Bu rehber, kişisel veri işleyen bir işletme sahibi ya da yetkilisiyseniz, VERBİS kaydını sıfırdan, hiç bilgi sahibi olmadan dahi adım adım tamamlayabilmeniz için hazırlandı. "Kayıt yapmam gerekiyor mu?", "Eşikler kaç?", "Hangi ekrana ne gireceğim?" sorularının hepsini somut rakamlar ve sıralı adımlarla yanıtlıyoruz.
Yıllık çalışan sayınız 50'den fazlaysa veya yıllık mali bilançonuz 100 milyon TL'den fazlaysa VERBİS kaydı zorunludur. Ana faaliyetiniz sağlık, biyometri gibi özel nitelikli veri işlemekse eşikler çok daha düşüktür. Kayıt; envanter çıkarma → e-Devlet ile giriş → irtibat kişisi atama → bildirim doldurma adımlarından oluşur ve verbis.kvkk.gov.tr üzerinden yapılır.
Hızlı Bilgi Panosu — Güncel Eşikler
- VERBİS nedir, ne işe yarar?
- Kayıt yükümlüsü müyüm? (somut rakamlar + örnekler)
- Kimler muaf? (istisna grupları)
- Kayıt öncesi hazırlık: işleme envanteri
- Adım adım VERBİS kaydı (7 adım)
- Sicil bildiriminde hangi bilgiler istenir?
- İrtibat kişisi kimdir, DPO ile farkı?
- Kayıt yapılmazsa veya geç yapılırsa
- Sık yapılan 6 hata
- Hızlı kontrol listesi
VERBİS Nedir, Ne İşe Yarar?
VERBİS (Veri Sorumluları Sicili Bilgi Sistemi); kayıt yükümlüsü işletmelerin, işledikleri kişisel verilere ilişkin temel bilgileri (işleme amaçları, veri kategorileri, aktarılan taraflar, saklama süreleri, alınan teknik–idari tedbirler) beyan ettikleri, Kişisel Verileri Koruma Kurumu tarafından tutulan kamuya açık çevrimiçi bir sicildir. Amaç, kişisel veri işleme faaliyetlerinde şeffaflık ve hesap verebilirlik sağlamaktır. Sicil herkese açıktır; bir vatandaş, bir işletmenin hangi veri kategorilerini işlediğini sicilden sorgulayabilir.
Dikkat: VERBİS'e kayıt olmak, "KVKK'ya uydum" demek değildir. Kayıt yalnızca bir bildirim yükümlülüğüdür; aydınlatma metni, açık rıza yönetimi ve veri güvenliği gibi yükümlülükler ayrıca yerine getirilmelidir.
Kayıt Yükümlüsü müyüm? (Somut Rakamlarla)
İşte en çok merak edilen kısım — net rakamlarla. Kayıt yükümlülüğü, işletmenizin büyüklüğüne ve işlediğiniz verinin niteliğine göre belirlenir. Aşağıdaki dört durumdan en az birine giriyorsanız VERBİS kaydı zorunludur:
1) Genel kural — Çalışan sayısı veya bilanço eşiği
Ana faaliyeti özel nitelikli veri işlemek olmayan işletmeler için:
- Yıllık çalışan sayısı 50'den çok ise, veya
- Yıllık mali bilanço toplamı 100 milyon TL'den çok ise → kayıt ZORUNLU.
İki ölçütten herhangi birinin aşılması yeterlidir; ikisinin birden aşılması gerekmez. (Bilanço eşiği, Kurul'un 06.07.2023 tarihli 2023/1154 sayılı kararıyla 25 milyon TL'den 100 milyon TL'ye yükseltilmiştir.)
Örnek A: 8 çalışanlı, yıllık bilançosu 12 milyon TL olan bir butik — her iki eşiğin de altında ve özel nitelikli veri ana faaliyeti değil → genel kuraldan kayıt gerekmez (aşağıdaki diğer şartlara da bakın).
Örnek B: 60 çalışanlı bir tekstil firması — çalışan eşiği aşıldığı için bilançosuna bakılmaksızın → kayıt zorunlu.
Örnek C: 20 çalışanlı ama yıllık bilançosu 130 milyon TL olan bir ticaret şirketi — bilanço eşiği aşıldığı için → kayıt zorunlu.
2) Ana faaliyeti özel nitelikli (hassas) veri işlemek olanlar
Sağlık, biyometrik/genetik veri, cinsel hayat, din, ırk, ceza mahkûmiyeti gibi özel nitelikli kişisel verileri ana faaliyeti olarak işleyen veri sorumluları (örn. hastane, poliklinik, laboratuvar, diş kliniği, psikolog, özel sağlık kuruluşu) için eşikler çok daha düşüktür: bu işletmeler kural olarak çalışan/bilanço eşiklerine bakılmaksızın kayıt yükümlüsüdür.
Yeni mikro istisna: Kurul'un 04.09.2025 tarihli 2025/1572 sayılı kararıyla, ana faaliyeti özel nitelikli veri işlemek olsa bile yıllık çalışan sayısı 10'dan az VE yıllık mali bilanço toplamı 10 milyon TL'den az olan çok küçük (mikro) veri sorumluları kayıt yükümlülüğünden istisna tutulmuştur. Yani 5 çalışanlı, bilançosu 4 milyon TL olan küçük bir diş kliniği bu istisnaya girebilir; ancak bu çok dar bir istisnadır ve sınırın hemen üstündekiler kayıt yükümlüsüdür.
3) Kamu kurum ve kuruluşları
Kamu kurum ve kuruluşu niteliğindeki veri sorumluları, eşiklere bakılmaksızın kayıt yükümlüsüdür.
4) Yurt dışında yerleşik veri sorumluları
Türkiye'de yerleşik olmayan (yurt dışı merkezli) veri sorumluları da, Türkiye'deki ilgili kişilerin verilerini işliyorlarsa kayıt yükümlüsüdür ve Türkiye'de bir temsilci atamaları gerekir.
Özetle karar mantığı: "50 çalışandan çok muyum VEYA 100 milyon TL bilançodan çok muyum?" Evetse kayıt zorunlu. Hayırsa, "ana faaliyetim özel nitelikli veri işlemek mi?" Evetse (ve mikro istisnaya girmiyorsanız) yine zorunlu. Kamu kurumu veya yurt dışı merkezliyseniz her hâlükârda zorunlu.
Kimler Muaf? (İstisna Grupları)
Yukarıdaki eşiklerin altında kalmanın yanı sıra, Kurul kararlarıyla bazı veri sorumlusu grupları doğrudan kayıt yükümlülüğünden istisna tutulmuştur. Uygulamada en çok bilinen istisna grupları şunlardır:
- Herhangi bir veri kayıt sisteminin parçası olmaksızın, yalnızca otomatik olmayan yollarla veri işleyenler,
- Noterler (kendi özel kanunlarına göre tuttukları defter ve kayıtlar bakımından),
- Dernek, vakıf ve sendikalar — yalnızca ilgili mevzuata ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olarak ve sadece kendi çalışan, üye, mensup ve bağışçılarına yönelik veri işledikleri ölçüde,
- Siyasi partiler,
- Avukatlar (1136 sayılı Kanun kapsamındaki faaliyetleri yönünden),
- Serbest muhasebeci mali müşavirler ve yeminli mali müşavirler (3568 sayılı Kanun kapsamında),
- Gümrük müşavirleri ve arabulucular (kendi mevzuatları kapsamındaki faaliyetleri yönünden).
Çok önemli: İstisna kapsamında olmak, yalnızca VERBİS'e kayıt yükümlülüğünden muaf olmak demektir. Bu kişi ve kuruluşlar, aydınlatma yapma, veri güvenliği tedbiri alma ve ilgili kişi başvurularını yanıtlama gibi diğer tüm KVKK yükümlülüklerine tabidir. Ayrıca istisna listesi Kurul kararlarıyla zaman zaman güncellenir; tereddüt halinde güncel duruma bakılmalıdır.
Kayıt Öncesi Hazırlık: Kişisel Veri İşleme Envanteri
VERBİS kaydının özü, bir "form doldurmaktan" değil, işletmenizin verisini doğru tanımlamaktan geçer. Kayda başlamadan önce mutlaka bir kişisel veri işleme envanteri çıkarın. Envanterde şu soruların yanıtı bulunmalıdır:
- Kimlerin verisini işliyorum? (Veri konusu kişi grupları: çalışanlar, müşteriler, ziyaretçiler, tedarikçiler, aday çalışanlar…)
- Hangi veri kategorilerini işliyorum? (Kimlik, iletişim, finans, özlük, sağlık, görsel/işitsel kayıt, hukuki işlem, müşteri işlem…)
- Hangi amaçla işliyorum? (Sözleşme ifası, insan kaynakları, pazarlama, faturalandırma, güvenlik…)
- Hangi hukuki sebebe dayanıyorum? (KVKK m.5–6: açık rıza, kanuni yükümlülük, sözleşme, meşru menfaat…)
- Kimlere aktarıyorum? (Muhasebeci, banka, kargo, bulut sağlayıcı, kamu kurumları…)
- Yurt dışına aktarıyor muyum? (Yurt dışı bulut/e-posta/yazılım kullanıyorsanız evet olabilir.)
- Ne kadar süre saklıyorum? (Her veri kategorisi için azami saklama süresi.)
- Hangi teknik ve idari tedbirleri alıyorum? (Şifreleme, yetkilendirme, gizlilik taahhütnamesi, eğitim…)
Bu envanter, hem VERBİS bildirimini doldururken kopyalayacağınız kaynak olacak hem de bir denetimde "hesap verebilirlik" belgeniz olacaktır.
Adım Adım VERBİS Kaydı (7 Adım)
Hazırlık tamamlandıysa, kayıt teknik olarak şu adımlardan oluşur. Tüm işlemler verbis.kvkk.gov.tr adresi üzerinden yapılır.
Kayıt yükümlülüğünü ve veri sorumlusu türünü belirleyin
Yukarıdaki eşiklere göre kayıt yükümlüsü olduğunuzu doğrulayın. Veri sorumlusunun Türkiye'de yerleşik gerçek kişi mi, tüzel kişi mi (şirket), yoksa yurt dışı merkezli mi olduğunu belirleyin; giriş yöntemi buna göre değişir.
İşleme envanterini hazırlayın
Bir önceki bölümdeki sorulara göre envanteri tamamlayın. Bildirim ekranına gireceğiniz tüm bilgiler bu envanterden gelecektir.
Veri Sorumlusu Yönetici Girişi yapın
verbis.kvkk.gov.tr adresinde "Veri Sorumlusu Yönetici Girişi" bölümüne girin. Türkiye'de yerleşik tüzel kişilerde, yetkili kişi e-Devlet (e-Devlet Kapısı) üzerinden kimlik doğrulaması yaparak sisteme giriş yapar ve veri sorumlusunu (şirketi) tanımlar. Yurt dışı merkezli veri sorumluları, atadıkları temsilci üzerinden ilerler.
İrtibat kişisini atayın
Sistemde, Kurum ve ilgili kişilerle iletişimi sağlayacak irtibat kişisini tanımlayın (ad-soyad, T.C. kimlik no, iletişim bilgileri). İrtibat kişisi Türkiye'de yerleşik bir gerçek kişi olmalıdır.
Sicil bildirimini doldurun
Bildirim ekranında; veri kategorileri, işleme amaçları, alıcı/alıcı grupları, yabancı ülkelere aktarım durumu, veri konusu kişi grupları, azami saklama süreleri ve alınan teknik–idari tedbirleri envanterinize göre tek tek seçin/girin. Sistem büyük ölçüde hazır listelerden seçim yaptırır.
Bildirimi kaydedin ve tamamlayın
Girilen bilgileri kontrol edip bildirimi kaydedin. Bildirim tamamlandığında işletmeniz sicile kayıtlı hâle gelir ve kamuya açık sorgu ekranında görünür.
Kaydı güncel tutun
Yeni bir veri kategorisi, yeni bir aktarım (örn. yeni bir yurt dışı yazılım), yeni bir işleme amacı eklendiğinde bildiriminizi güncelleyin. VERBİS kaydı "bir kez yapılıp unutulan" bir işlem değildir.
Sicil Bildiriminde Hangi Bilgiler İstenir?
Bildirim ekranında genel olarak şu başlıklar doldurulur. Hepsini envanterinizden hazır getirirseniz kayıt yarım saatte biter:
- Veri kategorileri: Kimlik, iletişim, özlük, finans, sağlık, görsel/işitsel, hukuki işlem vb.
- Kişisel veri işleme amaçları: İK süreçleri, sözleşme ifası, faturalandırma, pazarlama, fiziksel mekân güvenliği vb.
- Veri konusu kişi grupları: Çalışanlar, müşteriler, tedarikçiler, ziyaretçiler, aday çalışanlar vb.
- Alıcı / alıcı grupları: Verilerin aktarılabileceği taraflar (yetkili kamu kurumları, iş ortakları, tedarikçiler).
- Yabancı ülkelere aktarım: Yurt dışına aktarım var mı, hangi ülkelere.
- Azami saklama süreleri: Her veri kategorisi için.
- Teknik ve idari tedbirler: Sistemde hazır listeden işaretlenir (yetkilendirme, şifreleme, loglama, eğitim, gizlilik sözleşmesi vb.).
İrtibat Kişisi Kimdir, DPO ile Farkı Nedir?
İrtibat kişisi; veri sorumlusu adına Kurum ve ilgili kişilerle iletişimi sağlayan kişidir. Sık yapılan bir yanılgı, irtibat kişisini Avrupa veri koruma hukukundaki "Veri Koruma Görevlisi (DPO)" ile aynı sanmaktır. Değildir: irtibat kişisi veri sorumlusunu temsil etmez, onun yükümlülüklerini üstlenmez ve onun yerine karar almaz. Yalnızca bir iletişim noktasıdır. Dolayısıyla irtibat kişisi atamak, KVKK sorumluluğunu o kişiye devretmek anlamına gelmez; sorumluluk veri sorumlusunda (işletmede) kalır.
Kayıt Yapılmazsa veya Geç Yapılırsa Ne Olur?
VERBİS'e kayıt ve bildirim yükümlülüğüne aykırılık, KVKK m.18 kapsamında idari para cezası gerektirir. Bu cezalar her takvim yılı yeniden değerleme oranında güncellenir; bu nedenle bu rehberde sabit bir tutar vermiyoruz — güncel tutar için Kurum'un o yılki tarifesine bakılmalıdır. Ancak ceza tutarları azımsanmayacak düzeydedir ve kayıt süresi geçtikçe risk büyür.
Ayrıca kayıt yükümlülüğünü yerine getirmemek, bir ilgili kişi şikayeti ya da denetim sırasında işletmenin genel KVKK uyumsuzluğunun da gündeme gelmesine yol açar; tek başına "kayıtsızlık" cezası, çoğu zaman daha geniş bir incelemenin kapısını aralar.
Sık Yapılan 6 Hata
- Envantersiz kayıt: Sadece "kayıt görünsün" diye, gerçeği yansıtmayan genel-geçer bildirim girmek. Yanlış/eksik beyan, başlı başına risktir.
- Eşiği yanlış okumak: "Az çalışanım var, bana gerekmez" deyip bilanço eşiğini (100 milyon TL) ya da özel nitelikli veri kuralını atlamak.
- Özel nitelikli veriyi fark etmemek: İşyeri sağlık raporları, parmak izli giriş (biyometrik) gibi verilerin "özel nitelikli" olduğunu ve eşikleri düşürdüğünü gözden kaçırmak.
- Kaydı güncellememek: Yeni yazılım/tedarikçi/aktarım eklendiğinde bildirimi güncellememek.
- İrtibat kişisini "sorumlu" sanmak: Tüm KVKK sorumluluğunu irtibat kişisine yüklediğini düşünmek.
- VERBİS'i "uyum bitti" sanmak: Kaydı yapıp aydınlatma, açık rıza ve veri güvenliği adımlarını ihmal etmek.
Hızlı Kontrol Listesi
- ☐ Çalışan sayım ve yıllık bilançom belli (eşik kontrolü yapıldı)
- ☐ Ana faaliyetimde özel nitelikli veri var mı, değerlendirildi
- ☐ Kişisel veri işleme envanteri hazır
- ☐ e-Devlet ile Veri Sorumlusu Yönetici Girişi yapıldı
- ☐ İrtibat kişisi atandı
- ☐ Sicil bildirimi (kategoriler, amaçlar, aktarım, süreler, tedbirler) dolduruldu
- ☐ Bildirim kaydedildi, sicilde görünüyor
- ☐ Aydınlatma metni, açık rıza ve veri güvenliği tedbirleri de tamam (VERBİS tek başına yeterli değil)
- ☐ Değişiklik oldukça kaydı güncelleme planı var
VERBİS kaydı, daha geniş bir KVKK uyum sisteminin yalnızca bir parçasıdır. Aydınlatma metinleri, açık rıza yönetimi, veri güvenliği ve veri ihlali müdahale planı ile birlikte ele alınmalıdır. Konunun tüm boyutları ve işletmenize özel kurulum için KVKK & Veri Koruma Avukatı sayfamızı inceleyebilirsiniz.
Bu yazı genel bilgilendirme amacıyla hazırlanmıştır; eşik ve istisnalar Kurul kararlarıyla güncellenebilir. İşletmenizin kayıt yükümlülüğü ve uyum süreci için bir avukata danışmanız tavsiye edilir.