VERBİS Kaydı Nasıl Yapılır? Kimler VERBİS’e Kayıt Olmak Zorundadır?

31 Mayıs 2026

Kişisel verilerin korunması mevzuatı, şirketlerin yalnızca kişisel verileri hukuka uygun işlemesini değil, bu işleme faaliyetlerini belirli bir sistematik içinde yönetmesini de zorunlu kılar. Bu sistematiğin önemli araçlarından biri VERBİS, yani Veri Sorumluları Sicil Bilgi Sistemidir.

VERBİS, veri sorumlularının hangi kişisel veri kategorilerini işlediğini, bu verileri hangi amaçlarla kullandığını, kimlere aktardığını, ne kadar süre sakladığını ve hangi teknik/idari tedbirleri aldığını beyan ettiği bir kayıt sistemidir. Ancak VERBİS kaydı, çoğu zaman yanlış anlaşıldığı gibi tek başına KVKK uyumu anlamına gelmez.

VERBİS Nedir?

VERBİS, veri sorumlularının Sicile kayıt ve bildirim yükümlülüklerini yerine getirmek için kullandığı elektronik sistemdir. Sistemde şirketin işlediği kişisel veriler tek tek kişi bazında girilmez. Bunun yerine veri işleme faaliyetleri kategorik olarak beyan edilir.

Örneğin bir şirket VERBİS’te;

• çalışan verilerini,
• müşteri verilerini,
• tedarikçi/iş ortağı verilerini,
• ziyaretçi kayıtlarını,
• kamera kaydı gibi görsel-işitsel verileri,
• sağlık verisi, ceza mahkûmiyeti verisi veya biyometrik veri gibi özel nitelikli kişisel veri kategorilerini,

hangi amaçlarla işlediğini ve bu verilerle ilgili aldığı tedbirlere ilişkin temel süreçleri KVK Kurumu kamu otoritesine bildirir.

Kimler VERBİS Kaydı Yapmak Zorundadır?

KVKK kapsamında kural olarak kişisel veri işleyen gerçek ve tüzel kişi veri sorumluları, Veri Sorumluları Siciline kayıt olmakla yükümlüdür. Ancak Kurul tarafından bazı veri sorumluları için istisnalar getirilmiştir.

Genel uygulamada VERBİS kayıt yükümlülüğü özellikle aşağıdaki veri sorumluları bakımından önem taşır:

• yıllık çalışan sayısı ve mali bilanço toplamı bakımından belirlenen eşikleri aşan şirketler,
• ana faaliyet konusu özel nitelikli kişisel veri işlemek olan bazı meslek ve faaliyet grupları,
• yurt dışında yerleşik olup Türkiye’deki kişilerin verilerini işleyen veri sorumluları,
• kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları.

Şirketlerin “VERBİS’e kayıt zorunluluğum var mı?” sorusunu yalnızca şirket büyüklüğüne göre değil, işlenen veri türlerine, faaliyet konusuna ve özel nitelikli kişisel veri işlenip işlenmediğine göre değerlendirmesi gerekir.

Özellikle sağlık, insan kaynakları, güvenlik, eğitim, sigorta, turizm, e-ticaret, dijital platformlar ve çağrı merkezi faaliyetlerinde kişisel veri işleme süreçleri yoğun olduğu için VERBİS yükümlülüğü ayrıca dikkatle analiz edilmelidir.

VERBİS Kaydı Ne Zaman Yapılmalıdır?

VERBİS kayıt yükümlülüğü bulunan veri sorumlularının, yükümlülük doğduktan sonra kayıt ve bildirim sürecini süresi içinde tamamlaması gerekir. Bu noktada özellikle şirketlerin yıllık çalışan sayısı ve mali bilanço toplamı bakımından yapılan değerlendirme önemlidir.

Bir şirket önceki yıllarda VERBİS kayıt yükümlülüğü kapsamında olmayabilir. Ancak faaliyet hacminin büyümesi, çalışan sayısının artması veya mali bilanço toplamının ilgili eşikleri aşması halinde sonraki dönemde VERBİS kaydı yapmakla yükümlü hale gelebilir. Bu nedenle şirketlerin yıllık mali tabloları ve çalışan sayılarını dikkate alarak VERBİS yükümlülük analizini yeniden yapması gerekir.

Özellikle 2025 yılı bakımından şirketlerin mali tablo ve bilanço büyüklükleri 30 Nisan 2026 itibarıyla kesinleşmiş durumdadır. Bu doğrultuda, 2025 yılı verileri esas alındığında VERBİS kayıt yükümlülüğü doğan şirketlerin 2026 yılında Mayıs ayı sonuna kadar VERBİS kayıt ve bildirim işlemlerini tamamlaması gerekir.

Bu süre yalnızca teknik bir başvuru süresi olarak görülmemelidir. Çünkü VERBİS kaydı, öncesinde kişisel veri işleme envanteri hazırlanmasını, veri kategorilerinin belirlenmesini, saklama sürelerinin tespit edilmesini, alıcı gruplarının analiz edilmesini ve teknik/idari tedbirlerin değerlendirilmesini gerektirir.

Bu nedenle VERBİS’e kayıt yükümlülüğü doğan şirketlerin Mayıs ayı sonunu beklemeden hazırlık sürecine başlaması gerekir. Aksi halde son günlerde yapılan kayıtlar genellikle eksik, hatalı veya şirketin fiili veri işleme süreçleriyle uyumsuz olabilmektedir.

VERBİS kayıt yükümlülüğü doğduğu halde süresinde kayıt yapılmaması veya bildirimin tamamlanmaması halinde şirketler idari para cezası riskiyle karşılaşabilir.

VERBİS Kaydı Öncesinde Ne Yapılmalıdır?

VERBİS kaydı yapılmadan önce şirketin kişisel veri işleme faaliyetleri analiz edilmelidir. Bu analiz yapılmadan doğrudan sisteme giriş yapmak, çoğu zaman eksik veya hatalı beyana yol açar.

VERBİS kaydından önce hazırlanması gereken temel çalışma kişisel veri işleme envanteridir. Bu envanterde en azından şu soruların cevaplanması gerekir:

• Şirket hangi kişisel verileri işliyor?
• Bu veriler kimlere (hangi veri gruplarına) ait?
• Veriler hangi hukuki sebeple işleniyor?
• Veriler hangi amaçla işleniyor?
• Veriler hangi birimler tarafından kullanılıyor?
• Veriler kimlere aktarılıyor?
• Yurt dışına veri aktarımı yapılıyor mu?
• Veriler ne kadar süre saklanıyor?
• Saklama süresi sonunda nasıl imha ediliyor?
• Hangi teknik ve idari güvenlik tedbirleri uygulanıyor?

VERBİS bildirimi, bu envanter çalışmasına dayanmalıdır. Envanter hazırlanmadan yapılan VERBİS bildirimi genellikle yüzeysel, eksik veya gerçeğe aykırı olur.

Veri envanteri, VERBİS kaydına temel teşkil ettiği gibi, şirket içinde uygulanacak diğer KVKK dokümantasyonunun da temelidir.

VERBİS Kaydı Nasıl Yapılır?

VERBİS kaydı birkaç aşamadan oluşur. Burada en çok hata yapılan nokta, kurum girişi veya irtibat kişisi atama işleminin VERBİS bildirimiyle karıştırılmasıdır.

1. VERBİS Yükümlülük Analizi Yapılır

İlk adımda şirketin VERBİS’e kayıt yükümlülüğü bulunup bulunmadığı belirlenir. Bu aşamada;

• çalışan sayısı,
• yıllık mali bilanço toplamı,
• şirketin ana faaliyet konusu,
• özel nitelikli kişisel veri işlenip işlenmediği,
• şirketin yurt içi/yurt dışı yerleşiklik durumu,
• faaliyet alanı

birlikte değerlendirilir.

Şirket istisna kapsamında değilse VERBİS kayıt süreci başlatılır.

2. Kişisel Veri İşleme Envanteri Hazırlanır

VERBİS’e girilecek bilgiler doğrudan şirketin kişisel veri işleme envanterinden alınmalıdır. Bu nedenle şirket içinde departman bazlı çalışma yapılmalı; insan kaynakları, muhasebe, satış, pazarlama, operasyon, bilgi işlem, çağrı merkezi, hasta/müşteri ilişkileri, kamera kayıtları, web sitesi ve çerez süreçleri gibi tüm alanlar incelenmelidir.

Bu çalışma yapılmadan sisteme bilgi girilmesi, VERBİS kaydının şeklen yapılmış ancak içerik olarak hatalı olması sonucunu doğurabilir.

3. VERBİS Sisteminde Kurum Girişi Yapılır

VERBİS kayıt sürecinde öncelikle veri sorumlusu adına sisteme giriş yapılmalıdır. Bunun için ilk kayıt oluşturulur ve KVK Kurumuna posta ya da KEP adresi üzerinden kayıt formu gönderilir. Akabinde KVK Kurumundan gelen kullanıcı adı ve parola bilgisiyle “Veri Sorumlusu” girişi yapılarak şirket sisteme tanımlanır.

Bu aşama, VERBİS kaydının başlangıç adımıdır. Ancak tek başına bildirimin tamamlandığı anlamına gelmez.

4. İrtibat Kişisi Atanır

“Veri Sorumlusu” girişi yapıldığı sırada şirket adına VERBİS işlemlerini yürütecek irtibat kişisi atanır. 

Uygulamada en sık yapılan hatalardan biri tam da bu noktada ortaya çıkar:

• Şirket VERBİS için kurum girişi yapar.
• Ancak irtibat kişisi atamaz.
• Buna rağmen VERBİS bildiriminin tamamlandığını zanneder.

Oysa kurum girişi yapılması ve irtibat kişisinin atanması, VERBİS bildirimi yapıldığı anlamına gelmez. İrtibat kişisi atanmadan bildirimin ilerletilmesi mümkün değildir.

5. İrtibat Kişisinin VERBİS Bildirimi

İrtibat kişisi atandıktan sonra, bu kişinin kendi e-Devlet şifresiyle “İrtibat Kişisi Girişi” ile sisteme giriş yaparak VERBİS bildirimini tamamlaması gerekir.

Burada yapılan ikinci yaygın hata şudur:

• Kurum girişi yapılır.
• İrtibat kişisi atanır.
• Şirket bu aşamada VERBİS bildiriminin tamamlandığını düşünür.

Ancak bu yeterli değildir. İrtibat kişisinin e-Devlet şifresiyle sisteme girerek veri kategorileri, işleme amaçları, alıcı grupları, saklama süreleri, aktarım bilgileri ve güvenlik tedbirleri gibi VERBİS bildirim alanlarını doldurması gerekir.

Dolayısıyla VERBİS süreci şu üç adım tamamlanmadan bitmiş sayılmaz:

• kurum girişi yapılması,
• irtibat kişisinin atanması,
• irtibat kişisinin e-Devlet üzerinden VERBİS bildirimini tamamlaması.

VERBİS bildirimi, ancak doğru bir veri envanteri varsa doğru bir biçimde yapılabilir. 

6. Bildirim Kontrol Edilir ve Güncel Tutulur

VERBİS bildirimi yapıldıktan sonra süreç sona ermiş sayılmaz. Şirketin veri işleme faaliyetleri değiştikçe VERBİS bildiriminin de güncellenmesi gerekir.

Örneğin;

• yeni bir veri kategorisi işlenmeye başlanırsa,
• yeni bir yazılım veya dijital platform devreye alınırsa,
• yurt dışına veri aktarımı başlarsa,
• saklama süreleri değişirse,
• yeni bir departman veya iş süreci oluşursa,
• özel nitelikli kişisel veri işleme faaliyeti başlarsa,

VERBİS kaydı gözden geçirilmelidir.

VERBİS Kaydı KVKK Uyumu İçin Yeterli midir?

VERBİS kaydı yapmak, KVKK uyumu için tek başına yeterli değildir.

VERBİS, KVKK uyum sürecinin yalnızca bir parçasıdır. Şirketin KVKK’ya uyumlu kabul edilebilmesi için VERBİS dışında birçok yükümlülüğü yerine getirmesi gerekir.

Bu kapsamda şirketlerin özellikle;

• kişisel veri işleme envanteri hazırlaması,
• aydınlatma metinlerini oluşturması ve güncellemesi,
• açık rıza gereken süreçleri doğru belirlemesi,
• açık rızayı gereksiz veya hukuka aykırı şekilde kullanmaması,
• saklama ve imha politikası hazırlaması,
• periyodik imha süreçlerini yürütmesi,
• veri güvenliğine ilişkin teknik ve idari tedbirleri alması,
• çalışanlardan gizlilik taahhüdü alması,
• personel eğitimleri düzenlemesi,
• erişim yetki matrisi oluşturması,
• log kayıtlarını tutması,
• veri işleyenlerle sözleşme ve taahhüt süreçlerini düzenlemesi,
• çerez ve web sitesi süreçlerini uyumlu hale getirmesi,
• başvuru ve ihlal yönetim süreçlerini kurması,
• bilgi güvenliği kapsamında gerekli tedbirleri alması

gerekir.

Bu nedenle yalnızca VERBİS kaydı yapılmış olması, şirketin KVKK’ya tam uyumlu olduğu anlamına gelmez.

VERBİS Kaydı Yapmamak ile Yanlış VERBİS Kaydı Yapmak Arasında Ne Fark Vardır?

VERBİS kaydı yapmamak ile yanlış veya eksik VERBİS kaydı yapmak farklı riskler doğurur. Ancak ikisi de yaptırıma konu olabilir.

1. VERBİS Kaydı Yapmamak

VERBİS’e kayıt yükümlülüğü bulunan bir şirketin hiç kayıt yapmaması, Sicile kayıt ve bildirim yükümlülüğünün açık şekilde ihlali anlamına gelir. Bu durumda şirket, “kayıt ve bildirim yükümlülüğüne aykırılık” nedeniyle idari para cezası riskiyle karşılaşır.

2026 yılı itibarıyla VERBİS’e kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi halinde uygulanabilecek idari para cezası, 341.809 TL ile 17.092.242 TL arasındadır.

2. Yanlış veya Eksik VERBİS Kaydı Yapmak

Yanlış VERBİS kaydı ise daha farklı bir risk alanıdır.

Şirket sisteme kayıt olmuş olabilir. Ancak bildirilen bilgiler gerçeği yansıtmıyorsa, eksikse veya şirketin fiili veri işleme süreçleriyle uyumlu değilse, bu durum da ciddi bir uyumsuzluk yaratır.

Örneğin;

• özel nitelikli kişisel veriler işlendiği halde VERBİS’te belirtilmemişse,
• yurt dışına veri aktarımı yapıldığı halde bildirilmemişse,
• saklama süreleri gerçeğe aykırı yazılmışsa,
• veri kategorileri eksik girilmişse,
• alıcı grupları hatalı gösterilmişse,
• teknik ve idari tedbirler gerçekte uygulanmadığı halde uygulanıyormuş gibi beyan edilmişse,

VERBİS kaydı şeklen yapılmış olsa bile şirket KVKK açısından risk altında kalır.

Yanlış VERBİS bildirimi, yalnızca VERBİS cezası açısından değil; aydınlatma yükümlülüğü, veri güvenliği yükümlülüğü, veri minimizasyonu, saklama süresi, açık rıza ve veri aktarımı gibi farklı KVKK yükümlülükleri bakımından da ihlal değerlendirmesine neden olabilir.

KVKK Uyum Yükümlülüklerinin Yerine Getirilmemesi Halinde Hangi Müeyyideler Uygulanır?

KVKK kapsamındaki yaptırımlar yalnızca VERBİS’e kayıt olmamakla sınırlı değildir. Şirketin kişisel veri işleme süreçlerinde yaptığı hatalar farklı idari para cezalarına neden olabilir.

1. VERBİS’e Kayıt ve Bildirim Yükümlülüğüne Aykırılık

VERBİS’e kayıt olması gerektiği halde kayıt yaptırmayan veya bildirim yükümlülüğünü yerine getirmeyen veri sorumluları hakkında idari para cezası uygulanabilir.

2026 yılı için bu ceza, 341.809 TL ile 17.092.242 TL arasındadır.

2. Aydınlatma Yükümlülüğünün Yerine Getirilmemesi

Şirketler, kişisel veri topladıkları kişilere hangi verileri, hangi amaçla, hangi hukuki sebeple işlediklerini ve ilgili kişilerin haklarını bildirmek zorundadır.

Aydınlatma yükümlülüğünün yerine getirilmemesi halinde ayrıca idari para cezası uygulanabilir.

2026 yılı için bu ceza, 85.437 TL ile 1.709.200 TL arasındadır.

3. Veri Güvenliği Yükümlülüklerine Aykırılık

Veri sorumluları, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, ayrıca verilerin güvenli şekilde saklanmasını sağlamak zorundadır.

Bu kapsamda teknik ve idari tedbirlerin alınmaması, yetkisiz erişimlerin engellenmemesi, gerekli log kayıtlarının tutulmaması, çalışanlara eğitim verilmemesi veya veri güvenliği politikalarının oluşturulmaması veri güvenliği ihlali olarak değerlendirilebilir.

Veri güvenliği yükümlülüklerinin ihlali, KVKK’daki en yüksek riskli yaptırım alanlarından biridir.

2026 yılı için bu ceza, 256.357 TL ile 17.092.242 TL arasındadır.

4. Kurul Kararlarının Yerine Getirilmemesi

Kişisel Verileri Koruma Kurulu tarafından verilen kararların yerine getirilmemesi de ayrıca yaptırıma tabidir.

Örneğin Kurul, belirli bir veri işleme faaliyetinin durdurulmasına, belirli bir aydınlatma metninin düzeltilmesine veya bir ihlalin giderilmesine karar vermişse, veri sorumlusunun bu karara uygun hareket etmesi gerekir.

2026 yılı için bu ceza, 90.308 TL ile 1.806.177 TL arasındadır.

5. Yurt Dışı Veri Aktarımı ve Bildirim Yükümlülükleri

Yurt dışına veri aktarımı yapılan süreçlerde ayrıca özel yükümlülükler gündeme gelir. Özellikle yazılım, bulut sistemleri, CRM, e-posta altyapısı, çağrı merkezi yazılımları, insan kaynakları platformları ve dijital reklam araçları kullanılırken yurt dışına veri aktarımı olup olmadığı ayrıca incelenmelidir. Bu yükümlülüklerin ihlali de şirketler açısından ayrıca yaptırım riski oluşturur.

2026 yılı için bu ceza, 427.263 TL ile 17.092.242 TL  arasındadır.

VERBİS Kaydında En Sık Yapılan Hatalar

Uygulamada VERBİS kayıt sürecinde en sık karşılaşılan hatalar şunlardır:

• Kurum girişi yapılıp VERBİS bildiriminin tamamlandığının sanılması.
• Kurum girişi yapıldığı halde irtibat kişisinin atanmaması.
• İrtibat kişisi atandığı halde bu kişinin e-Devlet üzerinden sisteme girip bildirimi tamamlamaması.
• Kişisel veri işleme envanteri hazırlanmadan VERBİS bildiriminin rastgele yapılması.
• Özel nitelikli kişisel verilerin eksik bildirilmesi.
• Yurt dışına veri aktarımı yapılmasına rağmen bunun bildirilmemesi.
• Saklama sürelerinin gerçeğe uygun belirlenmemesi.
• Teknik ve idari tedbirlerin fiilen uygulanmadığı halde uygulanıyormuş gibi gösterilmesi.
• Şirket süreçleri değiştiği halde VERBİS kaydının güncellenmemesi.
• VERBİS kaydı yapıldıktan sonra KVKK uyum sürecinin tamamlandığının düşünülmesi.
• Değişen bilanço ve çalışan sayısı verileri doğrultusunda kayıt yükümlülüğünün değerlendirilmemesi.

Bu hatalar, VERBİS kaydını yalnızca şekli bir işlem olarak gören şirketlerde daha sık görülür. Oysa VERBİS, şirketin kişisel veri işleme süreçlerinin dışa yansıyan beyanıdır. Bu beyanın şirketin fiili uygulamalarıyla uyumlu olması gerekir.

Sonuç: VERBİS Bir Kayıt İşlemi Değil, KVKK Uyum Sürecinin Görünen Yüzüdür

VERBİS kaydı, KVKK uyum sürecinin önemli bir parçasıdır. Ancak tek başına yeterli değildir.

Doğru bir VERBİS süreci için önce şirketin kişisel veri işleme faaliyetleri analiz edilmeli, kişisel veri işleme envanteri hazırlanmalı, aydınlatma ve açık rıza süreçleri kontrol edilmeli, saklama ve imha politikası oluşturulmalı ve teknik/idari tedbirler fiilen uygulanmalıdır.

VERBİS bildirimi de bu çalışmaların sonucu olarak yapılmalıdır.

Özellikle 2025 yılı bilanço büyüklüğü ve çalışan sayısı itibarıyla VERBİS kayıt yükümlülüğü doğan şirketlerin, 2026 yılı Mayıs ayı sonuna kadar bu yükümlülüğü yerine getirmesi gerekir. Aksi halde şirketler ciddi idari para cezalarıyla karşılaşabilir.

Apsis Danışmanlık Hizmetleri olarak, şirketlerin VERBİS kayıt yükümlülüğünün tespiti, kişisel veri işleme envanterinin hazırlanması, VERBİS bildiriminin doğru yapılması ve KVKK uyum sürecinin bütüncül şekilde yürütülmesi konusunda profesyonel danışmanlık hizmeti sunuyoruz.

Apsis Danışmanlık ile VERBİS ve KVKK Uyum Sürecinizi Profesyonel Şekilde Yönetin

VERBİS kaydı, yalnızca sisteme bilgi girilerek tamamlanacak basit bir işlem değildir. Doğru bir kayıt süreci; şirketin kişisel veri işleme faaliyetlerinin analiz edilmesini, veri envanterinin hazırlanmasını, saklama sürelerinin belirlenmesini, yurt dışı aktarım süreçlerinin incelenmesini, teknik ve idari tedbirlerin değerlendirilmesini ve tüm beyanların şirketin fiili uygulamalarıyla uyumlu hale getirilmesini gerektirir.

Apsis Danışmanlık Hizmetleri olarak, VERBİS kayıt yükümlülüğünün tespitinden kişisel veri işleme envanterinin hazırlanmasına, VERBİS bildiriminin doğru şekilde yapılmasından KVKK uyum dokümantasyonunun oluşturulmasına kadar süreci bütüncül bir yaklaşımla yürütüyoruz.

Şirketinizin VERBİS yükümlülüğünü doğru analiz etmek, eksik veya hatalı bildirim riskini ortadan kaldırmak ve KVKK uyum sürecini profesyonel bir çerçevede yönetmek için Apsis Danışmanlık Hizmetleri ile iletişime geçebilirsiniz. ⬇️

Kişisel Verilerin Korunması Kanunu Uyumu