VERBİS Kayıt Eşiğinde Büyük Güncelleme: 100 Milyon TL Sınırı (Karar: 2023/1154)

Kişisel Verileri Koruma Kurulu (Kurul), değişen ekonomik koşulları ve paranın satın alma gücünü dikkate alarak, işletmelerin Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğünü belirleyen mali kriterde çok önemli bir değişikliğe gitmiştir. 06/07/2023 tarihli ve 2023/1154 sayılı karar ile KOBİ’lerin VERBİS’e kayıt olması için gereken mali bilanço eşiği 4 katına çıkarılmıştır.

Mali Bilanço Eşiği 25 Milyon’dan 100 Milyon’a Yükseltildi

2018 yılından beri uygulanan 25 milyon TL’lik yıllık mali bilanço toplamı sınırı, bu kararla birlikte güncellenmiştir. Yeni düzenlemeye göre, VERBİS kayıt yükümlülüğünden muaf tutulmak için gereken şartlar şu şekildedir:

• Çalışan Sayısı: Yıllık çalışan sayısı 50’den az olmalıdır.
• Mali Bilanço: Yıllık mali bilanço toplamı 100 milyon Türk lirasından az olmalıdır.

Bu iki şartı birlikte (kümülatif olarak) taşıyan veri sorumluları, ana faaliyet konuları özel nitelikli kişisel veri işleme değilse, VERBİS’e kayıt olmak zorunda değildir.

Kararın Kritik Noktası: “Ana Faaliyet” İstisnası Baki

Mali eşiğin 100 milyon TL’ye yükseltilmesi, her işletmenin muaf olacağı anlamına gelmez. Karar metninde de vurgulandığı üzere; ana faaliyet konusu özel nitelikli kişisel veri işleme (sağlık verileri, biyometrik veriler vb.) olanlar için bu eşikler geçerli değildir.

• Örnek: Bir tıp merkezi veya eczane, mali bilançosu 10 milyon TL olsa ve sadece 5 çalışanı bulunsa dahi, ana faaliyeti gereği özel nitelikli veri işlediği için VERBİS’e kayıt olmak zorundadır.

Özgür Eralp Perspektifi: “Ekonomik Güncelleme Hukuki Bir Kolaylıktır”

Bilişim hukuku alanındaki 25 yıllık tecrübemizde, mali sınırların sabit kalmasının birçok küçük işletmeyi istemeden de olsa “kayıt yükümlüsü” haline getirdiğini gözlemledik. Kurul’un bu hamlesi, idari yükü hafifletmek adına yerinde bir adımdır.

Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketinizin bilançosu 100 milyon TL’nin altında kaldığı için VERBİS’ten muaf olmanız, KVKK’nın diğer maddelerinden muaf olduğunuz anlamına gelmez. Aydınlatma yükümlülüğü, veri güvenliği tedbirleri (Md. 12) ve veri ihlal bildirimleri (72 saat kuralı) sizin için de aynen geçerlidir. Sicile kayıt yükünden kurtulan işletmeler, bu enerjilerini veri güvenliği altyapılarını güçlendirmeye ve personellerini eğitmeye harcamalıdır.

---

Sıkça Sorulan Sorular

1. Çalışan sayım 60 ama bilançom 50 milyon TL. Kayıt olmalı mıyım?

Evet. Muafiyet için her iki şartın da (çalışan < 50 VE bilanço < 100M) sağlanması gerekir. Çalışan sayınız 50’yi aştığı için kayıt yükümlülüğünüz bulunmaktadır.

2. 2022 yılı bilançom 80 milyon TL idi, bu karara göre kaydımı sildirebilir miyim?

Eğer çalışan sayınız da 50’nin altındaysa ve ana faaliyetiniz özel nitelikli veri işlemek değilse, bu yeni karar kapsamında istisnadan yararlanabilirsiniz. Ancak sicil kaydının silinmesi süreçleri için Kurum duyurularını takip etmek gerekir.

3. Mali bilanço kriteri “ciro” mu demektir?

Hayır. Mali bilanço toplamı, işletmenin aktif toplamını (varlıklarını) ifade eder. Gelir tablosundaki ciro (net satışlar) rakamıyla karıştırılmamalıdır.

4. Bu karar ne zaman yürürlüğe girdi?

Karar, Resmî Gazete’de yayımlandığı tarih itibarıyla yürürlüğe girmiştir.

5. VERBİS’e kayıt olmamanın avantajı nedir?

İşletmeler, karmaşık veri envanterlerini sisteme yükleme ve güncel tutma şeklindeki idari yükten kurtulurlar. Ancak bu durum, olası bir veri sızıntısında sorumluluğu azaltmaz.

---

Kaynaklar

• KVKK Kurumu – 2023/1154 Sayılı Karar Metni
• 6698 Sayılı Kişisel Verilerin Korunması Kanunu (Madde 16)
• Veri Sorumluları Sicili Hakkında Yönetmelik
• 19.07.2018 Tarihli ve 2018/87 Sayılı Kurul Kararı (Eski Eşik Kararı)