Ortak
ANALİZ&GELİŞMELER
Ki̇şi̇sel Veri̇leri̇ Koruma Kurulu’ndan Mikro İşletmelere Yönelik VERBİS İstisnası
01 Ekim 2025 tarihli ve 33034 sayılı Resmî Gazete’de yayımlanan Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 04.09.2025 tarihli ve 2025/1572 sayılı Kararı ile, Kişisel Verilerin Korunması Kanunu’nun 16. maddesinde düzenlenen Veri Sorumluları Sicili’ne (“VERBİS”) kayıt olma yükümlülüğüne, 06.07.2023 tarih ve 2023/1154 sayılı kararı ile değişik 19.07.2018 tarihli ve 2018/87 sayılı Kurul kararı ile getirilen istisna kriterleri güncellenmiştir.
GÜNCELLENEN İSTİSNA KRİTERLERİ
Güncelleme ile birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan mikro işletme sınıfında yer alan veri sorumlularına yeni bir istisna getirilmiştir. Bu kapsamda, aşağıda belirtilen kriterleri sağlayan veri sorumlularının VERBİS’e kayıt yükümlülüğünden istisna tutulmasına karar verilmiştir:
“Ana faaliyet konusu özel nitelikli kişisel veri işleme olmakla birlikte yıllık çalışan sayısı 10’dan az ve yıllık mali bilanço toplamı 10 milyon Türk Lirasından az olan gerçek veya tüzel kişi veri sorumluları”
Kurul’un önceki kararları uyarınca; yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon TL’nin altında olan ve ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan gerçek veya tüzel kişi veri sorumlularına, VERBİS’e kayıt olma yükümlülüğüne ilişkin getirilen muafiyet kriterlerinde ise herhangi bir değişiklik yapılmamış olup bu kriterleri sağlayan veri sorumluları da VERBİS kayıt yükümlülüğünden istisna tutulmaya devam edecektir.
DEĞERLENDİRME
Kişisel Verileri Koruma Kurumu’nun internet sitesinde yayımlamış olduğu kamuoyu duyurusunda bu değişikliğin gerekçesi olarak, Küçük ve Orta Büyüklükteki İşletmeler Yönetmeliği uyarınca mikro işletme sınırında yer alan veri sorumlularının sınırlı personel ile mali kaynağa sahip oldukları, bu sebeple hukuk ve bilgi işlem konularında yeterli istihdam imkanlarının bulunmadığı ve diğerlerine kıyasla sınırlı sayıda kişisel veri işlediklerinin dikkate alındığı ifade edilmiştir. Bu bağlamda mikro ölçekli sağlık kuruluşları, diş klinikleri eczaneler gibi sınırlı kapasite ile faaliyet gösteren işletmelerin, veri korumaya ilişkin uyum süreçlerinde idari ve mali yükümlülüklerinin hafifletilmesi amaçlanmaktadır.
