KVKK Kurulu, son yıllarda avukatlık bürolarına özel kararlarında veri ihlali için idari para cezası uyguladı. 2026'da bu cezalar belirli ihlal türlerinde 17 milyon TL'ye kadar çıkabiliyor.

Avukatlık bürolarının kişisel veri sorumluluğu, son üç yılda Kişisel Verileri Koruma Kurulu kararlarının en hareketli alanlarından biri haline geldi. 2020/429, 2021/228, 2021/1111 ve 2023/1414 sayılı kararlar başta olmak üzere bir dizi karar, avukatların veri işleme yetkisinin sınırlarını net biçimde çizdi. Bu kararların ortak mesajı şu: avukatın mesleki sıfatı tek başına müvekkil dışı kişilerin verisini işlemeye yetki vermiyor. Buna karşın pratikte avukatlar gündelik iş akışında bu çizgiyi farkında olmadan aşıyor ve idari para cezası ile karşılaşıyor.

Avukatın iki şapkası: veri sorumlusu ve veri işleyen

KVKK terminolojisinde iki kritik kavram var. Veri sorumlusu, kişisel verilerin işlenmesinin amaç ve vasıtalarını belirleyen, veri kayıt sisteminin yönetiminden sorumlu kişi. Veri işleyen ise veri sorumlusu adına ve onun talimatı doğrultusunda işlem yapan kişi. Bu ayrım avukat için kritik, çünkü iki rol arasında geçişlilik olabiliyor:

  • Avukat = Veri sorumlusu: Müvekkilinin verilerini kendi bürosunun kayıt sisteminde tutarken, ofis çalışanlarına ait verileri işlerken veya muhasebe verilerini yönetirken. Burada karar veren ve yöntemi belirleyen avukat.
  • Avukat = Veri işleyen: Kurumsal bir müvekkil (örneğin bir şirketin in-house ekibi) avukata talimatla belirli bir dava yürüten veri verdiğinde, avukat şirketin veri işleyeni konumuna geçebiliyor. Bu durumda işleme talimatı şirketten geliyor.

Hangi rolde olduğunu netleştirmek, kuruldan gelebilecek bildirim/inceleme talebine doğru yanıt verebilmek için önkoşul.

Tanım — Veri sorumlusu: KVKK 3/1-(ı) maddesinde tanımlanan, "Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi." Hukuk bürosu sahibi avukat, kendi bürosunun veri kayıt sistemi için veri sorumlusu sıfatını taşıyor.

2026 ceza aralığı: rakamların tehlikesi

2026 yılı için yeniden değerleme oranı %25,49 uygulanarak güncellenen KVKK idari para cezası sınırları, hukuk bürolarını üç ayrı kalemde bağlıyor:

  • Aydınlatma yükümlülüğü ihlali: 85.437 TL ile 1.709.200 TL arasında. Aydınlatma metni eksik olduğunda veya hiç bulunmadığında uygulanıyor.
  • Veri güvenliği yükümlülüğü ihlali: 256.357 TL ile 17.092.242 TL arasında. Şifreleme, erişim kontrolü ve fiziksel güvenlik tedbirleri alınmadığında uygulanıyor.
  • Kurul kararına aykırılık: 256.357 TL ile 17.092.242 TL arasında. Kurulun verdiği bireysel kararlara uyulmadığında ek olarak uygulanabiliyor.

Bu rakamlar, küçük büro için ofis kira maliyetinin yıllarca toplamına denk geldiği için "bana olmaz" varsayımı pahalıya patlayabilir. Üstelik soruşturma süreçleri ortalama 6-18 ay sürüyor ve avukatın bu süre boyunca itibar ve müvekkil güveni yıpranıyor.

Sık karşılaşılan beş ihlal senaryosu

1. Karşı tarafın özel nitelikli verisinin elde edilmesi

KVKK Kurulu'nun 2021/1111 sayılı kararı, avukatların ilgili kişilerin adli sicil bilgilerine resen erişim yetkisi olmadığını ve bu bilgileri başka kaynaktan elde ederek mahkeme dosyasına sunmanın hukuka aykırı veri işleme olduğunu açıkça belirledi. Pratikte avukat müvekkilinin karşı tarafının sabıka kaydını üçüncü kişiden temin edip dosyaya koyarsa, bu fiil idari para cezası gerektiriyor.

2. İcra takibinde alacaklı dışı kişiye SMS/mesaj gönderimi

2021/228 ve 2020/429 sayılı kararlarda işlenen senaryolar benzer: avukat icra takibinde alacaklının vekili olarak işlem yaparken, borçluyla doğrudan ilgisi olmayan üçüncü kişilerin telefon numaralarını işliyor ve onlara icra mesajları gönderiyor. KVKK Kurulu bu işlemi hukuka aykırı veri işleme olarak değerlendirip idari para cezası uyguladı. Mesaj gönderim listesinin filtrelenmesi avukatın değil, çoğu zaman bürodaki katibin gözetiminde olduğu için kontrol mekanizması zayıf kalıyor.

3. Müvekkil dışı tanığın verisinin paylaşılması

Davada savunma hakkı kapsamında tanıkların verisinin mahkemeye sunulması olağan. Ancak bu paylaşım dava dosyasının kapsamı ve gerekli olduğu ölçüde sınırlı kalmalı. Avukatın tanığa ait sosyal medya hesaplarından elde ettiği gereksiz detayı dosyaya eklemesi, "savunma hakkı"nın koruma kapsamı dışında kalabiliyor.

4. Müvekkil dosyalarının ekip dışı kişilerle paylaşımı

Avukatın stajyerle, sekretere veya dış muhasebe ekibiyle müvekkil dosyası paylaşması olağan. Ama bu paylaşımın KVKK 12. madde teknik tedbirler çerçevesinde yetkilendirme ve audit log altında yapılması gerekiyor. WhatsApp üzerinden gönderilen müvekkil belgesi, ne yetkilendirme kontrolüne ne audit log'a tabi.

5. Ofis ekipmanının veri kalıntısı

Eski bilgisayar, telefon veya yazıcının ofisten çıkışında üzerindeki müvekkil verisinin silinmemesi, KVKK 12. madde teknik tedbir ihlali. İkinci el satılmış bir bilgisayardan eski müvekkil dosyalarının çıkması, somut olarak yaşanmış vakalar arasında.

KVKK 12. madde teknik tedbirler: hukuk bürosu için somut anlamı

Kanunun 12. maddesi veri sorumlusuna teknik ve idari tedbir alma yükümlülüğü getiriyor. Hukuk bürosu için "teknik tedbir" denildiğinde aklımıza şu liste gelmeli:

  1. Şifrelenmiş depolama: Müvekkil dosyaları diskte düz metin olarak değil, en azından dosya sistemi seviyesinde şifreli tutulmalı. Bulut yazılımlarda bu özellik standart, lokal kurulumda manuel sağlanması gerekiyor.
  2. Kullanıcı bazlı yetkilendirme: Stajyer, katip ve avukat farklı erişim seviyelerine sahip olmalı. "Tek ortak hesapla giriş yapıyoruz" yaklaşımı KVKK uyumlu değil.
  3. Erişim audit log'u: Hangi kullanıcı, hangi tarihte, hangi müvekkil dosyasına eriştiği kayıt altında tutulmalı. Kurul soruşturmasında en sık istenen belge bu.
  4. Yedekleme ve kurtarma: Veri kaybı senaryosunda 72 saat içinde Kurul'a bildirim yapılması gerekiyor (KVKK 12/5). Yedek olmadığında veri kaybı kalıcı.
  5. Ağ güvenliği: Ofis Wi-Fi'sinin şifrelenmiş olması, misafir ağının ayrı tutulması, güncel antivirüs ve güvenlik duvarı yazılımı standart beklenti.
  6. Cihaz çıkış prosedürü: Ofisten çıkacak her cihaz için fabrika sıfırlama veya disk imhası prosedürü yazılı olarak tanımlanmış olmalı.

İdari tedbirler: yazılım kadar süreç de önemli

KVKK 12. madde teknik tedbirler kadar idari tedbirleri de zorunlu kılıyor:

  • Aydınlatma metni: Müvekkille ilk temasta sunulan, hangi verinin hangi amaçla işlendiğini açıklayan metin. Eksikliği aydınlatma yükümlülüğü ihlali olarak değerlendiriliyor.
  • Açık rıza metni: Aydınlatmadan farklı, özellikle özel nitelikli veri işleme için gerekiyor.
  • Çalışan gizlilik sözleşmesi: Stajyer, katip ve idari personel müvekkil verisi açısından gizlilik yükümlülüğüne yazılı olarak bağlanmalı.
  • Veri envanteri: Hangi verilerin hangi amaçla, hangi hukuki sebeple işlendiğini gösteren kayıt. VERBİS'ten muaf olunması teknik kayıt tutma zorunluluğunu ortadan kaldırmıyor.
  • Personel eğitimi: Ekip üyelerinin KVKK temelleri konusunda eğitim aldığının belgelenmesi.

VERBİS muafiyeti: var ama yanılgıya neden oluyor

Hukuk büroları çalışan sayısına göre VERBİS (Veri Sorumluları Sicili) kaydından muaf olabiliyor. Ancak bu muafiyet "KVKK kapsamı dışındayım" anlamına gelmiyor. Pratikte iki sık karıştırılan nokta var:

  1. VERBİS muafiyeti, idari para cezası muafiyeti değil. KVKK Kurulu, VERBİS'e kayıt yükümlülüğü olmayan bir veri sorumlusuna da aydınlatma, veri güvenliği veya kurul kararına aykırılık gerekçesiyle idari para cezası verebiliyor.
  2. Muafiyet, teknik ve idari tedbir alma yükümlülüğünü ortadan kaldırmıyor. Şifreleme, yetkilendirme, audit log ve aydınlatma metni gibi gereklilikler tüm hukuk büroları için geçerli.

VERBİS muafiyeti yanılgısı, küçük büroların KVKK soruşturmasıyla karşılaştığında en pahalıya patlayan varsayımı.

Savunma hakkı ile veri koruması dengesi

Avukatın mesleki açıdan en hassas alanı, savunma hakkı kullanırken kişisel veri işlenmesi. KVKK 28. madde, "Yargı yetkisinin kullanılmasına ilişkin işlenen veriler" için bazı muafiyetler tanıyor; ama bu muafiyet "ne kadar veri toplarsam topla yetkim var" anlamına gelmiyor.

Kurul kararlarında öne çıkan ölçü "ölçülülük": dava için gerekli olan veri kadarı işlenmeli, sınırın aşılması ihlal oluşturuyor. Pratikte avukatın kendisine sorması gereken iki soru var:

  • Bu veri olmadan savunmamı kuramaz mıyım?
  • Bu veriyi elde etmek için ölçülü ve hukuka uygun yollarla mı edindim?

İki soruya da net "evet" yanıtı veremeyen veri işleme, ileride Kurul soruşturmasında sorunlu hale gelebilir.

Veri ihlali durumunda 72 saatlik bildirim yükümlülüğü

KVKK 12/5 maddesi gereği veri sorumlusu, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde "en kısa sürede" Kurul'a ve ilgili kişiye bildirimde bulunmak zorunda. Kurul, bu süreyi 72 saat olarak yorumladı. Hukuk bürosu için kritik senaryolar:

  • Müvekkil dosyalarına yetkisiz kişinin erişimi (örneğin hesabı ele geçirilmiş çalışan)
  • Çalınan veya kaybolan dizüstü bilgisayar üzerinde müvekkil verisi
  • Yanlış kişiye gönderilmiş e-tebligat veya müvekkil belgesi
  • Bulut depolama hesabının ele geçirilmesi

Bu senaryolarda bildirim formu ile Kurul'a başvuru yapılması, ihlal durumunda alınacak idari para cezasının azaltılmasında önemli bir gerekçe sayılıyor. Bildirim yapılmaması ise ihlali ağırlaştıran bir unsur.

Müvekkil bilgilendirmesinin doğru biçimi

Avukatlık bürosunun KVKK uyumunda sık görülen bir hata, müvekkille ilk temasta sunulan aydınlatma metninin "standart şablon" niteliğinde kalması. Genel şablonlar Kurul incelemesinde "veri sorumlusunun fiili işleme faaliyetini yansıtmıyor" gerekçesiyle eksik bulunabiliyor. İyi bir avukatlık bürosu aydınlatma metni şu bileşenleri içermeli:

  • Verinin işlenme amaçları (dava takibi, finansal kayıt, KVKK uyum dokümantasyonu, vb.) ayrı ayrı sayılmalı
  • Hukuki sebep (avukatlık sözleşmesinin ifası, kanuni yükümlülük, meşru menfaat) açıkça belirtilmeli
  • Verinin aktarıldığı taraflar (mahkemeler, icra daireleri, mali müşavir, banka, KVKK kapsamında veri işleyenler) sayılmalı
  • Saklama süresi gerekçesiyle birlikte (örneğin Avukatlık Kanunu uyarınca dosya saklama yükümlülüğü) açıklanmalı
  • İlgili kişinin hakları (KVKK 11. madde) ve başvuru yolu net olmalı

Bu beş bileşen tam olarak işlendiğinde aydınlatma yükümlülüğü standardı sağlanmış oluyor. Şablon yapıştırma yaklaşımı en sık görülen eksiklik kaynağı.

Pratik uyum yol haritası: 90 günlük plan

Mevcut durumu KVKK uyumlu seviyeye taşımak isteyen hukuk bürosu için sırasıyla atılabilecek adımlar:

  1. 0-30 gün: Aydınlatma metni hazırlama, çalışan gizlilik sözleşmelerinin imzalanması, mevcut yazılım altyapısının şifreleme ve yetkilendirme açısından gözden geçirilmesi.
  2. 30-60 gün: Veri envanteri çıkarma, müvekkil dosyalarının kategorize edilmesi, ekip içi KVKK eğitimi, bulut depolama veya ofis yazılımı geçişi.
  3. 60-90 gün: Audit log mekanizmasının devreye alınması, veri ihlali müdahale planının yazılması, yedekleme ve kurtarma testlerinin yapılması, dış muhasebe/IT hizmet alımlarında veri işleyen sözleşmesinin imzalanması.

Bu plan tek başına bir avukatın boyutundaki bir büro için yapılması gerekenleri özetliyor. Daha büyük bürolar için her aşama çalışan sayısı oranında genişletilmeli.

Sıkça yapılan üç pahalı yanılgı

KVKK uyum incelemelerinde avukatlık bürolarında en sık görülen üç yanılgı, bu yazının özet uyarı listesi niteliğinde:

  1. "Avukatım, müvekkil verisi zaten gizli, KVKK bana uygulanmaz." Mesleki gizlilik ile veri koruma rejimi farklı hukuki temellere oturuyor. Birinin var olması diğerini gereksiz kılmıyor; aksine ikisinin birlikte sağlanması gerekiyor.
  2. "VERBİS'ten muafım, demek ki uyum yükümlülüğüm yok." VERBİS kaydı sadece bir bildirim mekanizması. Uyum yükümlülüğü olan teknik tedbirler, aydınlatma metni ve veri ihlali bildirimi VERBİS muafiyetinden bağımsız geçerli.
  3. "Hiç şikayet gelmedi, şimdi yapacak vakit var." Kurul soruşturmaları sıklıkla ilgili kişi şikayeti üzerine başlıyor. Şikayet geldiğinde belge hazırlamak için süre yok; mevcut belgeler ve audit log'lar incelenecek. Hazırlık şikayetten önce yapılmalı.

Sonuç

Avukatlık bürosu, sıradan bir veri sorumlusu değil; mesleki gizlilik yükümlülüğü ve müvekkil güveniyle iç içe çalışan, hassasiyeti üst düzeyde bir yapıda. KVKK Kurulu kararları bu yapının "ben istisnayım" varsayımının geçerli olmadığını net biçimde gösteriyor. Korkutmaya değil, hazırlanmaya odaklanmak gerekiyor: aydınlatma metinleri, yetkilendirme, audit log, veri envanteri ve veri ihlali müdahale planı doğru kurulduğunda hem cezalar hem de itibar kaybı riski yönetilebilir hale geliyor. Hukuk Bilgi Sistemi (HBS), KVKK uyumunu yerleşik özellik olarak sunan; şifreli depolama, kullanıcı bazlı yetkilendirme, erişim audit log'u ve veri ihlali izleme bileşenlerini ürünün çekirdeğinde toplayan bir hukuk SaaS platformudur.

Sıkça Sorulan Sorular

Avukat veri sorumlusu mu, veri işleyen mi?

Çoğu durumda kendi bürosu için veri sorumlusu. Kurumsal müvekkilin talimatıyla iş gören durumlarda veri işleyen rolüne geçebiliyor. Bu ayrım her ilişkide ayrı değerlendirilmeli; yazılı sözleşmeyle netleştirilmesi en sağlıklısı.

VERBİS'e kaydolmak zorunda mıyım?

Çalışan sayınız belirli sınırın altındaysa kayıt zorunluluğundan muaf olabilirsiniz. Ancak bu muafiyet KVKK kapsamı dışında olduğunuz anlamına gelmiyor. Aydınlatma yükümlülüğü, veri güvenliği tedbirleri ve veri ihlali bildirimi yine geçerli.

Veri ihlali durumunda ne yapmalıyım?

72 saat içinde Kurul'a bildirim formu doldurmanız ve etkilenen ilgili kişilere bilgi vermeniz gerekiyor. Bildirim, cezanın ağırlığını azaltan bir unsur. Bildirim yapmamak ise ağırlaştırıcı sebep sayılıyor.

Müvekkil verisi mahkemeye sunulurken KVKK ihlali olur mu?

Doğru sınırlar içinde sunulduğunda hayır. KVKK 28. madde yargı yetkisi kapsamındaki işleme için muafiyet tanıyor. Ancak veri ölçülü olmalı; davayla ilgisiz veriler veya hukuka aykırı yolla elde edilmiş veriler sunulduğunda ihlal oluşabiliyor.

Bulut yazılım KVKK risklerini artırır mı?

Doğru sağlayıcıyla tam tersine azaltır. Aranacak özellikler: Türkiye'de barındırma, şifreli depolama, audit log, kullanıcı bazlı yetkilendirme ve veri işleyen sözleşmesi. Bu özellikler lokal kurulumda manuel sağlanması gereken kalemler.

Hangi ceza 17 milyon TL'ye kadar çıkıyor?

2026 yılı tarifesinde veri güvenliği yükümlülüğünün ihlali ve Kurul kararına uyulmaması durumlarında üst sınır 17.092.242 TL'ye ulaşıyor. Aydınlatma yükümlülüğü ihlali ise 1.709.200 TL'ye kadar çıkabiliyor. Rakamlar her yıl yeniden değerleme oranı ile güncelleniyor.