
Bu yönüyle VERBİS, KVKK uyum sürecinin yalnızca görünür kısmıdır. VERBİS’e doğru kayıt yapılabilmesi için öncesinde veri işleme envanteri hazırlanmalı, veri kategorileri belirlenmeli, ilgili kişi grupları tespit edilmeli, saklama süreleri oluşturulmalı, aktarım yapılan alıcı grupları belirlenmeli ve veri güvenliği tedbirleri somutlaştırılmalıdır.
VERBİS’e Kayıt Zorunluluğu Kimleri Kapsar?
Kural olarak kişisel veri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne kayıt olmak zorundadır. Ancak Kanun’un 28. maddesinde belirtilen haller ve Kurul tarafından getirilen istisnalar saklıdır. Kurumun bilgilendirmesinde de açıkça belirtildiği üzere, 6698 sayılı Kanun’un 16. maddesine göre kişisel veri işleyen gerçek ve tüzel kişiler kişisel veri işlemeye başlamadan önce Sicil’e kaydolmak zorundadır; ancak Kanun’da ve Kurul kararlarında öngörülen istisnalar kapsamında kayıt zorunluluğu bulunmayabilir.
Bu nedenle bir işletme bakımından VERBİS’e kayıt yükümlülüğü değerlendirilirken şu sorular sorulmalıdır: Veri sorumlusu gerçek kişi mi, tüzel kişi mi? Türkiye’de mi yerleşik, yurt dışında mı? Yıllık çalışan sayısı kaç? Yıllık mali bilanço toplamı nedir? Ana faaliyet konusu özel nitelikli kişisel veri işleme mi? Bilanço esasına göre defter tutuluyor mu? Kurul tarafından getirilen istisnalardan biri uygulanabilir mi? Kamu kurumu veya kuruluşu niteliği var mı?
Bu sorulara doğru cevap verilmeden “VERBİS’e kayıt zorunlu değildir” veya “mutlaka kayıt gerekir” şeklinde genel bir değerlendirme yapmak hatalı olur.
Güncel VERBİS Kayıt İstisnaları
VERBİS kayıt yükümlülüğü bakımından en önemli güncel düzenlemelerden biri, Kişisel Verileri Koruma Kurulu’nun 04.09.2025 tarihli ve 2025/1572 sayılı kararıdır. Kurumun 12 Ocak 2026 tarihli uygulama esaslarına ilişkin duyurusuna göre, ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan gerçek veya tüzel kişi veri sorumlularından yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon TL’den az olanlar sicile kayıt yükümlülüğünden istisna tutulmuştur. Aynı kararla, ana faaliyet konusu özel nitelikli kişisel veri işleme olmakla birlikte yıllık çalışan sayısı 10’dan az ve yıllık mali bilanço toplamı 10 milyon TL’den az olanlar da istisna kapsamına alınmıştır.
Bu düzenlemenin pratik sonucu şudur: Ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan bir şirket, yıllık çalışan sayısı 50 veya daha fazla ise ya da yıllık mali bilanço toplamı 100 milyon TL veya üzerindeyse, diğer istisnalar yoksa VERBİS’e kayıt yükümlülüğü doğabilir. Ana faaliyet konusu özel nitelikli kişisel veri işleme olan bir veri sorumlusu bakımından ise eşik çok daha düşüktür; yıllık çalışan sayısı 10 veya daha fazla ya da yıllık mali bilanço toplamı 10 milyon TL veya üzerindeyse kayıt yükümlülüğü gündeme gelebilir.
Bilanço esasına göre defter tutmayan veri sorumluları bakımından ise ayrı bir açıklama yapılmıştır. Kurulun 25.12.2025 tarihli ve 2025/2393 sayılı kararıyla, bilanço esasına göre defter tutan veri sorumluları açısından çalışan sayısı ve mali bilanço kriterlerinin birlikte dikkate alınacağı; bilanço esasına göre defter tutmayan veri sorumluları bakımından ise yıllık mali bilanço toplamı bulunmadığından yalnızca yıllık çalışan sayısı kriterinin esas alınacağı açıklanmıştır.
2025 Yılı Mali Bilançosuna Göre Yeni Yükümlü Olanlar
VERBİS bakımından yalnızca geçmişte belirlenen genel süreler değil, sonradan yükümlü hâle gelen veri sorumlularının durumu da önemlidir. Kurumun 14 Mayıs 2026 tarihli duyurusunda, 31.12.2021 tarihinden sonra yükümlü hâle gelen veri sorumlularının Veri Sorumluları Sicili Hakkında Yönetmelik’in 8. maddesinin ikinci fıkrası uyarınca yükümlülük altına girmelerini müteakip 30 gün içinde Sicil’e kayıt ve bildirimlerini tamamlamaları gerektiği belirtilmiştir.
Aynı duyuruya göre, 2025 yılı mali bilanço toplamı bakımından kayıt yükümlülüğü doğan kurumlar vergisi mükellefi tüzel kişi veri sorumlularının, ana faaliyet konusu özel nitelikli kişisel veri işleme olmamakla birlikte mali bilanço toplamı 100 milyon TL ve üzeri olanlar veya ana faaliyet konusu özel nitelikli kişisel veri işleme olup mali bilanço toplamı 10 milyon TL ve üzeri olanlar yönünden 30.04.2026 tarihini izleyen 30 gün içinde VERBİS kayıt ve bildirim yükümlülüğünü yerine getirmeleri gerektiği açıklanmıştır. Kurul, 2026/1026 sayılı kararıyla bu kapsamda son tarihi 05.06.2026 Cuma gününe uzatmıştır.
Bu açıklama, şirketler açısından önemli bir uyarıdır. Zira bir şirket geçmiş yıllarda VERBİS kayıt yükümlüsü olmayabilir; ancak çalışan sayısının veya mali bilanço toplamının artması nedeniyle sonradan yükümlü hâle gelebilir. Bu nedenle VERBİS yükümlülüğü bir defa bakılıp kapatılacak bir mesele değildir; her yıl bilanço ve çalışan sayısı bakımından yeniden kontrol edilmelidir.
Ana Faaliyet Konusu Özel Nitelikli Kişisel Veri İşleme Olanlar
Ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları bakımından kayıt eşiği daha düşüktür. Özel nitelikli kişisel veriler; sağlık verisi, biyometrik veri, genetik veri, ceza mahkûmiyeti ve güvenlik tedbirleri verisi, sendika üyeliği, din, mezhep, siyasi düşünce gibi daha hassas veri kategorilerini içerir. Bu tür verilerin hukuka aykırı işlenmesi, ilgili kişiler açısından daha ağır zarar doğurabileceğinden, VERBİS bakımından da daha sıkı değerlendirme yapılmaktadır.
Sağlık kuruluşları, klinikler, laboratuvarlar, özel nitelikli veri işleyen bazı danışmanlık şirketleri, biyometrik doğrulama hizmetleri kullanan işletmeler ve faaliyetinin merkezinde özel nitelikli veri bulunan yapılar bakımından bu eşik özellikle önemlidir. Ancak “özel nitelikli veri işliyorum” demek ile “ana faaliyet konum özel nitelikli kişisel veri işleme” demek aynı değildir. Örneğin her işveren çalışanından sağlık raporu alabilir; fakat bu durum her işvereni otomatik olarak ana faaliyet konusu özel nitelikli veri işleme olan veri sorumlusu hâline getirmez. Somut faaliyet alanı ve veri işleme yoğunluğu birlikte değerlendirilmelidir.
VERBİS’e Kayıt İçin Önce Veri Envanteri Hazırlanmalıdır
VERBİS’e doğru kayıt yapılabilmesi için ilk adım kişisel veri işleme envanteri hazırlamaktır. Kurumun bilgilendirmesine göre, Veri Sorumluları Sicili’ne kayıt yükümlülüğü bulunan veri sorumlularının kişisel veri işleme envanteri ve kişisel veri saklama-imha politikası hazırlaması gerekir. Envanterde veri işleme amaçları, veri kategorileri, aktarılan alıcı grupları, veri konusu kişi grupları, saklama süreleri, yurt dışına aktarım durumu ve veri güvenliğine ilişkin tedbirler yer almalıdır.
Veri envanteri hazırlanmadan VERBİS’e yapılan kayıtlar çoğu zaman eksik veya hatalı olur. Örneğin bir şirket yalnızca müşteri verilerini işlediğini düşünürken gerçekte çalışan, çalışan adayı, tedarikçi yetkilisi, ziyaretçi, kamera kaydı, internet sitesi kullanıcısı, çağrı merkezi kaydı ve çerez verisi de işliyor olabilir. Bu veriler envantere yansıtılmadan yapılan VERBİS bildirimi, şirketin gerçek veri işleme faaliyetlerini göstermeyecektir.
Veri envanteri ayrıca yalnızca VERBİS için değil, aydınlatma metinleri, açık rıza süreçleri, ilgili kişi başvurularına cevap verilmesi, veri saklama ve imha politikası, yurt dışına veri aktarımı, veri güvenliği tedbirleri ve veri ihlali yönetimi için de temel belgedir. Kurumun bilgilendirmesinde de envanterin VERBİS’e açıklanacak bilgiler, aydınlatma yükümlülüğü, veri sorumlusuna başvuruların yanıtlanması ve açık rızanın kapsamının belirlenmesinde kullanılacağı ifade edilmiştir.
VERBİS Bildirimi Neleri İçerir?
VERBİS bildiriminde veri sorumlusu, kişisel veri işleme faaliyetlerini kategorik düzeyde sisteme işler. Bu kapsamda veri konusu kişi grupları, kişisel veri kategorileri, işleme amaçları, alıcı grupları, yabancı ülkelere aktarım durumu, saklama süreleri ve veri güvenliği tedbirleri gibi bilgiler yer alır.
Örneğin bir e-ticaret şirketi bakımından müşteri, üye, çalışan, çalışan adayı, tedarikçi yetkilisi, ziyaretçi ve internet sitesi kullanıcısı gibi kişi grupları bulunabilir. İşlenen veri kategorileri kimlik, iletişim, müşteri işlem, finans, işlem güvenliği, pazarlama, görsel-işitsel kayıt, lokasyon veya özel nitelikli veri olabilir. Aktarım yapılan alıcı grupları kargo şirketleri, ödeme kuruluşları, muhasebe firmaları, yetkili kamu kurumları, avukatlar, yazılım hizmet sağlayıcıları veya yurt dışı bulut hizmet sağlayıcıları olabilir.
Burada önemli olan husus, VERBİS beyanının şirketin gerçek veri işleme faaliyetleriyle uyumlu olmasıdır. Aydınlatma metninde belirtilen veri kategorileri ile VERBİS kaydında bildirilen veri kategorileri arasında ciddi farklar varsa, bu durum Kurul incelemesinde şirket aleyhine değerlendirilebilir.
İrtibat Kişisi ve Veri Sorumlusu Temsilcisi
Türkiye’de yerleşik tüzel kişi veri sorumluları, VERBİS’e kayıt sırasında bir irtibat kişisi atamak zorundadır. İrtibat kişisi, veri sorumlusu ile ilgili kişiler veya Kurum arasındaki iletişimin sağlanmasından sorumludur. Ancak Kurumun açıklamasına göre, 6698 sayılı Kanun kapsamındaki yükümlülük ve yaptırımlar açısından sorumluluk irtibat kişisinde değil, tüzel kişiyi temsil ve ilzama yetkili organ üzerindedir; irtibat kişisi atanması veri sorumlusunun sorumluluğunu ortadan kaldırmaz.
Yurt dışında yerleşik tüzel kişi veri sorumluları bakımından ise veri sorumlusu temsilcisi atanması gerekir. Kurumun bilgilendirmesine göre, yurt dışında yerleşik tüzel kişi veri sorumluları Türkiye’de yerleşik bir tüzel kişiyi veya Türk vatandaşı gerçek kişiyi veri sorumlusu temsilcisi olarak atamalıdır. Temsilci atanması da veri sorumlusunun Kanun kapsamındaki sorumluluğunu ortadan kaldırmaz.
Bu ayrım uygulamada önemlidir. İrtibat kişisi veya temsilci seçimi yalnızca sistemsel bir formalite olarak görülmemelidir. Bu kişiler Kurum yazışmaları, ilgili kişi başvuruları, tebligatlar ve VERBİS kayıt güncellemeleri bakımından pratik rol oynar. Ancak nihai hukuki sorumluluk veri sorumlusuna aittir.
VERBİS Kaydı Yapmak KVKK Uyumunu Tamamlar mı?
VERBİS’e kayıt olmak, KVKK uyum sürecinin tamamlandığı anlamına gelmez. VERBİS yalnızca sicile kayıt ve bildirim yükümlülüğüdür. Bir şirket VERBİS’e kayıtlı olduğu hâlde aydınlatma yükümlülüğünü yerine getirmemiş, açık rızaları hukuka aykırı almış, veri güvenliği tedbirlerini uygulamamış, veri saklama-imha politikasını işletmemiş veya yurt dışına veri aktarım şartlarına uymamış olabilir.
Bu nedenle VERBİS kaydı ile KVKK uyumu birbirine karıştırılmamalıdır. VERBİS, veri sorumlusunun veri işleme faaliyetlerini şeffaflaştırır; ancak bu faaliyetlerin hukuka uygun olup olmadığını tek başına garanti etmez. Kişisel veri işleme şartları, aydınlatma metinleri, açık rıza süreçleri, veri güvenliği, veri işleyen sözleşmeleri, çerez yönetimi, çalışan verileri, kamera kayıtları, yurt dışına aktarım ve ilgili kişi başvuruları ayrıca değerlendirilmelidir.
VERBİS’e Kayıt ve Bildirim Yükümlülüğüne Aykırılığın Cezası
VERBİS’e kayıt yükümlüsü olduğu hâlde süresinde kayıt ve bildirim yapmayan veri sorumluları hakkında idari para cezası uygulanabilir. 2026 yılı için KVKK idari para cezaları yeniden değerleme oranına göre artırılmıştır. Kurumun 2026 ceza tablosuna göre Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi hâlinde uygulanabilecek ceza 341.809 TL ile 17.092.242 TL arasındadır.
Bu ceza yalnızca “hiç kayıt yapılmaması” hâlinde değil, kayıt ve bildirim yükümlülüğünün gereği gibi yerine getirilmemesi hâlinde de gündeme gelebilir. Eksik, yanlış, güncel olmayan veya gerçeği yansıtmayan bildirimler de risk oluşturur. Örneğin şirketin yurt dışına veri aktardığı hâlde VERBİS’te yurt dışı aktarım göstermemesi, özel nitelikli veri işlediği hâlde bunu beyan etmemesi veya veri kategorilerini eksik bildirmesi, Kurul incelemesinde sorun yaratabilir.
Ayrıca VERBİS cezası, KVKK kapsamındaki tek idari para cezası değildir. Aynı olayda aydınlatma yükümlülüğünün ihlali, veri güvenliği yükümlülüğünün ihlali veya Kurul kararının yerine getirilmemesi gibi başka ihlaller de varsa, farklı idari para cezaları gündeme gelebilir.
2026 KVKK İdari Para Cezaları
2026 yılı için KVKK idari para cezaları oldukça yüksek seviyelere ulaşmıştır. Kurumun yayımladığı tabloya göre aydınlatma yükümlülüğünü yerine getirmeme hâlinde 2026 yılı ceza aralığı 85.437 TL ile 1.709.200 TL arasındadır. Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi hâlinde ceza aralığı 256.357 TL ile 17.092.242 TL arasındadır. Kurul kararlarının yerine getirilmemesi hâlinde ceza aralığı 427.263 TL ile 17.092.242 TL arasındadır. VERBİS kayıt ve bildirim yükümlülüğüne aykırılık hâlinde ise ceza aralığı 341.809 TL ile 17.092.242 TL olarak belirlenmiştir.
Bu tablo, KVKK uyumunun artık şirketler açısından ertelenebilir veya şekli bir konu olmadığını göstermektedir. Özellikle orta ve büyük ölçekli şirketler, e-ticaret işletmeleri, sağlık kuruluşları, özel nitelikli veri işleyen şirketler, yoğun müşteri verisi tutan işletmeler ve yurt dışı yazılım altyapısı kullanan şirketler bakımından KVKK uyumsuzluğu ciddi finansal risk doğurabilir.
VERBİS Kaydının Güncel Tutulması
VERBİS’e bir kez kayıt yapılması yeterli değildir. Veri sorumlusunun veri işleme faaliyetlerinde değişiklik olduğunda kayıtların güncellenmesi gerekir. Yeni bir veri kategorisi işlenmeye başlanması, yeni bir alıcı grubuna aktarım yapılması, yurt dışına veri aktarımının başlaması, saklama sürelerinin değişmesi, yeni bir sistem veya yazılım kullanılması, özel nitelikli veri işleme faaliyetinin başlaması veya veri güvenliği tedbirlerinde önemli değişiklik olması hâlinde VERBİS kaydı gözden geçirilmelidir.
Örneğin bir şirket başlangıçta yalnızca Türkiye’deki sunucularda müşteri verisi saklarken sonradan yabancı CRM sistemine geçmişse, yurt dışına veri aktarımı doğabilir. Bu durumda yalnızca aydınlatma metni değil, VERBİS kaydı ve veri envanteri de güncellenmelidir. Benzer şekilde, şirket biyometrik giriş sistemi kullanmaya başlamışsa özel nitelikli kişisel veri işleme faaliyeti oluşabilir.
Güncel olmayan VERBİS kaydı, hiç kayıt yapılmamış kadar olmasa da ciddi uyum riski taşır. Çünkü VERBİS kaydı, veri sorumlusunun kamuya açık beyanıdır. Gerçek veri işleme faaliyetiyle sicil beyanı arasında çelişki bulunması, Kurul incelemesinde şirketin şeffaflık ve hesap verebilirlik ilkesine aykırı davrandığı yönünde değerlendirmeye neden olabilir.
VERBİS’e Kayıt Sürecinde Sık Yapılan Hatalar
Uygulamada en sık yapılan hata, VERBİS kaydının teknik bir form doldurma işlemi olarak görülmesidir. Oysa VERBİS kaydı, veri envanterine ve gerçek veri işleme faaliyetlerine dayanmalıdır. Envanter yapılmadan girilen kategoriler genellikle eksik, yanlış veya genel olur.
İkinci hata, şirketin kayıt yükümlüsü olup olmadığını yalnızca çalışan sayısına bakarak değerlendirmektir. Mali bilanço toplamı, ana faaliyet konusu, özel nitelikli veri işleme durumu ve bilanço esasına göre defter tutma durumu birlikte incelenmelidir.
Üçüncü hata, özel nitelikli kişisel veri işleme faaliyetinin yanlış değerlendirilmesidir. İşverenlerin çalışanlardan sağlık raporu alması her zaman ana faaliyet konusunun özel nitelikli veri işleme olduğu anlamına gelmez; buna karşılık sağlık, biyometrik doğrulama veya özel nitelikli veri merkezli hizmetlerde daha düşük eşiklerin uygulanabileceği unutulmamalıdır.
Dördüncü hata, VERBİS kaydı yapıldıktan sonra aydınlatma metinleri, açık rıza süreçleri ve saklama-imha politikasıyla uyum sağlanmamasıdır. VERBİS’te beyan edilen veri kategorileri, aydınlatma metinlerinde de tutarlı şekilde yer almalıdır.
Beşinci hata, kayıt sonrasında güncelleme yapılmamasıdır. Yeni yazılımlar, reklam teknolojileri, çerezler, yurt dışına aktarım, kamera sistemi, biyometrik sistem veya yeni insan kaynakları süreçleri başladığında VERBİS kaydı gözden geçirilmelidir.
Şirketler İçin VERBİS Uyum Kontrol Listesi
VERBİS’e kayıt ve bildirim yükümlülüğünü doğru yönetmek isteyen şirketler öncelikle yükümlülük analizini yapmalıdır. Yıllık çalışan sayısı, yıllık mali bilanço toplamı, ana faaliyet konusu, özel nitelikli veri işleme durumu ve Kurul istisnaları birlikte değerlendirilmelidir.
İkinci aşamada kişisel veri işleme envanteri hazırlanmalıdır. Müşteri, çalışan, çalışan adayı, tedarikçi, ziyaretçi, internet sitesi kullanıcısı, kamera kaydı, çağrı merkezi kaydı, çerez verisi ve diğer kişi grupları ayrı ayrı incelenmelidir.
Üçüncü aşamada saklama ve imha politikası oluşturulmalıdır. Hangi verinin ne kadar süre saklanacağı, süresi dolduğunda nasıl silineceği, yok edileceği veya anonim hâle getirileceği belirlenmelidir.
Dördüncü aşamada VERBİS bildirimi envantere uygun şekilde yapılmalıdır. Veri kategorileri, kişi grupları, alıcı grupları, işleme amaçları, yurt dışına aktarım ve saklama süreleri dikkatle işlenmelidir.
Beşinci aşamada aydınlatma metinleri, açık rıza süreçleri, çerez politikası, çalışan aydınlatmaları, müşteri metinleri ve veri işleyen sözleşmeleri VERBİS beyanıyla uyumlu hâle getirilmelidir.
Altıncı aşamada kayıt düzenli olarak gözden geçirilmelidir. Şirket büyüdükçe, yeni veri işleme faaliyetleri başladıkça veya mali bilanço/çalışan sayısı eşikleri değiştikçe VERBİS yükümlülüğü yeniden değerlendirilmelidir.
VERBİS ve Avukat Desteğinin Önemi
VERBİS süreci hukuki, teknik ve operasyonel bir çalışmadır. Sadece muhasebe verilerine bakılarak veya yalnızca insan kaynaklarından alınan bilgiyle tamamlanamaz. Hukuk, bilgi işlem, insan kaynakları, muhasebe, satış, pazarlama, operasyon, müşteri hizmetleri ve yönetim birimleri birlikte çalışmalıdır.
KVKK ve bilişim hukuku alanında çalışan avukatın rolü; veri sorumlusunun kayıt yükümlülüğünü analiz etmek, istisna kapsamında olup olmadığını değerlendirmek, veri envanterini hukuki açıdan yapılandırmak, saklama-imha politikasını oluşturmak, VERBİS bildirimlerinin doğru yapılmasını sağlamak, aydınlatma metinleriyle uyum kurmak ve olası idari para cezası risklerini azaltmaktır.
Özellikle sağlık kuruluşları, e-ticaret şirketleri, yazılım firmaları, özel nitelikli veri işleyen işletmeler, yurt dışı yazılım altyapısı kullanan şirketler ve yüksek müşteri verisi işleyen kurumlar bakımından VERBİS kaydının profesyonel şekilde yönetilmesi büyük önem taşır.
Sonuç
Veri Sorumluları Sicili VERBİS’e kayıt zorunluluğu, KVKK uyum sürecinin en önemli başlıklarından biridir. 6698 sayılı Kanun’un 16. maddesi gereğince kişisel veri işleyen gerçek ve tüzel kişiler kural olarak veri işlemeye başlamadan önce VERBİS’e kayıt olmak zorundadır; ancak Kurul tarafından getirilen istisnalar nedeniyle her veri sorumlusu bakımından ayrı değerlendirme yapılmalıdır.
Güncel düzenlemeler uyarınca ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan veri sorumluları bakımından yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon TL’den az olma hâli istisna kapsamında değerlendirilirken; ana faaliyet konusu özel nitelikli kişisel veri işleme olanlar bakımından yıllık çalışan sayısı 10’dan az ve yıllık mali bilanço toplamı 10 milyon TL’den az olma kriteri önem taşımaktadır. Bilanço esasına göre defter tutmayan veri sorumluları bakımından ise yalnızca yıllık çalışan sayısı kriterinin esas alınacağı açıklanmıştır.
VERBİS’e kayıt yükümlülüğü bulunan veri sorumluları, yükümlü hâle geldikten sonra süresinde kayıt ve bildirim yapmalıdır. Sonradan yükümlü hâle gelen veri sorumluları bakımından Yönetmelik uyarınca 30 günlük süre önemlidir; 2025 yılı mali bilanço toplamı nedeniyle yükümlü hâle gelen kurumlar vergisi mükellefi tüzel kişi veri sorumluları bakımından Kurum, 2026 yılında özel bir duyuru yapmış ve son tarihi 05.06.2026 olarak açıklamıştır.
2026 yılı itibarıyla VERBİS kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi hâlinde uygulanabilecek idari para cezası 341.809 TL’den 17.092.242 TL’ye kadar çıkabilmektedir. Bu nedenle VERBİS yükümlülüğü şekli bir işlem olarak görülmemeli; veri envanteri, saklama-imha politikası, aydınlatma metinleri, veri güvenliği, yurt dışına aktarım, çerez süreçleri ve ilgili kişi başvuruları ile birlikte bütüncül şekilde yönetilmelidir.
Sonuç olarak VERBİS, şirketlerin kişisel veri işleme faaliyetlerini kamuya açık ve şeffaf biçimde ortaya koyan önemli bir uyum aracıdır. Doğru hazırlanmış bir veri envanteri, güncel VERBİS kaydı, tutarlı aydınlatma metinleri, güvenli veri işleme süreçleri ve düzenli iç denetim mekanizması bulunmayan veri sorumluları ciddi idari para cezası, itibar kaybı ve hukuki sorumluluk riskleriyle karşılaşabilir. Bu nedenle VERBİS’e kayıt zorunluluğu bulunan tüm veri sorumlularının süreci dikkatle, güncel Kurul kararlarını takip ederek ve profesyonel hukuki destekle yürütmesi büyük önem taşır.