1. Giriş

Türkiye'nin hukuk sisteminde, 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin temel hak ve özgürlüklerinin, özellikle de özel hayatın gizliliğinin korunması ve mahremiyet/mahremiyete saygı alanında bir milat teşkil etmektedir. Bu Kanun, kişisel verilerin işlenmesini belirli ilkelere, hukuki sebeplere ve usullere bağlayarak, veri temelli ekonominin getirdiği risklere karşı bireyleri koruma altına almayı amaçlamaktadır. Bu koruma mekanizmasının en temel sacayaklarından biri, şeffaflık ve hesap verebilirlik ilkelerini somutlaştıran Veri Sorumluları Sicili (VERBİS)’dir. Kanun’un 16. maddesi uyarınca Kişisel Verileri Koruma Kurumu (Kurum) Başkanlığı tarafından tutulan bu sicil, kimin, hangi verileri, ne amaçla işlediğini kamuya açık bir şekilde beyan etmesini sağlayarak, veri sahiplerinin haklarını daha etkin bir şekilde kullanabilmelerine olanak tanımaktadır. Kuruma ait bir web sitesi üzerinden “kendi kendini bildir ben sonra gerekirse denetlerim” metodu ile yapılmış olan bu sistem, özellikle AB mevzuatında da oldukça yaygındır. 

Bununla birlikte, veri sorumlusu sıfatını haiz gerçek ve tüzel kişiler için VERBİS’e kayıt yükümlülüğü hem teknik hem de hukuki karmaşıklıklar barındıran ve sürekli güncellenen bir süreci ifade etmektedir. Veri sorumluları, bir yandan bu genel yükümlülüğün kapsamını ve gereklerini anlamaya çalışırken, diğer yandan Kişisel Verileri Koruma Kurulunun (Kurul) dinamik ve içtihat niteliğindeki kararlarıyla şekillenen spesifik düzenlemelere uyum sağlamak zorundadır. Bu yazımızda; işbu ikili düzenlemeyi ve yeni gelen kurul kararını açıklamak üzere, bir taraftan VERBİS kayıt sürecine ilişkin genel yükümlülükleri, dikkat edilmesi gereken hususları ve ihlalin sonuçlarını kapsayan bütüncül bir hukuki rehber sunup; diğer taraftan ise Kurulun 04/09/2025 tarihli ve 2025/1572 sayılı en güncel kararını derinlemesine bir hukuki analize tabi tutarak getirdiği değişiklikleri ve pratik sonuçlarını ortaya koymaya çalışacağız. 

Bu yazımız, VERBİS kayıt yükümlülüğünün, ağır idari para cezaları ile müeyyidelendirilmiş kritik bir usulü zorunluluk olmakla birlikte, Kurulun son dönem kararlarının, özellikle de 2025/1572 sayılı Karar’ın, düzenleyici bir olgunlaşmayı yansıttığını ve ölçülülük ilkesini merkeze aldığını savunmaktadır. Kurul, bu kararlarıyla, uyum yükümlülüklerini veri sorumlularının ölçeğine, faaliyet alanına ve yarattığı risk profiline göre kalibre ederek, özellikle hassas sektörlerde faaliyet gösteren mikro ölçekli işletmeler üzerindeki orantısız idari yükü hafifletme yönünde bilinçli bir adım atmaktadır. Bu yaklaşım, Kanun’un ruhuna uygun olarak, veri koruma kültürünü tabana yayarken ekonomik aktörlerin gelişimini engellememeyi hedefleyen dengeli bir regülasyon felsefesinin somut bir tezahürüdür. Öncelikle bölümler halinde konuyu geniş çapta ele almak daha faydalı olacaktır.

Uzman kalemlerden, mevzuat dünyasına dair kapsamlı içeriklere ulaşmak için şimdi Aylık Mevzuat Dergisi’ne göz atın!

2. Veri Sorumluları Sicili (VERBİS) Kavramı ve Hukuki Dayanağı

2.1. VERBİS'in Tanımı, Amacı ve Hukuki Niteliği

VERBİS, açılımı “Veri Sorumluları Sicil Bilgi Sistemi” olan, kişisel verileri işleyen gerçek ve tüzel kişilerin, veri işleme faaliyetlerine başlamadan önce kaydolmakla yükümlü oldukları, Kurum Başkanlığı nezdinde tutulan kamusal bir kayıt sistemidir. Kayıt sistemine erişim yine kurumun web sitesi üzerinden olmak ile birlikte kayıt esnasında kayıt yaptıracak olan kişiye işlediği veriler ile ilgili yüksek oranda beyan yükümlülüğü getirmektedir.  Hukuki dayanağını doğrudan KVKK’nin “Veri Sorumluları Sicili” başlıklı 16. maddesinden alan bu sistemin usul ve esasları ise ikincil bir düzenleme olan Veri Sorumluları Sicili Hakkında Yönetmelik (Yönetmelik) ile detaylandırılmıştır. 

VERBİS’in temel amacı, kişisel veri işleme faaliyetlerinde şeffaflığı ve hesap verebilirliği sağlamaktır. Sicile kayıtlı veri sorumlularının kimler olduğu, hangi amaçlarla ve hukuki sebeplerle veri işledikleri, bu verileri kimlere aktardıkları, ne kadar süreyle sakladıkları ve veri güvenliğine ilişkin ne gibi tedbirler aldıkları kamuya açık bir şekilde ilan edilir. Bu kamusallık, veri sahibi olan ilgili kişilerin, kendi verilerinin kim tarafından ve nasıl işlendiğini öğrenmelerine, Kanun’un 11. maddesinde sayılan haklarını (bilgi talep etme, düzeltme isteme, silinmesini isteme vb.) kime karşı ileri süreceklerini bilmelerine ve bu suretle haklarını daha etkin bir şekilde kullanmalarına zemin hazırlar. Dolayısıyla VERBİS, sadece bir kayıt sistemi değil, aynı zamanda veri koruma hukukunun denetim ve uygulama mekanizmasının temel bir unsurudur. 

2.2. Temel Kavramların Analizi

VERBİS yükümlülüğünün doğru anlaşılabilmesi, KVKK tarafından tanımlanan temel aktörlerin ve rollerin net bir şekilde ayırt edilmesini gerektirir:

● Veri Sorumlusu: Kanun’a göre veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan” gerçek veya tüzel kişidir. Bu tanımın kilit unsurları, veri işleme faaliyetinin “neden” ve “nasıl” yapılacağına karar verme yetkisidir. Bir tüzel kişilikte (şirket, vakıf, dernek, belediye, üniversite vb.), veri sorumlusu şirketin yönetim kurulu başkanı veya bir çalışanı değil, tüzel kişiliğin bizzat kendisidir. Hukuki sorumluluk, tüzel kişinin şahsında doğar. 

● Veri İşleyen: Veri sorumlusundan farklı olarak veri işleyen, “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen” gerçek veya tüzel kişidir. Örneğin, bir şirketin maaş bordrolama işlemlerini dışarıdan bir muhasebe firmasına yaptırması durumunda, şirket “veri sorumlusu”, muhasebe firması ise “veri işleyen” konumundadır. 

● İrtibat Kişisi: Veri sorumlusunun, Kurum ve ilgili kişilerle olan iletişimi sağlamak üzere atadığı bir gerçek kişidir. İrtibat kişisi, veri sorumlusunu Kanun kapsamında hukuken temsil etme yetkisine sahip değildir ve veri sorumlusunun yükümlülüklerinden dolayı şahsen sorumlu tutulamaz. Rolü, tamamen idari ve iletişimsel bir köprü vazifesi görmektir. 

● Veri Sorumlusu Temsilcisi: Bu rol, yalnızca Türkiye’de yerleşik olmayan veri sorumluları için zorunludur. Türkiye’de yerleşik bir tüzel kişi veya Türkiye Cumhuriyeti vatandaşı bir gerçek kişi olması gereken temsilci, yurt dışındaki veri sorumlusunun Türkiye’deki yasal muhatabı olarak hareket eder ve Kurum’dan gelecek tebligatları kabul etmek gibi asgari yetkilere sahiptir.

● Yıllık Mali Bilanço: KVKK’daki “yıllık mali bilanço” ifadesi, bir işletmenin yıl sonu bilançosundaki (finansal tablolarındaki) toplam aktif değerini, yani tüm varlıklarının parasal karşılığını ifade eder. Bu tutar, bilanço tablosunda “dönen varlıklar + duran varlıklar” toplamı olarak görülür ve şirketin büyüklüğünü ölçmekte kullanılır. Dolayısıyla burada kastedilen husus, şirketin yıllık gelir veya kârı değil, yıl sonu itibarıyla sahip olduğu toplam malvarlığı değeridir. 

2.3. Kişisel Veri İşleme Envanteri

Veri sorumluları tarafından en sık yapılan hata, VERBİS kaydını izole bir bürokratik işlem olarak görmektir. Oysa hukuken geçerli ve doğru bir VERBİS kaydının ön koşulu, titizlikle hazırlanmış bir “Kişisel Veri İşleme Envanteri”dir. Yönetmelik, Sicile beyan edilecek bilgilerin bu envantere dayalı olarak hazırlanması gerektiğini açıkça belirtmektedir. Envanter, veri sorumlusunun kendi organizasyonu içinde yürüttüğü tüm kişisel veri işleme faaliyetlerinin detaylı bir haritasıdır ve asgari olarak şu unsurları içermelidir: veri kategorileri, işleme amaçları, hukuki sebepler, aktarım yapılan alıcı grupları, azami saklama süreleri ve alınan teknik/idari güvenlik tedbirleri. 

Bu bağlamda, envanter bir veri sorumlusunun içsel “hakikat kaynağı” (source of truth) olarak kabul edilmelidir. VERBİS ise bu içsel hakikatin kamuya yapılan resmi ve bağlayıcı ilanıdır. Dolayısıyla, eksik veya hatalı bir envantere dayalı olarak yapılan bir VERBİS kaydı, sadece bir bildirim hatası değil, veri sorumlusunun veri işleme faaliyetlerine ilişkin kamuyu yanıltıcı beyanda bulunması anlamına gelir. Örneğin, envanterde ve fiili uygulamada yurt dışına veri aktarımı yapıldığı halde, VERBİS kaydında bu durumun beyan edilmemesi, Kurul tarafından yapılacak bir denetimde veya bir veri ihlali soruşturmasında kolayca tespit edilebilecek ve doğrudan idari yaptırıma konu olabilecek bariz bir aykırılık teşkil eder. Bu nedenle, envanter hukuki ve operasyonel temel iken, VERBİS bu temelin üzerine inşa edilen ve kamuya karşı sorumluluk doğuran yapıdır. Zayıf bir temel, kaçınılmaz olarak kusurlu bir kamusal yapıya ve ciddi hukuki risklere yol açacaktır.

3. VERBİS Kayıt Süreci ve Dikkat Edilmesi Gereken Hususlar

3.1. Kayıt Yükümlülüğünün Başlangıcı ve Süreler

VERBİS’e kayıt yükümlülüğüne ilişkin temel kural, veri sorumlularının kişisel veri işlemeye başlamadan önce bu yükümlülüğü yerine getirmeleri gerektiğidir. Bu, proaktif bir gerekliliktir. Ancak, bazı veri sorumluları faaliyetlerinin başında istisna kapsamında olup sonradan yükümlü hale gelebilirler. Örneğin, çalışan sayısı veya mali bilanço toplamı itibarıyla istisna sınırlarının altında olan bir şirket, büyüyerek bu eşikleri aştığında VERBİS’e kayıtla yükümlü hale gelir. Bu gibi durumlarda Yönetmelik, yükümlülüğün doğduğu tarihten itibaren 30 günlük bir kayıt süresi tanımaktadır. 

Uygulamada bu 30 günlük sürenin başlangıç tarihinin tespiti önem arz etmektedir. Örneğin, mali bilanço eşiğinin aşılması, genellikle ilgili mali yıla ilişkin kurumlar vergisi beyannamesinin verilmesi ve bilançonun kesinleşmesi ile gerçekleşir. Veri sorumlusunun bu tarihi doğru tespit edip 30 günlük süre içinde kaydını tamamlaması kritik öneme sahiptir. 

3.2. Sicile Bildirilmesi Gereken Bilgiler ve Pratik Meseleler

VERBİS portalı üzerinden gerçekleştirilen kayıt işlemi sırasında, veri sorumlusundan Yönetmelik’te belirtilen bilgileri kategorik bazda beyan etmesi istenir. Bu envanter genellikle bir tablo şeklinde (excel vb.) tutulur. Bu bilgiler, daha önce bahsedilen kişisel veri işleme envanterinden alınmalıdır ve temel olarak şunları kapsar: 

● Veri sorumlusu, varsa temsilcisi ve irtibat kişisinin kimlik ve adres bilgileri.

● Kişisel verilerin hangi amaçla işleneceği.

● Veri konusu kişi grubu (örneğin; çalışan, müşteri, tedarikçi) ve bu kişilere ait veri kategorileri (örneğin; kimlik, iletişim, finansal, sağlık verileri).

● Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.

● Yabancı ülkelere aktarımı öngörülen kişisel veriler.

● Kişisel veri güvenliğine ilişkin alınan teknik ve idari tedbirler (örneğin; şifreleme, yetki matrisi, sızma testleri, gizlilik sözleşmeleri).

● Kişisel verilerin işlendikleri amaç için gerekli olan azami saklama süresi.

3.3. Kayıt Sürecindeki Yaygın Hatalar

VERBİS kayıt sürecinde yapılan hatalar, veri sorumlularını ciddi idari yaptırımlarla karşı karşıya bırakabilir. Sıkça karşılaşılan hatalar ve bunlardan kaçınmak için tavsiyelerimiz şu şekildedir:

● Muğlak Amaç Beyanları: KVKK’nin 4. maddesi, verilerin “belirli, açık ve meşru amaçlar için” işlenmesini zorunlu kılar. VERBİS’e “ticari faaliyetlerin yürütülmesi” gibi genel ve soyut amaçlar beyan etmek bu ilkeye aykırıdır. Bunun yerine, “ürün satış sözleşmesinin kurulması ve ifası”, “çalışanların özlük haklarının tesisi”, “yasal raporlama yükümlülüklerinin yerine getirilmesi” gibi somut ve anlaşılır amaçlar belirtilmelidir. 

● Hatalı Veri Kategorizasyonu: Veri kategorilerinin yanlış veya eksik beyan edilmesi, özellikle hassas nitelikteki özel nitelikli kişisel verilerin (sağlık, sendika üyeliği, biyometrik veri vb.) bu kapsamda belirtilmemesi ciddi bir eksikliktir. Bu tür veriler daha sıkı koruma rejimine tabi olduğundan, bunların işlendiğinin gizlenmesi veya gözden kaçırılması, Kurul nezdinde daha ağır bir ihlal olarak değerlendirilebilir. 

● Saklama Süresi Tuzağı: VERBİS’e beyan edilen “azami saklama süresi” beyanı, uygulamadaki en stratejik ve riskli alanlardan biridir. Bu beyan, veri sorumlusunun bir iç politikasını, kamuya karşı verilmiş bağlayıcı bir taahhüde dönüştürür. KVKK’nin 4. maddesindeki “işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkesi (veri minimizasyonu ve saklama süresinin sınırlandırılması), her veri kategorisi için ayrı ayrı ve hukuki bir dayanağa (örneğin; kanuni bir zorunluluk, bir sözleşmenin süresi, meşru menfaat veya zamanaşımı süresi) göre belirlenmesini gerektirir. Birçok veri sorumlusu, hukuki analiz yapmaksızın tüm veriler için Türk Borçlar Kanunu’ndaki genel zamanaşımı süresi olan 10 yıl gibi genel bir süre beyan etme hatasına düşmektedir. Ancak bir çalışanın sağlık raporunun saklama süresi ile bir potansiyel müşterinin pazarlama izni verisinin saklama süresi birbirinden tamamen farklı hukuki rejimlere tabidir. Tek ve uzun bir süre beyan etmek, neredeyse her zaman hukuken savunulamaz bir durum yaratır. Bu şekilde bir beyanda bulunan veri sorumlusu, aslında kendi Kanun’a aykırılığını kamuya ilan etmiş olur. Herhangi bir ilgili kişi, kendisiyle olan hukuki ilişkinin bitiminden sonra verilerinin hala saklandığını, veri sorumlusunun VERBİS’teki bu hatalı beyanına dayanarak kolayca ispatlayabilir ve bu durum, ispat yükünü tamamen veri sorumlusunun üzerine yıkarak onu savunmasız bırakır. 

4. VERBİS Kayıt Yükümlülüğüne Getirilen İstisnaların Gelişimi ve Güncel Durum

4.1. Genel Kural ve İstisna Getirme Yetkisinin Dayanağı

KVKK uyarınca, kişisel veri işleyen tüm gerçek ve tüzel kişilerin VERBİS’e kaydolması esastır. Ancak Kanun koyucu, bu kuralın bazı durumlarda orantısız bir yük getirebileceğini öngörerek Kurul’a istisna tanıma yetkisi vermiştir. KVKK’nin 16. maddesinin 2. fıkrası, “işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir” hükmünü amirdir. Kurul, bu kendisine devredilen yetkisini kullanarak zaman içinde çeşitli kararlarla kayıt yükümlülüğünün kapsamını daraltmış ve belirli veri sorumlusu gruplarını muaf tutmuştur. 

4.2. Kurul Kararları Işığında İstisna Kriterlerinin Kronolojik Gelişimi

VERBİS’e kayıt istisnaları, Kurul kararlarıyla dinamik bir şekilde şekillenmiştir. Bu gelişim süreci, Kurul’un düzenleyici yaklaşımının nasıl ilerlediğini de göstermektedir:

● 19/07/2018 Tarihli ve 2018/87 Sayılı Karar: Bu karar, istisna rejiminin temel çerçevesini çizmiştir. Buna göre, iki koşulu birlikte sağlayan veri sorumluları Sicile kayıt yükümlülüğünden istisna tutulmuştur: (1) Yıllık çalışan sayısının 50’den az olması ve (2) Yıllık mali bilanço toplamının 25 milyon TL’den az olması. Ancak bu istisnanın en kritik şartı, bu kriterleri sağlayan veri sorumlularının “ana faaliyet konusunun özel nitelikli kişisel veri işleme olmaması” idi. Bu düzenleme, küçük ölçekli işletmeleri korurken, sağlık verisi veya biyometrik veri gibi yüksek riskli verileri yoğun şekilde işleyen işletmeleri, büyüklüklerinden bağımsız olarak, sicile kayda zorunlu kılmıştır. 

● 06/07/2023 Tarihli ve 2023/1154 Sayılı Karar: Türkiye ekonomisindeki değişimler ve enflasyonist baskılar, 2018’de belirlenen 25 milyon TL’lik mali sınırın zamanla işlevsiz kalmasına neden olmuştur. Kurul, bu ekonomik gerçekliği ve KOBİ tanımındaki güncellemeleri dikkate alarak bu kararı almıştır. Kararın gerekçesinde, “ülkemizdeki ekonomik koşullar doğrultusunda yeniden değerlendirme yapılması” ihtiyacına vurgu yapılmıştır. Bu kararla, çalışan sayısı kriteri (<50) sabit kalmakla birlikte, yıllık mali bilanço toplamı sınırı 25 milyon TL’den 100 milyon TL’ye yükseltilmiştir. Bu değişiklik, çok sayıda küçük ve orta ölçekli işletmeyi yeniden istisna kapsamına alarak önemli bir idari yükten kurtarmıştır.  Aşağıdaki tablo, bu kronolojik gelişimi özetlemektedir:

Tablo 1: VERBİS Kayıt Yükümlülüğü İstisna Kriterlerinin Gelişimi

4.3. Diğer İstisna Kapsamındaki Veri Sorumluları

Kurul, belirli meslek gruplarını ve kuruluşları da faaliyetlerinin doğası gereği VERBİS kaydından istisna tutmuştur. Bu gruplar şunlardır: 

● 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar (ki bu husus da aktif olarak tartışılmaktadır) 

● Noterler

● 3568 sayılı Kanun uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler

● Gümrük müşavirleri

● Arabulucular

Bu meslek gruplarının istisna tutulmasının altında yatan temel mantık, bu profesyonellerin zaten kendi meslek kanunları uyarınca çok sıkı sır saklama ve gizlilik yükümlülüklerine tabi olmalarıdır.

5. 2025/1572 Sayılı Kurul Kararının Derinlemesine Analizi ve Pratik Sonuçları

5.1. Karar Metni ve Getirilen Yeni Düzenleme

1 Ekim 2025 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe giren 04/09/2025 tarihli ve 2025/1572 sayılı Kurul Kararı, VERBİS istisna rejiminde önemli ve incelikli bir değişiklik getirmiştir. Karar, önceki istisna tanımını şu şekilde güncellemiştir: 

"Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 100 milyon Türk lirasından az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar ile ana faaliyet konusu özel nitelikli kişisel veri işleme olmakla birlikte yıllık çalışan sayısı 10'dan az ve yıllık mali bilanço toplamı 10 milyon Türk lirasından az olan gerçek veya tüzel kişi veri sorumlularının…". 

Bu yeni metin, VERBİS istisnasından yararlanabilecek veri sorumlularını iki ana gruba ayırmaktadır:

1. Grup A (Mevcut Kural): Yıllık çalışan sayısı 50’den az, yıllık mali bilanço toplamı 100 milyon TL’den az olan VE ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan veri sorumluları.

2. Grup B (Yeni Kural): Ana faaliyet konusu özel nitelikli kişisel veri işleme olan, ANCAK yıllık çalışan sayısı 10’dan az VE yıllık mali bilanço toplamı 10 milyon TL’den az olan veri sorumluları.

5.2. "Ana Faaliyet Konusu" Kavramının Yorumlanması

Yeni düzenlemenin getirdiği etkiyi anlamak için, hukuki metinlerde net bir tanımı bulunmayan “ana faaliyet konusu özel nitelikli kişisel veri işleme” ifadesinin nasıl yorumlandığını bilmek gerekir. Kurul’un bugüne kadarki uygulaması ve sektördeki genel kabul, bu ifadenin, bir işletmenin varlık sebebinin, temel hizmet veya ürün sunumunun, doğası gereği özel nitelikli kişisel verilerin işlenmesine dayandığı durumları kapsadığı yönündedir. Bu kapsama giren veri sorumlularına tipik örnekler şunlardır:

● Hastaneler, tıp merkezleri, poliklinikler, özel muayenehaneler. 

● Teşhis ve görüntüleme merkezleri, tıbbi laboratuvarlar. 

● Eczaneler, diyetisyenler, psikologlar, fizyoterapistler. 

● Rehabilitasyon merkezleri. 

Bu işletmeler için sağlık verisi işlemek, faaliyetlerinin bir yan unsuru değil, ana ve kaçınılmaz bir parçasıdır.

5.3. Yeni İstisnanın Kapsamı ve Pratik Etkileri

2025/1572 sayılı Karar’ın getirdiği en önemli yenilik, yukarıda sayılan ve ana faaliyet konusu özel nitelikli veri işleme olan bu yüksek riskli sektörde faaliyet gösteren en küçük aktörler için bir “güvenli liman” (safe harbor) oluşturmasıdır. Önceki düzenlemede, 3 çalışanı ve 1 milyon TL cirosu olan bir psikolog muayenehanesi dahi, ana faaliyet konusu sağlık verisi işlemek olduğu için VERBİS’e kaydolmak zorundaydı. Bu durum, bu tür mikro işletmeler için orantısız bir idari ve mali yük yaratmaktaydı. 

Yeni karar, bu orantısızlığı gidermektedir. Artık, 10’dan az çalışanı VE 10 milyon TL’den az yıllık mali bilançosu olan bir diş kliniği, bir diyetisyen ofisi veya tek başına çalışan bir psikolog, ana faaliyet konusu sağlık verisi işlemek olsa bile VERBİS’e kayıt yükümlülüğünden muaf olacaktır. Bu, Kurul’un düzenleyici yaklaşımındaki bir olgunlaşmayı göstermektedir. Kurul, “ana faaliyet konusu” gibi yoruma açık ve sınırları keskin bir şekilde çizilmesi zor bir kavram üzerinden tüm sektörü tek bir yükümlülüğe tabi tutmak yerine, bu kavramın yarattığı hukuki belirsizlikten en çok etkilenen en küçük işletmeleri koruma altına almıştır. Bu pragmatik çözüm, hem bu mikro işletmelerin sınırlı kaynaklarını bürokratik kayıt işlemleri yerine fiili veri güvenliği tedbirlerine ayırmasına olanak tanıyacak hem de Kurul’un kendi denetim ve takip kaynaklarını, daha büyük ölçekli ve dolayısıyla daha yüksek risk teşkil eden hastane zincirleri, büyük laboratuvarlar gibi veri sorumluları üzerinde yoğunlaştırmasını sağlayacaktır.

6. Kayıt Yükümlülüğünün İhlali ve Hukuki Sonuçları

6.1. İdari Yaptırımlar

VERBİS’e kayıt ve bildirim yükümlülüğünü süresi içinde ve usulüne uygun olarak yerine getirmeyen veri sorumluları hakkında KVKK’nin “Kabahatler” başlıklı 18. maddesi uyarınca idari para cezası uygulanır. Bu cezalar her yıl yeniden değerleme oranına göre güncellenmektedir. 2025 yılı için belirlenen güncel tutarlar uyarınca, VERBİS kayıt yükümlülüğüne aykırı hareket edenler hakkında 272.380 TL’den 13.620.402 TL’ye kadar idari para cezası verilebilecektir. 

Kurul, bu geniş aralık içinde cezayı belirlerken takdir yetkisine sahiptir. Kurul’un bu yetkiyi kullanırken veri sorumlusunun mali durumu, ihlalin niteliği ve büyüklüğü gibi faktörleri göz önünde bulundurduğu bilinmektedir. Bu da büyük mali bilançoya sahip şirketlerin, aynı ihlal için küçük bir işletmeye göre çok daha yüksek bir ceza ile karşılaşabileceği anlamına gelmektedir. 

Aşağıdaki tablo, 2025 yılı için güncellenmiş olan ve KVKK kapsamındaki temel yükümlülük ihlallerine ilişkin idari para cezası tutarlarını özetlemektedir. Bu tablo, VERBİS ihlalinin mali riskini diğer ihlallerle karşılaştırmalı olarak göstermektedir.

Tablo 2: 2025 Yılı Güncel KVKK İdari Para Cezaları

6.2. Türk Ceza Kanun’una Göre Potansiyel Cezai Sorumluluk

İdari para cezalarına ek olarak, kişisel verilerle ilgili bazı eylemler Türk Ceza Kanunu (TCK) kapsamında suç teşkil edebilir. Özellikle TCK’nın 138. maddesi, kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanların bu görevini yerine getirmemesi halinde hapis cezası öngörmektedir. Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması gereken bir veri olması halinde ceza bir kat artırılabilmektedir. Bu durum, veri koruma ihlallerinin sonuçlarının sadece mali nitelikte olmayıp, hürriyeti bağlayıcı cezalara kadar varabileceğini göstermesi açısından önemlidir. 

6.3. İhlalin Dolaylı Sonuçları

VERBİS’e kayıt yükümlülüğünü ihlal etmenin hukuki sonuçları, doğrudan uygulanan idari para cezası ile sınırlı değildir. Uygulamada, bir veri sorumlusunun VERBİS’e kaydolmamış olması, Kurul nezdinde o veri sorumlusunun KVKK konusundaki farkındalığının ve uyum seviyesinin genel olarak düşük olduğuna dair güçlü bir karine oluşturur. Bu durum, genellikle Kurul’un sadece kayıt yükümlülüğü ile sınırlı kalmayıp, veri sorumlusunun diğer tüm veri işleme faaliyetlerini (aydınlatma metinlerinin varlığı ve içeriği, açık rıza mekanizmaları, veri güvenliği tedbirleri, saklama ve imha politikaları vb.) kapsayan daha geniş ve derinlemesine bir denetim başlatmasına neden olabilir. Dolayısıyla, basit bir kayıt ihmali, çok daha kapsamlı ve maliyetli bir uyum soruşturmasının fitilini ateşleyebilir.

Bunun yanı sıra, Kurul tarafından verilen idari para cezaları kamuya açıklanmaktadır. Yüksek tutarlı bir cezanın kamuoyuna yansıması, veri sorumlusunun müşteri, iş ortağı ve yatırımcılar nezdindeki itibarını ciddi şekilde zedeleyebilir ve bu durum, cezanın maliyetinden çok daha büyük bir ticari zarara yol açabilir. 

7. Netice ve Yorumlarımız

Veri Sorumluları Sicilinin, 6698 sayılı Kanun’un şeffaflık ve hesap verebilirlik hedeflerini hayata geçiren merkezi bir mekanizma olduğu yadsınamaz bir gerçektir. VERBİS’e kayıt, basit bir idari işlemden öte, veri sorumlusunun tüm veri işleme faaliyetlerinin hukuki bir beyanı niteliğinde olup, bu yükümlülüğün ihlali son derece ağır mali ve itibari sonuçlar doğurmaktadır. Denetim konusunda ve kayıt zorunluluğunun indirgenmesi konusunda ise hala sancılı bir dönemde olduğumuz da gerçektir.

Kurul’un, istisna kriterlerini belirlemedeki yaklaşımı, zaman içinde önemli bir evrim geçirmiştir. Başlangıçta daha genel ve katı kurallarla çizilen çerçeve, 2023/1154 ve özellikle 2025/1572 sayılı kararlarla, ekonomik gerçeklikleri ve ölçülülük ilkesini gözeten daha incelikli ve pragmatik bir yapıya kavuşmuştur. 2025/1572 sayılı Karar, bu bağlamda, özellikle sağlık gibi hassas sektörlerde faaliyet gösteren mikro ölçekli işletmeler üzerindeki orantısız uyum yükünü tespit edip hafifleten, yerinde ve olumlu bir düzenleyici adım olarak değerlendirilmelidir. Bu karar, Kurulun veri koruma rejimini uygularken, küçük ekonomik aktörlerin varlığını ve gelişimini de gözeten dengeli bir politika izlediğinin açık bir göstergesidir. Son çıkan kurul kararı her ne kadar mikro ölçekteki işletmeleri rahatlatsa da bu hassas verilerin bildirimsiz şekilde işlenmesi, halktaki kişisel veri bilinci de düşünülünce tarafımızca hala risklidir. Bu husus yerine, ilgili işletmelere bu konuda daha çok eğitim, ücretsiz danışmanlık ve teşvik verilmesi çok daha kıymetli olacaktır.

Ancak, bu yazımızın en temel ve nihai uyarısı şudur: VERBİS istisnası, KVKK istisnası değildir. VERBİS’e kayıt yükümlülüğünden muaf tutulan bir veri sorumlusu, Kanun’un getirdiği diğer tüm maddi ve şekli yükümlülüklerden muaf değildir. Kanun’un ve diğer mevzuatların zorunlu koştuğu hususları, yani; aydınlatma yükümlülüğünü yerine getirmek, veri işleme faaliyeti için geçerli bir hukuki sebebe dayanmak, veri güvenliğini sağlamak için gerekli tüm teknik ve idari tedbirleri almak, saklama sürelerine riayet etmek ve ilgili kişilerin haklarına ilişkin taleplerini süresi içinde ve usulüne uygun olarak cevaplamak gibi temel yükümlülükler, Sicile kayıt durumundan bağımsız olarak tüm veri sorumluları için aynen devam etmektedir. Bu nedenle, istisna kapsamında olmak, bir uyum rehavetine kapılmak için bir gerekçe değil, aksine, bürokratik yüklerden arınmış kaynakları, kişisel verilerin korunmasının esasına yönelik tedbirleri almak için bir fırsat olarak görülmelidir.

Kaynakça