VERBİS'e kayıt yükümlülüğü yıllık 50+ çalışan veya 100 milyon TL üzeri bilanço şartını karşılayan veri sorumlularına aittir; kayıt yaptırmayanlar 100.000 TL ile 4.500.000 TL arasında idari para cezasıyla karşılaşır.
Kısa Cevap
VERBİS (Veri Sorumluları Sicili Bilgi Sistemi), 6698 sayılı KVKK’nın m.16 kapsamında oluşturulmuş kamuya açık sicil sistemidir. Yıllık 50 ve üzeri çalışana sahip olan ya da yıllık mali bilanço büyüklüğü 100 milyon TL’yi aşan veri sorumluları VERBİS’e kayıt olmak zorundadır. Bu eşiğin altında kalan işletmeler muafiyet kapsamında olsa bile özel nitelikli kişisel veri işliyorlarsa kayıt yükümlülüğü devam eder. Kayıt yaptırmayanlar 100.000 TL ile 4.500.000 TL arasında idari para cezasıyla karşılaşabilir.
VERBİS Nedir ve Neden Gerekli?
VERBİS, Kişisel Verileri Koruma Kurumu (KVKK) tarafından işletilen ve veri sorumlularının kişisel veri işleme faaliyetlerini kamuya duyurduğu elektronik sicil sistemidir. verbis.kvkk.gov.tr adresi üzerinden erişilebilen bu sistem; şeffaflık, hesap verebilirlik ve kişisel veri koruma kültürünün geliştirilmesi ilkelerine dayanmaktadır.
Kişisel Verilerin Korunması Kanunu’nun 16. maddesi uyarınca kişisel veri işleyen gerçek veya tüzel kişilerin, veri işlemeye başlamadan önce sicile kayıt olmaları ve işleme faaliyetleri boyunca beyanlarını güncel tutmaları yasal zorunluluktur. Avrupa’daki GDPR’ın işleme faaliyetleri kaydı yükümlülüğüyle paralel bir yapıya sahip olan VERBİS, Türkiye’nin kişisel veri koruma hukuku altyapısının temel unsurlarından birini oluşturur.
VERBİS sayesinde:
- Vatandaşlar hangi kurumların verilerini işlediğini öğrenebilir
- KVKK denetimleri sistematik biçimde yürütülebilir
- Veri sorumluları işleme faaliyetlerini gözden geçirme fırsatı bulur
- Veri ihlali durumunda ilgili taraflara ulaşmak kolaylaşır
İzmir’deki işletmeler için VERBİS kaydı hem yasal yükümlülüğün yerine getirilmesi hem de kurumsal itibar açısından kritik önem taşır. İzmir Ticaret Odası’nın üyesi olan işletmelerin büyük bölümü çalışan sayısı ve bilanço büyüklüğü açısından kayıt yükümlülüğü kapsamına girmektedir.
Kimler Kayıt Olmak Zorunda?
KVKK m.16 ve Veri Sorumluları Sicili Hakkında Yönetmelik kapsamında VERBİS’e kayıt yükümlülüğü belirli kriterlere bağlanmıştır.
Çalışan Sayısı ve Bilanço Kriteri
Yıllık çalışan sayısı 50 ve üzeri olan ya da yıllık mali bilanço büyüklüğü 100 milyon TL’yi aşan veri sorumluları kayıt olmak zorundadır. Bu iki ölçütten birini karşılamak yeterli olup her ikisinin birden sağlanması aranmamaktadır.
Çalışan sayısı hesabında yıllık ortalama çalışan sayısı esas alınır. Mevsimlik veya dönemsel istihdamda, yılın belirli dönemlerindeki ortalama çalışan sayısı belirlenir. Bilanço büyüklüğünde ise son hesap dönemine ait mali bilanço tutarı dikkate alınır.
Özel Nitelikli Kişisel Veri İşleyenler
İşletmenin büyüklüğünden bağımsız olarak aşağıdaki özel nitelikli kişisel verileri işleyen tüm veri sorumluları VERBİS’e kaydolmak zorundadır:
- Sağlık verileri: Hasta kayıtları, tedavi bilgileri, ilaç reçeteleri
- Biyometrik veriler: Parmak izi, retina taraması, yüz tanıma
- Genetik veriler
- Irk veya etnik köken
- Siyasi düşünce, felsefi inanç, din, mezhep
- Sendika üyeliği
- Ceza mahkûmiyeti ve güvenlik tedbirleri
- Cinsel hayat
Örneğin İzmir’de küçük bir klinikte çalışan 15 kişilik bir ekip için bile sağlık verisi işlendiğinden VERBİS kaydı zorunlu hale gelebilir. Benzer biçimde parmak izi okuyucuyla mesaiye giriş-çıkış takibi yapan, çalışan sayısı 50’nin altında olan bir üretim tesisi de biyometrik veri işlediği için kayıt yükümlüsüdür.
Muafiyet Halleri
Tüm veri sorumluları VERBİS kapsamında değildir. Kurul’un 2018/88 ve 2019/265 sayılı kararlarıyla bazı veri sorumluları muafiyet kapsamına alınmıştır.
Tam Muafiyet Kapsamındaki Gruplar
Yıllık 50’nin altında çalışan ve 100 milyon TL altında bilanço büyüklüğüne sahip veri sorumluları temel muafiyet kapsamındadır — ancak bu kural özel nitelikli kişisel veri işlenmesi halinde geçerliliğini yitirir.
Bunların yanı sıra:
- Avukatlar ve avukatlık ortaklıkları: Avukatlık Kanunu kapsamında kişisel veri işleyen meslek mensupları. İzmir Barosu üyesi avukatlar bu muafiyetten yararlanır.
- Noterler: Noterlik Kanunu kapsamında faaliyet gösterenler.
- Serbest muhasebeci mali müşavirler ve yeminli mali müşavirler: Mesleki faaliyetleri kapsamındaki veri işleme.
- Gümrük müşavirleri: Mesleki faaliyetleri için gerekli veri işleme.
- Arabulucular ve bilirkişiler: Yargısal faaliyetlere yönelik veri işleme.
- Dernek, vakıf ve sendikalar: Yalnızca üyelere yönelik veri işlemede muafiyet uygulanır; ancak bu kuruluşlar üçüncü taraflara veri aktarıyorsa veya özel nitelikli veri işliyorsa muafiyet sınırlanır.
- Siyasi partiler: Yalnızca üye veri işleme faaliyetleri kapsamında.
Kısmi Muafiyet
Bazı veri sorumluları yalnızca belirli işleme faaliyetleri için muafiyet kapsamına alınmış olup diğer faaliyetleri nedeniyle kayıt yükümlülükleri devam edebilir. Bu nedenle muafiyet değerlendirmesinin her işletme için ayrıca yapılması, hukuki danışmanlık alınarak kesinleştirilmesi gerekir.
Kayıt Süreci Adım Adım
VERBİS kaydı, sisteme girilmeden önce tamamlanması gereken hazırlık aşamalarını kapsar.
1. Adım: Veri Envanteri Hazırlama
Kayıt sürecinin temeli veri envanteridir. İşletmenin işlediği tüm kişisel veriler kategorik olarak listelenir:
- Hangi kişisel veri kategorileri işleniyor? (kimlik, iletişim, sağlık, finansal vb.)
- Bu verilerin işlenme amacı nedir?
- Hukuki dayanağı nedir? (açık rıza, kanuni yükümlülük, sözleşme gereği vb.)
- Veriler kimlere aktarılıyor?
- Saklama süreleri nedir?
- Hangi teknik ve idari güvenlik önlemleri alınıyor?
2. Adım: Aydınlatma Metinleri ve Rıza Belgeleri
VERBİS beyanında yer alacak bilgilerle uyumlu aydınlatma metinleri hazırlanır. Müşteriler, çalışanlar ve tedarikçiler için ayrı aydınlatma metinleri gerekebilir.
3. Adım: VERBİS Portalına Kayıt
verbis.kvkk.gov.tr adresinden e-Devlet şifresi veya e-imza ile sisteme giriş yapılır. Tüzel kişiler yetkili temsilci üzerinden kayıt işlemi gerçekleştirir.
4. Adım: Veri İşleme Faaliyetlerinin Beyanı
Portal üzerinden aşağıdaki bilgiler beyan edilir:
- Veri sorumlusunun kimlik ve iletişim bilgileri
- İşlenen kişisel veri kategorileri
- İşleme amacı
- Alıcı gruplar ve yurt dışı aktarım (varsa)
- Veri güvenliği önlemleri
- Saklama süreleri
5. Adım: Güncel Tutma Yükümlülüğü
VERBİS kaydı bir kez yapılıp bırakılacak bir işlem değildir. İşleme faaliyetlerinde değişiklik olduğunda (yeni veri kategorisi, yeni aktarım kanalı, yeni amaç) beyan güncellenmek zorundadır. Güncelleme yükümlülüğüne uyulmaması da idari para cezasına yol açabilir.
VERBİS’te Beyan Edilmesi Gerekenler
Kişisel Veri Kategorileri
VERBİS beyanında kişisel veri kategorileri genel başlıklar altında sunulur:
| Kategori | Örnekler |
|---|---|
| Kimlik | Ad, soyad, TC kimlik no, doğum tarihi |
| İletişim | Telefon, e-posta, adres |
| Lokasyon | GPS konumu, ikamet bilgisi |
| Hukuki işlem | Sözleşme, dava dosyası, icra kayıtları |
| Müşteri işlem | Sipariş geçmişi, şikâyet |
| Fiziksel mekân güvenliği | Kamera görüntüleri, giriş-çıkış kayıtları |
| Finans | Banka bilgisi, ödeme geçmişi |
| Mesleki deneyim | Özgeçmiş, diploma, iş deneyimi |
| Pazarlama | Alışveriş alışkanlıkları, tercihler |
| Görsel ve işitsel | Fotoğraf, ses kaydı, video |
Aktarım ve Hukuki Dayanak
Her veri işleme faaliyeti için hukuki dayanak açıkça belirtilmelidir. Hukuki dayanak belirtilmeden yapılan beyanlar Kurul incelemesinde sorun yaratabilir.
Yurt dışına veri aktarımı beyan edildiğinde alıcı ülke veya uluslararası kuruluş, aktarım amacı ve alınan güvenlik önlemleri de beyan kapsamına girer.
Kayıtsızlık Halinde Cezalar
KVKK m.18/2 uyarınca VERBİS kayıt yükümlülüğüne aykırı davranan veri sorumlularına idari para cezası uygulanır. 2026 yılı itibarıyla güncel ceza bantları şu şekildedir:
| İhlal Türü | Ceza Miktarı |
|---|---|
| VERBİS kaydı yükümlülüğüne aykırılık | 100.000 TL – 4.500.000 TL |
| Beyanın güncel tutulmaması | 100.000 TL – 4.500.000 TL |
| Yanlış veya yanıltıcı beyan | 100.000 TL – 4.500.000 TL |
Bu cezalar; işletmenin büyüklüğüne, ihlalin ağırlığına ve tekrara göre belirlenir. Kurul, ihlalin öğrenilmesinin ardından resen soruşturma açabilir; şikâyet başvurusu aranmaz.
Önemli bir husus: VERBİS kaydı yükümlülüğünü yerine getirmemek, Kurul tarafından yürütülen denetimlerde veri güvenliği ve aydınlatma yükümlülüğü ihlalleriyle birleşerek çok daha ağır bir ceza tablosu oluşturabilir.
İzmir’deki İşletmeler İçin Pratik Notlar
İzmir, üretim, turizm, lojistik ve sağlık sektörlerindeki yoğunluğu nedeniyle KVKK uyumu açısından kendine özgü dinamiklere sahiptir.
İzmir OSB Firmaları
Atatürk Organize Sanayi Bölgesi ve diğer OSB’lerdeki üretim işletmeleri çalışan sayısı eşiğini çoğunlukla aşmaktadır. Bu firmaların parmak izi okuyucuyla personel devam takibi yapmaları halinde biyometrik veri işlediklerinden muafiyet kapsamı daralmaktadır.
KOBİ’ler ve Esnaf İşletmeleri
50 çalışanın altında faaliyet gösteren ancak ciro büyüklüğü 100 milyon TL’yi aşan İzmir KOBİ’leri için VERBİS kaydı zorunlu hale gelebilir. E-ticaret veya toptan ticaret yapan firmaların bilanço büyüklüklerini her yıl kontrol etmeleri önerilir.
Sağlık Sektörü
İzmir’deki özel klinikler, diş muayenehaneleri ve laboratuvarlar hasta sağlık verisi işlediklerinden çalışan sayısı ne olursa olsun VERBİS’e kayıt olmak zorundadır. Bu sektörde VERBİS kaydı ile birlikte veri işleme envanteri ve hasta aydınlatma metinleri de en başından hazır olmalıdır.
Turizm İşletmeleri
İzmir’deki oteller, tatil köyleri ve acenteler hem çalışan hem de misafir kişisel verisini yoğun biçimde işler. Yabancı uyruklu misafirler için pasaport bilgisi işlenmesi ve yurt dışına veri aktarımı (online rezervasyon platformları) nedeniyle bu sektördeki işletmeler VERBİS beyanında özellikle dikkatli olmalıdır.
Veri Envanteri Nasıl Hazırlanır?
Veri envanteri, VERBİS beyanının ham maddesidir ve aşağıdaki soruları sistematik biçimde yanıtlar:
- Ne tür veriler işleniyor? Kimlik, iletişim, sağlık, finansal vb. kategoriler.
- Kimlerden toplanıyor? Müşteri, çalışan, tedarikçi, ziyaretçi.
- Neden işleniyor? Sözleşmenin ifası, yasal yükümlülük, meşru menfaat, açık rıza.
- Nerede saklanıyor? Şirket sunucuları, bulut sistemi, fiziksel dosya.
- Ne kadar süreyle saklanıyor? Yasal saklama süreleri ve iş gereği saklama süreleri.
- Kimlere aktarılıyor? İç birimler, iş ortakları, kamu kurumları, yurt dışı aktarım.
- Nasıl korunuyor? Şifreleme, erişim kontrolü, yedekleme.
Envanter hazırlanırken her departman ayrı ayrı incelenmeli; insan kaynakları, muhasebe, satış, müşteri hizmetleri ve bilgi teknolojileri birimlerinin veri işleme faaliyetleri tek tek belgelenmeli ve nihai envanterde birleştirilmelidir.
Sık Sorulan Sorular
VERBİS kaydını kim yapabilir? Veri sorumlusu adına VERBİS kaydı; yetkili kişi (şirket müdürü, yönetim kurulu üyesi) ya da yetkilendirilen temsilci (avukat, danışman) tarafından yapılabilir. Tüzel kişiler için temsile yetkili kişilerin sistemde tanımlanması zorunludur.
VERBİS’te beyan ettikten sonra değişiklik olursa ne yapmalıyım? İşleme faaliyetlerinde herhangi bir değişiklik olduğunda VERBİS beyanının güncellenmesi zorunludur. Güncel tutma yükümlülüğü, kayıt yükümlülüğünden bağımsız olarak para cezasına konu olabilecek ayrı bir yükümlülüktür.
KVKK’ya uyum için sadece VERBİS yeterli midir? Hayır. VERBİS kaydı KVKK uyumunun yalnızca bir boyutudur. Aydınlatma metinleri, açık rıza formları, veri işleme politikası, veri güvenliği tedbirleri ve veri ihlali müdahale prosedürü de tamamlanması gereken unsurlardır.
Yabancı uyruklu şirketlerin Türkiye’deki temsilcileri VERBİS’e kayıt olmak zorunda mı? Türkiye’de kişisel veri işleyen yabancı uyruklu veri sorumlularının da KVKK yükümlülüklerine tabi olduğu Kurul kararlarında belirtilmektedir. Türkiye’de temsilci atanması ve VERBİS kaydı bu kapsamda değerlendirilebilir.
İzmir’de KVKK uyumu ve VERBİS kaydı konusunda hukuki danışmanlık almak için bilişim hukuku avukatı sayfamızı inceleyebilir ya da iletişim formumuz aracılığıyla bize ulaşabilirsiniz.
Sık Sorulan Sorular
Uzmanlık Alanları