1. Giriş
Dijitalleşmenin hız kazandığı günümüzde, bireylerin kişisel verilerinin korunması ve özel hayatın gizliliğinin güvence altına alınması, temel hak ve özgürlüklerin korunmasında öncelikli konulardan biri haline gelmiştir. Türkiye’de bu alandaki yasal düzenlemelerin temelini 07.04.2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) oluşturmaktadır.
Kanun’un 16. maddesi uyarınca, kişisel veri işleme faaliyetlerinin kamuya açık şekilde denetlenebilmesi, veri sorumlularının şeffaf bir biçimde belirlenebilmesi ve ilgili kişilerin haklarını etkin şekilde kullanabilmeleri amacıyla Veri Sorumluları Sicili oluşturulmuştur. Bu sicil, internet üzerinden erişilebilen bir bilişim altyapısı olan Veri Sorumluları Sicili Bilgi Sistemi (“VERBİS”) aracılığıyla yürütülmektedir. VERBİS sistemi, veri sorumlularının kişisel veri işleme faaliyetlerine başlamadan önce Kişisel Verileri Koruma Kurumu’na (“Kurum”) gerekli bildirimleri sunmalarını, bu kapsamda aydınlatma yükümlülüğü ve veri güvenliği tedbirleriyle ilgili esasların uygulanabilirliğini temin etmektedir.
Sicile kayıt yükümlülüğü, yalnızca şekli bir prosedür değil, aynı zamanda veri sorumlularının hesap verebilirlik, şeffaflık ve uyum yükümlülüklerini yerine getirmesine hizmet eden yapısal bir araçtır. Bu çerçevede, Veri Sorumluları Sicili Hakkında Yönetmelik (“Yönetmelik”) ile veri sorumlularının kayıt yükümlülüğüne ilişkin usul ve esaslar detaylı biçimde düzenlenmiş olup yükümlülüğe aykırılık halinde ise Kanun’un 18. maddesi uyarınca idari yaptırımlar öngörülmüştür.
Bu makalede, VERBİS sistemine ilişkin yasal dayanaklar, veri sorumlularının kayıt yükümlülüğünün kapsamı ve süresi, kişisel veri envanteri hazırlık süreci ile Kişisel Verileri Koruma Kurulu (“Kurul”) kararları çerçevesinde istisna halleri ve ihlaller halinde uygulanabilecek idari yaptırımlar bütüncül bir şekilde ele alınacaktır.
2. VERBİS Kayıt Yükümlülüğünün Dayanağı ve Kapsamı
Kanun kapsamında, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler veri sorumlusu olarak tanımlanmıştır. Veri sorumlusunun talimatları doğrultusunda ve onun adına kişisel verileri işleyen gerçek veya tüzel kişiler ise veri işleyen olarak kabul edilir.
Kanun’un 16. maddesi uyarınca, kişisel verileri veri sorumlusu sıfatıyla işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Kurul tarafından belirlenen süre içinde Veri Sorumluları Sicili’ne kayıt yaptırmakla yükümlüdür. Nitekim, Yönetmelik’in 8. maddesi uyarınca da, kayıt yükümlülüğü altındaki veri sorumlularının fiilen veri işlemeye başlamadan önce VERBİS üzerinden başvuru yapması zorunludur.
Bu noktada belirtmek gerekir ki, VERBİS’e kayıt yükümlülüğü yalnızca veri sorumlularına aittir; veri işleyenlerin bu kapsamdaki işlemler bakımından herhangi bir bildirim veya kayıt yükümlülüğü bulunmamaktadır.
Öte yandan, VERBİS kayıt yükümlülüğü, Türkiye’de yerleşik veri sorumlularının yanı sıra, Türkiye’de yerleşik olmayan ancak Türkiye’de kişisel veri işleme faaliyeti yürüten gerçek ve tüzel kişi veri sorumlularını da kapsamaktadır. Türkiye’de yerleşik tüzel kişi veri sorumluları, ayrıca bir irtibat kişisi atamak ve bu kişiye ait bilgileri VERBİS kaydı sırasında sisteme işlemekle yükümlüdür. Türkiye’de yerleşik olmayan tüzel kişi veri sorumluları ise, veri sorumlusu temsilcisi atadıklarına dair tasdikli kararı Kurum’a iletmek ve işlemleri bu temsilci aracılığıyla yürütmek zorundadır.
Bununla birlikte, Kanun kapsamında Kurul’a, sicile kayıt zorunluluğuna istisna getirme yetkisi verilmiştir. Söz konusu istisnanın uygulanmasında; işlenen kişisel verinin niteliği, sayısı, veri işlemenin Kanun’dan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurul’ca belirlenecek objektif kriterler göz önünde bulundurulmaktadır.
3. VERBİS Kayıt Yükümlülüğünden İstisna Tutulanlar
Bir önceki başlık altında belirtildiği üzere, kişisel veri işleme faaliyetinde bulunan veri sorumlularının, veri işlemeye başlamadan önce VERBİS’ kayıt yaptırmaları esas olmakla birlikte Kanun ve Yönetmelik hükümleri çerçevesinde Kurul’a belirli veri sorumlularını VERBİS’e kayıt yükümlülüğünden istisna tutma yetkisi verilmiştir. Bu kapsamda, Kurul çeşitli tarihli kararları ile kayıt yükümlülüğüne istisna getirilecek veri sorumlularına ilişkin nesnel kriterler belirlemiştir. Bu kriterler (i) Kişisel verinin niteliği (ii) Kişisel verinin sayısı (iii) Kişisel verinin işlenme amacı (iv) Kişisel verinin işlendiği faaliyet alanı (v) Kişisel verinin üçüncü kişilere aktarılma durumu (vi) Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması (vii) Kişisel verilerin muhafaza edilmesi süresi (viii) Veri konusu kişi grubu veya veri kategorileri (ix) Veri sorumlusunun yıllık çalışan sayısı veya yıllık mali bilanço toplamı bilgisi olarak sayılmaktadır.
Bu kapsamda, Kurul’un 06.07.2023 tarihli ve 2023/1154 sayılı Kararı uyarınca, Kurul tarafından VERBİS’e kayıt olma yükümlülüğünden istisna tutulan veri sorumluları aşağıda belirtilmiştir.
- Otomatik olmayan yollarla veri işleyenler, Noterler, Dernek ve Vakıflar, Avukatlar, Siyasi Partiler, Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler, Arabulucular, Çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100.000,00 TL’den az olan gerçek veya tüzel kişilerden ana faaliyet konusu özel nitelikli kişisel veri olmayanlar
Yukarıda sayılan kapsam dışında kalan tüm veri sorumluları VERBİS’e kayıt yükümlülüğü altındadır. Bu nedenle, veri sorumlularının yükümlülük kapsamına girip girmediğini dikkatle değerlendirmesi ve istisna durumunun yalnızca Kurul kararları uyarınca belirlenebileceğini unutmaması büyük önem arz etmektedir.
4. VERBİS’e Kayıt Süresi
Kişisel verileri işleyen ve Kurul kararıyla istisna tutulmayan tüm veri sorumlularının, VERBİS’e kayıt yükümlülüğünü yerine getirme süresi, Veri Sorumluları Sicil Hakkında Yönetmelik’in 8. maddesi uyarınca belirlenmiştir. Anılan maddeye göre veri sorumluları, fiilen kişisel veri işlemeye başlamadan önce sicile kayıt olmak zorundadır.
Bununla birlikte, Kurul’un 11.03.2021 tarihli ve 2021/238 sayılı Kararı uyarınca, ilk etapta yıllık çalışan sayısı 50’den fazla veya yıllık mali bilanço toplamı 25 milyon TL’yi aşan veri sorumlularının 01.10.2018 – 31.12.2021 tarihleri arasında VERBİS’e kayıt olmaları gerektiği ilan edilmiştir. Daha sonra 06.07.2023 tarihli ve 2023/1154 sayılı Kurul Kararı ile yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon TL’nin altında kalan ve ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan veri sorumluları, istisna kapsamına alınmıştır.
Kurul kararları gereği 31.12.2021 tarihine kadar kayıt yükümlülüğü bulunmayan, ancak daha sonra yükümlü hâle gelen veri sorumluları için ise Yönetmelik’in 8. maddesi uyarınca kayıt yükümlüsü hâline geldikleri tarihten itibaren 30 gün içinde VERBİS’e kayıt ve bildirim yükümlülüğünü yerine getirmeleri gerekmektedir.
Bu kapsamda örneğin, 2024 yılı Kurumlar Vergisi Beyannamesi sonucunda mali bilanço aktif değeri 100 milyon TL’yi aşarak ilk defa yükümlü hâle gelen bir veri sorumlusu, beyannamenin verildiği tarihten itibaren 30 gün içinde VERBİS’e kayıt olmak zorundadır.
5. Kişisel Veri Envanterinin Hazırlanması ve VERBİS Bildirimi
Veri sorumlularının VERBİS’e kayıt yükümlülüklerini yerine getirebilmeleri için, öncelikle işledikleri kişisel verilere ilişkin ayrıntılı bir analiz yaparak Kişisel Veri İşleme Envanteri hazırlamaları gerekmektedir. Nitekim, Yönetmelik’in 5. maddesi uyarınca, VERBİS’e kayıtla yükümlü olan veri sorumluları bu envanteri oluşturmakla yükümlüdür. Bu kapsamda VERBİS’e bildirilecek tüm bilgiler, söz konusu envanter temel alınarak hazırlanmalıdır.
Kişisel veri envanteri; veri sorumlusunun faaliyet alanına ve iş süreçlerine bağlı olarak gerçekleştirdiği kişisel veri işleme faaliyetlerini, hukuki sebep, işleme amacı, veri konusu kişi grubu, veri kategorisi, alıcı grubu ve saklama süresi gibi unsurlar temelinde ilişkilendiren yapısal bir dokümandır.
Veri Sorumluları Siciline bildirilecek bilgiler, Yönetmelik’in 9. maddesi uyarınca şu unsurları içermelidir:
- Veri sorumlusunun ve varsa veri sorumlusu temsilcisinin kimlik ve iletişim bilgileri,
- Kişisel verilerin işlenme amaçları,
- Veri konusu kişi grupları ve bu gruplara ait veri kategorileri,
- Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
- Yurt dışına aktarımı öngörülen kişisel veriler,
- Kişisel veri güvenliğine ilişkin alınan teknik ve idari tedbirler,
- Kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza süresi.
Bu bilgilerin, VERBİS ekranında tanımlı başlıklar altında, eksiksiz ve doğru biçimde sisteme girilmesi zorunludur. Ayrıca, bildirilen bilgilerin kişisel veri envanteri ile tam uyum içerisinde olması gerekir. Örneğin, belirli bir veri kategorisine ilişkin saklama süresi hem envanterde hem de VERBİS sisteminde aynı şekilde yer almalıdır.
Kurum tarafından yapılan denetimlerde, VERBİS’e bildirilen bilgiler ile şirket içi kayıtlar arasında tutarsızlık bulunması halinde, veri sorumlusu idari yaptırımlarla karşılaşabilir. Bu nedenle envanterin hazırlanması yalnızca teknik bir işlem değil; aynı zamanda hukuki sorumluluk doğuran bir süreçtir.
Bunun yanı sıra, kişisel veri envanteri yalnızca VERBİS’e kayıt süreci için değil; aynı zamanda aydınlatma yükümlülüğü, ilgili kişi başvurularının değerlendirilmesi, veri güvenliği önlemlerinin belirlenmesi ve saklama–imha politikalarının oluşturulması gibi Kanun kapsamındaki diğer yükümlülüklerin ifasında da temel başvuru kaynağı niteliği taşımaktadır.
Öte yandan, veri sorumluları, VERBİS’e sundukları ve Sicil’de yayımlanan bilgilerin doğru, güncel ve hukuka uygun olmasından bizzat sorumludur. Bu bilgilerin herhangi birinde değişiklik meydana gelmesi halinde, değişiklikler gecikmeksizin Kurum’a bildirilmelidir. Ayrıca, kayıt yükümlülüğünü gerektiren faaliyetlerin sona ermesi durumunda sicil kaydı silinir. Ancak bu silinme, veri sorumlusunun kayıtlı olduğu döneme ilişkin yükümlülüklerini ortadan kaldırmaz.
6. İhlal Durumunda Uygulanacak Yaptırımlar
Kanun kapsamında, VERBİS’e kayıt yükümlülüğüne aykırı davranılması veya kayıt sırasında yanlış ya da eksik bilgi verilmesi durumunda veri sorumluları, idari yaptırımlarla karşı karşıya kalabilmektedir. Bu yaptırımların yasal dayanağı, Kanun’un 18. maddesinde açıkça düzenlenmiştir.
Anılan madde uyarınca, VERBİS kayıt ve bildirim yükümlülüğünü yerine getirmeyen veri sorumluları hakkında, 20.000 TL ile 1.000.000 TL arasında idari para cezası uygulanabileceği hüküm altına alınmıştır. Ancak bu tutarlar, 5326 sayılı Kabahatler Kanunu’nun 17. maddesinin yedinci fıkrası uyarınca, her takvim yılı başından itibaren 213 sayılı Vergi Usul Kanunu’nun mükerrer 298. maddesi uyarınca belirlenen yeniden değerleme oranında artırılmaktadır. Bu doğrultuda, 2025 yılı itibarıyla söz konusu fiiller için uygulanabilecek idari para cezası tutarları yaklaşık olarak 272.380 TL ile 13.620.402 TL arasında değişmektedir.
Kurul tarafından gerçekleştirilen denetimler ve resen başlatılan incelemeler neticesinde, yalnızca VERBİS’e hiç kayıt yapılmaması değil, aynı zamanda yanlış, eksik veya yanıltıcı beyanda bulunulması da yaptırıma tabi tutulmaktadır.
Kurul, yaptırım kararı verirken; ihlalin niteliğini ve süresini, ilgili kişilerin sayısını, etkilenen veri kategorilerinin hassasiyet derecesini, veri sorumlusunun kusur oranını ve aldığı önlemleri, zararın ağırlığını gibi unsurları dikkate alarak idari para cezasının miktarını belirlemektedir.
Kurul’un bu konuda verdiği kararlar yalnızca para cezasıyla sınırlı kalmamakta; ihlalin giderilmesine yönelik yükümlülüklerin yerine getirilmesi, hatta gerekli görülmesi hâlinde kamuoyunun bilgilendirilmesi gibi tedbirleri de içerebilmektedir.
7. Sonuç
Kişisel verilerin korunması, dijital çağda bireylerin temel hak ve özgürlüklerini güvence altına almanın vazgeçilmez bir unsuru haline gelmiştir. Bu doğrultuda VERBİS, yalnızca teknik bir kayıt sistemi olmanın ötesinde, veri sorumlularının şeffaflık, hesap verebilirlik ve hukuka uygunluk ilkeleri doğrultusunda hareket etmelerini sağlayan temel bir uyum mekanizmasıdır. VERBİS’e kayıt yükümlülüğü, veri sorumlusunun organizasyonel yapısını doğrudan etkileyen ve ihlal edilmesi halinde ciddi idari yaptırımlara yol açabilecek bir hukuki yükümlülüktür. Bu nedenle, veri sorumlularının kişisel veri işleme faaliyetlerini yasal sınırlar içerisinde yapılandırmaları, kişisel veri envanterlerini eksiksiz şekilde hazırlamaları ve VERBİS kayıt süreçlerini zamanında tamamlamaları büyük önem taşımaktadır. Aksi takdirde, Kurul tarafından uygulanabilecek idari para cezaları ve diğer yaptırımlar, veri sorumlusunun itibarı ve mali yapısı üzerinde olumsuz sonuçlar doğurabilecektir.
