Mayıs 2026'da KVKK, VERBİS muafiyet kriterlerini yeniden netleştirdi. Hukuk büronuz kayıt yükümlüsü mü, hangi yükümlülükler kaydan bağımsız devam eder? Pratik bir rehber.

Avukatlık, doğası gereği veri-yoğun bir meslektir. Vekâletname, müvekkil kimlik bilgisi, ceza mahkûmiyeti kayıtları, sağlık raporları, banka hesap dökümleri — her dosyada onlarca kişisel veri kalemi işlenir. Bu yoğunluk, hukuk bürolarını Kişisel Verileri Koruma Kanunu (KVKK) kapsamında hem veri sorumlusu hem de yüksek risk grubunda konumlandırır. İşte tam bu noktada, akıllara hep aynı soru gelir: "Hukuk büroları VERBİS'e kayıt olmak zorunda mı?"

Kişisel Verileri Koruma Kurumu, 14 Mayıs 2026 tarihinde yayımladığı kamuoyu duyurusuyla Veri Sorumluları Sicili'ne (VERBİS) kayıt yükümlülüğü kriterlerini bir kez daha netleştirdi. Bu yazıda, güncel eşikleri, hukuk bürolarının özel statüsünü, muaf olsanız bile devam eden yükümlülüklerinizi ve büronuzu KVKK ile dostane konumlandırmak için atmanız gereken pratik adımları ele alacağız.

VERBİS Nedir ve Yasal Dayanağı Hangi Maddedir?

VERBİS, kısaca Veri Sorumluları Sicil Bilgi Sistemi'nin elektronik halidir. Kişisel Verileri Koruma Kurumu tarafından oluşturulan bu sicilde; veri sorumlularının iletişim bilgileri, işlenen veri kategorileri, veri saklama süreleri ve aktarım yapılan yurt içi/yurt dışı alıcı grupları gibi temel bilgiler beyan edilir. Sicil herkese açıktır ve kamuya açık şeffaflık ilkesinin somut bir uygulamasıdır.

VERBİS'in yasal dayanağı, 6698 Sayılı Kişisel Verilerin Korunması Kanunu'nun 16. maddesidir. Söz konusu madde, "kişisel verileri işleyen gerçek ve tüzel kişilerin, veri işlemeye başlamadan önce Sicile kaydolma" yükümlülüğünü düzenler. Maddenin son fıkrası, Kurul'a bu yükümlülüğe istisna getirme yetkisi tanır. İşte bugün konuşacağımız 2026 muafiyet kriterleri tam olarak bu yetkiye dayanır.

Tanım — Veri Sorumlusu: KVKK madde 3/ı uyarınca, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Avukatlık ortaklığı, hukuk bürosu veya bağımsız çalışan avukat — her biri kendi adına bir veri sorumlusudur.

2026 Güncellemesi: Yeni Muafiyet Eşikleri

14 Mayıs 2026 kamuoyu duyurusunda Kurul, mevcut iki eşik kümesini koruyarak küçük ölçekli veri sorumluları için muafiyet çerçevesini sadeleştirdi:

  • Genel kriter: Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 100 milyon TL'den az olan veri sorumluları VERBİS kaydından muaftır.
  • Ana faaliyeti özel nitelikli veri işlemek olanlar: Yıllık çalışan sayısı 10'dan az ve yıllık mali bilanço toplamı 10 milyon TL'den az ise muaf tutulur.

Burada kritik nokta, iki kriterin birlikte sağlanması gerektiğidir. Çalışan sayınız 8 olsa bile bilanço 12 milyon TL ise muafiyetten yararlanamazsınız. Aynı şekilde, çalışan sayısı 60 olan bir büronun bilanço 80 milyon TL olsa dahi kayıt yükümlülüğü doğar.

2025 hesap dönemi verileri 2026 yılında değerlendirilir. Yıllık mali bilanço toplamı, vergi beyannamenizdeki aktif toplamından okunur. Çalışan sayısı ise SGK aylık bildirimlerinin ortalamasına göre belirlenir.

Hukuk Büroları VERBİS'ten Gerçekten Muaf mı?

Burada özel bir durum var: Kişisel Verileri Koruma Kurulu, daha önceki kararlarında avukatlık faaliyetini bağımsız olarak yürüten avukatların VERBİS'e kayıt yükümlülüğünden istisna tutulduğunu ayrıca açıklamıştır. Bunun gerekçesi, avukatlık mesleğinin 1136 sayılı Avukatlık Kanunu kapsamında ayrı bir sır saklama rejimine tabi olması ve müvekkil-avukat ilişkisinin kanunla özel olarak korunmasıdır.

Buna göre üç ana senaryoyu net bir şekilde ayırmak gerekir:

  1. Bireysel/serbest çalışan avukat: Avukatlık mesleğini bağımsız icra ediyorsanız, Kurul kararı gereği VERBİS kaydından muafsınız.
  2. Avukatlık ortaklığı (büro): Büro tüzel kişiliği olarak avukatlık faaliyeti yürütüyorsanız, faaliyetin esası avukatlık olduğu sürece istisna kapsamındasınız; ancak çalışan sayısı ve bilanço eşikleri tetiklenirse Kurul'un genel kuralları devreye girebilir. Tereddüt halinde Baronuz veya KVKK üzerinden teyit alın.
  3. Hukuk hizmeti dışı faaliyet: Büronuz aynı zamanda danışmanlık, eğitim, yazılım pazarlama gibi avukatlık dışı bir ticari faaliyet yürütüyorsa, bu faaliyet için ayrı değerlendirme yapılır.

Yani: pek çok hukuk bürosu VERBİS kaydından muaftır — fakat bu muafiyet, sizi KVKK'nın diğer 35 maddesinden kurtarmaz.

Muaf Olsanız Bile Devam Eden 4 KVKK Yükümlülüğü

VERBİS kaydından muaf olmak, KVKK'ya uyum yükümlülüklerinden muafiyet anlamına gelmez. Kurul bunu duyurusunda kalın çizgilerle vurgular. Hukuk büroları için kritik dört yükümlülük şunlardır:

  • Aydınlatma yükümlülüğü (KVKK m.10): Müvekkilinizden ilk veri aldığınız anda — vekâletname imzası, kimlik fotokopisi alımı, e-posta üzerinden dosya iletimi — kim olduğunuzu, verilerini hangi amaçla işlediğinizi, kimlere aktarabileceğinizi, hangi haklara sahip olduğunu bildirmeniz gerekir. Bunun pratik karşılığı, her büroda hazır bulunması gereken bir Aydınlatma Metni'dir.
  • Veri güvenliği yükümlülüğü (KVKK m.12): Müvekkil dosyalarının yetkisiz erişime, kaybolmaya veya değişikliğe karşı korunması için "her türlü teknik ve idari tedbiri" almak zorundasınız. Şifreli depolama, erişim logları, USB politikası ve düzenli yedekleme bu kapsamda değerlendirilir.
  • Saklama ve imha politikası: Hangi dosya, hangi süreyle saklanacak; süre bittiğinde nasıl imha edilecek? Yazılı bir politika hazır bulundurmak hem denetim hem büro içi disiplin için kritiktir.
  • İlgili kişi başvurularına yanıt verme: Bir müvekkil veya hasım taraf KVKK m.11 kapsamında "verilerimi silin", "düzeltin" veya "kimlere aktardınız" diye sorduğunda 30 gün içinde yazılı yanıt verme zorunluluğunuz vardır.

2025 yılı boyunca KVKK, hukuk büroları dahil pek çok serbest meslek sahibine, aydınlatma ve veri güvenliği yükümlülüklerine aykırılık nedeniyle on binlerce TL tutarında idari para cezası uyguladı. 2024 yılı verilerine göre Kurul, yıl boyunca toplam 195 milyon TL'yi aşan idari para cezası kararı verdi (kaynak: KVKK 2024 Faaliyet Raporu).

Pratik Uygulama: Büro İçi KVKK Uyumu İçin 6 Adım

Kayıt yükümlülüğünden muaf olsanız bile, aşağıdaki altı adımı tamamlamadığınız sürece denetim halinde savunulabilir bir konumda değilsiniz:

  1. Veri envanteri çıkarın: Hangi tür verileri (kimlik, iletişim, finansal, sağlık, ceza mahkûmiyeti), hangi kaynaktan (müvekkil, karşı taraf, UYAP, banka) işliyorsunuz?
  2. Aydınlatma metnini hazırlayın ve görünür yere koyun: Hem büro karşılama alanında basılı, hem web sitenizde dijital olarak bulunsun.
  3. Açık rıza gereken durumları belirleyin: Pazarlama amaçlı bülten gönderimi, web sitesi çerez analizi gibi durumlar için ayrı rıza alın.
  4. Saklama-imha politikası yazın: Dosya türlerine göre yasal saklama süreleri (örn. dava dosyaları için 10 yıl, vergi belgeleri için 5 yıl) farklıdır; politika bunları yansıtmalıdır.
  5. Veri güvenliği tedbirleri: Disk şifreleme, iki adımlı doğrulama, erişim seviyeleri (sekreter herşeyi göremesin), düzenli yedekleme — minimum standartlardır.
  6. Personel eğitimi: Stajyer ve sekretere de KVKK temel eğitimi vermek, dosya kayıp/sızıntı riskini somut olarak azaltır.

Hukuk Bürolarında Sık Yapılan 5 KVKK Hatası

Saha pratiğinde en sık şu hatalarla karşılaşıyoruz: ortak bir e-posta hesabını tüm personelin paylaşması; WhatsApp üzerinden vekâletname ve dosya gönderiminin loglanmaması; dava sonrası fiziki dosyaların ofis köşesinde süresiz bekletilmesi; eski stajyerlerin erişim yetkisinin iptal edilmemesi; ve aydınlatma metninin sadece web sitesinde "hukuki uyarı" linkinde gizlenmesi.

Bu hataların hiçbiri "küçük detay" değildir. Bir veri ihlali durumunda Kurul, alınan tedbirlerin yeterliliğini bu kontrol noktaları üzerinden değerlendirir. Hukuk büromuzu KVKK ile uyumlu çalıştırmanın anahtarı, idari yükü asgariye indiren bir büro yönetim altyapısı kurmaktan geçer: erişim rolleri tanımlı, dosya yaşam döngüsü otomatik takip edilen, müvekkil iletişimi loglu bir sistem.

Veri sorumlusu olmak korkulacak bir şey değildir; süreçlerinizi şeffaf hale getiren bir disiplindir. 2026 yılında Türk hukuk piyasası, "KVKK uyumlu büro" damgasını bir prestij unsuru olarak görmeye başladı. Erken hareket eden büro, hem denetim risklerini hem de itibar risklerini birlikte yönetir.

Sıkça Sorulan Sorular

Hukuk büromuzun çalışan sayısı 12, bilanço 8 milyon TL. VERBİS kaydı yapmalı mıyız?

Bağımsız avukatlık faaliyeti yürütüyorsanız Kurul kararı gereği muafsınız. Bunun dışında, çalışan sayınız 10'dan fazla olduğu için özel nitelikli veri kriterinin (10 çalışan + 10 milyon TL) ikisini de sağlamıyorsunuz; ancak genel eşik (50 çalışan + 100 milyon TL) altındasınız. Faaliyet ağırlığınız avukatlık olduğu sürece muafiyet devam eder. Şüphe halinde Baronuza yazılı görüş için başvurmanız önerilir.

VERBİS kaydından muaf olmak, KVKK yükümlülüklerinden tamamen kurtulduğum anlamına mı geliyor?

Hayır. Kayıt yükümlülüğü ile diğer KVKK yükümlülükleri farklı şeylerdir. Aydınlatma metni hazırlama, veri güvenliği tedbirleri alma, saklama-imha politikası oluşturma ve ilgili kişi başvurularına yanıt verme gibi yükümlülükler kayıttan bağımsız olarak devam eder.

Stajyer avukatımız ayrıldı. Müvekkil verilerine erişimini ne zaman ve nasıl iptal etmeliyim?

Stajyerin ofisten ayrıldığı gün, tüm sistem erişimleri (e-posta, dosya yönetim yazılımı, ortak sürücüler) iptal edilmelidir. Erişim sürelerini kayıt altına alın; ileride bir veri ihlali durumunda 'kim ne zaman neye baktı' sorusunun yanıtı bu loglardan çıkar.

Müvekkilim verilerini silmemi istedi. Tüm dosyayı imha etmek zorunda mıyım?

Hayır. Avukatlık Kanunu ve diğer mevzuat (örneğin Vergi Usul Kanunu, sicil tutma yükümlülükleri) belirli verileri belirli sürelerle saklamanızı gerektirir. Yasal saklama süresi devam eden veriler için silme talebini reddedebilir, gerekçenizi yazılı olarak ilgili kişiye bildirebilirsiniz.

Bürodaki fiziki dosyalar için de KVKK geçerli mi?

Evet. KVKK, dijital olmayan ortamlarda işlenen kişisel veriler için de geçerlidir. Fiziki dosya dolaplarının kilitli olması, erişimin sınırlı tutulması ve imha süreçlerinin yazılı politikaya bağlanması gerekir.

VERBİS muafiyet durumumu Kurul'a bildirmem gerekiyor mu?

Hayır, muafiyet kendiliğinden uygulanır; ayrıca bir bildirim yükümlülüğünüz yoktur. Ancak büronuzun muafiyet kriterlerini sağladığını gösteren belgeleri (SGK bordroları, mali bilanço) düzenli olarak arşivlemeniz, denetim halinde savunulabilir bir konum için kritiktir.