KVKK VERBİS Kayıt Zorunluluğu ve İşletmeler İçin Uyum Rehberi

Dijitalleşen ekonomi ve veri odaklı iş modelleri, kişisel verilerin korunmasını ticari bir tercihten ziyade yasal bir zorunluluk haline getirmiştir. Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verileri işleyen tüm gerçek ve tüzel kişilere bir dizi yükümlülük yüklemektedir. Bu yükümlülüklerin en somut ve denetlenebilir ayağı ise VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kaydıdır. 2026 yılı itibarıyla, Kişisel Verileri Koruma Kurulu'nun artan denetim yetkileri ve güncellenen idari yaptırım rejimleri, özellikle Gaziantep gibi sanayi ve ticaret merkezlerindeki işletmelerin uyum süreçlerini profesyonel bir boyuta taşımasını zorunlu kılmıştır. Bu kapsamlı rehberde, KVKK uyum sürecinin temel taşlarını, VERBİS kayıt kriterlerini ve veri ihlali gibi kritik acil durum senaryolarını detaylandıracağız.

1. KVKK 6698 Sayılı Kanun Kapsamında İşletme Yükümlülükleri

Kanun, veri sorumlusu olan işletmelere "veriyi elde etme anından imha anına kadar" devam eden bir dizi sorumluluk yükler. Bu yükümlülüklerin ihlali, sadece yüksek maliyetli idari para cezalarına değil, aynı zamanda ticari itibar kaybına da yol açmaktadır.

Aydınlatma Yükümlülüğü (m.10)

İşletmeler, kişisel verileri elde ederken ilgili kişiye; verinin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile kanunun 11. maddesinde sayılan hakları konusunda bilgi vermek zorundadır. Bu bilgilendirme "Aydınlatma Metni" aracılığıyla yapılır ve sadece web sitesine konulması yeterli değildir; fiziksel mağazalarda, çağrı merkezlerinde ve insan kaynakları süreçlerinde de etkin bir şekilde uygulanmalıdır.

Veri Güvenliğine İlişkin Yükümlülükler (m.12)

Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbiri almak zorundadır.

• İdari Tedbirler: KVKK politikalarının hazırlanması, çalışanlara eğitim verilmesi, gizlilik sözleşmelerinin akdedilmesi ve veri envanterinin oluşturulması.
• Teknik Tedbirler: Yetki matrisi, sızma testleri, log kayıtları, veri maskeleme, güvenlik duvarları ve antivirüs yazılımları gibi bilişim altyapısı yatırımları.

Veri Envanteri Oluşturma Yükümlülüğü

VERBİS'e kayıt yükümlülüğü olan işletmeler, veri işleme faaliyetlerini bir envantere bağlamak zorundadır. Bu envanterde hangi veri kategorisinin (Örn: Kimlik, İletişim, Finans) hangi amaçla, hangi saklama süresiyle ve kime aktarıldığı detaylıca işlenmelidir. Denetimlerde Kurul'un ilk istediği belge genellikle bu envanterdir.

2. VERBİS Kayıt Zorunluluğu Kriterleri: Kimler Tabi?

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), veri sorumlularının kamuya açık bir şekilde veri işleme faaliyetlerini ilan ettikleri bir sicildir. KVKK m.16 uyarınca, veri işlemeye başlamadan önce sicile kayıt yaptırılması esastır.

Kayıt Zorunluluğu Olan İşletmeler:

Kurul, iş yükünü yönetmek ve önceliği yüksek hacimli verilere vermek amacıyla kayıt zorunluluğu için belirli eşikler belirlemiştir. 2026 yılı uygulamaları ışığında güncel kriterler şöyledir (Bu tutarların her yıl güncellenme ihtimaline karşı resmi tebliğlerden teyit edilmesi önerilir):

1. Çalışan Sayısı Kriteri: Yıllık çalışan sayısı 50'den fazla olan veri sorumluları. (Yılın herhangi bir 7 ayında bu sayının üzerinde kalmak yeterlidir).
2. Mali Bilanço Kriteri: Yıllık mali bilanço toplamı belirli bir sınırın üzerinde olanlar. (Önceki yıllarda 25 Milyon TL olan bu sınır, 2023 yılındaki Kurul kararıyla (06.07.2023) 100 Milyon TL'ye çıkarılmıştır; ancak işletmenizin güncel ciro ve bilanço verilerini bu kapsamda profesyonel bir müşavirle kontrol etmeniz şarttır).
3. Özel Nitelikli Veri İşleyenler: Ana faaliyet konusu sağlık, biyometrik veri veya cinsel hayat gibi özel nitelikli kişisel veri işleme olanlar (Örn: Hastaneler, eczaneler, laboratuvarlar, spor salonları), çalışan sayısı veya cirosuna bakılmaksızın kayıt yaptırmak zorundadır.
4. Kamu Kurumları: Tüm kamu kurum ve kuruluşları kayıt kapsamındadır.

Kayıt Muafiyeti ve İstisnalar

Dernekler, vakıflar, sendikalar, gümrük müşavirleri ve sadece şahsi amaçla veri işleyen gerçek kişiler belirli şartlarla VERBİS kaydından muaftır. Ancak muafiyet, KVKK uyum yükümlülüğünün kalktığı anlamına gelmez; aydınlatma ve veri güvenliği sorumlulukları devam eder.

3. Veri İhlali Bildirimi: 72 Saat Kuralı (m.12/5)

Bir veri sorumlusu bünyesinde işlenen kişisel verilerin, kanuni olmayan yollarla başkaları tarafından elde edilmesi (hacklenme, veri sızıntısı, fiziksel evrak hırsızlığı vb.) durumunda veri ihlali meydana gelmiş sayılır.

İhlal Anında Yapılması Gerekenler:

• Tespit: İhlalin gerçekleştiği saptanır saptanmaz teknik inceleme başlatılmalıdır.
• Kurul'a Bildirim: Veri sorumlusu, bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirmek zorundadır. Bu süre hak düşürücü gibi algılanmalı ve hafta sonu tatili gibi gerekçelerle aşılmamalıdır.
• İlgili Kişiye Bildirim: Verileri çalınan kişilere (müşteriler, çalışanlar) uygun bir yöntemle bildirim yapılmalıdır.
• Kayıt Tutma: İhlal bildirilmese dahi, tüm ihlal şüpheleri ve alınan önlemler işletme bünyesinde tutulacak bir "İhlal Kayıt Defteri"ne işlenmelidir.

Gaziantep OSB'de faaliyet gösteren ve siber saldırılara maruz kalan firmalar için bu 72 saatlik süre, idari para cezalarının miktarını belirleyen en önemli unsurdur. Geciken bildirimler "iyi niyet" savunmasını zayıflatmaktadır.

4. İlgili Kişi Hakları: m.11 Kapsamı ve Başvuru Süreci

KVKK m.11, verisi işlenen gerçek kişilere (ilgili kişi) geniş haklar tanımıştır. Herkes, veri sorumlusuna başvurarak kendisiyle ilgili şu taleplerde bulunabilir:

• Verilerinin işlenip işlenmediğini öğrenme.
• İşleme faaliyetinin amacına uygun olup olmadığını denetleme.
• Hatalı veya eksik verilerin düzeltilmesini isteme.
• Yasal şartlar oluştuğunda verilerin silinmesini veya yok edilmesini talep etme.
• Otomatik sistemler aracılığıyla yapılan analizlere itiraz etme.

Başvuruya Yanıt Verme Zorunluluğu

İşletmeler, ilgili kişiden gelen bu başvuruları en geç 30 gün içinde ücretsiz olarak sonuçlandırmak zorundadır. Başvurunun reddedilmesi veya süresinde cevap verilmemesi durumunda ilgili kişinin Kurul'a şikayet hakkı doğar. İşletmelerin bu başvuruları yönetmek için kurumsal bir "Başvuru Yönetim Prosedürü" oluşturması şarttır.

5. KOBİ'ler İçin 5 Adımda KVKK Uyum Planı

Gaziantep gibi KOBİ (Küçük ve Orta Büyüklükteki İşletmeler) yapısının güçlü olduğu şehirlerde, uyum süreci karmaşık görünse de şu adımlarla yönetilebilir:

1. Veri Envanteri Hazırlayın: Hangi birimin (Muhasebe, Satış, İK) hangi veriyi topladığını listeleyin.
2. Aydınlatma Metinlerini Güncelleyin: Web sitenize, e-posta imzalarınıza ve sözleşmelerinize hukuka uygun aydınlatma metinleri ekleyin.
3. Teknik Altyapıyı Güçlendirin: Şifreleme, yetki kontrolü ve yedekleme gibi temel bilişim güvenlik önlemlerini alın.
4. Eğitim Verin: Personelinize kişisel verinin ne olduğunu ve bir ihlal anında ne yapmaları gerektiğini anlatın.
5. Periyodik Denetim Yapın: Yılda en az bir kez KVKK süreçlerinizi gözden geçirin ve imha politikasına göre eski verileri silin.

6. İdari Para Cezaları ve Yaptırım Rejimi

KVKK m.18 uyarınca, yükümlülüklerini yerine getirmeyen veri sorumluları hakkında ağır idari para cezaları öngörülmüştür. Bu cezaların miktarı her yıl yeniden değerleme oranına göre değiştiği için işletmelerin "donuk" rakamlara takılmaması, güncel tarife üzerinden risk analizi yapması gerekir.

• Aydınlatma yükümlülüğünün ihlali.
• Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi.
• Kurul tarafından verilen kararların uygulanmaması.
• VERBİS kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi.

Cezaların alt ve üst sınırları arasında büyük bir makas bulunmaktadır. Kurul, ceza miktarını belirlerken işletmenin cirosunu değil; ihlalin büyüklüğünü, etkilenen kişi sayısını ve veri sorumlusunun kusur derecesini dikkate alır. Dolayısıyla küçük bir işletme dahi ciddi bir veri sızıntısında en üst sınırdan ceza alma riskiyle karşı karşıyadır.

7. Gaziantep İş Dünyası ve KVKK Danışmanlığı

Gaziantep Organize Sanayi Bölgesi (OSB) ve KÜSGET gibi ticaretin kalbi olan bölgelerde, kurumsal verilerin korunması aynı zamanda ticari sırların korunmasıyla paralel yürümektedir. Bir personelin müşteri listesini kopyalayarak rakip firmaya geçmesi hem haksız rekabet davalarına hem de KVKK kapsamında ağır cezalara konu olmaktadır.

Gaziantep'teki işletmeler için sunduğumuz danışmanlık hizmetlerinde şu yerel hassasiyetlere odaklanıyoruz:

• OSB Firmalarına Özel Envanter: Üretim ve lojistik süreçlerini kapsayan veri haritaları.
• Ticari Sırların KVKK ile Korunması: Personel sözleşmelerindeki gizlilik hükümlerinin kanunla uyumlu hale getirilmesi.
• VERBİS Teknik Desteği: Karmaşık veri kategorilerinin sisteme doğru ve eksiksiz girilmesi.

8. Uzaktan Çalışma ve Çalışan İzleme Süreçlerinde KVKK

Pandemi sonrası kalıcı hale gelen uzaktan çalışma modelleri, KVKK uyumu açısından yeni riskler doğurmuştur. Şirket dışına çıkan bilgisayarlar ve kurumsal ağlara uzaktan erişim, veri güvenliği yükümlülüğünü (m.12) daha da hassas hale getirmiştir.

• Kişisel Cihaz Kullanımı (BYOD): Çalışanların kendi telefon veya bilgisayarlarından kurumsal verilere erişmesi durumunda, bu cihazların güvenliğinin sağlanması ve iş ilişkisi bittiğinde verilerin silinmesi veri sorumlusunun sorumluluğundadır.
• Çalışan İzleme Yazılımları: Verimlilik ölçümü amacıyla kullanılan ekran izleme veya klavye takip yazılımları, çalışanın özel hayatının gizliliği ile çatışabilir. Bu tür sistemler kurulmadan önce mutlaka "Temel Hak ve Özgürlükler Analizi" yapılmalı ve çalışanlara dürüstlük kuralı çerçevesinde ayrıntılı aydınlatma yapılmalıdır.

9. Sıkça Sorulan Sorular

e-Ticaret sitem var, KVKK uyumu zorunlu mu?

Kesinlikle evet. Müşterilerin adres, telefon ve ödeme bilgilerini işleyen her e-ticaret sitesi KVKK kapsamındadır. Çerez (cookie) politikaları ve pazarlama amaçlı SMS/E-posta gönderimleri için ayrıca açık rıza alınması gerekir.

VERBİS kaydı yapınca KVKK süreci bitiyor mu?

Hayır. VERBİS kaydı, uyum sürecinin sadece bir parçasıdır. Asıl olan, işletmenin günlük işleyişinde verileri hukuka uygun işlemesi ve güvenlik tedbirlerini sürekli kılmasıdır.

Kişisel verileri yurt dışındaki bir bulut sisteminde (örn: Google Drive, iCloud) saklamak suç mu?

Yurt dışına veri aktarımı KVKK m.9 uyarınca özel şartlara tabidir. Kurul'un belirlediği "Güvenli Ülkeler" listesi veya veri sorumluları arasında imzalanacak "Standart Sözleşme" örnekleri kullanılmadan yapılan aktarımlar hukuka aykırı kabul edilebilir.

Eski personel verilerini ne kadar süre saklayabilirim?

Genel kural, işlemenin amacının ortadan kalkmasıyla verinin silinmesidir. Ancak iş kanunundan doğan zamanaşımı süreleri (örn: 10 yıl) boyunca bu verilerin "arşiv" modunda saklanması mümkündür.

9. Sonuç: Profesyonel Uyumun Ticari Faydası

KVKK uyumu, sadece cezalardan kaçınmak için yapılan bir operasyon değil; kurumsallaşmanın ve dijital güvenin bir göstergesidir. Verisini doğru yöneten bir işletme, hukuki risklerini minimize ederken müşteri sadakatini de artırır. Gaziantep'teki ticaret hacminin sürdürülebilirliği için teknolojik altyapının hukuki koruma kalkanıyla desteklenmesi stratejik bir gerekliliktir.

Şehitkamil bölgesindeki ofisimizde, bilişim hukuku ve kişisel verilerin korunması alanındaki güncel gelişmeleri yakından takip ederek, Gaziantep sanayicisinin dijital dünyadaki haklarını korumaya devam ediyoruz.

---

İlgili rehberler:

• Siber Suçlar ve Bilişim Hukuku Rehberi
• Haksız Rekabet Davası ve Ticari Sırlar
• Dava Nasıl Açılır ve Adliye Süreçleri
• UYAP Vatandaş Dosya İnceleme Rehberi

Gaziantep'te bilişim hukuku kapsamında VERBİS kayıt, KVKK denetim hazırlığı, veri envanteri hazırlama ve ihlal savunması süreçleri için Av. M. Furkan Gür ile iletişime geçebilirsiniz.

Adres: Fatih Mah. Kamuran Yılmazer Cad. No:4, Şehitkamil/Gaziantep
Hukuki Danışmanlık: 0552 692 90 90