1. Giriş
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), Türkiye'de kişisel verilerin korunması sisteminin önemli bir bileşenidir. KVKK'nın 16. maddesi uyarınca kurulan bu merkezi sicil sistemi, veri işleme faaliyetlerinin şeffaflığını sağlamak ve ilgili kişilerin veri sorumlularına erişimini kolaylaştırmak amacıyla oluşturulmuştur.
ABD: Federal düzeyde sicil sistemi yoktur. Sektörel düzenlemelerde kayıt gereksinimleri farklılık gösterir.
Almanya: GDPR kuralları geçerlidir. Eski BDSG'deki bildirim yükümlülüğü GDPR ile kaldırılmıştır.
Türkiye: VERBİS, merkezi ve kamuya açık bir sicil sistemi olarak AB uygulamasından farklıdır. Şeffaflık ve hesap verebilirlik ilkelerini destekler.
2. VERBİS Nedir?
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), KVKK'nın 16. maddesi uyarınca Kişisel Verileri Koruma Kurumu tarafından kurulan ve kamuya açık tutulan veri sorumluları sicilidir. Bu sistem, kişisel veri işleme faaliyetlerinin şeffaflığını sağlamak ve ilgili kişilerin veri sorumlularına erişimini kolaylaştırmak amacıyla oluşturulmuştur.
3. Kayıt Yükümlülüğü
Kural olarak, kişisel veri işleyen tüm gerçek ve tüzel kişilerin VERBİS'e kayıt olması gerekmektedir. Ancak Kurul, belirli kriterler çerçevesinde bazı veri sorumlularını bu yükümlülükten muaf tutmuştur.
Kayıt Yükümlüsü Veri Sorumluları
| Veri Sorumlusu Türü | Kayıt Yükümlülüğü |
|---|---|
| Yıllık çalışan sayısı 50'den fazla olan gerçek/tüzel kişiler | Zorunlu |
| Yıllık mali bilanço toplamı 100 milyon TL'den fazla olanlar | Zorunlu |
| Ana faaliyet konusu özel nitelikli kişisel veri işleme olanlar | Zorunlu |
| Kamu kurum ve kuruluşları | Zorunlu |
| Yurt dışında yerleşik veri sorumluları | Zorunlu (Türkiye'de veri işliyorlarsa) |
Kayıt İstisnası Olan Veri Sorumluları
Kurul'un 2018/32 ve sonraki kararlarıyla belirlenen istisna kategorileri aşağıdaki gibidir:
| İstisna Kategorisi | Açıklama |
|---|---|
| Noterler | 1512 sayılı Noterlik Kanunu kapsamında faaliyet gösterenler |
| Avukatlar | 1136 sayılı Avukatlık Kanunu kapsamında faaliyet gösterenler |
| Serbest muhasebeci mali müşavirler | 3568 sayılı Kanun kapsamında faaliyet gösterenler |
| Gümrük müşavirleri | 4458 sayılı Gümrük Kanunu kapsamında faaliyet gösterenler |
| Arabulucular | 6325 sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu kapsamında |
| Yıllık çalışan sayısı 50'den az ve bilançosu 100 milyon TL'den az olanlar | Ana faaliyet konusu özel nitelikli veri işleme değilse |
| Siyasi partiler | 2820 sayılı Siyasi Partiler Kanunu kapsamında |
| Dernekler, vakıflar ve sendikalar | Sadece üyelerinin verilerini işleyenler |
4. VERBİS Kayıt Süreci
VERBİS'e kayıt işlemi, verbis.kvkk.gov.tr adresi üzerinden elektronik ortamda gerçekleştirilir. Kayıt süreci aşağıdaki adımlardan oluşur:
1. Başvuru Formu Doldurma
| Bildirilmesi Gereken Bilgi | Açıklama |
|---|---|
| Veri sorumlusu kimlik bilgileri | Unvan, MERSİS no, vergi no, adres, iletişim bilgileri |
| Veri sorumlusu temsilcisi | Yurt dışında yerleşik veri sorumluları için zorunlu |
| İrtibat kişisi | Ad-soyad, TC kimlik no, iletişim bilgileri |
| Kişisel veri kategorileri | İşlenen veri türleri (kimlik, iletişim, finansal vb.) |
| İşleme amaçları | Verilerin hangi amaçlarla işlendiği |
| Veri konusu kişi grupları | Çalışan, müşteri, tedarikçi vb. |
| Alıcı grupları | Verilerin aktarıldığı kişi/kurumlar |
| Yabancı ülkelere aktarım | Yurt dışına aktarım varsa hedef ülkeler |
| Güvenlik tedbirleri | Alınan teknik ve idari tedbirler |
| Saklama süreleri | Azami veri saklama süreleri |
2. İrtibat Kişisi Bildirimi
Her veri sorumlusu, VERBİS'te en az bir irtibat kişisi bildirmek zorundadır. İrtibat kişisi, ilgili kişilerin ve Kurul'un muhatap alacağı, veri sorumlusu adına iletişim kuracak gerçek kişidir.
3. Güvenlik Tedbirleri Beyanı
VERBİS kaydında, veri sorumlusunun aldığı teknik ve idari güvenlik tedbirlerini beyan etmesi gerekmektedir. Bu beyan, standart formatta kategorize edilmiş şekilde yapılır.
| Tedbir Kategorisi | Örnek Tedbirler |
|---|---|
| Erişim kontrolleri | Yetkilendirme matrisi, parola politikası, iki faktörlü doğrulama |
| Şifreleme | Veri şifreleme, SSL/TLS, disk şifreleme |
| Güvenlik yazılımları | Antivirüs, güvenlik duvarı, saldırı tespit sistemleri |
| Yedekleme | Düzenli yedekleme, felaket kurtarma planı |
| Fiziksel güvenlik | Kilitli kabinetler, güvenlik kameraları, ziyaretçi kayıtları |
| Eğitim | Çalışan farkındalık eğitimleri, gizlilik taahhütnameleri |
| Denetim | İç denetim, sızma testleri, log izleme |
5. Kayıt Sonrası Yükümlülükler
Güncel Tutma Yükümlülüğü
Veri sorumlusu, VERBİS'e bildirdiği bilgilerde değişiklik olması halinde, bu değişikliği 7 gün içinde sisteme yansıtmak zorundadır.
| Güncellenmesi Gereken Durum | Süre |
|---|---|
| İrtibat kişisi değişikliği | 7 gün |
| Yeni veri kategorisi eklenmesi | 7 gün |
| Yeni işleme amacı eklenmesi | 7 gün |
| Yeni alıcı grubu eklenmesi | 7 gün |
| Adres/iletişim değişikliği | 7 gün |
| Güvenlik tedbirlerinde değişiklik | 7 gün |
Veri İşleme Envanteri
VERBİS'e kayıt yükümlülüğü bulunan veri sorumlularının, aynı zamanda Veri İşleme Envanteri hazırlaması gerekmektedir. Envanter, VERBİS'e yapılacak bildirimin temelini oluşturur ve daha detaylı bilgileri içerir.
6. VERBİS'e Kayıt Olmamanın Yaptırımları
VERBİS'e kayıt yükümlülüğü bulunan veri sorumlularının kayıt olmaması veya bildirilen bilgilerin eksik/yanlış olması halinde idari para cezası uygulanır.
| İhlal Türü | Ceza Aralığı (2024) |
|---|---|
| VERBİS'e hiç kayıt olmama | 176.550 TL - 8.827.405 TL |
| Eksik veya yanlış bildirim | 176.550 TL - 8.827.405 TL |
| Bilgileri güncel tutmama | 176.550 TL - 8.827.405 TL |
7. Yurt Dışında Yerleşik Veri Sorumluları
Türkiye'de yerleşik olmayan ancak Türkiye'deki kişilerin verilerini işleyen veri sorumluları da VERBİS'e kayıt yükümlüsüdür. Bu veri sorumluları, Türkiye'de bir temsilci atamak zorundadır.
| Yükümlülük | Açıklama |
|---|---|
| VERBİS kaydı | Türkiye'deki kişilerin verilerini işleyen tüm yabancı veri sorumluları |
| Temsilci atama | Türkiye'de yerleşik gerçek veya tüzel kişi temsilci |
| Temsilcinin rolü | Veri sorumlusu adına Kurul ve ilgili kişilerle muhatap olma |
| Temsilci sorumluluğu | Temsilci, veri sorumlusuyla birlikte müştereken sorumlu |
8. VERBİS Sorgulama
VERBİS kamuya açık bir sicildir. Herkes, verbis.kvkk.gov.tr adresinden veri sorumlularının sicil bilgilerini sorgulayabilir. Bu sayede ilgili kişiler:
- Veri sorumlusunun VERBİS'e kayıtlı olup olmadığını kontrol edebilir
- İrtibat kişisi bilgilerine ulaşabilir
- İşlenen veri kategorilerini öğrenebilir
- Veri aktarım bilgilerini görebilir
- Alınan güvenlik tedbirlerini inceleyebilir
9. Sonuç
VERBİS, Türkiye'nin kişisel verilerin korunması sisteminin önemli bir bileşenidir. Veri sorumlularının sicile kaydolması, hem yasal bir yükümlülük hem de kurumsal şeffaflığın göstergesidir. Kayıt yükümlülüğü bulunan veri sorumlularının, cezai yaptırımlarla karşılaşmamak için zamanında kayıt olması ve bilgilerini güncel tutması kritik önem taşımaktadır.
VERBİS kaydı tek başına KVKK uyumunu sağlamaz; bu kayıt, kapsamlı bir veri koruma uyum programının parçası olmalıdır. Veri işleme envanteri, aydınlatma metinleri, açık rıza formları, veri güvenliği politikaları ve diğer uyum dokümanları, VERBİS kaydını destekleyen unsurlar olarak hazırlanmalıdır.