1. Maddenin Sistematiği ve Genel Açıklama
Bu madde, kamuoyunda VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) olarak bilinen, veri sorumlularının yürüttükleri kişisel veri işleme faaliyetlerini, amaçlarını, aktarım kanallarını ve güvenlik tedbirlerini devlete ve dolayısıyla kamuya açık olarak tescil ettirmelerini emreden "Şeffaflık ve Sicil Rejimi" normudur. Madde, veri koruma hukukunda "hesap verebilirlik" (accountability) ve "kamuya açıklık" ilkelerinin en somut kurumsal yansımasıdır. VERBİS, devletin piyasadaki veri hareketlerini izleyebileceği devasa bir veri haritası olduğu gibi; ilgili kişilerin de haklarını ararken hangi veri sorumlusunun hangi verileri ne amaçla işlediğini sorgulayabileceği kamusal bir sorgulama portalıdır. Yasa koyucu bu tescil yükümlülüğünü yerine getirmeyen veri sorumluları hakkında m. 18 uyarınca fahiş para cezaları öngörmüştür.
2. Maddedeki Kavramların Analizi
- Veri Sorumluları Sicili (VERBİS): Kurul gözetiminde, Kişisel Verileri Koruma Kurumu Başkanlığı bünyesinde dijital ortamda (verbis.kvkk.gov.tr) tutulan, kamuya açık resmi tescil sicilidir.
- Sicil Kayıt Zorunluluğu ve İstisnaları (m. 16/2): Kural, veri işleyen tüm gerçek ve tüzel kişilerin kaydolmasıdır. Ancak Kurul, pratik iş hayatını felç etmemek adına objektif ekonomik ve teknik sınırlar koyarak bazı grupları bu kayıttan muaf tutmuştur:
- Mali Sınır İstisnası: Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 100 milyon TL'den az olan veri sorumlularından ana faaliyeti özel nitelikli kişisel veri işleme olmayanlar (örn: küçük perakendeciler, şahıs işletmeleri vb.) kayıttan muaftır.
- Mesleki İstisnalar: Avukatlar, noterler, SMMM ve YMM'ler, dernekler, vakıflar ve sendikalar VERBİS'e kayıt yükümlülüğünden tamamen muaf tutulmuştur.
- Kapsam İçi Olanlar: Çalışan sayısı 50'yi veya bilançosu 100 milyon TL'yi aşan tüm şirketler ile çalışan sayısına bakılmaksızın ana faaliyeti özel nitelikli veri (sağlık) işlemek olan hekimler, diş hekimleri, eczaneler, özel hastaneler, diyetisyenler sicile kaydolmak zorundadır.
- Kayıt Başvurusunun İçeriği (m. 16/3): Sicile kesinlikle vatandaşların isim listeleri, T.C. kimlik numaraları gibi "somut kişisel veriler" girilmez. Sadece kategorik beyanlar girilir. (Örn: "Müşteri kişi grubunun, kimlik ve iletişim veri kategorileri, fatura kesilmesi amacıyla, 10 yıl süreyle saklanmak üzere, mali müşavire aktarılarak işlenmektedir"). Bu beyanın temeli şirket içinde hazırlanan **"Kişisel Veri İşleme Envanteri"**dir.
3. Sistematik İlişkiler
Madde 16; AB Genel Veri Koruma Tüzüğü'nün (GDPR) 30. maddesinde düzenlenen "Veri İşleme Faaliyetlerinin Kaydı" (Records of processing activities) yükümlülüğünün Türkiye'deki kurumsal karşılığıdır. Kanun içinde m. 3 (veri sorumlusu tanımı), m. 10 (aydınlatma), m. 12 (veri güvenliği) ve VERBİS kayıt yükümlülüğüne aykırı hareket edenlere verilecek idari para cezasını (2026 yılı tebliğ oranlarıyla en az 39.916 TL ile 1.995.826 TL arası) belirleyen m. 18/1-ç hükümleriyle doğrudan bir usul zinciri kurar.
4. Uygulama: Yargıtay / Bölge Adliye Mahkemesi (BAM) İçtihadı
VERBİS kayıt süreleri Kurul kararlarıyla defalarca uzatılmış ve nihayetinde kalıcı bir düzene oturtulmuştur. İdare Mahkemeleri kararlarında, VERBİS kayıt yükümlülüğü doğduğu halde süresi içinde kayıt başvurusu yapmayan veya sicildeki verilerini güncellemeyen şirketlere kesilen idari para cezaları tamamen hukuka uygun bulunmaktadır. Sicile kayıt olmamak, siber güvenlik açığı gibi yoruma dayalı bir ihlal olmayıp, şekli ve net bir süre aşımı ihlali olduğundan savunulması neredeyse imkansız bir kabahattir.
5. Pratik Örnek Olaylar
Örnek: 100 çalışanı ve yıllık 200 milyon TL cirosu olan A Şirketi, VERBİS'e kayıt olmak zorundadır. Şirket, veri işlemeye başlamadan önce VERBİS sistemine girerek veri envanterini sisteme tanımlamalıdır. Şirket bu kaydı yapmaz veya eksik yaparsa, Kurulca yapılacak denetimde m. 18/1-ç uyarınca en az 39.916 TL idari para cezasına çarptırılır. Eğer şirket daha sonra veri saklama sürelerinde değişiklik yaparsa (örn: müşteri verisini 5 yıl yerine 10 yıl saklamaya karar verirse), bu değişikliği Madde 16/4 uyarınca VERBİS portalında derhal güncellemek zorundadır.
6. Pratik Uygulama Notları
- Envantersiz VERBİS Kaydı Yapmayın: Şirketler VERBİS kaydı yaparken sıklıkla kopyala-yapıştır yöntemlerle veya dışarıdan şablonlarla sistemi doldurmaktadır. Ancak VERBİS'e girilen beyanlar, şirketin fiilen uyguladığı aydınlatma metinleriyle ve saklama-imha politikalarıyla çelişirse, olası bir Kurul denetiminde bu çelişki "yanıltıcı beyan/usulsüz bildirim" olarak nitelendirilerek ek yaptırımlara yol açar. VERBİS kaydı, mutlaka şirket içinde hazırlanan gerçekçi bir **"Veri İşleme Envanteri"**ne dayanmalıdır.
7. Eleştirel Değerlendirme
- VERBİS'in Kağıt Üzerinde Bir Bürokratik Formaliteye Dönüşmesi: VERBİS sistemi teoride çok iyi tasarlanmış olmasına rağmen, pratikte şirketler için angarya bir veri yükleme işine dönüşmüştür. Şirketler sisteme uymayan genel geçer kategorileri işaretlemekte; vatandaşlar ise haklarını ararken VERBİS sorgulama sistemini neredeyse hiç kullanmamaktadır. Sistemin işlevsel hale gelmesi için, VERBİS kayıtlarının doğrudan şirketlerin kamuya açık web sitelerindeki gizlilik politikalarıyla otomatik olarak senkronize edilmesi ve ilgili kişilerin kendi ad-soyadlarını sorguladıklarında verilerinin işlenip işlenmediğini görebilecekleri (güvenlik kısıtları dahilinde) daha interaktif ve dinamik bir şeffaflık portalına dönüştürülmesi regülasyon kalitesini artıracaktır.
Metodolojik Not
Bu akademik yorum ve analiz, Veri Sorumluları Sicilinin (VERBİS) kurumsal ve anayasal mahiyetini, kayıt zorunluluğunun çalışan ve bilanço eşiği sınırlarını, sicil istisnalarını ve envanter tabanlı tescil usullerini 6698 sayılı Kanun'un 16. maddesi dairesinde Av. Fethi Güzel'in kurumsal uyum hukuku uzmanlığıyla analiz etmektedir.
1. Maddenin Sistematiği ve Genel Açıklama
Bu madde, kamuoyunda VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) olarak bilinen, veri sorumlularının yürüttükleri kişisel veri işleme faaliyetlerini, amaçlarını, aktarım kanallarını ve güvenlik tedbirlerini devlete ve dolayısıyla kamuya açık olarak tescil ettirmelerini emreden "Şeffaflık ve Sicil Rejimi" normudur. Madde, veri koruma hukukunda "hesap verebilirlik" (accountability) ve "kamuya açıklık" ilkelerinin en somut kurumsal yansımasıdır. VERBİS, devletin piyasadaki veri hareketlerini izleyebileceği devasa bir veri haritası olduğu gibi; ilgili kişilerin de haklarını ararken hangi veri sorumlusunun hangi verileri ne amaçla işlediğini sorgulayabileceği kamusal bir sorgulama portalıdır. Yasa koyucu bu tescil yükümlülüğünü yerine getirmeyen veri sorumluları hakkında m. 18 uyarınca fahiş para cezaları öngörmüştür.
2. Maddedeki Kavramların Analizi
3. Sistematik İlişkiler
Madde 16; AB Genel Veri Koruma Tüzüğü'nün (GDPR) 30. maddesinde düzenlenen "Veri İşleme Faaliyetlerinin Kaydı" (Records of processing activities) yükümlülüğünün Türkiye'deki kurumsal karşılığıdır. Kanun içinde m. 3 (veri sorumlusu tanımı), m. 10 (aydınlatma), m. 12 (veri güvenliği) ve VERBİS kayıt yükümlülüğüne aykırı hareket edenlere verilecek idari para cezasını (2026 yılı tebliğ oranlarıyla en az 39.916 TL ile 1.995.826 TL arası) belirleyen m. 18/1-ç hükümleriyle doğrudan bir usul zinciri kurar.
4. Uygulama: Yargıtay / Bölge Adliye Mahkemesi (BAM) İçtihadı
VERBİS kayıt süreleri Kurul kararlarıyla defalarca uzatılmış ve nihayetinde kalıcı bir düzene oturtulmuştur. İdare Mahkemeleri kararlarında, VERBİS kayıt yükümlülüğü doğduğu halde süresi içinde kayıt başvurusu yapmayan veya sicildeki verilerini güncellemeyen şirketlere kesilen idari para cezaları tamamen hukuka uygun bulunmaktadır. Sicile kayıt olmamak, siber güvenlik açığı gibi yoruma dayalı bir ihlal olmayıp, şekli ve net bir süre aşımı ihlali olduğundan savunulması neredeyse imkansız bir kabahattir.
5. Pratik Örnek Olaylar
Örnek: 100 çalışanı ve yıllık 200 milyon TL cirosu olan A Şirketi, VERBİS'e kayıt olmak zorundadır. Şirket, veri işlemeye başlamadan önce VERBİS sistemine girerek veri envanterini sisteme tanımlamalıdır. Şirket bu kaydı yapmaz veya eksik yaparsa, Kurulca yapılacak denetimde m. 18/1-ç uyarınca en az 39.916 TL idari para cezasına çarptırılır. Eğer şirket daha sonra veri saklama sürelerinde değişiklik yaparsa (örn: müşteri verisini 5 yıl yerine 10 yıl saklamaya karar verirse), bu değişikliği Madde 16/4 uyarınca VERBİS portalında derhal güncellemek zorundadır.
6. Pratik Uygulama Notları
7. Eleştirel Değerlendirme
Metodolojik Not
Bu akademik yorum ve analiz, Veri Sorumluları Sicilinin (VERBİS) kurumsal ve anayasal mahiyetini, kayıt zorunluluğunun çalışan ve bilanço eşiği sınırlarını, sicil istisnalarını ve envanter tabanlı tescil usullerini 6698 sayılı Kanun'un 16. maddesi dairesinde Av. Fethi Güzel'in kurumsal uyum hukuku uzmanlığıyla analiz etmektedir.