2026 yılında yeniden değerleme oranı %25,49 ile güncellenen KVKK idari para cezaları, veri güvenliği ihlalinde 17.092.242 TL'ye yükseldi. VERBİS'ten muaf olduğu için rahat olan hukuk büroları, aydınlatma ve veri güvenliği yükümlülüklerindeki büyük riski gözden kaçırıyor.

27 Kasım 2025'te Resmi Gazete'de yayımlanan Vergi Usul Kanunu Genel Tebliği, 2026 yılı KVKK idari para cezalarını %25,49 oranında yeniden değerledi. Veri güvenliği ihlali ceza tavanı 17.092.242 TL'ye çıktı; aydınlatma yükümlülüğü alt sınırı 85.437 TL'ye yükseldi. Bu rakamlar artık yalnızca çok uluslu şirketlerin endişesi değil: müvekkil kimlik bilgisinden ceza davası dosyasına kadar kişisel veri işleyen her hukuk bürosu, aynı yasal tablonun karşısında.

2026'da Güncellenen KVKK İdari Para Ceza Tutarları

6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 18. maddesi, Kişisel Verileri Koruma Kurulu'na veri sorumlularına üç ayrı başlıkta idari para cezası uygulama yetkisi tanır. Kasım 2025 sonu itibarıyla yayımlanan Vergi Usul Kanunu Genel Tebliği ile 2026 yılı için geçerli tutarlar şöyle belirlendi (kaynak: Kişisel Verileri Koruma Kurumu):

  • Aydınlatma yükümlülüğünü yerine getirmeme (Md. 18/1-a): 85.437 TL – 1.709.200 TL
  • Veri güvenliği önlemlerini almama (Md. 18/1-b): 256.357 TL – 17.092.242 TL
  • Kurul kararlarına uymama (Md. 18/1-c): 512.754 TL – 17.092.242 TL

Bu tutarlar sabit değil; her yıl Hazine ve Maliye Bakanlığı'nın belirlediği yeniden değerleme oranıyla artıyor. 2024'ten 2025'e geçişte oran %71,38 idi; 2025'ten 2026'ya %25,49 olarak gerçekleşti. Ceza tavanı yıl yıl büyümeye devam ediyor.

Cezanın üst ya da alt sınıra yakın belirlenmesinde Kurul şu etkenleri değerlendiriyor: ihlalin kasıtlı mı yoksa ihmalden mi kaynaklandığı, veri sorumlusunun işbirliği düzeyi, etkilenen kişi sayısı, işlenen verinin hassasiyeti ve ihlal sonrası alınan düzeltici önlemler. Beş avukatlık bir büro en yüksek ceza bandıyla karşılaşmayabilir; ancak 85.437 TL'lik aydınlatma alt sınırı, standart müvekkil sözleşmesine herhangi bir KVKK cümlesi eklenmemiş her büro için gerçekçi bir risk olmayı sürdürüyor.

Bir diğer kritik nokta: aynı ihlal türünde birden fazla kişi etkileniyorsa her biri için ayrı işlem yapılması teorik olarak mümkün. On müvekkile yanlış aydınlatma uygulanmışsa on ayrı ihlal değerlendirilebilir. Bu yorum Kurul kararlarında tutarlı biçimde uygulanmıyor olsa da riskin boyutunu anlamak için göz önüne alınmalı.

VERBİS Muafiyeti ≠ KVKK Muafiyeti: En Yaygın Yanılgı

Türkiye'deki hukuk bürolarının büyük çoğunluğu, Kişisel Verileri Koruma Kurumu'nun belirlediği istisna kriterleri çerçevesinde Veri Sorumluları Sicili'ne (VERBİS) kayıt yükümlülüğünden muaf. Yıllık çalışan sayısı 50'nin altında ve mali bilanço toplamı 100 milyon TL'nin altında kalan, ana faaliyeti özel nitelikli kişisel veri işleme olmayan veri sorumlularına Kurul bu muafiyeti tanıdı. Tek ya da birkaç ortaklı bürolar bu kriter içinde kalıyor.

"Veri Sorumluları Siciline kayıttan muaf olmak, 6698 Sayılı Kanun kapsamında veri sorumlularına getirilen yükümlülüklerden muafiyet anlamına gelmemektedir." — Kişisel Verileri Koruma Kurumu, Kayıt İstisnaları Sayfası

Muafiyet yalnızca sicile kayıt adımını ortadan kaldırır. Aşağıdaki yükümlülükler muafiyetten bağımsız olarak tam geçerliliğini korur:

  • Müvekkil ve personel için güncel aydınlatma metni hazırlanması (Md. 10)
  • Açık rıza gereken durumlarda yazılı ya da elektronik rıza belgesi alınması
  • Kişisel verilere yönelik teknik ve idari güvenlik önlemleri (Md. 12)
  • Veri ihlali halinde Kurul'a 72 saat içinde bildirim (Md. 12/5)
  • İlgili kişinin talepleri için 30 günlük yanıt süresi (Md. 13)

Bu çerçevede VERBİS muafiyetini KVKK uyumunun tamamlandığı biçiminde yorumlamak; müvekkil sözleşmesine aydınlatma cümlesi eklenmemiş herhangi bir büro için 85.437 TL'lik alt sınırla başlayan ceza riskine kapı aralıyor.

Öte yandan VERBİS'e kayıt zorunluluğu taşıyan büyük hukuk firmaları için son kayıt tarihi de kritik bir gündem maddesi. Kaydını henüz tamamlamayan veri sorumluları için VERBİS son kayıt rehberinde güncel bilgilere ulaşabilirsiniz.

Müvekkil Dosyasında Özel Nitelikli Veri: Görünmez Risk Katmanı

6698 sayılı Kanun'un 6. maddesi bazı veri türlerini "özel nitelikli" olarak tanımlıyor: ırk, etnik köken, siyasi görüş, sağlık ve cinsel hayat verileri, biyometrik veriler ve ceza mahkûmiyeti ile güvenlik tedbirlerine ilişkin veriler. Hukuk bürolları bu verilerle sıkça temas halinde:

  • Ceza avukatlığı: Sabıka kaydı, tahliye belgesi, tutukluluk kararı — özel nitelikli veri kapsamında.
  • İş hukuku: Müvekkil işçinin engellilik belgesi, iş kazası sağlık raporu — özel nitelikli.
  • Aile hukuku: Boşanma davalarında psikiyatri raporu, çocuk sağlık kayıtları — özel nitelikli.
  • İcra takibi: Borçlunun sağlık durumuna dayalı ödeme imkânsızlığı belgeleri — özel niteliğe girebilir.

Kişisel Verileri Koruma Kurulu'nun 02.11.2021 tarihli ve 2021/1111 sayılı kararında, avukat olan veri sorumlusu müvekkili olmayan bir kişinin ceza mahkûmiyet bilgisini hukuka aykırı yollarla elde edip mahkeme dosyasına sunduğu gerekçesiyle yaptırıma muhatap oldu (kaynak: kvkk.gov.tr). Bu karar önemli: avukat yalnızca müvekkilinin değil, davada karşı tarafın ya da tanıkların verilerini işlerken de KVKK kapsamında değerlendiriliyor.

Aynı yıl içinde Kurul'un 28.05.2020 tarihli ve 2020/429 sayılı kararı da bir avukatın icra takibinde ilgili kişinin kişisel verilerini hukuka aykırı işleyip açıkladığına ilişkin bir şikâyeti değerlendirdi (kaynak: kvkk.gov.tr). Bu iki emsal karar, avukatlık mesleğinin veri işleme boyutunun Kurul tarafından yakından izlendiğini ortaya koyuyor.

Özel nitelikli veri işlemek için Kanun'un 6. maddesi kapsamında özel hüküm ya da açık rıza şart; ek olarak Kurul'un belirlediği yeterli teknik güvenlik önlemleri alınmalı. Bu, standart teknik tedbirlerin ötesinde şifreleme, erişim kısıtlaması ve belge imha protokolü gerektiriyor.

Hukuk Bürosu İçin KVKK Uyumunun 5 Öncelikli Adımı

KVKK uyumunu tek seferlik bir hukuk projesi değil, büro yönetiminin rutin parçası olarak ele almak sürekliliği sağlar. Küçük ve orta ölçekli bürolarda beş öncelikli adım öne çıkıyor:

  1. Veri envanteri çıkarın: Bürodaki tüm kişisel veri akışlarını yazılı belgeleyin: müvekkil kimlik bilgisi, dava dosyası, personel sicili, muhasebe kaydı, e-posta arşivi. Hangi veriyi, hangi amaçla, ne kadar süreyle ve nerede sakladığınızı net biçimde tanımlayın. Küçük bürolarda bu genellikle iki saatlik bir çalışma.
  2. Aydınlatma metnini güncelleyin: Müvekkil sözleşmesine entegre ya da ek olarak hazırlanacak metinde; veri sorumlusunun kimliği, işleme amacı, yasal dayanak, veri kategorileri, aktarım yapılan üçüncü taraflar (UYAP, muhasebe yazılımı, bulut depolama) ve ilgili kişinin hakları (erişim, düzeltme, silme, itiraz) açıkça yer almalı.
  3. Teknik güvenlik önlemlerini alın: Müvekkil belgelerinin depolandığı sistemlerde şifreli erişim ve oturum kapatma politikası zorunlu. Büro dışına e-posta ile gönderilen dosyalar, taşınabilir diskler ve bulut depolama erişim logları ayrıca değerlendirilmeli. Ortak kullanılan ofis bilgisayarları yetkilendirilmiş kullanıcı hesaplarıyla ayrılmalı.
  4. Saklama sürelerini belirleyin: Dava kapandıktan sonra müvekkil verilerinin ne kadar saklanacağını yazılı politikaya bağlayın. Avukatlık Kanunu kapsamındaki mesleki arşiv zorunluluğu dışındaki veriler belirli süre sonunda imha edilmeli; bu hem KVKK uyumu hem de güvenlik riski azaltımı açısından önemli.
  5. İhlal protokolü oluşturun: Bir çalışanın dizüstü bilgisayarı çalındığında ya da e-posta hesabı ele geçirildiğinde 72 saatlik bildirim sürecini bugünden planlayın. Bürodaki sorumlu kişi, Kurul bildirim formu ve iletişim akışı önceden tanımlı olmalı. İhlal anında bu hazırlık olmadan 72 saatlik süreye uymak güç.

Bu adımların büro yönetim sisteminizle entegre biçimde yürütülmesi süreç verimliliğini artırır. KVKK uyum süreci rehberinde her adım için daha ayrıntılı kontrol listesi bulabilirsiniz.

Veri İhlali Olursa: 72 Saat ve Mesleki Sır Yükümlülüğünün Çakışması

6698 sayılı Kanun'un 12. maddesi 5. fıkrası açık: kişisel verilerin hukuka aykırı yollarla ele geçirildiğinin öğrenilmesinden itibaren en kısa sürede, her hâlükârda 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim zorunlu. Bu süreye uyulmaması Md. 18/1-c kapsamında ayrıca ceza gerekçesi oluşturabilir.

Hukuk büroları için bu yükümlülük ikinci bir katmanla karmaşıklaşıyor: Türkiye Barolar Birliği Meslek Kuralları çerçevesindeki sır saklama yükümlülüğü. Müvekkil bilgilerini içeren bir veri ihlali olduğunda, KVKK bildirimi hazırlanırken hangi bilgilerin Kurul'a aktarılacağı ile mesleki sır kapsamındakilerin ayrıştırılması gerekiyor. Bu çakışmayı yönetmek; ihlal anında değil, daha önceden hazırlanmış bir protokolü gerektiriyor.

Pratik öneri: bürodaki herhangi bir veri güvenliği olayını — yetkisiz erişim girişimi, e-posta hatayla yanlış kişiye gönderilmesi, cihaz kaybı — iç kayıt altına alan basit bir log tutun. 72 saatlik sürenin başladığı an, ihlalin büro içinde ilk öğrenildiği andır; bazen teknik bir olayın büro içinde haftalarca fark edilmediği görülüyor. Erken tespit hem yasal riski hem de müvekkil güvenini doğrudan etkiliyor.

Hukuk Bilgi Sistemi, büro içi belge erişim logları ve kullanıcı aktivite izleme özellikleriyle olası ihlallerin erken tespitini destekler. Bu şekilde 72 saatlik bildirim penceresi içinde kalınması kolaylaşır.

Sıkça Sorulan Sorular

Avukat bürosu KVKK kapsamında veri sorumlusu sayılır mı?

Evet. 6698 sayılı Kanun, veri sorumlusunu "kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişi" olarak tanımlıyor. Müvekkil kimlik bilgilerini, dava belgelerini veya personel bilgilerini işleyen her avukat bürosu bu tanımın içinde. Bürolar tüzel kişilik olmasa bile serbest meslek erbabı gerçek kişi olarak veri sorumlusu statüsü taşıyor.

VERBİS'ten muaf olsam da KVKK yükümlülükleri devam eder mi?

Devam eder. VERBİS muafiyeti yalnızca Veri Sorumluları Siciline kayıt adımını kaldırır. Aydınlatma metni hazırlama (Md. 10), veri güvenliği önlemleri alma (Md. 12) ve veri ihlali bildirimi yapma (Md. 12/5) yükümlülükleri muafiyetten bağımsız olarak geçerliliğini koruyor. Kişisel Verileri Koruma Kurumu bu ayrımı resmi açıklamalarında özellikle vurguluyor.

Müvekkil bilgileri "özel nitelikli kişisel veri" sayılır mı?

Kısmen. Müvekkil adı ve iletişim bilgisi sıradan kişisel veri sayılır. Ancak ceza davalarındaki sabıka kaydı ve mahkûmiyet kararı, sağlık belgeleri (engellilik, iş göremezlik), boşanma dosyasındaki psikiyatri raporları 6698 sayılı Kanun'un 6. maddesi kapsamında özel nitelikli veridir. Bu veriler için ek güvenlik önlemleri ve hukuki işleme şartı zorunludur.

KVKK idari para cezasına itiraz mümkün mü?

Mümkün. Kişisel Verileri Koruma Kurulu kararlarına karşı Ankara İdare Mahkemelerine itiraz yolu açık. Ancak itiraz cezanın icrasını kendiliğinden durdurmaz; icranın durdurulması için ayrıca yürütmeyi durdurma talebinde bulunulması gerekir. Ceza miktarı; ihlalin niteliği, tekrarı ve veri sorumlusunun ekonomik durumu değerlendirilerek belirlenir — bu etkenler itiraz dilekçesinde ayrıntılandırılmalı.

Hukuk bürosu için aydınlatma metni zorunlu mu, standart bir şablon var mı?

Zorunlu. 6698 sayılı Kanun'un 10. maddesi, kişisel veri toplarken aydınlatma yapılmasını şart koşuyor. Kurul'un herkese uyan standart bir şablonu yok; metnin büronuzun gerçek veri işleme faaliyetlerini yansıtması gerekiyor. Müvekkil sözleşmesine ek olarak hazırlanabilir ya da sözleşme içine entegre edilebilir; her iki yöntem de geçerli. Güncel olmayan ya da başka bürodan kopyalanan metinler uyum sağlamaz.

Veri ihlalini Kurul'a bildirmezse ne olur?

72 saatlik bildirim yükümlülüğünü yerine getirmemek, Md. 18/1-c kapsamında ayrı bir idari para cezasına yol açabilir: 512.754 TL'den 17.092.242 TL'ye kadar. İhlali bildirmemek, yalnızca ceza boyutunu değil; güven kaybını ve olası tazminat davalarını da beraberinde getiriyor. Müvekkillerin zararlarını gidermek için bireysel dava açma hakkı da 6698 sayılı Kanun kapsamında mevcut.