⏱️ Okuma süresi: 12 dk · 📁 Kategori: KVKK, Dijital Uyum ve Veri Güvenliği

VERBİS Kaydı ile KVKK Uyumu Aynı Şey mi?

KVKK uyum sürecinde şirketlerin en sık yaptığı hatalardan biri,
“VERBİS kaydını yaptık, artık KVKK’ya uyumluyuz”
düşüncesidir. Oysa VERBİS kaydı ile KVKK uyumu aynı şey değildir.

VERBİS kaydı, KVKK kapsamındaki yükümlülüklerden yalnızca biridir.
KVKK uyumu ise veri işleme süreçlerinin hukuka uygun hale getirilmesini,
aydınlatma yükümlülüğünün yerine getirilmesini, açık rıza süreçlerinin yönetilmesini,
veri güvenliği tedbirlerinin uygulanmasını ve veri saklama-imha süreçlerinin kurulmasını kapsayan
daha geniş bir kurumsal uyum sürecidir.

VERBİS Nedir?

VERBİS, yani Veri Sorumluları Sicil Bilgi Sistemi,
veri sorumlularının kişisel veri işleme faaliyetlerine ilişkin bilgileri beyan ettikleri resmi kayıt sistemidir.
Bu sistem, veri sorumlularının işledikleri kişisel veri kategorilerini, işleme amaçlarını, alıcı gruplarını,
saklama sürelerini ve veri güvenliği tedbirlerini görünür hale getirir.

VERBİS kaydı yapılırken şirket, kişisel verileri hangi amaçlarla işlediğini ve hangi veri gruplarını işlediğini beyan eder.
Ancak bu beyan, tek başına şirketin bütün KVKK yükümlülüklerini yerine getirdiği anlamına gelmez.

VERBİS Kaydında Genellikle Beyan Edilen Başlıklar

• Kişisel veri kategorileri
• Veri konusu kişi grupları
• İşleme amaçları
• Alıcı ve alıcı grupları
• Saklama süreleri
• Yurt içi ve yurt dışı aktarım bilgileri
• Teknik ve idari tedbirler

KVKK Uyumu Nedir?

KVKK uyumu, şirketin kişisel veri işleme faaliyetlerini 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun hale getirmesi sürecidir.
Bu süreç yalnızca VERBİS kaydından ibaret değildir.

KVKK uyumu; hukuki, idari ve teknik alanları birlikte kapsar.
Bir şirketin KVKK uyumlu sayılabilmesi için kişisel verileri hukuka uygun işlemesi,
ilgili kişileri doğru bilgilendirmesi, gerekli hallerde açık rıza alması,
veri güvenliği tedbirlerini uygulaması ve veri saklama-imha süreçlerini yönetmesi gerekir.

KVKK Uyumunun Temel Bileşenleri

• Veri işleme envanteri hazırlanması
• Aydınlatma metinlerinin oluşturulması
• Açık rıza süreçlerinin yönetilmesi
• Saklama ve imha politikası hazırlanması
• Çerez ve dijital takip teknolojilerinin uyumlu hale getirilmesi
• Veri işleyenlerle sözleşmelerin düzenlenmesi
• Yurt dışına veri aktarım süreçlerinin kontrol edilmesi
• Teknik ve idari tedbirlerin uygulanması
• Veri ihlali müdahale planı oluşturulması
• Çalışan eğitimleri ve farkındalık çalışmaları

VERBİS Kaydı Neden Tek Başına Yeterli Değildir?

VERBİS kaydı, KVKK uyumunun önemli bir parçasıdır; ancak tek başına yeterli değildir.
Çünkü VERBİS yalnızca şirketin veri işleme faaliyetlerinin sicile bildirilmesini sağlar.
Oysa KVKK, veri sorumlusuna sicil kaydının ötesinde birçok yükümlülük yükler.

Örneğin bir şirket VERBİS’e kayıt olmuş olabilir.
Ancak çalışanlarına aydınlatma metni sunmamışsa, müşterilerinden açık rıza gereken durumlarda rıza almamışsa,
çerezleri rıza olmadan çalıştırıyorsa veya kişisel verileri gereğinden uzun süre saklıyorsa,
yalnızca VERBİS kaydı yaptırmış olması bu eksiklikleri ortadan kaldırmaz.

Örnek 1: VERBİS Kaydı Var, Aydınlatma Metni Yok

Bir e-ticaret şirketi VERBİS’e kayıt yaptırmış olsun.
Ancak web sitesinde üyelik oluşturma, sipariş verme ve pazarlama izinleri sırasında kullanıcıya açık ve anlaşılır bir aydınlatma metni sunulmuyorsa,
bu şirketin KVKK uyum süreci eksiktir.

Çünkü VERBİS kaydı yapılmış olsa bile, ilgili kişinin verilerinin hangi amaçla işlendiğini öğrenme hakkı devam eder.
Aydınlatma yükümlülüğü yerine getirilmeden yalnızca sicil kaydı yapılması yeterli olmaz.

Örnek 2: VERBİS Kaydı Var, Açık Rıza Süreci Hatalı

Bir klinik, hastalarına ilişkin sağlık verilerini işliyor ve VERBİS kaydını tamamlamış olabilir.
Ancak açık rıza alınması gereken süreçlerde rıza metinleri ayrı, özgür iradeye dayalı ve bilgilendirilmiş şekilde alınmıyorsa,
KVKK uyumu sağlanmış sayılmaz.

Özellikle özel nitelikli kişisel verilerde, yalnızca VERBİS kaydı yapılması veri işleme faaliyetini otomatik olarak hukuka uygun hale getirmez.

Örnek 3: VERBİS Kaydı Var, Çerez Banner’ı Uyumlu Değil

Bir şirketin VERBİS kaydı yapılmış olabilir.
Ancak web sitesinde pazarlama ve analiz çerezleri kullanıcı rızası alınmadan çalışıyorsa,
çerez yönetimi KVKK açısından ayrıca risk doğurabilir.

Bu durumda şirketin VERBİS kaydının bulunması, web sitesindeki çerez uyumsuzluğunu ortadan kaldırmaz.

Örnek 4: VERBİS Kaydı Var, Veri Saklama Süresi Belirsiz

Bir insan kaynakları departmanı, iş başvurusu yapan adayların CV’lerini süresiz olarak saklıyorsa,
şirketin VERBİS kaydı bulunması bu uygulamayı otomatik olarak hukuka uygun hale getirmez.

Kişisel veriler, işleme amacı için gerekli olan süre kadar saklanmalı; süre sona erdiğinde silinmeli, yok edilmeli veya anonim hale getirilmelidir.

VERBİS ve KVKK Uyumu Arasındaki Farklar

VERBİS kaydı ile KVKK uyumu arasındaki farkı daha net görmek için iki kavramı ayrı ayrı değerlendirmek gerekir.

VERBİS Kaydı Ne Sağlar?

• Veri sorumlusunun sicile kayıt olmasını sağlar
• Veri işleme faaliyetlerinin beyan edilmesini sağlar
• Kişisel veri kategorilerinin görünür hale gelmesini sağlar
• Alıcı grupları ve saklama süreleri hakkında bildirim yapılmasını sağlar
• Kamuya açık sicil üzerinden şeffaflık sağlar

KVKK Uyumu Ne Sağlar?

• Veri işleme faaliyetlerinin hukuka uygun yürütülmesini sağlar
• Aydınlatma ve açık rıza süreçlerini düzenler
• Veri güvenliği tedbirlerinin uygulanmasını sağlar
• Çalışan, müşteri, tedarikçi ve ziyaretçi verilerini bütüncül ele alır
• Veri ihlallerine karşı müdahale planı oluşturur
• Denetim ve şikâyet risklerini azaltır

Şirketlerde En Sık Görülen Yanlış Senaryolar

Uygulamada birçok şirket VERBİS kaydı yaptırdığı halde KVKK uyum sürecinin diğer parçalarını eksik bırakmaktadır.
Bu durum özellikle hızlı büyüyen, çok kanallı satış yapan veya yoğun müşteri verisi işleyen yapılarda daha sık görülür.

Senaryo 1: E-Ticaret Şirketi

• VERBİS kaydı yapılmış
• Üyelik ve sipariş süreçlerinde aydınlatma metni yetersiz
• Pazarlama izni açık rıza ile ayrıştırılmamış
• Çerez banner’ı yalnızca “kabul et” mantığıyla çalışıyor

Bu durumda şirket VERBİS’e kayıtlı olsa da KVKK uyumu eksiktir.

Senaryo 2: Sağlık Kliniği

• VERBİS kaydı yapılmış
• Hasta sağlık verileri işleniyor
• Özel nitelikli kişisel veri süreçleri ayrıştırılmamış
• Açık rıza ve aydınlatma metinleri aynı belgede karışık düzenlenmiş

Bu durumda VERBİS kaydı bulunması, sağlık verilerinin her durumda hukuka uygun işlendiği anlamına gelmez.

Senaryo 3: Franchise veya Çok Şubeli Marka

• Merkez şirket VERBİS’e kayıtlı
• Şubelerde farklı formlar kullanılıyor
• Personel verileri düzensiz tutuluyor
• Kamera kayıt süreleri şubeden şubeye değişiyor

Bu durumda merkez kayıtlı olsa bile operasyonel KVKK uyumu sağlanmamış olabilir.

Senaryo 4: B2B Hizmet Şirketi

• VERBİS kaydı tamamlanmış
• CRM sistemi yurt dışı sunucularda çalışıyor
• Veri işleyen sözleşmeleri yapılmamış
• Yurt dışı veri aktarım süreci analiz edilmemiş

Bu durumda VERBİS kaydı yapılmış olsa bile veri aktarımı ve veri işleyen ilişkileri açısından risk devam eder.

KVKK Uyumunda VERBİS Dışında Neler Yapılmalı?

VERBİS kaydı tamamlandıktan sonra şirketlerin aşağıdaki başlıkları ayrıca ele alması gerekir.
Bu başlıklar, gerçek KVKK uyumunun temelini oluşturur.

1️⃣ Veri Envanteri Güncel Tutulmalı

VERBİS kaydının dayanağı veri işleme envanteridir.
Yeni bir yazılım kullanılması, yeni bir pazarlama kanalı açılması, yurt dışı veri aktarımı yapılması veya yeni bir veri kategorisi işlenmeye başlanması halinde envanter güncellenmelidir.

2️⃣ Aydınlatma Metinleri Süreç Bazlı Hazırlanmalı

Çalışan, müşteri, tedarikçi, ziyaretçi, iş başvuru adayı ve web sitesi kullanıcısı için aynı aydınlatma metninin kullanılması çoğu zaman doğru değildir.
Her veri işleme süreci için uygun aydınlatma metni hazırlanmalıdır.

3️⃣ Açık Rıza Gereken Haller Ayrıştırılmalı

Her veri işleme faaliyeti açık rızaya dayanmaz.
Ancak açık rıza gereken durumlarda rıza metni açık, özgür iradeye dayalı ve belirli bir konuya ilişkin olmalıdır.

4️⃣ Saklama ve İmha Politikası Uygulanmalı

Kişisel veriler süresiz şekilde saklanmamalıdır.
Saklama süreleri belirlenmeli ve süre sona erdiğinde silme, yok etme veya anonimleştirme süreçleri uygulanmalıdır.

5️⃣ Veri İşleyen Sözleşmeleri Gözden Geçirilmeli

CRM sağlayıcısı, e-posta pazarlama aracı, muhasebe yazılımı, bulut depolama hizmeti, çağrı merkezi veya ajans gibi üçüncü taraflarla yapılan veri işleme ilişkileri sözleşmesel olarak düzenlenmelidir.

6️⃣ Teknik ve İdari Tedbirler Uygulanmalı

Yetkilendirme, loglama, şifreleme, yedekleme, erişim kontrolü, çalışan eğitimleri ve gizlilik taahhütleri gibi tedbirler yalnızca belgede değil, fiilen uygulanmalıdır.

VERBİS Kaydı Yapılmış Bir Şirket Ne Zaman Risk Altındadır?

Aşağıdaki durumlardan biri varsa, şirketin VERBİS kaydı yapılmış olsa bile KVKK uyum riski devam eder:

• VERBİS beyanı veri envanteriyle uyumlu değilse
• Aydınlatma metinleri eksik veya güncel değilse
• Açık rıza süreçleri hukuka uygun değilse
• Çerezler rıza alınmadan çalışıyorsa
• Kamera kayıt süreleri belirlenmemişse
• CV’ler ve çalışan verileri süresiz saklanıyorsa
• Veri işleyenlerle sözleşme yapılmamışsa
• Yurt dışı veri aktarımı analiz edilmemişse
• Veri ihlali müdahale planı yoksa

Sonuç ve Uzman Değerlendirmesi

VERBİS kaydı ile KVKK uyumu aynı şey değildir.
VERBİS kaydı, KVKK uyum yolculuğunun önemli bir adımıdır; ancak tek başına yeterli değildir.

Gerçek KVKK uyumu; veri envanteri, aydınlatma metinleri, açık rıza yönetimi, saklama-imha politikası,
veri güvenliği tedbirleri, çerez uyumu, veri işleyen sözleşmeleri ve ihlal müdahale süreçlerinin birlikte yönetilmesiyle sağlanır.

Bu nedenle şirketler VERBİS kaydını bir “tamamlandı” işareti olarak değil,
KVKK uyum sürecinin kontrol noktalarından biri olarak değerlendirmelidir.

Sık Sorulan Sorular