1 Ocak 2026'dan itibaren veri güvenliği ihlali için KVKK idari para cezası tavanı 17.092.242 TL'ye yükseldi. Avukat büroları VERBİS'ten muaf olsa da aydınlatma yükümlülüğü, veri güvenliği tedbiri ve ihlal bildirimi yükümlülükleri geçerliliğini koruyor.

KVKK Kurumu'nun 31 Aralık 2025 tarihli güncellemesiyle, 2026 yılı için veri güvenliği ihlali idari para cezası tavanı 17.092.242 TL'ye yükseldi. Bu artışın dayanağı, 27 Kasım 2025 tarih ve 33090 sayılı Resmî Gazete'de yayımlanan %25,49 yeniden değerleme oranı; cezalar 1 Ocak 2026 itibarıyla geçerli. Her avukat bürosu gün içinde onlarca müvekkile ait kişisel veri işliyor: TC kimlik numarası, iletişim bilgileri, aile durumu, finansal veriler, sağlık durumu. Tüm bu işlemler 6698 sayılı Kanun kapsamına giriyor ve yükümlülük ihlalinin bedeli artık çok daha yüksek.

Avukat büroları, KVKK'nın özellikli bir kategorisinde yer alıyor: meslek sırrı kapsamındaki verileri işliyorlar ve aynı zamanda müvekkillerine KVKK uyum danışmanlığı yapabilir durumdalar. Bu çift rol, hem büronun kendi uyum sorumluluğunu hem de müvekkillere verilen tavsiyenin güncel ve doğru olmasını gerektiriyor. 2026 ceza artışı bu denkleme yeni bir aciliyet katıyor.

Avukat Bürosu ve VERBİS: Muafiyet Nereye Kadar?

Kişisel Verileri Koruma Kurulu'nun 02 Nisan 2018 tarih ve 2018/32 sayılı kararı, 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlara VERBİS kayıt muafiyeti tanıdı. Bu muafiyet, 6698 sayılı Kanun'un 16. maddesini — yani VERBİS kaydını — kapsıyor. Bunun dışında, aydınlatma yükümlülüğü (Madde 10), veri güvenliği tedbirleri (Madde 12), veri işleme ilkeleri (Madde 4) ve ihlal bildirimi yükümlülükleri avukatlar için de geçerli.

Temel Ayrım: Avukat bürosu VERBİS'e kayıt yaptırmak zorunda değil; ancak 6698 sayılı KVKK'nın aydınlatma, veri güvenliği tedbiri ve ihlal bildirimi yükümlülükleri değişmeksizin devam ediyor. Bu yükümlülüklere aykırılık, 2026 yılı için 85.437 TL ile 17.092.242 TL arasında idari para cezasına yol açabiliyor.

Pratikte ne anlama geliyor? Müvekkil ismi, TC kimlik numarası ve dava bilgisi gibi kişisel verileri sistematik olarak işleyen her büro, 6698 sayılı Kanun kapsamında "veri sorumlusu" sıfatı taşıyor. VERBİS muafiyeti bu sıfatı ortadan kaldırmıyor; yalnızca belirli bir kayıt mecburiyetini kaldırıyor. Avukatlık ortaklığı ya da avukat bürosu adı altında faaliyet gösteren yapılar için kurul kararını bir hukuk danışmanıyla değerlendirmek gerekebilir — zira muafiyetin sınırları her büro yapısına göre farklı yorumlanabilir.

Öte yandan, büronuzda çalışan personelin verileri (avukat, stajyer, sekreter) da 6698 sayılı Kanun kapsamına giriyor. Çalışan verileri işlenirken yapılan aydınlatma eksikliği de ceza konusu olabiliyor.

2026 KVKK İdari Para Cezası Tablosu

6698 sayılı Kanun'un 18. maddesi kapsamında belirlenen ihlal türleri ve 2026 yılı için güncel ceza aralıkları şöyle (KVKK resmi tablosu, 1 Ocak 2026 itibarıyla):

  • Aydınlatma yükümlülüğünü yerine getirmeme (Madde 10 ihlali): 85.437 TL — 1.709.200 TL
  • Veri güvenliğini sağlamaya yönelik teknik ve idari tedbirleri almama (Madde 12 ihlali): 256.357 TL — 17.092.242 TL
  • Kurul kararlarını yerine getirmeme (Madde 15 ihlali): 427.263 TL — 17.092.242 TL
  • VERBİS kayıt ve bildirim yükümlülüğünü yerine getirmeme (Madde 16 ihlali): 341.809 TL — 17.092.242 TL

Ceza tutarları, Vergi Usul Kanunu mükerrer 298. maddesi kapsamında her yıl 1 Ocak itibarıyla yeniden değerleme oranında artırılıyor. 2025 oranı %43,93 iken 2026 oranı %25,49 oldu; oran düşse de ceza tavanı 17 milyonu aşıyor. Kurul, ceza miktarını belirlerken ihlalın ağırlığı, tekrar olup olmadığı ve zarar büyüklüğü gibi ölçütleri göz önünde bulunduruyor.

Dikkat çeken bir husus: aynı eylem birden fazla ihlal kapsamına girebilir. Müvekkil bilgilerinin yetkisiz üçüncü bir kişiyle paylaşılması hem aydınlatma eksikliği (Md. 10) hem de veri güvenliği ihlali (Md. 12) sayılabilir; bu durumda her ihlal için ayrı ceza söz konusu olabiliyor.

Kurul, ceza miktarını somut ölçütlere göre belirliyor: ihlalın ağırlığı, etkilenen kişi sayısı, ihlalin kasıtlı ya da ihmalden kaynaklanıp kaynaklanmadığı ve failin işbirliğine yatkınlığı bunların başında geliyor. Küçük bir avukat bürosu için cezanın üst sınır yerine alt sınırda tutulması mümkün; ancak bu "mümkün" durumunun garantisi yok ve her karar somut koşullar çerçevesinde değerlendiriliyor.

Avukat Bürosundaki En Yaygın İhlal: Aydınlatma Yükümlülüğü

Avukatlık bürolarında en sık karşılaşılan KVKK ihlali, müvekkillerle ilk temas anındaki aydınlatma eksikliği. 6698 sayılı Kanun'un 10. maddesi, veri sorumlusuna kişisel verilerin elde edilmesi sırasında ilgili kişiyi; hangi verilerin işlendiği, işleme amacı, kimlere aktarıldığı ve hakları konusunda bilgilendirme zorunluluğu getiriyor.

Bürolarda sıkça yapılan aydınlatma hataları:

  • Müvekkille imzalanan vekâletname ya da müvekkil kabul formunda aydınlatma metninin bulunmaması
  • Web sitesi iletişim formu veya arama çubuğunun KVKK uyumlu gizlilik politikasına bağlı olmaması
  • Personelin işe başlarken KVKK aydınlatması almaması (avukat, stajyer, sekreter)
  • WhatsApp veya kişisel e-posta üzerinden müvekkil belgesi paylaşımında veri minimizasyonu ilkesinin gözetilmemesi
  • Karşı taraf verileri (ör. dava dosyasındaki üçüncü kişi bilgileri) için işleme dayanağının tanımlanmaması

Aydınlatma yükümlülüğü ihlalinin 2026 yılı alt sınırı 85.437 TL. Büronuzda tüm müvekkil kabullerine standart bir KVKK aydınlatma metni eklenmişse ve web sitesi gizlilik politikası güncellenmiş durumda ise bu risk büyük ölçüde bertaraf ediliyor. Aydınlatma metni tek seferlik hazırlanır; yıllık gözden geçirilmesi yeterli.

Geçerli bir aydınlatma metninde şu unsurların bulunması gerekiyor: veri sorumlusunun kimliği ve iletişim bilgileri; hangi kişisel verilerin, hangi amaçla işlendiği; verilerin kimlere aktarılabileceği; verilerin toplanma yöntemi ve hukuki dayanağı; ilgili kişinin hakları (erişim, düzeltme, silme, itiraz). Bu unsurların eksik olduğu bir metin, KVKK anlamında "aydınlatma" sayılmıyor ve Kurul denetimine takılıyor. Müvekkil aydınlatma metni, vekâletname ile birlikte imzalatılabileceği gibi ayrı bir "Müvekkil Bilgi Formu" olarak da sunulabilir. KVKK Kurumu'nun yayımladığı "Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ" (Resmî Gazete, 10 Mart 2018, No: 30356) bu metni hazırlamak için temel referans.

Veri Güvenliği Tedbirleri: Avukat Bürosu İçin Minimum Standart

6698 sayılı Kanun'un 12. maddesi, veri sorumlusuna kişisel verilerin güvenliğini sağlamak için uygun teknik ve idari tedbirler alma yükümlülüğü getiriyor. Bu madde ihlalinde 2026 yılı için minimum ceza 256.357 TL. Avukat büroları için "uygun tedbir" kavramı pratikte şu unsurları kapsıyor:

Teknik tedbirler:

  • Büro bilgisayarlarında güçlü parola politikası ve otomatik ekran kilidi
  • Müvekkil dosyalarının şifreli depolama ortamında saklanması (ör. şifreli NAS ya da güvenli bulut)
  • Antivirüs ve güvenlik duvarı yazılımları
  • E-posta iletişiminde hassas verilerin şifreli veya platform içi kanallarla paylaşılması
  • Bulut servislerinde (Google Drive, Dropbox, OneDrive) paylaşım izinlerinin minimumda tutulması

İdari tedbirler:

  • Personelin kişisel veri işleme konusunda yazılı eğitim alması
  • Müvekkil dosyalarına erişim yetki matrisinin tanımlanması (kim, hangi dosyalara erişebilir?)
  • Büro içi veri politikasının yazılı biçimde hazırlanması ve imzalatılması
  • Veri ihlali bildirimi prosedürünün belirlenmesi (72 saatlik Kurul'a bildirim yükümlülüğü)

Veri güvenliği tedbirlerinin boyutu büro büyüklüğüyle orantılı; KVK Kurulu kararlarında da "makul güvenlik önlemi" eşiğinin büronun kapasitesi ve işlediği veri tipiyle değerlendirildiği görülüyor. Beş avukatlık bir büro için Fortune 500 düzeyi güvenlik beklenmez; ancak açık metin şifresi kullanmak, müvekkil bilgisini güvenli olmayan e-posta ile üçüncü kişiye iletmek ya da kayıp bilgisayardaki veriyi şifreli tutmamak bu eşiğin altında kalıyor.

Büyük ölçekli saldırılar yalnızca kurumsal şirketlerin sorunu değil; avukat bürolarına yönelik sosyal mühendislik saldırıları ve phishing e-postaları son yıllarda arttı. Müvekkile ait yüksek değerli veriler (miras davası, boşanma dosyası, ticari sır) siber saldırganlar için hedef. KVKK kapsamındaki veri işleme konuları incelendiğinde görülüyor ki sıradan görünen eylemler bile denetimde ihlal olarak değerlendirilebiliyor.

VERBİS Süresi 5 Haziran 2026'da Doluyor: Müvekkillerinizi Uyardınız mı?

KVKK Kurumu, yıllık cirosu 25 milyon TL'nin üzerindeki ya da 50'den fazla çalışanı bulunan veri sorumlularının VERBİS'e kayıt süresini 5 Haziran 2026'ya uzattı. Bu tarih itibariyle söz konusu eşiği aşan tüm veri sorumluları kayıtlı olmak zorunda; aksi hâlde 341.809 TL ile 17.092.242 TL arasında idari para cezasıyla karşılaşabilirler.

Avukat büroları 2018/32 sayılı Kurul kararıyla VERBİS muafiyetinden yararlanıyor; bu nedenle büronun kendisi için kayıt yaptırmak gerekmiyor. Ancak ticaret ve şirketler hukuku, iş hukuku veya kurumsal danışmanlık yapan avukatlar için bu son tarihin özel önemi var: müvekkil şirketlerinin VERBİS yükümlülüğünü yerine getirip getirmediğini sorgulamak ve gerekirse hatırlatma yapmak, hem müvekkilin korunması hem de büronun danışmanlık kalitesi açısından değer taşıyor.

VERBİS'e kayıt, işletmelerin kişisel veri işleme faaliyetlerini ve amaçlarını KVKK Kurumu'nun denetimine açık biçimde bildirdiği bir sicil sistemi. Kayıt, yalnızca büyük işletmeler için zorunlu; ancak küçük büroların da kendi VERBİS durumunu ve muafiyet gerekçesini belgelemiş olması, olası bir şikâyet veya denetimde savunmayı kolaylaştırıyor. "Biz muafız" demek yeterli; fakat bunu destekleyen Kurul kararı numarasını (2018/32) ve kararın büronuza uygulanabilirliğini gösteren kısa bir değerlendirme notu büro dosyasında bulundurmak iyi uygulamayı gösteriyor.

Büro İçin Pratik KVKK Uyum Kontrol Listesi

Aşağıdaki liste, 5 avukatlık orta ölçekli bir büro için gerçekçi minimum uyum adımlarını gösteriyor. Her "hayır" yanıtı potansiyel bir ceza riskine işaret ediyor:

  • Aydınlatma metni: Müvekkil kabul formunda veya vekâletname ekinde KVKK aydınlatma metni var mı?
  • Web gizlilik politikası: İletişim formu veya abonelik formu bulunan her sayfa güncel gizlilik politikasına bağlı mı?
  • Personel aydınlatması: Bürodan işe başlayan herkese KVKK aydınlatması yapılıyor mu?
  • Erişim kontrolleri: Büro bilgisayarlarında bireysel hesap, güçlü parola ve ekran kilidi zorunluluğu var mı?
  • Veri depolama güvenliği: Müvekkil dosyaları açık ağda paylaşılmıyor, şifreli veya güvenli ortamda mı tutuluyor?
  • İhlal bildirimi prosedürü: Veri sızıntısında Kurul'a 72 saatte bildirim için belirlenmiş sorumlu ve prosedür var mı?
  • Kurul kararı takibi: KVKK Kurul kararları kvkk.gov.tr üzerinden düzenli olarak takip ediliyor mu?

Kontrol listesinin tamamını ilk kez yapıyorsanız, mantıklı bir sıra şöyle: önce mevcut durumu tespit edin (hangi veriler işleniyor, nerede saklanıyor), ardından eksik aydınlatma metinlerini tamamlayın, son olarak teknik güvenlik adımlarını hayata geçirin. Bu üç adım birkaç hafta içinde tamamlanabilecek kapsamda; sonrasında yıllık güncelleme döngüsüne girilmiş oluyor.

Hukuk Bilgi Sistemi (HBS) büro içi süreçleri ve belge akışını dijital ortamda tutarak KVKK uyum sürecini kolaylaştırır. Müvekkil kabul prosedürünün standartlaştırılması, aydınlatma metni doğrulaması ve veri işleme aktivitelerinin kayıt altına alınması, denetim veya şikâyet durumunda büroyu en iyi biçimde koruyor.

2026 KVKK ceza tavanının 17 milyon TL'yi aştığı bu dönemde, KVKK uyumu bir kez yapılıp bırakılan bir proje değil. Ceza tutarları 2027'de bir kez daha artacak. Yukarıdaki kontrol listesini yarın uygulayan bir büro, mevcut hukuki riski yönetmiş, müvekkiline güvenilir bir danışman olduğunu göstermiş ve KVKK denetimlerine karşı belgelenmiş bir savunma hattı kurmuş olur. Bugün tamamlanan uyum adımları hem bu yılın hem de sonrasının riskini yönetiyor.

Sıkça Sorulan Sorular

Avukat bürosu KVKK'dan tamamen muaf mı?

Hayır. KVK Kurulu'nun 2018/32 sayılı kararıyla avukatlar yalnızca VERBİS'e kayıt yükümlülüğünden (Madde 16) muaf tutuldu. Aydınlatma yükümlülüğü (Madde 10), veri güvenliği tedbiri (Madde 12), veri işleme ilkeleri (Madde 4) ve ihlal bildirimi yükümlülükleri avukat büroları için de tam olarak geçerli.

2026 yılı için KVKK aydınlatma yükümlülüğüne aykırılık cezası ne kadar?

1 Ocak 2026 itibarıyla aydınlatma yükümlülüğünü yerine getirmeme cezası alt sınır 85.437 TL, üst sınır 1.709.242 TL olarak uygulanıyor. Ceza tavanı, ihlalın ağırlığı ve etkilenen kişi sayısına göre belirleniyor.

Müvekkil kabul formunda KVKK aydınlatma metni zorunlu mu?

Evet. Müvekkil verilerini elde ettiğiniz her aşamada — vekâletname imzalama, müvekkil bilgi formu doldurtma veya ilk görüşme sırasında kimlik tespiti — aydınlatma yükümlülüğü doğuyor. Aydınlatma metni bu aşamada sunulmalı; Kurul denetiminde bunu belgelemeniz gerekiyor.

VERBİS son başvuru tarihi 5 Haziran 2026. Büromuz başvurmalı mı?

Avukat büroları 2018/32 sayılı Kurul kararıyla VERBİS'ten muaf. Bu tarih sizi doğrudan ilgilendirmiyor; ancak çalışan sayısı ve ciro eşiğini aşan müvekkil şirketleriniz bu tarihe kadar kayıt yaptırmak zorunda. 341.809 TL'den başlayan ceza söz konusu olduğundan müvekkillerinizi zamanında bilgilendirmeniz önerilir.

Veri ihlali yaşandığında ne kadar süre içinde KVKK Kurulu'na bildirim yapılmalı?

6698 sayılı Kanun'un 12. maddesi, veri ihlalinin öğrenilmesinden itibaren 72 saat içinde Kurul'a bildirim zorunluluğu getiriyor. Büyük çaplı ihlallerde ilgili kişilerin de bilgilendirilmesi gerekebiliyor. Bu süreyi geçirmek ayrı bir ihlal sayılıyor ve ek idari para cezasına yol açabiliyor.

Küçük bir büroda veri güvenliği için en öncelikli adım nedir?

İlk öncelik müvekkil dosyalarına erişim kontrolü: kim hangi dosyalara erişebilir? Bunun ardından güçlü parola politikası ve ekran kilidi. Bu iki adım maliyetsiz ve hızla uygulanabilir; aynı zamanda Kurul denetiminde "tedbir alındı" argümanının temelini oluşturuyor. Teknik önlemler tam kurulmadan bulut servislerinde açık paylaşım yapmamak da kritik.