VERBİS (Veri Sorumluları Sicili Bilgi Sistemi), 6698 sayılı KVKK m.16 uyarınca veri sorumlularının kayıt yükümlülüğüdür. 2026 itibarıyla çalışan sayısı 50’den fazla olan işverenler, yıllık mali bilanço toplamı 100 milyon TL üstü şirketler, ana faaliyeti özel nitelikli veri işleme (sağlık kuruluşları, sigorta, eğitim, avukatlık büroları) ve yurt dışı kaynaklı veri sorumluları VERBİS kaydı zorunluluğu altındadır. Bu rehber; kayıt aşamaları, muafiyet halleri, idari para cezaları ve Kurul uygulamalarını açıklar.
VERBİS Kayıt Zorunluluğu Olan Kuruluşlar
Kişisel Verileri Koruma Kurulu’nun 2019/387 ve sonraki kararlarıyla kayıt zorunluluğu şu kuruluşlar için öngörülmüştür: (a) yıllık çalışan sayısı 50’den fazla veya yıllık mali bilanço toplamı 100 milyon TL’yi aşan gerçek ve tüzel kişi veri sorumluları, (b) yurt dışında yerleşik veri sorumluları, (c) ana faaliyeti özel nitelikli kişisel veri işleme olan veri sorumluları. Muafiyet halleri Kurul’un 2018/32 sayılı kararında sınırlı olarak sayılmıştır (dernek/vakıf/sendikaların üye-çalışan verisi, noterlik, siyasi parti yönetimleri gibi).
Kayıt Aşamaları ve Veri Sorumlusu Temsilcisi
VERBİS kaydı verbis.kvkk.gov.tr üzerinden yapılır. Şirket (1) irtibat kişisi atar, (2) veri kategorilerini (kimlik, iletişim, özlük, finans, sağlık vb.), (3) veri konusu kişi gruplarını (çalışan, müşteri, tedarikçi, ziyaretçi), (4) amaçlarını (iş sözleşmesi yönetimi, müşteri ilişkileri, pazarlama), (5) aktarım alıcılarını, (6) süreleri ve (7) güvenlik tedbirlerini girer. Yurt dışında yerleşik veri sorumluları, yazılı veri sorumlusu temsilcisi atamak zorundadır (KVKK m.16/2).
Aydınlatma Metni ve Açık Rıza Süreçleri
6698 SK m.10 uyarınca veri sorumlusu, veri konusu ilgili kişiyi kategorik bilgilendirmekle yükümlüdür. Aydınlatma metni şu unsurları içermelidir: (i) veri sorumlusunun ve varsa temsilcisinin kimliği, (ii) işleme amacı, (iii) aktarılacağı alıcı grupları, (iv) toplama yöntemi ve hukuki sebebi, (v) ilgili kişinin m.11 hakları. Açık rıza, KVKK m.3/1-a çerçevesinde belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır; iş akdinin şartı haline getirilemez.
Veri İşleme Envanteri ve Teknik-İdari Tedbirler
Veri Sorumluları Sicili Hakkında Yönetmelik m.5 gereği kişisel veri işleme envanteri hazırlanması zorunludur. Envanter VERBİS kaydına temel oluşturur ve şu bilgileri içerir: faaliyet/iş süreci, veri kategorisi, amaç, toplanma yöntemi, hukuki sebep (m.5-6), saklama süresi, aktarım, güvenlik. Teknik tedbirler (şifreleme, log, erişim kontrolü, yedekleme, sızma testi) ve idari tedbirler (politika, eğitim, gizlilik sözleşmesi, ihlal yönetim planı) KVKK m.12 kapsamında uygulanmalıdır.
İdari Para Cezaları 2026 Güncel Tutarlar
KVKK m.18’de öngörülen idari para cezaları, 2025 yılı için yeniden değerleme oranına göre güncellenmiştir. 2026 tahmini değerler: (a) aydınlatma yükümlülüğü ihlali: 47.303 – 947.027 TL, (b) veri güvenliği yükümlülüğü ihlali: 141.934 – 9.463.213 TL, (c) Kurul kararlarına uyumsuzluk: 236.557 – 9.463.213 TL, (d) VERBİS kayıt yükümlülüğü ihlali: 189.245 – 9.463.213 TL. Güncel tutarlar Hazine ve Maliye Bakanlığı yeniden değerleme oranı ile yıllık olarak revize edilir.
Mevzuat Özet Tablosu
| Konu | Mevzuat | Uygulama |
|---|---|---|
| Kayıt yükümlülüğü | 6698 SK m.16 | 50+ çalışan / 100M+ bilanço |
| Veri sorumlusu temsilcisi | 6698 SK m.16/2 | Yurt dışı yerleşik için zorunlu |
| Aydınlatma yükümlülüğü | 6698 SK m.10 | 5 unsur zorunlu |
| Açık rıza şartları | 6698 SK m.3, 5 | Bilgilendirmeye dayalı, özgür |
| Envanter hazırlama | VERBİS Yön. m.5 | Süreç bazlı detaylı |
| Teknik/idari tedbir | 6698 SK m.12 | Şifreleme, log, eğitim |
| Veri ihlali bildirimi | 6698 SK m.12/5 | 72 saat Kurul’a |
| Aydınlatma İPC | 6698 SK m.18/1-a | 47.303 – 947.027 TL |
| Güvenlik İPC | 6698 SK m.18/1-b | 141.934 – 9.463.213 TL |
| VERBİS İPC | 6698 SK m.18/1-ç | 189.245 – 9.463.213 TL |
Sıkça Sorulan Sorular
50 çalışan eşiği nasıl hesaplanır?
Kurul’un 2018 tarihli kararı çerçevesinde yıl içindeki herhangi bir zaman diliminde 50 çalışana ulaşılması kayıt zorunluluğunu doğurur. Part-time, stajyer ve sözleşmeli çalışanlar da sayıya dahildir; iş mevzuatındaki sayım kriterleri benimsenir.
VERBİS kaydı sonrası yükümlülük biter mi?
Hayır. Veri kategorileri, süreler, aktarım alıcıları değiştiğinde 7 gün içinde VERBİS güncellenmelidir (Yön. m.8). Ayrıca m.12 kapsamında sürekli güvenlik önlemi uygulama, personel eğitimi ve envanter güncelleme yükümlülüğü devam eder.
KVKK Kuruluna yaptığım itiraz sonucu idari para cezasını iptal ettirebilir miyim?
Kurul kararına karşı idare mahkemesinde iptal davası açılabilir (5326 Kabahatler Kanunu m.27 yerine İYUK m.7; 6698 SK m.22/5 özel hükmü). 60 günlük süre içinde dava açılmalıdır.
İlgili Rehberler
- Bilişim Avukatı Ana Rehber
- KVKK 72 Saat Veri İhlali Bildirimi
- Açık Rıza Metni Hazırlama
- KVKK Cookie/Çerez Politikası
Bu rehber genel bilgilendirme içerir; VERBİS kaydı ve KVKK uyumu için KVKK avukatı/danışmanınıza başvurunuz.