Telefon notundaki müvekkil adı, WhatsApp'taki avans tutarı, icra dosyasıyla ilgisiz kişiye giden SMS — bunların her biri KVKK kapsamında kişisel veridir. KVKK Kurulu hukuk bürolarına bu gerekçeyle 50.000 TL idari para cezası verdi.

Kişisel Verileri Koruma Kurulunun 11 Mart 2021 tarihli ve 2021/228 sayılı kararında, bir hukuk bürosunun icra takibinde taraf olmayan üçüncü kişilerin telefon numaralarına SMS göndermesi KVKK ihlali olarak nitelendirildi ve büroyu işleten avukata 50.000 TL idari para cezası uygulandı. Dava, avukatın "icra sürecini hızlandırma" amacıyla borçlunun yakınlarına mesaj iletmesinden kaynaklanıyordu. Fark, avukatın kasıtlı değil — habersiz bir hata yapmasıydı. Benzer hatalar, günlük avukatlık pratiğinde sessizce devam ediyor.

Hata 1: SMS ve Anlık Mesajla Müvekkil Verisi Paylaşımı

İcra takibinde borçlunun yakınına "müvekkilinizin alacağı ödenmemiştir" içerikli SMS göndermek, KVKK 2021/228 kararının tam konusuydu. Ancak aynı risk gündelik yazışmalarda da karşımıza çıkıyor: avukat ve müvekkil arasında WhatsApp üzerinden paylaşılan TCKN, dava numarası, karşı taraf adresi veya hesap bilgileri — bunların tamamı kişisel veridir.

KVKK bu konuda nettir: kişisel verinin işlenmesi, aktarılması ve paylaşılması için hukuki dayanak gereklidir. WhatsApp veya SMS, teknik olarak uçtan uca şifreli olsa bile "verilerin kontrollü ortamda tutulması" yükümlülüğünü karşılamaz. Aktarılan veri kopyalanabilir, ekran görüntüsü alınabilir, üçüncü kişilerin eline geçebilir.

Pratik çözüm: Müvekkille dava bilgilerini paylaşacaksanız, erişim denetimi olan bir müvekkil portalı veya büro yönetim sistemi kullanın. Anlık mesaj uygulamalarını yalnızca randevu ve genel iletişim için tutun; dava belgesi ve kimlik verisi bu kanallardan gönderilmemeli.

Hata 2: Aydınlatma Metnini Atlamak veya Açık Rızayla Birleştirmek

KVKK Kurul Kararı 2018/90 (26 Temmuz 2018): Aydınlatma yükümlülüğü ile açık rızanın ayrı belgeler olarak ve ayrı ayrı alınması zorunludur. Aydınlatma metni, ilgili kişinin veri işleme konusunda bilgi edinmesini sağlar; açık rıza belgesi ise bu bilgiden sonra bağımsız bir onay belgesidir ve ikisi tek belgede birleştirilemez.

Birçok hukuk bürosu sözleşmeye tek bir cümle ekleyerek aydınlatma ve açık rızayı aynı belgede birleştiriyor. KVKK'ya göre bu yeterli değil. Aydınlatma metninde zorunlu olarak yer alması gerekenler:

  • Veri sorumlusunun kimliği ve iletişim bilgileri
  • İşlenen kişisel veri kategorileri
  • Verilerin işlenme amacı ve hukuki dayanak
  • Verilerin aktarıldığı taraflar ve aktarım amaçları
  • Saklama süresi ve ilgili kişinin başvuru hakları

Hata 3: Dijital Ortamda Dağınık ve Kontrolsüz Veri

Müvekkil adı ve TCKN telefon rehberinde; dava dilekçesi e-posta gelen kutusunda; ödeme belgesi WhatsApp indirmelerinde; kimlik fotokopisi bilgisayarın "İndirilenler" klasöründe. Bu tablo, yüzlerce küçük hukuk bürosunun günlük gerçeği. Sorun yalnızca düzensizlik değil — KVKK ihlali.

6698 sayılı KVKK'nın 12. maddesi, veri sorumlularına kişisel verilerin hukuka aykırı işlenmesini ve yetkisiz erişimi önlemek için gerekli her türlü teknik ve idari tedbiri alma yükümlülüğü getirir. Telefon rehberindeki müvekkil verisi, dizüstü bilgisayarı çalınan avukatla birlikte kaybolur; "İndirilenler" klasöründeki kimlik belgesi, servise bırakılan cihazda herkese açık kalır.

Saklama ve imha politikası oluşturmak için kapsamlı bir başlangıç noktası: KVKK Saklama İmha: Avukat Rehberi.

Büro İçin 4 Adımlı KVKK Uyum Planı

Üç hatanın tamamını kapatmak için şu sırayla ilerleyin:

  1. Veri envanteri çıkarın: Büroda hangi kişisel veri işleniyor, nerede tutuluyor, ne kadar süre saklanacak? Kâğıt listeyle bile başlanabilir; önemli olan başlamak.
  2. Aydınlatma metnini güncelleyin: Her müvekkil sözleşmesine ayrı aydınlatma metni ekleyin; sözleşmeyle aynı sayfada olmamalı, imzadan önce sunulmalı.
  3. Anlık mesaj kuralı koyun: Dava belgesi ve kişisel veri WhatsApp veya SMS üzerinden paylaşılmaz — bunu yazılı bir büro politikası olarak tüm çalışanlara bildirin.
  4. Merkezi dijital arşiv kurun: Müvekkil dosyaları erişim denetimiyle tek platformda tutulmalı; e-posta ve "İndirilenler" klasörü arşiv olarak kullanılmamalı.

Veri İhlali Olduğunda Ne Yapmalısınız?

Müvekkil verisinin yetkisiz kişilerin eline geçtiğini fark ettiğinizde — sistem saldırısı, kayıp dizüstü bilgisayar, yanlış kişiye gönderilen e-posta — KVKK'nın 12. maddesi uyarınca Kişisel Verileri Koruma Kurulu'na gecikmeksizin bildirim yapma yükümlülüğünüz doğar. Bildirim için kvkk.gov.tr üzerindeki resmi form kullanılır.

Bildirimi geciktirmek, ihlal kadar ağır yaptırıma yol açabilir. Ihlal yanıt prosedürünü önceden belirleyin: kim bildirim yapacak, hangi müvekkiller etkilendi, onlara nasıl bilgi verilecek? Bu planı şimdi yapmak, kriz anında panik yerine aksiyon almanızı sağlar.

Hukuk Bilgi Sistemi, müvekkil verilerini erişim denetimiyle merkezi bir platformda saklar; aydınlatma metni yönetimini ve veri envanterini büro iş akışına entegre eder.

Sıkça Sorulan Sorular

KVKK kapsamında avukat veri sorumlusu mu sayılır?

Evet. Hukuk büroları, müvekkil adına değil kendi büro faaliyetleri kapsamında kişisel veri işlediğinde veri sorumlusu sıfatı taşır. Müvekkil adına dava dosyası oluştururken işlenen kişisel veriler (kimlik, adres, TCKN, iletişim bilgileri) bu kapsamdadır ve KVKK yükümlülükleri geçerlidir.

WhatsApp ile müvekkile belge göndermek KVKK ihlali midir?

Teknik olarak KVKK ihlali riski taşır. Kişisel veri içeren belgelerin (kimlik, dava dosyası, hesap bilgisi) anlık mesaj uygulamalarıyla paylaşılması, verilerin kontrollü ortamda saklanması yükümlülüğünü karşılamaz. Erişim denetimi olan bir platform tercih edilmesi önerilir.

Aydınlatma metni ile açık rıza formu arasındaki fark nedir?

Aydınlatma metni, müvekkile hangi verilerinin neden toplandığını anlatır ve her zaman verilmesi zorunludur. Açık rıza formu ise müvekkile veri işlemeyi onaylayıp onaylamama seçeneği sunar; yalnızca açık rıza gerektiren durumlarda ayrıca alınır. KVKK Kurul Kararı 2018/90 ile bu iki belgenin birleştirilmesi yasaklanmıştır.

Veri ihlalinde ne kadar sürede KVKK'ya bildirim yapılmalı?

KVKK'nın 12. maddesi uyarınca ihlali öğrendiğinizde gecikmeksizin Kişisel Verileri Koruma Kurulu'na bildirim yapılması gerekir. Bildirimi kvkk.gov.tr üzerindeki resmi form aracılığıyla yapabilirsiniz. Gecikme durumunda ayrı bir yaptırım uygulanabilir.

Veri envanteri küçük bürolarda da zorunlu mu?

KVKK'nın VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kaydı zorunluluğu belirli eşiklerin üzerindeki veri sorumlularını kapsar; ancak iç veri envanteri tutmak tüm veri sorumluları için iyi uygulama olarak önerilir ve denetim durumunda gerekli görülür. Küçük bürolar için basit bir elektronik tablo bile başlangıç envanteri olarak kullanılabilir.