27 Kasım 2025 tarihli Resmi Gazete ile yeniden değerleme oranı %25,49 olarak ilan edildi ve 6698 sayılı Kanun kapsamındaki idari para cezalarının üst sınırı 17 milyon TL'ye yükseldi.

27 Kasım 2025 tarihli 33090 sayılı Resmi Gazete ile yeniden değerleme oranı %25,49 olarak ilan edildi; bu oran, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamındaki idari para cezalarını da otomatik olarak güncelledi. Sonuç olarak, hukuk büroları dahil tüm veri sorumluları için 2026 yılı boyunca geçerli olacak rakam aralıkları belli oldu. Bu güncelleme, son üç yıldır artan KVKK Kurulu denetimlerinin pratik karşılığını da somut bir tabloya çeviriyor.

2026 Yılı KVKK İdari Para Cezalarının Aralıkları

Kişisel Verileri Koruma Kurumu'nun (KVKK) resmi sayfasında yayımlanan tablo, dört temel başlığa göre cezaların alt ve üst sınırını net biçimde gösteriyor. Aşağıdaki rakamlar, 2026 yılı boyunca işlenecek tüm aykırılıklar için geçerli:

  • Aydınlatma yükümlülüğüne aykırılık: 85.437 TL – 1.709.200 TL
  • Veri güvenliğine ilişkin yükümlülükler: 256.357 TL – 17.092.242 TL
  • KVKK Kurul kararlarının yerine getirilmemesi: 427.263 TL – 17.092.242 TL
  • VERBİS'e kayıt ve bildirim yükümlülüğüne aykırılık: 341.811 TL – 17.092.242 TL

Üst sınırın 17 milyon TL'ye dayanması, geçen yıl 13,6 milyon TL olan tavanın bir yılda yüzde yirmi beşin üzerinde artmasını ifade ediyor. Pratikte bu, küçük bir veri ihlali ya da gecikmiş bir aydınlatma metni gibi göreceli "küçük" görünen aykırılıkların bile beş ila altı haneli rakamlara mal olabileceği anlamına geliyor. Yeniden değerleme oranı her yıl Aralık ayında ilan edildiği için bu rakamların 2027'de yine yukarı yönlü güncelleneceği şimdiden bilinebilir bir gerçek.

Veri Sorumlusu: 6698 sayılı Kanun'un 3. maddesinde "Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi" olarak tanımlanır. Hukuk büroları, müvekkillerinin kişisel verilerini işlemeleri nedeniyle Kanun anlamında veri sorumlusudur.

Hukuk Bürolarına Ne Tür Cezalar Veriliyor?

KVKK Kurulu, son üç yılda yayımladığı kararlarında hukuk bürolarına özel para cezaları uygulamış durumda. Tipik aralık 50.000 TL ile 115.000 TL arasında. Kurulun başlıca müdahale ettiği başlıklar şu şekilde gruplanabilir:

  1. Müvekkil dosyalarının paylaşımlı bilgisayar üzerinde şifresiz erişilebilir tutulması
  2. Avukat asistanı ya da stajyerin yetkisi olmayan dosyaya erişebilmesi
  3. Karşı taraf vekiline gönderilen e-postada başka müvekkillerin verilerinin yer alması
  4. VERBİS kayıt yükümlülüğünün atlanması
  5. Müvekkilden alınan açık rıza metninin standart vekaletname içine sıkıştırılması nedeniyle "rıza özgür değildir" itirazının kabulü
  6. İşten ayrılan stajyerin kendi cihazında müvekkil verilerinin kalmış olması

Bu kararların ortak özelliği, ihlalin niyetle değil ihmalle gerçekleşmiş olması. Kurul, hukuk bürolarının "müvekkilini koruma motivasyonu" konusunda iyi niyetli olduğunu kabul etse de; "uygun teknik ve idari tedbirlerin" alınmamış olmasını ağır bir kusur olarak değerlendiriyor.

Kurul kararlarının ortaya çıkardığı önemli bir başka unsur, ceza tutarının indirilmesini sağlayan kriterlerdir. Veri sorumlusunun ihlali kendiliğinden bildirmesi, telafi çalışmasının hızla başlatılması, etkilenen kişi sayısının düşük olması ve geçmişte aykırılık geçmişinin bulunmaması; alt sınıra yakın bir tutarın takdir edilmesinde etkili oluyor. Bu kriterler, "uyum stratejisi sadece ceza almamak değil, bir ceza halinde de tutarı minimize edebilmektir" anlayışını da netleştiriyor.

2024 Değişikliklerinin 2026 Yılındaki Yansıması

12 Mart 2024 tarihli Resmi Gazete'de yayımlanan 7499 sayılı Kanun, KVKK'da en geniş kapsamlı değişikliği gerçekleştirdi. Bu paketin en önemli iki başlığı, yurt dışına veri aktarımının yeniden düzenlenmesi (9. madde) ve özel nitelikli kişisel verilerin işlenmesinin sadeleştirilmesiydi (6. madde). 1 Haziran 2024'te yürürlüğe giren çoğu hüküm, 1 Eylül 2024'ten itibaren tam olarak uygulanmaya başlandı.

Bu değişikliklerin avukatlık pratiğine 2026'da yansıyan başlıca etkileri şunlardır:

  • Yurt dışı aktarımı: Eski "güvenli ülke listesi-taahhütname-açık rıza" sistematiği terk edildi; yerine GDPR ile uyumlu "yeterlilik kararı-uygun güvenceler-arızi haller" sistematiği geldi. Yurt dışı ofisi veya bulut sağlayıcısı olan büroların sözleşmelerini yeniden gözden geçirmesi gerekiyor.
  • Özel nitelikli veri: Sağlık ve cinsel hayata ilişkin veriler dışındaki özel nitelikli kişisel veriler için açık rıza dışında, "Kanunda açıkça öngörülmesi" gibi alternatif şartlar geldi. Bu, malpraktis ve iş davalarında müvekkil verisi paylaşımını teknik olarak kolaylaştırıyor; ancak şartların doğru belgelenmesi gerekiyor.
  • Dava açma süresi: 1 Haziran 2024 itibarıyla Kurul para cezalarına karşı tebliğden itibaren 60 gün içinde Ankara İdare Mahkemeleri'nde değil, yetkili idare mahkemesinde dava açılabiliyor.

Bu üçü, en sık ihmal edilen başlıklar. Özellikle yurt dışı aktarım sözleşmelerinin güncellenmemesi, denetim sırasında ek yaptırım sebebi olarak öne çıkıyor. Çoğu büro, kullanılan bulut e-posta servisi veya yedekleme aracının yurt dışı veri merkezine bağlandığını fark etmeden çalışıyor; oysa bu basit teknik gerçek, KVKK'nın 9. maddesinin tetikleyicisi.

VERBİS Eşik Değişikliği ve Solo Avukatlar

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi): Kişisel verileri işleyen veri sorumlularının önceden kaydolmak zorunda olduğu, Kişisel Verileri Koruma Kurumu tarafından yönetilen kamuya açık sicildir. VERBİS'e kayıt, KVKK'nın 16. maddesi gereği bir yükümlülüktür.

4 Eylül 2025 tarihli ve 2025/1572 sayılı Kurul kararı, küçük ve orta ölçekli işletmelerin VERBİS kayıt eşiklerini değiştirdi. Yıllık çalışan sayısı sınırı 50'den 10'a; yıllık mali bilanço toplamı ise 100 milyon TL'den 10 milyon TL'ye düşürüldü. Bu değişiklikle daha küçük yapıdaki hukuk büroları da VERBİS kayıt yükümlülüğü kapsamına girdi.

Solo veya iki-üç avukatlık küçük büroların büyük bir kısmı, geçmişte "biz küçüğüz, VERBİS kapsamında değiliz" yorumuyla kayıt yapmamıştı. Yeni eşiklerle birlikte; özellikle yıllık geliri 10 milyon TL'yi aşan ya da on kişiden fazla çalışanı bulunan büroların acilen VERBİS kaydını tamamlaması gerekiyor. Aksi halde, 341.811 TL ile başlayan idari para cezası ile karşılaşmak ihtimal dahilinde.

Veri Güvenliği Yükümlülüğünün Pratik Karşılığı

"Veri güvenliğine ilişkin yükümlülükler" başlığı, KVKK'nın 12. maddesinde düzenlenmiş; teknik ve idari tedbirleri ifade ediyor. Hukuk büroları için bu yükümlülüğün pratik karşılığı altı sütundur:

  1. Şifreleme: Müvekkil dosyalarının saklandığı diskin, bulut alanın veya yedek aygıtın şifreli olması.
  2. Erişim kontrolü: Her kullanıcının kendi kimlik bilgisi ile sisteme girmesi; ortak şifre kullanılmaması.
  3. Yetki yönetimi: Stajyer, sekreter, asistan ve avukatın farklı dosya görme yetkilerine sahip olması.
  4. İşten ayrılış prosedürü: Çalışan ayrıldığında erişiminin anında kapatılması ve cihaz iadesinin belgelenmesi.
  5. Yedekleme: Dosyaların düzenli aralıklarla yedeklenmesi ve yedek alanın da KVKK uyumu içinde tutulması.
  6. Olay yönetimi: Bir veri sızıntısı tespit edildiğinde 72 saat içinde Kurula bildirim sürecinin yazılı olarak kurulu olması.

Bu altı sütunun pratikte test edileceği an, KVKK'nın yerinde denetim talep ettiği zamandır. Çoğu kez veri sahibi müvekkilin şikayetiyle başlayan süreç, büronun denetime hazır olup olmadığı sorgusuyla ilerler.

Cezaya Karşı Yapılabilecek Hukuki İşlemler

KVKK Kurulu tarafından verilen idari para cezasına karşı yapılabilecek iki temel hukuki yol vardır. İlki idari dava; ikincisi ise yapılandırma talebi.

İdari dava süresi 60 gündür ve tebliğden itibaren işlemeye başlar. 1 Haziran 2024 öncesinde dava sadece Ankara İdare Mahkemeleri'nde açılabiliyordu; mevzuat değişikliğinden sonra yetkili idare mahkemesi olan veri sorumlusunun bulunduğu yer mahkemesinde de açılabiliyor. Bu, taşrada faaliyet gösteren büroların lehine önemli bir kolaylık.

Dava süresince cezanın tahsili otomatik olarak durmaz; yürütmeyi durdurma talebinde bulunmak gerekir. Para cezasının ödenmemesi halinde 6183 sayılı Amme Alacaklarının Tahsil Usulü Hakkında Kanun çerçevesinde tahsilat işlemleri başlar.

Hukuk Bürolarının Uyum İçin Atması Gereken Adımlar

2026 ceza tutarlarının ışığında uyum çalışmasını ertelemek artık akılcı değil. Aşağıdaki adımlar, bir hukuk bürosunun KVKK uyumunu kademeli ama hızla tamamlamasını sağlar:

  • Veri envanteri çıkarma: Bürodaki tüm kişisel veri kategorilerini, işleme amaçlarını ve saklama sürelerini listelemek.
  • Aydınlatma metni güncelleme: Müvekkil, çalışan, stajyer ve karşı taraf için ayrı aydınlatma metinleri hazırlamak.
  • Açık rıza metinlerini ayırma: Vekaletname içine gömülmüş rıza ifadelerini ayrı bir belgeye taşımak.
  • Saklama ve imha politikası: Dosyaların ne kadar saklanacağını ve nasıl imha edileceğini yazılı politika haline getirmek.
  • VERBİS kaydı: Eşik değişikliği sonrası kapsam dahilinde olan büroların kaydını tamamlamak.
  • Çalışan eğitimi: En az yılda bir kez tüm büro çalışanlarına KVKK eğitimi vermek; bu eğitimin imzalı tutanağını saklamak.

Bu altı adımın çoğu tek seferlik değil; sürekli sürdürülmesi gereken işlemlerdir. KVKK Kurulu denetimlerinde en sık karşılaşılan eksiklik, başlangıçta yapılan ama güncellenmemiş aydınlatma metinleri ve eski tarihli politika belgeleridir.

Doğru Yazılım Seçiminin KVKK Uyumu Üzerindeki Etkisi

Veri güvenliği yükümlülüklerinin teknik tarafı, doğru altyapı seçimiyle büyük oranda otomatize edilebilir. Şifreleme, kullanıcı yetkilendirme, erişim logu tutma, dosya saklama süresi takibi ve veri imha kayıtları — bunların hepsi modern bir hukuk yönetim sistemi içinde standart özelliklerdir. Manuel takip yerine; bu özelliklerin merkezi olarak yönetildiği bir platform, hem zaman tasarrufu sağlar hem de denetim hazırlığını rutin bir iş haline getirir.

Sıkça Görülen Uyum Hataları

Saha tecrübesi gösteriyor ki büroların yaptığı uyum hatalarının dörtte üçü tekrar eden birkaç başlıkta toplanıyor:

  • Aydınlatma metninin internet sitesinde yayımlanmış olmasına rağmen, müvekkille fiilen paylaşılmamış olması.
  • Çalışan eğitiminin yapıldığı belgelenmemiş; sözlü brifing dışında imzalı katılım listesinin tutulmamış olması.
  • Bulut alanındaki müvekkil dosyalarının ortak bir hesap üzerinden tüm çalışanlara açılması.
  • Tetikleyici olay (sızıntı, kaybolan dizüstü, ihlal) durumunda neyi kimin yöneteceğine dair yazılı bir prosedürün bulunmaması.
  • Dosya saklama süresi politikası yazılı olduğu halde, eski dosyaların gerçekte imha edilmemesi ve birikmesi.

Bu beş hatanın her biri, denetimde tek başına yaptırım nedeni olabilir. Birleştiğinde ise; üst sınıra yakın bir ceza takdiri olağan hale gelir.

Müvekkille KVKK Konusunda İletişim

Uyum sürecinin gözden kaçırılan bir yönü, müvekkille kurulan iletişim biçimidir. Aydınlatma metninin imzalatılmasının ardından, dava süreci boyunca müvekkille KVKK kapsamındaki yazışmaların kayıt altına alınması ve müvekkilin "verisini görme, silme, taşıma" haklarına dair sorularına nasıl yanıt verileceğinin yazılı bir prosedüre bağlanması, denetimde olumlu değerlendirilen unsurlardır. Müvekkilin bilgi talep ettiği bir noktada, sürenin 30 günle sınırlı olduğunu unutmamak gerekir.

Sonuç

2026 yılı KVKK idari para cezaları, hukuk büroları için sadece bir bilgilendirme değil; somut bir risk değerlendirme nedeni. Tek bir aydınlatma metni eksikliği 85 bin TL, ciddi bir veri güvenliği ihmali ise 17 milyon TL'ye varan yaptırımlar getirebilir. Üstelik yeni VERBİS eşikleriyle birlikte daha küçük ölçekli bürolar da denetim kapsamına alındı.

Bu tablo, "KVKK uyumunu sonra hallederiz" yaklaşımının artık ekonomik olarak savunulabilir olmadığını gösteriyor. Veri envanteri, aydınlatma metinleri, açık rıza ayrımı ve teknik tedbirler — hepsi birbirine bağlı ve birlikte ele alındığında yönetilebilir bir iş yüküne dönüşüyor. Müvekkili korumak avukatın temel meslek yükümlülüğü; veriyi korumak da bunun ayrılmaz bir parçası.

Sıkça Sorulan Sorular

2026 yılında KVKK üst para cezası ne kadar?

2026 yılı için KVKK idari para cezalarının üst sınırı 17.092.242 TL'dir. Bu tutar, veri güvenliği yükümlülüklerinin ihlali, Kurul kararlarının yerine getirilmemesi ve VERBİS yükümlülüğüne aykırılık başlıklarında üst sınır olarak uygulanır.

Hukuk büroları VERBİS'e kayıt olmak zorunda mı?

4 Eylül 2025 tarihli Kurul kararıyla VERBİS kayıt eşikleri değişti. Yıllık çalışan sayısı 10'un üzerinde veya yıllık mali bilanço toplamı 10 milyon TL'yi aşan hukuk büroları kayıt zorunluluğu kapsamındadır. Bu eşiklerin altında kalan solo büroların büyük çoğunluğu kapsam dışındadır, ancak veri sorumlusu sıfatı ile diğer yükümlülükler devam eder.

KVKK cezasına itiraz süresi nedir?

Kurul kararının tebliğinden itibaren 60 gün içinde yetkili idare mahkemesinde dava açabilirsiniz. 1 Haziran 2024 değişikliğinden sonra bu davalar sadece Ankara'da değil, veri sorumlusunun bulunduğu yer idare mahkemesinde de açılabilmektedir.

Müvekkil verilerini bulut hizmetinde saklayabilir miyim?

Evet, ancak iki şartla. Birincisi, bulut sağlayıcı ile aranızda kişisel veri işleyen sözleşmesinin imzalanmış olması; ikincisi, veriler yurt dışında saklanacaksa 9. maddedeki yurt dışı aktarım şartlarından birinin sağlanmış olması. Türkiye'de veri merkezi olan bir sağlayıcı seçmek tercih edilen yöntemdir.

Veri ihlali yaşanırsa ne yapılmalı?

KVKK'nın 12. maddesi gereği, veri ihlalinin tespitinden itibaren 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapılmalıdır. Bildirimin geç yapılması veya hiç yapılmaması başlı başına bir aykırılık nedenidir. Ayrıca ilgili kişilere de en kısa sürede bilgilendirme yapılması gerekir.

Aydınlatma metni ile açık rıza aynı şey mi?

Hayır. Aydınlatma metni, kişiye verilerinin nasıl ve neden işleneceğini bildiren tek taraflı bir belgedir ve her veri işlemede gereklidir. Açık rıza ise, sadece belirli işleme hallerinde kişinin özgür iradesiyle verdiği onaydır. İki belgenin tek bir metinde toplanması, KVKK Kurulu tarafından sıkça eleştirilen bir uygulamadır.