VERBİS Kayıt Süresi 5 Haziran 2026’ya Uzatıldı: 2025 Mali Bilanço Toplamı Sebebiyle Yükümlü Hâline Gelen Şirketlerin Bilmesi Gerekenler
Kişisel Verileri Koruma Kurumu tarafından yayımlanan kamuoyu duyurusunda, 2025 yılı mali bilanço toplamı sebebiyle Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğü doğan kurumlar vergisi mükellefi tüzel kişiler için kayıt ve bildirim süresinin 5 Haziran 2026 Cuma gününe uzatıldığı açıklanmıştır.
Yükümlülük Kimleri Kapsıyor?
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16. maddesi uyarınca kişisel veri işleyen veri sorumluları, Sicile kayıt olmak ve veri işleme faaliyetlerini bildirmekle yükümlüdür. Veri Sorumluları Sicili Hakkında Yönetmelik’in 8/2 maddesi gereği, yükümlülük altına yeni girenlerin 30 gün içinde kayıt ve bildirimlerini tamamlaması gerekmektedir.
Kurulun 04.09.2025 tarihli ve 2025/1572 sayılı Kararı ile değişik 2018/87 sayılı Kararı, mali bilanço toplamına dayalı kayıt yükümlülüğünün eşiklerini şu şekilde belirlemiştir:
- Ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan ve 2025 yılı mali bilanço toplamı 100 milyon TL ve üzeri olan kurumlar vergisi mükellefi tüzel kişiler,
- Ana faaliyet konusu özel nitelikli kişisel veri işleme olan ve 2025 yılı mali bilanço toplamı 10 milyon TL ve üzeri olan kurumlar vergisi mükellefi tüzel kişiler.
Bu eşikleri 2025 yılı bilançosu itibarıyla aşan ve daha önce Sicile kayıt yükümlülüğü doğmamış şirketler, yeni süre uzatımının doğrudan muhatabıdır.
Sürenin Hesabı ve Uzatma Kararının Gerekçesi
Gelir İdaresi Başkanlığı, 2025 yılı kurumlar vergisi beyannamesinin verilme süresinin son gününü 30 Nisan 2026 olarak belirlemiştir. Yönetmelik gereği yükümlülüğün doğumunu takiben işleyen 30 günlük süre normal şartlarda 30 Mayıs 2026 Cumartesi gününe denk gelmekte ve hafta sonu sebebiyle 1 Haziran 2026 Pazartesi gününe sarkmaktaydı.
Ancak söz konusu otuz günlük sürenin son haftasının Kurban Bayramı tatiline rastlaması, veri sorumlularının yükümlülüklerini fiilen yerine getirebilecekleri çalışma günlerini önemli ölçüde daraltmaktaydı. Kurumun kamuoyu duyurusu ile, bu pratik güçlük gözetilerek son tarih 5 Haziran 2026 Cuma gününe uzatılmıştır.
VERBİS Süreci Tek Bir İşlemden İbaret Değildir
5 Haziran 2026 son tarihinin doğru kavranması için, VERBİS kayıt ve bildirim sürecinin çok aşamalı yapısının altının çizilmesi gerekir. KVKK’nın yayımladığı VERBİS Kullanım Kılavuzu uyarınca süreç dört temel aşamadan oluşmaktadır:
İlk aşamada, veri sorumlusu tüzel kişiliğin Vergi Kimlik Numarası ile VERBİS üzerinden başvuru formu oluşturulur. Burada dikkat edilmesi gereken kritik bir nokta, bilgi formuna tüzel kişiliğin VKN’sinin girilmesi gerektiğidir; yetkili veya çalışan kişinin T.C. kimlik numarasıyla yapılan kayıtlar KVKK tarafından geçersiz sayılmaktadır.
İkinci aşamada, oluşturulan başvuru formunun ıslak imzalı ve kaşeli/mühürlü olarak Kurum’a iletilmesi gerekir. İletim, başvuru formunda KEP adresi belirtilmişse [email protected] adresine KEP yoluyla; KEP adresi belirtilmemişse Kişisel Verileri Koruma Kurumu Başkanlığı’na (Nasuh Akar Mahallesi 1407. Sokak No: 4 Balgat/Çankaya/ANKARA) posta veya elden iletim yoluyla yapılır. Bu adım çoğu zaman gözden kaçar; oysa Kurum onayı bu evrakın teslim alınmasından sonra başlamaktadır.
Üçüncü aşamada, Kurum başvuruyu inceleyip onayladıktan sonra başvuruda belirtilen e-posta adresine kullanıcı adı ve parola gönderilir. Veri sorumlusu bu bilgilerle VERBİS’e giriş yaparak T.C. vatandaşı ve Türkiye’de mukim bir gerçek kişiyi irtibat kişisi olarak atar.
Dördüncü ve son aşamada, irtibat kişisi e-Devlet üzerinden VERBİS’e giriş yaparak veri sorumlusu adına bildirimi tamamlar. Bu bildirim; veri kategorileri, kişisel veri işleme amaçları, veri aktarım alıcı grupları, saklama süreleri, veri konusu kişi grupları, yurt dışına aktarılan veriler ve veri güvenliği tedbirleri başlıklarında ayrıntılı bilgi girişi yapılmasını gerektirir.
5 Haziran 2026 tarihi, yalnızca ilk adımın değil, bildirim de dahil tüm bu sürecin tamamlanması gereken son tarihtir. Bu sebeple başvurunun son güne bırakılması ciddi risk taşımaktadır; Kurum’un başvuruyu inceleyip onaylaması, kullanıcı adı/parola iletmesi ve irtibat kişisi atamasının ardından bildirim girişinin yapılması zaman alacaktır. Hazırlığa şimdiden başlanması bu nedenle yalnızca tavsiye değil, fiili bir zorunluluktur.
Şirketlerin Bu Süreçte Yapması Gerekenler
Süre uzatımı, hazırlık eksikliklerini telafi etmek için sınırlı ama değerli bir fırsattır. Yükümlülük kapsamına girdiğini değerlendiren şirketlerin bu süre içerisinde şu adımları tamamlaması önerilir:
Kişisel veri envanteri hazırlamak. VERBİS bildirimi, şirketin işlediği kişisel verilerin kategorileri, veri konusu kişi grupları, işleme amaçları, aktarım yapılan alıcı grupları, saklama süreleri ve veri güvenliği tedbirleri gibi başlıkları içermektedir. Bu envanter sağlıklı kurulmadan yapılan bir kayıt, sonradan denetim ve uyum riski yaratır.
Kişisel Veri İşleme Envanteri ile bildirim içeriğini eşleştirmek. Yönetmelik gereği envanter ile VERBİS bildiriminin birbiriyle tutarlı olması gerekmektedir; ikisi arasındaki çelişkiler, denetimde olumsuz sonuç doğurur.
İrtibat kişisini belirlemek ve atamak. Tüzel kişi veri sorumluları için irtibat kişisi, T.C. vatandaşı, Türkiye’de mukim gerçek bir kişi olmalıdır. Atama yetkili organ kararıyla yapılmalı ve kayıt sırasında bu bilgi sisteme işlenmelidir.
Saklama ve İmha Politikası ile teknik ve idari tedbirleri gözden geçirmek. Sicile kayıt yükümlüsü veri sorumluları, aynı zamanda Kişisel Veri Saklama ve İmha Politikası hazırlamakla da yükümlüdür. Politikanın güncel ve uygulanabilir olması, sadece dokümanın varlığı kadar önemlidir.
Aydınlatma metinlerini ve açık rıza süreçlerini güncellemek. Sicile kayıt süreci, çoğu zaman şirketin tüm veri işleme süreçlerinin ilk kez bütüncül biçimde gözden geçirilmesini gerektirir. Bu fırsatla aydınlatma yükümlülüğü ve rıza süreçlerinin de denetlenmesi tavsiye edilir.
Yükümlülüğe Uyulmamasının Sonuçları
VERBİS’e kayıt ve bildirim yükümlülüğüne aykırılık, KVKK’nın 18. maddesi uyarınca idari para cezası yaptırımına bağlanmıştır. Buna göre, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket eden veri sorumluları hakkında 2026 yılı içinde 341.809 TL’den 17.092.242 TL’ye kadar idari para cezası uygulanabilmektedir.
Mali yaptırımın ötesinde, bildirim yapmamış bir veri sorumlusunun olası bir veri ihlali bildiriminde veya şikâyet incelemesinde Kurum karşısındaki konumu da olumsuz etkilenmekte; aynı olay sebebiyle birden fazla yükümlülüğün (bildirim yapmama + aydınlatma yükümlülüğünü yerine getirmeme + veri güvenliği tedbirlerini almama gibi) ihlali halinde cezalar ayrı ayrı uygulanabilmektedir.
Sonuç
5 Haziran 2026 son tarihi, 2025 mali bilanço toplamı sebebiyle ilk kez kayıt yükümlüsü hâline gelen şirketler için resmi olarak tanınmış son fırsattır. Eşikleri aştığını değerlendiren ancak henüz hazırlığa başlamamış şirketlerin, bu süreyi yalnızca sisteme veri girişi yapma süresi olarak değil, KVKK uyum altyapısını bütünsel biçimde gözden geçirme süresi olarak değerlendirmesi yerinde olacaktır. Uyum süreci, doğru kurgulandığında veri ihlali risklerini azaltan, kurumsal yönetişimi güçlendiren ve iş ortakları nezdinde güven sağlayan bir yatırıma dönüşür.
VERBİS kayıt ve bildirim sürecinin teknik adımları için Kişisel Verileri Koruma Kurumu’nun Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Kullanım Kılavuzu’na başvurulabilir.
