Küçük Ölçekli Sağlık Kuruluşlarına Müjde: VERBİS Muafiyet Kapsamı Genişledi (Karar: 2025/1572)
Kişisel Verileri Koruma Kurulu (Kurul), 1 Ekim 2025 tarihli Resmî Gazete’de yayımlanan 04/09/2025 tarihli ve 2025/1572 sayılı kararı ile Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğünde tarihi bir değişikliğe gitmiştir. Bu karar, özellikle küçük ölçekli muayenehaneler, eczaneler ve benzeri butik sağlık kuruluşları üzerindeki idari yükü hafifletmeyi amaçlamaktadır.
“Ana Faaliyet” Engelinde Esneklik: 10/10 Kuralı
Daha önceki düzenlemelerde, ana faaliyet konusu “özel nitelikli kişisel veri” (sağlık, biyometrik veri vb.) işlemek olan veri sorumluları, çalışan sayısı veya cirosu ne olursa olsun VERBİS’e kayıt olmak zorundaydı. Yeni karar ile bu “katı” kurala bir istisna getirilmiştir.
Yeni Karar ile Muafiyet Kapsamına Girenler:
- Genel Şart (Değişmedi): Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon TL’den az olan ve ana faaliyeti özel nitelikli veri işleme olmayanlar.
- Yeni Şart (Hassas Veri İşleyenler İçin): Ana faaliyet konusu özel nitelikli kişisel veri işleme olsa dahi;
- Yıllık çalışan sayısı 10’dan az olan,
- VE yıllık mali bilanço toplamı 10 milyon TL’den az olan gerçek veya tüzel kişi veri sorumluları da artık VERBİS kayıt yükümlülüğünden istisna tutulmuştur.
Kararın Getirdiği Kritik Değişim
Bu karar öncesinde, tek bir çalışanı olan bir diş hekimi veya mahalle eczanesi “sağlık verisi” işlediği gerekçesiyle VERBİS’e kayıt olup karmaşık veri envanterlerini sisteme yüklemek zorundaydı. Yeni “10 çalışan ve 10 milyon TL bilanço” eşiği ile bu küçük ölçekli yapılar, sicile kayıt bürokrasisinden muaf tutulmuştur.
Özgür Eralp Perspektifi: “Bürokrasi Azaldı, Sorumluluk Aynı Kaldı”
Bilişim hukuku alanındaki 25 yılı aşkın tecrübemizde, küçük sağlık kuruluşlarının envanter hazırlama sürecinde yaşadığı teknik ve mali zorluklara bizzat tanıklık ettik. Kurul’un bu hamlesi, ekonomik gerçeklerle hukuki uyumu birleştiren çok yerinde bir adımdır.
Ancak bir yatırımcı avukat vizyonuyla en önemli uyarımı yapmak isterim: VERBİS’ten muaf olmak, KVKK’dan muaf olmak değildir. Bu karar sizi sadece “Sicile beyan verme” yükünden kurtarır. Muayenehanenizde hastalarınızı aydınlatma, verilerini şifreleme, saklama sürelerine uyma ve olası bir veri sızıntısını 72 saat içinde bildirme ödevleriniz eksiksiz devam etmektedir. Kayıt yükümlülüğünden kurtulmanın sağladığı zamanı, klinik veri güvenliğinizi modernize etmek için bir fırsat olarak kullanmalısınız.
Sıkça Sorulan Sorular
1. 5 çalışanım var ve butik bir diş kliniğim var. VERBİS kaydımı sildirebilir miyim?
Evet. Eğer yıllık mali bilançonuz da 10 milyon TL’nin altındaysa, 2025/1572 sayılı karar uyarınca artık istisna kapsamındasınız.
2. 12 çalışanlı bir tıp merkeziyim ama bilançom 8 milyon TL. Muaf mıyım?
Hayır. Özel nitelikli veri işleyenler için muafiyet şartı olan “10’dan az çalışan” ve “10 milyondan az bilanço” kriterlerinin her ikisinin birden sağlanması gerekir. Çalışan sayınız 10’u geçtiği için kayıt yükümlülüğünüz devam eder.
3. Artık envanter hazırlamama gerek yok mu?
Hukuken bu envanteri VERBİS sistemine yükleme zorunluluğunuz kalktı. Ancak bir şikayet veya denetim anında Kurul’a hesap verebilmek için kendi bünyenizde güncel bir veri envanteri tutmanız “en iyi uygulama” (best practice) olarak şiddetle tavsiye edilir.
4. Bu karar eczaneleri kapsıyor mu?
Evet. Çalışan sayısı 10’dan az ve bilançosu 10 milyon TL’den az olan tüm eczaneler bu yeni istisnadan faydalanabilir.
5. Karar ne zaman yürürlüğe girdi?
Karar, 1 Ekim 2025 tarihinde Resmî Gazete’de yayımlandığı an itibarıyla yürürlüğe girmiştir.
Kaynaklar
- Resmî Gazete – 1 Ekim 2025 (Sayı: 33034)
- KVKK Kurumu – 2025/1572 Sayılı Kurul Kararı
- 6698 Sayılı Kişisel Verilerin Korunması Kanunu (Madde 16)
- Veri Sorumluları Sicili Hakkında Yönetmelik
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),