Bir hukuk bürosunda olmayan veri yoktur denilebilir: müvekkilin kimlik bilgisi, banka hesabı, sağlık raporu, ceza dosyası, aile sırrı, ticari sırrı… Bu kadar yoğun ve hassas veri işleyen bir faaliyet alanı, 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde "veri sorumlusu" olarak ciddi yükümlülükler altına girer.

Hukuk Bürosu Veri Sorumlusu Mudur?

Evet. KVKK m. 3'te tanımlanan "veri sorumlusu" sıfatı, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan kişiyi ifade eder. Avukatlık faaliyeti yürüten bir büro veya ortaklık, bu tanıma birebir uyar.

Temel KVKK Yükümlülükleri

1. Aydınlatma Yükümlülüğü (m. 10)

Müvekkilden veya üçüncü kişiden (örn. tanık, karşı taraf) veri alırken o kişiyi şu konularda bilgilendirmeniz gerekir:

  • Veri sorumlusunun kimliği (büronuzun adı)
  • İşleme amacı (avukatlık hizmeti sunumu)
  • Aktarım yapılacak taraflar (mahkemeler, icra daireleri, bilirkişiler)
  • Hukuki sebep (sözleşmenin ifası, hukuki yükümlülük)
  • Verinin saklama süresi
  • İlgili kişinin hakları

Pratikte: her müvekkille vekalet sözleşmesinin ekine veya ayrı bir belge olarak imzalatılan bir "Aydınlatma Metni" hazırlamak gerekir.

2. Açık Rıza (Gerektiğinde)

KVKK m. 5/2'de sayılan istisnalardan biri yoksa veri işlemek için açık rıza gerekir. Avukatlık faaliyetinin önemli bir kısmı "sözleşmenin ifası" istisnası altında değerlendirilebilir; ancak pazarlama amaçlı bülten gönderme gibi yan amaçlar için ayrıca açık rıza almanız gerekir.

3. Veri Güvenliği Tedbirleri (m. 12)

Hem teknik hem idari tedbir almakla yükümlüsünüz:

  • Bilgisayar oturumlarının şifreyle korunması
  • Dosya yönetim sisteminizde kullanıcı yetkilendirmesi ve erişim logları
  • Bulut yedekleme yapıyorsanız hizmet sağlayıcı ile yazılı sözleşme
  • Çalışanlarla KVKK gizlilik taahhütnamesi
  • Fiziki dosyaların kilitli dolaplarda saklanması

4. Saklama ve İmha Politikası

Verileri ne kadar saklayacağınızı ve ne zaman imha edeceğinizi yazılı bir politikaya bağlamanız gerekir. Avukatlık dosyaları için 5 ile 10 yıl arası saklama süresi yaygındır; kanunların aradığı zamanaşımı süreleri de dikkate alınmalıdır.

5. İlgili Kişi Başvurularına Cevap (m. 13)

Müvekkil veya üçüncü kişiler size yazılı başvurarak kendileri hakkında işlediğiniz veriyi öğrenmek isteyebilir. KVKK 30 gün içinde ücretsiz yanıt vermenizi öngörür.

VERBİS Kayıt Yükümlülüğü

VERBİS (Veri Sorumluları Sicili Bilgi Sistemi), Kişisel Verileri Koruma Kurumu tarafından tutulan ve veri sorumlularının kaydolmakla yükümlü olduğu sicildir. Tüm hukuk büroları otomatik olarak kayıt yapmak zorunda değildir; istisna ve eşikler vardır.

VERBİS'e Kim Kayıt Olmak Zorunda?

KVKK Kurulu kararları ile belirli eşikler altındaki veri sorumluları kayıt zorunluluğundan istisna tutulmuştur. Genel çerçevede; yıllık çalışan sayısı ve mali bilanço büyüklüğü esas alınır. Avukatlar için özel olarak çıkarılan istisna kararları zaman zaman güncellenmektedir. Bu nedenle güncel eşik için Kişisel Verileri Koruma Kurumu'nun resmi sitesinden aktif istisna listesini kontrol etmenizi öneririz.

Kayıt Süreci

  1. verbis.kvkk.gov.tr adresinden başvuru.
  2. Veri sorumlusu temsilcisi atama.
  3. Veri envanteri hazırlığı (hangi veri kategorilerini, hangi amaçlarla, ne kadar süre tuttuğunuz).
  4. İlgili verilerin sisteme girilmesi.
  5. Bildirim tamamlandıktan sonra periyodik güncelleme.

Yaptırımlar

KVKK m. 18 idari para cezalarını düzenler. Aydınlatma yükümlülüğüne uymama, veri güvenliği ihlali, VERBİS kayıt yükümlülüğüne uymama gibi her bir kalemde milyon TL seviyelerine ulaşabilen idari para cezaları söz konusu olabilir. Cezalar her yıl yeniden değerlendirilir; güncel tutarlar için yine Kurum sitesini takip edin.

Pratik Aksiyon Listesi

  • Aydınlatma metni hazırlayıp her yeni müvekkile imzalatın.
  • Kişisel veri envanteri çıkarın: hangi veriyi, hangi amaçla, kaç yıl tutuyorsunuz?
  • VERBİS eşiğine girip girmediğinizi yıllık olarak kontrol edin.
  • Çalışanlarla gizlilik sözleşmesi imzalayın; ayrıldıklarında verilerinin imhasını taahhüt altına alın.
  • Dosya yönetim yazılımınızı kullanıcı yetkilendirmesi ve loglama destekleyen bir altyapı üzerinde kurun.
  • Yedekleme için kullandığınız bulut sağlayıcısı ile veri işleyen sıfatıyla yazılı sözleşme yapın.
  • Saklama-imha politikası ve veri ihlali müdahale planı yazın.

KVKK ve Mesleki Sır İlişkisi

Avukatlık Kanunu m. 36 zaten avukata sıkı bir mesleki sır yükümlülüğü yükler. KVKK bu yükümlülüğün üzerine ek olarak ilgili kişinin haklarını (bilgi alma, düzeltme, silme talep etme) tanımlar. İki çerçeve birbirini iptal etmez; tamamlar. Pratikte: mesleki sırrınız var diye "size bilgi veremem" demeniz KVKK karşısında kategorik bir savunma olamaz; her başvuruyu ayrı değerlendirip yazılı yanıtlamak gerekir.

Sıkça Sorulan Sorular

Tek avukatlı bir büro da VERBİS'e kaydolmak zorunda mı?

Otomatik bir "evet/hayır" cevabı yoktur. KVKK Kurulu'nun belirli kriterler (çalışan sayısı, ciro vb.) üzerinden tanıdığı istisnalar vardır. Güncel eşik için Kurum sitesini takip edin; sınırın altındaysanız kayıt yapmasanız da KVKK yükümlülükleriniz devam eder.

Aydınlatma metnini müvekkile sözlü anlatmak yeterli mi?

Hayır. KVKK aydınlatma için yazılı veya elektronik ortamda ispatlanabilir bir yöntem öngörür. Vekalet sözleşmesi ekine eklemek pratik bir çözümdür.

Müvekkilim bana ait verisinin silinmesini isterse silmek zorunda mıyım?

Saklamak için hukuki bir yükümlülüğünüz varsa (örneğin tamamlanmamış dava, dosya saklama süresi, vergi mevzuatı) bu yükümlülük süresince saklarsınız; talep gerekçeli olarak reddedilebilir. Aksi halde silme veya anonimleştirme yapılmalıdır.

WhatsApp üzerinden müvekkille yazışmam KVKK ihlali midir?

Tek başına ihlal değildir; ancak hassas verileri korumasız ortamda paylaşmak teknik tedbir alma yükümlülüğüne aykırı düşebilir. Hassas içerikleri güvenli, erişim yetkili sistemler üzerinde yönetmek tercih edilmelidir.