KVKK uyumu, bir defalık iş değil; bürosunun büyüklüğünden bağımsız her hukuk yapısının sürekli yönetmesi gereken bir süreçtir. Bu rehber, küçük bir solo büroda da büyük bir ortaklıkta da uygulanabilir bir altı adımlı çerçeveyi pratik dille ele alır.

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsar. Hukuk büroları, müvekkillerinin son derece hassas verilerini (sağlık, ceza geçmişi, aile bilgileri, finansal durum) işledikleri için Kanun karşısında en yüksek hassasiyet kategorisinde yer alır. Bu yazı, hukuk bürolarının uyum sürecini sıfırdan ya da var olan eksikleri tamamlayarak yürütmesi için somut adımları ele alır.

Veri Sorumlusu: 6698 sayılı Kanun'un 3. maddesine göre kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bir hukuk bürosu, müvekkil verilerini işlediği için Kanun karşısında veri sorumlusudur; tek başına çalışan bir avukat da, çok ortaklı bir hukuk yapısı da aynı yükümlülüklere tabidir.

KVKK Uyumu Neden Sürekli Bir Süreçtir?

Uyum, bir kez yapılıp rafa kaldırılan bir proje değildir; çünkü Kanun statik değildir. Kişisel Verileri Koruma Kurulu her yıl yeni rehberler ve kararlar yayınlar; mevzuat değişiklikleri uyum yükümlülüklerinin kapsamını yeniden tanımlar. 12 Mart 2024 tarihinde Resmi Gazete'de yayımlanan 7499 sayılı Kanun ile yurt dışına veri aktarımı, özel nitelikli kişisel veriler ve idari para cezaları gibi başlıklar köklü değişikliklere uğradı. Bu nedenle uyum süreci, her büronun yıllık olarak gözden geçirmesi gereken bir disiplindir.

Bunun pratik karşılığı, uyumun altı temel adımdan oluşan ve sürekli güncellenen bir döngü olarak ele alınmasıdır. Aşağıdaki çerçeve, hem ilk kez uyum çalışması yapan büroların hem de mevcut yapısını revize edenlerin başvuruda bulunabileceği bir yapıyı oluşturur.

Adım 1: Veri Envanteri ve Süreç Haritası

Uyumun ilk adımı, neyi işlediğinizi bilmektir. Pek çok büro bu adımı atlayarak doğrudan aydınlatma metni şablonlarına geçer; oysa envanteri olmayan bir aydınlatma metni eksik ya da yanlış olmaya mahkumdur.

Bir hukuk bürosunun veri envanteri en az şu kategorileri içermelidir:

  • Müvekkil verileri: Kimlik, iletişim, dosya konusu, finansal durum, sağlık bilgisi (varsa), ceza geçmişi (varsa), aile bilgileri.
  • Karşı taraf verileri: İhtilafın tarafı olan kişilerin kimlik ve iletişim bilgileri.
  • Tanık ve üçüncü kişi verileri: Dosyada beyanı alınan ya da delil değeri taşıyan kişiler.
  • Çalışan verileri: Avukat, stajyer, sekreter, ofis personeli özlük ve performans bilgileri.
  • Ziyaretçi ve aday müvekkil verileri: İletişim formu doldurmuş ya da büroyu ziyaret etmiş kişiler.

Her veri kategorisi için işleme amacı, hukuki dayanak, saklama süresi ve aktarıldığı taraflar net biçimde yazılmalıdır. Bu çalışmanın çıktısı, bir Excel ya da yapısal bir veri envanteri belgesidir. Bu belge, sonraki tüm adımların referansıdır.

Adım 2: Aydınlatma Metinlerinin Hazırlanması

KVKK'nın 10. maddesi gereği veri sorumlusu, kişisel veri işlerken ilgili kişiyi aydınlatmakla yükümlüdür. Hukuk bürosunda tek bir aydınlatma metni yetmez; ilişki tipine göre farklı metinler hazırlanmalıdır:

  • Müvekkil aydınlatma metni: Vekaletname ile birlikte ama ayrı bir belge olarak imzalatılır. İçinde hukuki danışmanlık sürecinde işlenecek veri kalemleri, amacı ve süresi açıklanır.
  • Karşı taraf aydınlatma metni: Tebligat zarfı veya dava sürecindeki yazışmalarla iletilir.
  • Çalışan aydınlatma metni: İş sözleşmesi ile birlikte imzalatılır; özlük dosyasında saklanır.
  • Stajyer aydınlatma metni: Staj sözleşmesine ek olarak hazırlanır.
  • Ziyaretçi aydınlatma metni: Bekleme alanında görünür yerde asılır; web sitesinde iletişim formu kullanan kişiler için de form üzerinde linki verilir.

Aydınlatma metni şablonu Kanun'da belirli unsurları içermek zorundadır: veri sorumlusunun kimliği, işleme amacı, hukuki sebep, kimlere ne amaçla aktarılacağı, veri toplama yöntemi ve KVKK'nın 11. maddesindeki kişisel hakların listesi.

Adım 3: Açık Rıza Yönetimi

Pek çok büronun en sık yaptığı hata, aydınlatma metni ile açık rıza belgesini aynı kağıtta birleştirmektir. KVKK Kurulu, bu uygulamayı "rıza özgür değildir" yorumuyla yıllardır eleştirir; bu nedenle ceza kararlarının önemli bir bölümünde de bu nokta öne çıkar.

Açık rıza: 6698 sayılı Kanun'un 3. maddesinde "belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza" olarak tanımlanır. Açık rıza, sadece Kanun'da öngörülen hallerde gerekli olup; örneğin sözleşmenin ifası, yasal yükümlülük ya da meşru menfaat gibi başka bir hukuki sebep varsa açık rıza istemek hatalıdır.

Pratikte açık rızanın aranacağı hukuk bürosu işlemleri sınırlıdır. Müvekkilin vekalet ilişkisi sözleşmenin ifası kapsamında değerlendirildiği için açık rıza istenmesi yanlıştır. Açık rızaya ihtiyaç duyulan tipik haller; pazarlama amaçlı iletişim (newsletter), müvekkil hikayesinin tanıtım amaçlı kullanımı ya da web sitesinde fotoğraflı görüş yayınlanmasıdır.

Adım 4: VERBİS Kaydı

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), kişisel veri işleyen veri sorumlularının önceden kayıt yaptırmak zorunda olduğu kamuya açık sicildir. Kurul'un belirlediği eşik değerlerin üzerindeki tüm veri sorumluları kayıt yükümlüsüdür. Kurul'un yayımladığı son düzenlemelerle bu eşikler düşürüldü ve daha küçük yapıdaki büroların da kapsama girmesi mümkün hale geldi. Güncel eşikler için KVKK'nın resmi sayfasındaki ilgili duyuruları takip etmek yerinde olur.

Eşiklerin altında kalan solo bürolar VERBİS kayıt yükümlülüğünden muaftır ancak veri sorumlusu sıfatı taşımaya devam eder. Yani aydınlatma yükümlülüğü, açık rıza alma kuralları, veri güvenliği tedbirleri ve veri ihlali bildirim yükümlülüğü VERBİS kapsamında olmayan büro için de geçerlidir.

Adım 5: Teknik ve İdari Tedbirler (Kanun m. 12)

KVKK'nın 12. maddesi, veri sorumlusunun verilerin hukuka aykırı işlenmesini ve verilere yetkisiz erişimi önlemek için "uygun teknik ve idari tedbirleri" almakla yükümlü olduğunu söyler. Bu yükümlülüğün hukuk bürosundaki pratik karşılığı altı sütundur:

  1. Şifreleme: Müvekkil dosyalarının saklandığı diskin, bulut alanın ve yedek aygıtın şifreli olması. BitLocker, FileVault gibi işletim sistemi düzeyinde şifreleme yeterli temel oluşturur.
  2. Kimliklendirme ve erişim kontrolü: Her kullanıcının kendi kimlik bilgisiyle sisteme girmesi; ortak şifre kullanılmaması. İki faktörlü doğrulama (2FA), kritik sistemlerde standart olmalıdır.
  3. Yetki yönetimi: Stajyer, sekreter, ortak ve çalışan avukat farklı dosya görme yetkilerine sahip olmalıdır. "Tüm büro herşeyi görür" yapısı, bir veri ihlali durumunda kusurun ağırlaşmasına neden olur.
  4. İşten ayrılış prosedürü: Çalışan ayrıldığında erişim haklarının anında kapatılması, cihaz iadesinin belgelenmesi ve son durum tutanağının saklanması.
  5. Yedekleme ve felaket kurtarma: Dosyaların düzenli aralıklarla yedeklenmesi, yedek alanın da KVKK uyumu içinde tutulması; sistem arızasında yedekten geri dönüş prosedürünün yazılı olması.
  6. Olay yönetimi: Veri ihlali tespit edildiğinde 72 saat içinde Kurul'a bildirim yapılması süreci. Bu prosedür yazılı olmalı, kim ne yapacak net olmalıdır.

Bu altı sütunun teknik kısmı, doğru bir hukuk bürosu yazılımı seçimiyle büyük oranda otomatize edilebilir. Manuel takip yerine; merkezi yetki yönetimi, otomatik log tutma, şifreli yedekleme ve erişim raporları sunan bir altyapı, denetim hazırlığını rutin iş haline getirir.

Adım 6: Eğitim ve Denetim Hazırlığı

KVKK uyumunun insan tarafı çoğu kez en zayıf halkadır. Bürodaki tek bir çalışanın hatalı paylaşımı, milyonluk idari para cezasına yol açabilir. Bu nedenle yılda en az bir kez tüm büro çalışanlarına KVKK eğitimi verilmesi; eğitimin tutanağa bağlanması ve katılım imzalarının saklanması zorunluluk değil ama denetim sırasında olumlu kanıttır.

Bir denetime ya da Kurul'a yapılan bireysel başvuruya hazırlık için her bürodaki çekmecede şu belgelerin tutulması yerinde olur:

  • Güncel veri envanteri
  • Tüm aydınlatma metinleri ve imzalı/elektronik onay kayıtları
  • VERBİS kayıt belgesi (kapsamdaysa)
  • Kişisel veri saklama ve imha politikası
  • Teknik tedbirler envanteri (kullanılan yazılımlar, sertifikalar, log politikası)
  • Çalışan eğitim tutanakları
  • Veri ihlali müdahale planı
  • Yurt dışı aktarım söz konusuysa ilgili sözleşmeler ve hukuki dayanak belgeleri

Hukuk Bürosuna Özel Yaygın Hatalar

Saha tecrübesi gösteriyor ki hukuk bürolarının KVKK uyum hatalarının dörtte üçü, tekrar eden birkaç başlıkta toplanır:

  • Vekaletname içine sıkıştırılmış açık rıza ifadeleri
  • Paylaşımlı bilgisayar üzerinde şifresiz erişilebilir dosyalar
  • Stajyer ya da sekreterin yetkisi olmayan dosyalara erişebilmesi
  • Karşı taraf vekiline gönderilen e-postada başka müvekkillerin verilerinin yer alması
  • İşten ayrılan çalışanın cihazında müvekkil verilerinin kalması
  • Bulut e-posta servisinin yurt dışı veri merkezi kullandığının fark edilmemesi
  • Web sitesinde aydınlatma metni linkinin bulunmaması ya da güncel olmaması

Bu hataların ortak özelliği, niyetle değil ihmalle gerçekleşmiş olmalarıdır. Kurul, hukuk bürolarının iyi niyetli olduğunu kabul etmekle birlikte; "uygun teknik ve idari tedbirlerin" alınmamış olmasını ağır kusur olarak değerlendirir.

Uyum Sürecinin Yıllık Döngüsü

Uyum çalışmasını bir kez tamamlamak yetmez. Yıllık olarak şunların yeniden gözden geçirilmesi sağlıklıdır:

  • Ocak: Geçtiğimiz yılki Resmi Gazete ile güncellenen idari para cezası tutarlarının takip edilmesi.
  • Mart: Veri envanterinin güncel iş yapısına göre revizyonu.
  • Haziran: Tüm aydınlatma metinlerinin tarih ve içerik kontrolü.
  • Eylül: Çalışan eğitiminin yenilenmesi.
  • Kasım: VERBİS kayıt bilgilerinin güncellenmesi.

Bu döngünün bir takvime bağlanması, uyumun "acaba unuttuğum bir şey var mı?" stresinden kurtulmasını sağlar. KVKK uyumu, doğru kurgulanmış bir hukuk bürosunda yıllık birkaç günü aşmayan rutin bir iş haline gelir.

Daha derinlemesine konular için hukuk bürosu KVKK ve VERBİS yükümlülükleri ve 2026 KVKK ceza tutarları rehberimiz kapsamlı tamamlayıcılar olarak okunabilir.

Sıkça Sorulan Sorular

Solo çalışan bir avukat KVKK'ya tabi mi?

Evet. KVKK büro büyüklüğüne bakmaksızın kişisel veri işleyen herkesi kapsar. Solo bir avukat da müvekkil verilerini işlediği için veri sorumlusudur; aydınlatma yükümlülüğü, açık rıza kuralları, veri güvenliği tedbirleri ve veri ihlali bildirim yükümlülükleri solo büro için de geçerlidir. VERBİS kayıt yükümlülüğü ise eşik değerlerle sınırlıdır; eşiğin altında kalan solo bürolar VERBİS muafiyetinden faydalanır ancak diğer yükümlülükler devam eder.

Aydınlatma metni ile açık rıza aynı belge olabilir mi?

Hayır. Aydınlatma metni, kişiye verilerinin nasıl ve neden işleneceğini bildiren tek taraflı bir belgedir ve her veri işlemede gereklidir. Açık rıza ise sadece belirli işleme hallerinde kişinin özgür iradesiyle verdiği onaydır. KVKK Kurulu, iki belgenin tek bir metinde toplanmasını ve birlikte imzalatılmasını "rızanın özgürlüğünü ortadan kaldıran" bir uygulama olarak değerlendirmektedir ve bu uygulama ceza kararlarında sıkça öne çıkmaktadır.

Müvekkil vekaletnameyi imzaladığında KVKK kapsamında açık rıza vermiş sayılır mı?

Hayır. Vekalet ilişkisi, kişisel verilerin işlenmesi için sözleşmenin ifası hukuki dayanağına girer; bu durumda açık rıza istenmesi hatalıdır. Vekaletname ile birlikte ayrı bir aydınlatma metninin imzalatılması yeterlidir. Açık rıza sadece pazarlama, tanıtım veya benzeri sözleşmenin doğrudan ifası dışında kalan işlemler için gerekir.

Veri ihlali tespit edildiğinde ne kadar sürede bildirim yapılmalı?

KVKK'nın 12. maddesi gereği, veri ihlalinin tespitinden itibaren 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapılmalıdır. Bildirim süresinin geciktirilmesi ya da hiç yapılmaması başlı başına bir aykırılık nedenidir ve ek ceza riski doğurur. Ayrıca ilgili kişilere de en kısa sürede bilgilendirme yapılması gerekir.

Müvekkil verilerini bulut hizmetinde saklayabilir miyim?

Evet, ancak iki şartla. Birincisi, bulut sağlayıcı ile aranızda kişisel veri işleyen sözleşmesinin imzalanmış olması; ikincisi, veriler yurt dışında saklanacaksa Kanun'un 9. maddesindeki yurt dışı aktarım şartlarından birinin sağlanmış olması. Türkiye'de veri merkezi bulunan ya da yurt içi veri merkezi seçeneği sunan bir sağlayıcı tercih etmek, uyum sürecini önemli ölçüde basitleştirir.