TR EN DE

VERBİS Kaydı

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS), kişisel veri işleyen gerçek ve tüzel kişilerin kayıt olmakla yükümlü oldukları merkezi sicil sistemidir. Bu yazıda VERBİS'e kayıt yükümlülüğü, istisnalar, başvuru süreci ve bildirim gereksinimleri ele alınmaktadır.

Summary in English

Overview

VERBİS (Data Controllers Registry Information System) is a central registry where natural and legal persons processing personal data must register in Turkey. This article covers registration obligations, exemptions, application procedures, and notification requirements.

Key Points

  • Mandatory Registration: Data controllers with over 50 employees or annual balance over 100 million TL must register.
  • Exemptions: Lawyers, notaries, accountants, and small businesses may be exempt under certain conditions.
  • Required Information: Contact person, data categories, processing purposes, recipients, and security measures.
  • Updates: Any changes must be reported within 7 days.
  • Penalties: Failure to register can result in administrative fines up to 8.8 million TL.
Full article in Turkish below

Überblick

VERBİS (Informationssystem für das Verzeichnis der Verantwortlichen) ist ein zentrales Register, in dem sich natürliche und juristische Personen, die personenbezogene Daten verarbeiten, in der Türkei registrieren müssen. Dieser Artikel behandelt Registrierungspflichten, Ausnahmen, Antragsverfahren und Meldepflichten.

Kernpunkte

  • Registrierungspflicht: Verantwortliche mit über 50 Mitarbeitern oder einer Jahresbilanz über 100 Millionen TL müssen sich registrieren.
  • Ausnahmen: Anwälte, Notare, Buchhalter und Kleinunternehmen können unter bestimmten Bedingungen befreit sein.
  • Erforderliche Informationen: Kontaktperson, Datenkategorien, Verarbeitungszwecke, Empfänger und Sicherheitsmaßnahmen.
  • Aktualisierungen: Änderungen müssen innerhalb von 7 Tagen gemeldet werden.
  • Sanktionen: Nichtregistrierung kann zu Bußgeldern bis zu 8,8 Millionen TL führen.
Vollständiger Artikel auf Türkisch unten

1. Giriş

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), Türkiye'de kişisel verilerin korunması sisteminin önemli bir bileşenidir. KVKK'nın 16. maddesi uyarınca kurulan bu merkezi sicil sistemi, veri işleme faaliyetlerinin şeffaflığını sağlamak ve ilgili kişilerin veri sorumlularına erişimini kolaylaştırmak amacıyla oluşturulmuştur.

Karşılaştırmalı Hukuk
AB (GDPR): Merkezi bir sicil kaydı yükümlülüğü bulunmamaktadır. Bunun yerine veri sorumluları, işleme faaliyetlerine ilişkin iç kayıt tutma yükümlülüğüne (m.30) tabidir. Bu kayıtlar denetim otoritelerinin talebi üzerine ibraz edilir.

ABD: Federal düzeyde sicil sistemi yoktur. Sektörel düzenlemelerde kayıt gereksinimleri farklılık gösterir.

Almanya: GDPR kuralları geçerlidir. Eski BDSG'deki bildirim yükümlülüğü GDPR ile kaldırılmıştır.

Türkiye: VERBİS, merkezi ve kamuya açık bir sicil sistemi olarak AB uygulamasından farklıdır. Şeffaflık ve hesap verebilirlik ilkelerini destekler.

2. VERBİS Nedir?

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), KVKK'nın 16. maddesi uyarınca Kişisel Verileri Koruma Kurumu tarafından kurulan ve kamuya açık tutulan veri sorumluları sicilidir. Bu sistem, kişisel veri işleme faaliyetlerinin şeffaflığını sağlamak ve ilgili kişilerin veri sorumlularına erişimini kolaylaştırmak amacıyla oluşturulmuştur.

KVKK Madde 16 — Veri Sorumluları Sicili
Kurul'un gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur. Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Sicile kaydolmak zorundadır.
KARŞILAŞTIRMALI HUKUK
GDPR'da Sicil Kaydı
GDPR'da merkezi bir sicil kaydı yükümlülüğü bulunmamaktadır. Bunun yerine veri sorumluları, işleme faaliyetlerine ilişkin iç kayıt tutma yükümlülüğüne (m.30) tabidir. Bu kayıtlar denetim otoritelerinin talebi üzerine ibraz edilir. Türkiye'nin VERBİS sistemi, AB uygulamasından farklı olarak merkezi ve kamuya açık bir yapıdadır.

3. Kayıt Yükümlülüğü

Kural olarak, kişisel veri işleyen tüm gerçek ve tüzel kişilerin VERBİS'e kayıt olması gerekmektedir. Ancak Kurul, belirli kriterler çerçevesinde bazı veri sorumlularını bu yükümlülükten muaf tutmuştur.

Kayıt Yükümlüsü Veri Sorumluları

Veri Sorumlusu Türü Kayıt Yükümlülüğü
Yıllık çalışan sayısı 50'den fazla olan gerçek/tüzel kişiler Zorunlu
Yıllık mali bilanço toplamı 100 milyon TL'den fazla olanlar Zorunlu
Ana faaliyet konusu özel nitelikli kişisel veri işleme olanlar Zorunlu
Kamu kurum ve kuruluşları Zorunlu
Yurt dışında yerleşik veri sorumluları Zorunlu (Türkiye'de veri işliyorlarsa)

Kayıt İstisnası Olan Veri Sorumluları

Kurul'un 2018/32 ve sonraki kararlarıyla belirlenen istisna kategorileri aşağıdaki gibidir:

İstisna Kategorisi Açıklama
Noterler 1512 sayılı Noterlik Kanunu kapsamında faaliyet gösterenler
Avukatlar 1136 sayılı Avukatlık Kanunu kapsamında faaliyet gösterenler
Serbest muhasebeci mali müşavirler 3568 sayılı Kanun kapsamında faaliyet gösterenler
Gümrük müşavirleri 4458 sayılı Gümrük Kanunu kapsamında faaliyet gösterenler
Arabulucular 6325 sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu kapsamında
Yıllık çalışan sayısı 50'den az ve bilançosu 100 milyon TL'den az olanlar Ana faaliyet konusu özel nitelikli veri işleme değilse
Siyasi partiler 2820 sayılı Siyasi Partiler Kanunu kapsamında
Dernekler, vakıflar ve sendikalar Sadece üyelerinin verilerini işleyenler
KURUL KARARI
İstisna Kapsamının Yorumu
Kurul, 2019/387 sayılı kararında, "ana faaliyet konusu özel nitelikli kişisel veri işleme" kriterinin dar yorumlanması gerektiğini belirtmiştir. Bir şirketin çalışanlarının sağlık verilerini veya biyometrik verilerini işlemesi, o şirketin ana faaliyet konusunu özel nitelikli veri işleme yapmaz. Ana faaliyet konusu kavramı, şirketin ticaret sicilinde kayıtlı faaliyet alanıyla değerlendirilmelidir.

4. VERBİS Kayıt Süreci

VERBİS'e kayıt işlemi, verbis.kvkk.gov.tr adresi üzerinden elektronik ortamda gerçekleştirilir. Kayıt süreci aşağıdaki adımlardan oluşur:

1. Başvuru Formu Doldurma

Bildirilmesi Gereken Bilgi Açıklama
Veri sorumlusu kimlik bilgileri Unvan, MERSİS no, vergi no, adres, iletişim bilgileri
Veri sorumlusu temsilcisi Yurt dışında yerleşik veri sorumluları için zorunlu
İrtibat kişisi Ad-soyad, TC kimlik no, iletişim bilgileri
Kişisel veri kategorileri İşlenen veri türleri (kimlik, iletişim, finansal vb.)
İşleme amaçları Verilerin hangi amaçlarla işlendiği
Veri konusu kişi grupları Çalışan, müşteri, tedarikçi vb.
Alıcı grupları Verilerin aktarıldığı kişi/kurumlar
Yabancı ülkelere aktarım Yurt dışına aktarım varsa hedef ülkeler
Güvenlik tedbirleri Alınan teknik ve idari tedbirler
Saklama süreleri Azami veri saklama süreleri

2. İrtibat Kişisi Bildirimi

Her veri sorumlusu, VERBİS'te en az bir irtibat kişisi bildirmek zorundadır. İrtibat kişisi, ilgili kişilerin ve Kurul'un muhatap alacağı, veri sorumlusu adına iletişim kuracak gerçek kişidir.

İRTİBAT KİŞİSİ NİTELİKLERİ
İrtibat kişisinin Türkiye Cumhuriyeti vatandaşı olması ve Türkiye'de yerleşik olması zorunludur. İrtibat kişisi, veri sorumlusunun çalışanı olmak zorunda değildir; ancak veri sorumlusunu temsile yetkili olmalıdır. Tüzel kişilerde organlar (yönetim kurulu üyeleri vb.) irtibat kişisi olarak atanamaz.

3. Güvenlik Tedbirleri Beyanı

VERBİS kaydında, veri sorumlusunun aldığı teknik ve idari güvenlik tedbirlerini beyan etmesi gerekmektedir. Bu beyan, standart formatta kategorize edilmiş şekilde yapılır.

Tedbir Kategorisi Örnek Tedbirler
Erişim kontrolleri Yetkilendirme matrisi, parola politikası, iki faktörlü doğrulama
Şifreleme Veri şifreleme, SSL/TLS, disk şifreleme
Güvenlik yazılımları Antivirüs, güvenlik duvarı, saldırı tespit sistemleri
Yedekleme Düzenli yedekleme, felaket kurtarma planı
Fiziksel güvenlik Kilitli kabinetler, güvenlik kameraları, ziyaretçi kayıtları
Eğitim Çalışan farkındalık eğitimleri, gizlilik taahhütnameleri
Denetim İç denetim, sızma testleri, log izleme

5. Kayıt Sonrası Yükümlülükler

Güncel Tutma Yükümlülüğü

Veri sorumlusu, VERBİS'e bildirdiği bilgilerde değişiklik olması halinde, bu değişikliği 7 gün içinde sisteme yansıtmak zorundadır.

Güncellenmesi Gereken Durum Süre
İrtibat kişisi değişikliği 7 gün
Yeni veri kategorisi eklenmesi 7 gün
Yeni işleme amacı eklenmesi 7 gün
Yeni alıcı grubu eklenmesi 7 gün
Adres/iletişim değişikliği 7 gün
Güvenlik tedbirlerinde değişiklik 7 gün

Veri İşleme Envanteri

VERBİS'e kayıt yükümlülüğü bulunan veri sorumlularının, aynı zamanda Veri İşleme Envanteri hazırlaması gerekmektedir. Envanter, VERBİS'e yapılacak bildirimin temelini oluşturur ve daha detaylı bilgileri içerir.

UYGULAMA ÖNERİSİ
Veri İşleme Envanteri Hazırlığı
Veri İşleme Envanteri, VERBİS kaydından önce hazırlanmalıdır. Envanter, her bir veri işleme faaliyeti için işleme amacı, hukuki dayanağı, veri kategorilerini, alıcıları, aktarım detaylarını, saklama sürelerini ve güvenlik tedbirlerini içermelidir. Bu envanter, KVKK uyum sürecinin omurgasını oluşturur.

6. VERBİS'e Kayıt Olmamanın Yaptırımları

VERBİS'e kayıt yükümlülüğü bulunan veri sorumlularının kayıt olmaması veya bildirilen bilgilerin eksik/yanlış olması halinde idari para cezası uygulanır.

KVKK Madde 18 — İdari Para Cezaları
16 ncı madde hükmüne aykırı olarak, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.
İhlal Türü Ceza Aralığı (2024)
VERBİS'e hiç kayıt olmama 176.550 TL - 8.827.405 TL
Eksik veya yanlış bildirim 176.550 TL - 8.827.405 TL
Bilgileri güncel tutmama 176.550 TL - 8.827.405 TL
KURUL KARARI
VERBİS Kaydı Olmadan Veri İşleme
Kurul, 2021/64 sayılı kararında, VERBİS'e kayıt yükümlülüğü bulunan ancak kayıt olmaksızın veri işleyen bir şirkete 250.000 TL idari para cezası uygulamıştır. Kararda, kayıt yükümlülüğünün veri işlemeye başlamadan önce yerine getirilmesi gerektiği vurgulanmıştır.

7. Yurt Dışında Yerleşik Veri Sorumluları

Türkiye'de yerleşik olmayan ancak Türkiye'deki kişilerin verilerini işleyen veri sorumluları da VERBİS'e kayıt yükümlüsüdür. Bu veri sorumluları, Türkiye'de bir temsilci atamak zorundadır.

Yükümlülük Açıklama
VERBİS kaydı Türkiye'deki kişilerin verilerini işleyen tüm yabancı veri sorumluları
Temsilci atama Türkiye'de yerleşik gerçek veya tüzel kişi temsilci
Temsilcinin rolü Veri sorumlusu adına Kurul ve ilgili kişilerle muhatap olma
Temsilci sorumluluğu Temsilci, veri sorumlusuyla birlikte müştereken sorumlu

8. VERBİS Sorgulama

VERBİS kamuya açık bir sicildir. Herkes, verbis.kvkk.gov.tr adresinden veri sorumlularının sicil bilgilerini sorgulayabilir. Bu sayede ilgili kişiler:

9. Sonuç

VERBİS, Türkiye'nin kişisel verilerin korunması sisteminin önemli bir bileşenidir. Veri sorumlularının sicile kaydolması, hem yasal bir yükümlülük hem de kurumsal şeffaflığın göstergesidir. Kayıt yükümlülüğü bulunan veri sorumlularının, cezai yaptırımlarla karşılaşmamak için zamanında kayıt olması ve bilgilerini güncel tutması kritik önem taşımaktadır.

VERBİS kaydı tek başına KVKK uyumunu sağlamaz; bu kayıt, kapsamlı bir veri koruma uyum programının parçası olmalıdır. Veri işleme envanteri, aydınlatma metinleri, açık rıza formları, veri güvenliği politikaları ve diğer uyum dokümanları, VERBİS kaydını destekleyen unsurlar olarak hazırlanmalıdır.

KVKK Makale Serisi 7 / 15
İlgili Kişinin Hakları Veri Güvenliği

Bu çalışma yalnızca bilgilendirme amacıyla hazırlanmış olup hukuki tavsiye niteliği taşımaz. Mevzuat ve içtihatlarda meydana gelebilecek değişiklikler nedeniyle içerik zamanla geçerliliğini yitirebilir. İçeriğin somut olaylara uygulanması veya bu içeriğe dayanılarak alınan kararlar nedeniyle doğabilecek sonuçlardan sorumluluk kabul edilmez.