Yönetmelik uyarınca Haziran 2026, avukat bürolarının yılda iki kez gerçekleştirmesi gereken KVKK periyodik imha dönemlerinden biri. Saklama süreleri, imha yöntemleri ve hazırlık adımları için avukatlık bürosuna özel rehber.

28 Ekim 2017 tarihli "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik"in 11. maddesi, veri sorumlularına her yıl iki dönemde zorunlu periyodik imha yükümlülüğü getiriyor. Bu iki dönem Yönetmelik tarafından sabit olarak belirlenmiş: Haziran ve Aralık. Her avukatlık bürosu yılda iki kez müvekkil dosyalarını, çalışan verilerini, karşı taraf bilgilerini ve diğer kişisel veri kategorilerini gözden geçirip saklama süresi dolmuş olanları imha etmek zorundadır. Saklama süresi dolmamış veriler ise bir sonraki döneme taşınır; bu yapı sürekli bir döngü oluşturur.

Haziran 2026 bu dönemlerden biridir. VERBİS kaydının 5 Haziran 2026 son tarihiyle aynı aya denk gelmesi, bu ayı avukatlık büroları açısından kritik bir KVKK kontrol noktasına dönüştürüyor. Yıllarca biriken müvekkil yazışmaları, kapalı dava dosyaları, işten ayrılan stajyer özgeçmişleri, artık ihtiyaç duyulmayan tanık bilgileri — bunların saklama süresi dolmuş olsa dahi "zarar vermez, tutsak" düşüncesiyle arşivde bırakılması uyum eksikliği olarak değerlendirilir. KVKK'nın veri minimizasyonu ilkesi açıkça "gerekli olmayan veriyi tutmama" yükümlülüğü getiriyor.

Hangi Bürolar Politika Hazırlamak Zorunda?

6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 16. maddesi gereğince, Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları kişisel veri işleme envanterine uygun olarak saklama ve imha politikası hazırlamakla yükümlüdür. Bu yükümlülük avukatlık bürolarını doğrudan kapsar: bürolar müvekkil, çalışan, karşı taraf ve hizmet sağlayıcı verilerini işlediklerinden veri sorumlusu sıfatını taşır.

Yaygın bir yanlış anlama şu: "Ben küçük bir büroyu yönetiyorum, bu yükümlülükler büyük şirketlere ait." Doğru değil. Tek avukatlı serbest büro da çok ortaklı ofis de müvekkil verisi işliyorsa aynı kurallara tabi. Farklılık yalnızca VERBİS kaydının istisnai eşiğinde belirginleşebilir; ancak bu eşiğin altında kalsanız bile saklama ve imha politikasını uygulamak iyi uygulama standardıdır. Herhangi bir ilgili kişi başvurusu ya da şikâyet geldiğinde "saklama ve imha sürecimiz vardı ve bunu belgeledik" demek, büronun hukuki savunmasını önemli ölçüde güçlendirir.

Politika belgesi olmadan yapılan imha işlemi resmi uyum eksikliği sayılır. Daha kritik olanı: politika belgesi var olsa bile fiilen uygulanmadığını kanıtlayan tutanak yokluğu, denetimde "kâğıtta var, pratikte yok" bulgusuna yol açar. Bu bulgu para cezasını azaltmaz; aksine kasıtlılık unsuru olarak değerlendirilebilir.

KVKK denetimlerinde saklama ve imha politikasına ilişkin en sık karşılaşılan bulgular şunlardır: politika belgesinin soyut ifadelerle kaleme alınıp somut süre belirlenmemesi, saklama sürelerinin veri kategorisi düzeyinde ayrıştırılmamış olması ve periyodik imha dönemlerinin gerçekleştirilmesine rağmen tutanak düzenlenmemesi. Bu üç eksiklik, politikanın "var" görünüp "işlevsel olmadığı" tespitini doğurur. Haziran 2026 dönemi hem politikayı güncellemek hem tutanakla belgelemek için ideal bir başlangıç noktasıdır.

Avukatlık Bürosunda Saklama Süreleri: Kategorilere Göre

Saklama süresini belirleyen üç kaynak vardır: ilgili sektörel mevzuat, Borçlar Kanunu zamanaşımı ve işleme amacının gerekliliği. Süre hesaplamasında bu üçünden en kısası esas alınır. Avukatlık bürosunda en sık karşılaşılan veri kategorileri ve pratikte uygulanan azami süreler aşağıda sıralanmıştır:

  • Müvekkil dosyaları (dava evrakı, yazışmalar, vekâletname): Borçlar Kanunu genel zamanaşımı olan 10 yıl referans alınabilir. Süre davanın kesinleşmesinden ya da vekâlet sözleşmesinin sona ermesinden itibaren başlar. Müvekkilin herhangi bir zaman zararını ileri sürebileceği dikkate alınarak bazı bürolar bu süreyi 10 yıl olarak benimsemektedir.
  • Finansal kayıtlar ve faturalar: Vergi Usul Kanunu uyarınca 5 yıl zorunlu saklama; bu süre sonunda imha kapsamına girer.
  • Çalışan ve stajyer verileri: İş ilişkisinin sona ermesinden itibaren İş Kanunu ve Borçlar Kanunu zamanaşımı referansıyla 5-8 yıl. Uyuşmazlık potansiyeli taşıyan dosyalar üst sınırda tutulabilir.
  • Karşı taraf ve tanık bilgileri: Davanın kesinleşmesinden itibaren ilgili zamanaşımı süresi boyunca; genel kural 10 yıl.
  • Müvekkil adayı görüşme notları ve arama kayıtları: Müvekkil ilişkisi kurulmamışsa işleme amacı hemen ortadan kalkar; en fazla 1-3 ay tutulabilir.
  • E-posta arşivleri: Her e-posta ilgili olduğu dava veya sözleşmenin saklama süresine tabidir; "tüm arşiv 10 yıl" gibi kaba bir kural politika uyumunu sağlamaz.

"Saklama süresi, 'ne zaman işlemeyi bıraktığımız' değil 'ne zaman işleme amacı ortadan kalktığı' noktasından hesaplanır. Dava kapanmış olsa bile ilgili zamanaşımı süresi dolmadan müvekkil verisi yasal dayanakla tutulabilir; bu süre dolduğunda tutmak için dayanak kalmaz." — Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, 28 Ekim 2017

Sürelerin pratik yönetimi için her kategoriye başlangıç noktası tanımlamak şarttır: müvekkil dosyası için "davanın kesinleştiği tarih", çalışan verisi için "iş çıkış tarihi", müvekkil adayı görüşmesi için "görüşme tarihi" gibi tetikleyici noktalar politika belgesinde açıkça yazılmalıdır. Bu tetikleyici noktalar olmadan periyodik imhada hangi kayıtların kapsama girdiğini tespit etmek pratik olarak imkânsızdır.

Saklama süreleri tablosunu hazırlarken "tetikleyici noktalar" listesi oluşturmak büyük kolaylık sağlar. Müvekkil dosyası için tetikleyici "davanın kesinleştiği tarih", çalışan verisi için "iş çıkış tarihi", müvekkil adayı görüşmesi için "görüşme tarihi"dir. Bu tetikleyici noktalar olmadan periyodik imha döneminde hangi kayıtların kapsama girdiğini tespit etmek operasyonel açıdan güç ve hata payı yüksektir.

Üç İmha Yöntemi: Büro Pratiğinde Doğru Uygulama

Yönetmelik üç farklı imha yöntemi tanımlıyor. Hangisinin kullanılacağı verinin formatına ve büronun altyapısına göre değişir:

  1. Silme — dijital veri: Veritabanı kayıtlarından, e-posta arşivlerinden, bulut depolama alanlarından ve büro yazılımlarından kalıcı kaldırma. "Çöp kutusuna taşımak" yeterli değildir; geri getirilemez biçimde silinmelidir. Büro yedekleme sistemlerinde de bu verilerin bulunduğunu unutmayın; yedekleri imha etmeden yapılan silme eksik kalır. Kişisel veri içeren PDF ve Word dosyaları, işletim sisteminin güvenli silme aracıyla ya da üzerine yazma yöntemiyle imha edilmelidir.
  2. Yok etme — fiziksel veri: Kağıt belgeler, CD/DVD veya taşınabilir depolama ortamlarının geri oluşturulamayacak biçimde imhası. Çöpe atmak yok etme sayılmaz; çapraz kesimli kırpma makinesi kullanımı ya da onaylı imha firmasına teslim standart yöntemdir. İmha firmasından alınan belge aynı zamanda tutanağın eki olabilir.
  3. Anonim hale getirme: Kimlik bilgileri geri çevrilemeyecek şekilde kaldırılır; bu işlem sonucunda veri KVKK kapsamı dışına çıkar. Yalnızca adı silmek çoğunlukla yeterli değildir — coğrafi, demografik ve bağlamsal tanımlayıcıların da kaldırılması gerekir. Anonimleştirme tercih edildiğinde teknik testin yapılması önerilir: kaldırılan bilgiler olmadan kişi yeniden tespit edilebilir mi?

Büronun UYAP üzerinde sakladığı belgeler için ayrı bir değerlendirme yapmak gerekir. UYAP kayıtlarına erişim Adalet Bakanlığı altyapısı üzerinden yönetildiğinden, bu kayıtların "silinmesi" KVKK anlamında büronun kontrolünde değildir. Ancak büronuzun lokal kopyalarını, indirdiğiniz belge versiyonlarını ve UYAP'tan aktardığınız dijital dosyaları saklama ve imha politikanıza dahil etmeniz gerekir. Aynı prensip e-posta yoluyla aldığınız mahkeme tebligatları ve kararlar için de geçerlidir.

Pratikte en sık atlanan alan e-posta arşivleridir. Gönderilen/alınan e-postalarda müvekkil adı, dosya numarası ve kişisel bilgiler yıllarca birikir; yedeklemelerle birlikte imha planına dahil edilmeden yapılan periyodik silme eksik kalır.

Haziran 2026 İmhasına 5 Adımda Hazırlanmak

Dönem hazırlığını sistematik yürütmek için şu kontrol noktalarını izleyin:

  1. Envanter güncellemesi: Kişisel veri işleme envanterinizi gözden geçirin. Son altı ayda büroyu kullanan yeni yazılım, yapay zeka aracı, mesajlaşma uygulaması ya da yeni hizmet sağlayıcı varsa bunlara ait veri kategorilerini envantere ekleyin. Eksik kayıt sonraki denetimde bulgu oluşturur.
  2. Saklama süresi kontrolü: Her kategori için belirlenen azami süreyi geçen kayıtları listeleyin. Bu liste imha planınızın çıktısıdır; tarihle birlikte saklanmalıdır.
  3. İmha yöntemi seçimi: Dijital veri için kalıcı silme, kağıt için kırpma makinesi, yeniden kullanılmak istenenler için anonimleştirme. Yöntemi listeye not edin.
  4. İmha işlemini gerçekleştirme: Silme, yok etme veya anonimleştirmeyi uygulayın. Birden fazla kişi varsa sorumluyu belirleyin ve süreci koordineli yürütün.
  5. İmha tutanağı düzenleme: Hangi veri kategorisi, hangi yöntemle, hangi tarihte, kim tarafından imha edildi — bu dört unsur tutanakta mutlaka yer almalıdır. Tutanak en az 3 yıl saklanır ve denetimde ibraz edilir.

"Yaptık ama tutanak yok" ifadesi hukuki açıdan "yapmadık" ile eşdeğer kabul edilir. Belgeleme sürecin ayrılmaz parçasıdır; aksatılmamalıdır. Bu beş adımı tamamlayan bir avukatlık bürosu hem yönetmelik hem de pratikte savunulabilir bir uyum duruşu sergilemiş olur.

İmha Kayıtları: Neden 3 Yıl ve İçeriği

Yönetmelik, imha kayıtlarının en az üç yıl saklanmasını zorunlu kılıyor. Bu kayıtlar şunları içermelidir: imha edilen veri kategorisi ve kapsamı, uygulanan yöntem, işlem tarihi, sorumlu kişi ve varsa harici imha firmasının belgesi veya tutanak referansı.

Bu kayıtlar KVKK Kurulu denetimlerinde incelenen belgeler arasındadır. İlgili kişi "verilerim imha edildi mi?" diye başvurduğunda imha tutanağı doğrudan yanıt kaynağınızdır. İlgili kişi başvurularına KVKK Madde 13 uyarınca 30 gün içinde yanıt vermek zorunludur. Kayıt olmadan bu süreyi güvenle yönetmek ve doğru yanıt vermek mümkün değildir. Ayrıca sistematik imha kaydı, büronuzun veri koruma kültürüne sahip olduğunu gösteren ve uzlaşmacı idari süreçlerde savunma değeri taşıyan bir belge niteliği kazanır.

Arşivleme sisteminde imha kayıtlarını fiziksel evraktan ayrı bir klasörde ya da dijital ortamda özel bir kategoride tutmak pratik açıdan önerilir. Böylece periyodik imha döneminin başında önceki kayıtlara erişmek, takvimi planlamak ve KVKK denetimine hazırlanmak için gerekli belgeler tek bir yerden ibraz edilebilir hale gelir. Üç yıllık zorunlu saklama süresi sona erdiğinde bu kayıtların kendisi de imha planına dahil edilmelidir.

2026 Ceza Riski ve Uyum Maliyeti Karşılaştırması

6698 sayılı KVKK'nın 18. maddesi, veri sorumlusu yükümlülüklerini yerine getirmeyenlere idari para cezası öngörüyor. 2026 yılında yeniden değerleme oranı %25,49 olarak belirlendi; her yıl ceza alt ve üst sınırları bu oranla artırılıyor. İmha politikası yokluğu, periyodik imha yapılmaması ya da kayıt tutulmaması bu madde kapsamında değerlendiriliyor.

Güncel 2026 tutarları için KVKK Kurumu'nun resmi sayfasındaki cetvel esas alınmalıdır. Yıllık artış oranı göz önüne alındığında, periyodik imha döngüsünü uygulamanın operasyonel maliyeti potansiyel ceza maliyetinin küçük bir kesridir. Bunun ötesinde, veri minimizasyonu prensibini uygulayan bürolar müvekkil güveni açısından da rekabetçi bir konum elde eder.

Haziran 2026 dönemini tamamladıktan sonra Aralık 2026'yı da takvime ekleyin; bu iki dönemlik döngüyü büro rutinine dahil etmek ilerleyen yıllarda ek çaba gerektirmez hale gelir. Genel KVKK uyum sürecinizi tamamlamış bürolar için saklama ve imha döngüsü, bu uyumun pratik operasyonel halkasıdır. Hukuk Bilgi Sistemi (HBS), veri kategorilerini, saklama sürelerini ve Haziran-Aralık imha takvimini dijital ortamda yönetmenizi sağlar; periyodik imha dönemleri için sistem üzerinden otomatik hatırlatıcı kurabilirsiniz.

Sıkça Sorulan Sorular

Avukatlık bürosunda müvekkil dosyalarını kaç yıl saklayabiliriz?

Yasal bir kural olmakla birlikte, avukatlık sözleşmesinden doğacak olası uyuşmazlıklara karşı Borçlar Kanunu'nun genel zamanaşımı olan 10 yıl referans alınabilir. Bu süre dolduğunda dosyaların imha kapsamına girmesi gerekir. Saklama süresini büronuzun kişisel veri işleme envanterinde açıkça belirtmeniz zorunludur.

Periyodik imhayı Haziran ve Aralık dışında yapabilir miyim?

Yönetmelik, periyodik imhayı en geç 6 ayda bir olarak zorunlu kılıyor; ancak Haziran-Aralık döngüsü politika belgesinde belirlenen standart takvimdir. Büronuz farklı bir döngü belirleyip belgesine işlerse (örn. Mart-Eylül) buna uyulması yeterli. Önemli olan belirlenen takvime sadık kalınması.

İmha tutanağını saklamak zorunda mıyım, yoksa atmak serbest mi?

Yönetmelik gereğince imha kayıtları en az 3 yıl saklanmak zorunda. Bu kayıtları atmak veya silmek uyumsuzluk riski doğurur; denetimde ibraz edilemez.

İlgili kişi silme talebinde bulunursa ne kadar sürem var?

KVKK Madde 13 kapsamında ilgili kişinin talebini en geç 30 gün içinde sonuçlandırmanız ve sonucu bildirmeniz gerekiyor. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa talep doğrultusunda imha etmek zorundasınız.

Kağıt halindeki müvekkil dosyalarını imha etmek için çöpe atmak yeterli mi?

Hayır. Çöpe atmak, başkalarının dosyaya ulaşmasını engellemediğinden imha sayılmaz. Kağıt evrakın kırpma makinesiyle (shredder) geri oluşturulamaz hale getirilmesi ya da onaylı imha firmasına teslim edilmesi gerekir.