Hukuk büroları doğası gereği yoğun ve hassas kişisel veri işler: müvekkil kimliği, dava içeriği, sağlık verisi, mali bilgi, ceza mahkumiyeti kayıtları. Bu yoğunluk, hukuk bürosunu KVKK uyumu açısından yüksek riskli veri sorumlusu kategorisine sokar.

2026 yılı KVKK idari para cezaları %25,49 yeniden değerleme ile güncellendi; üst sınır 17 milyon TL'ye çıktı. KVKK Kurulu kararlarında avukatlık bürolarına özel cezalar 50.000 TL ile milyonlar arasında değişiyor. Bu rehber, hukuk bürosunun günlük operasyonunda KVKK uyumunu sağlamak için pratik adımları toplar.

VERBİS Kaydı: Avukatlar Zorunlu mu, Muaf mı?

KVKK Kurulu 14 Mayıs 2026 duyurusu ile hukuk bürolarının VERBİS muafiyetini netleştirdi. Genel kural:

  • Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço 100 milyon TL'den az olan veri sorumluları, esas faaliyet alanı özel nitelikli veri işlemek olmadıkça VERBİS kaydından muaftır.
  • Avukatlık büroları esas faaliyeti gereği özel nitelikli veri (sağlık, ceza kaydı) işlediğinden, bu muafiyetten yararlanamaz.
  • Avukatlık ortaklıkları ölçeklerinden bağımsız olarak VERBİS'e kaydolmak durumundadır.

2026 yılı için VERBİS son kayıt tarihi 5 Haziran 2026 olarak belirlendi (KVKK Kurulu 2026/1026 sayılı kararı). Bu tarihten sonra kayıtsız tutulan veri sorumlusuna ayrı bir idari para cezası uygulanır.

Aydınlatma Metni ve Açık Rıza

KVKK m. 10 uyarınca veri sorumlusu, kişisel verisi işlenen kişileri bilgilendirmekle yükümlüdür. Hukuk bürosu için somut anlamı:

  • Müvekkil aydınlatma metni: Vekalet sözleşmesinin ekinde verilir; hangi verilerin, hangi amaçla, ne kadar süre saklandığı belirtilir.
  • Açık rıza: Özel nitelikli veri işleme için (sağlık, ceza kaydı, biyometrik) ayrı yazılı rıza gerekir. Vekalet ilişkisi tek başına yeterli sayılmaz; açık rıza belgesi şart.
  • Web sitesi aydınlatma metni: Çerez politikası, iletişim formu KVKK uyarı metni, ziyaretçi analitiği için ayrı bilgilendirme.

Aydınlatma metninin müvekkil tarafından okunduğuna dair imzalı belge dosyada tutulmalıdır.

Veri Güvenliği: Teknik ve İdari Tedbirler

KVKK m. 12, veri sorumlusunun teknik ve idari tedbirleri almasını zorunlu kılar. Hukuk bürosu için temel tedbirler:

  • Teknik: Şifreli disk, antivirüs, güvenlik duvarı, düzenli yedek, erişim kayıtları (audit log), HTTPS şifreleme, rol bazlı yetki yönetimi.
  • İdari: Çalışan gizlilik sözleşmeleri, KVKK eğitimi, fiziksel güvenlik (kilitli dolap, alarm), ziyaretçi kayıt defteri, sosyal medya politikası.
  • Veri yaşam döngüsü: Saklama süresi politikası, periyodik silme, anonimleştirme ya da imha.

Bulut tabanlı hukuk yazılımı kullanılıyorsa, sağlayıcının da KVKK uyumlu olması gerekir; Türkiye sunucusunda veri ikameti, sözleşmesel KVKK garantileri ve denetim hakkı en kritik üç şarttır.

Veri İhlali Bildirim: 72 Saatlik Sayaç

KVKK m. 12 son fıkrası: veri ihlalini öğrendiği andan itibaren 72 saat içinde Kurula bildirimde bulunmak zorunludur.

İhlal türleri:

  • Yetkisiz erişim (hacking, sosyal mühendislik)
  • Yanlış alıcıya gönderilen e-posta (ortak müvekkil ismi)
  • Çalınan veya kaybolan cihaz (laptop, telefon, USB)
  • Hatalı paylaşılan bulut klasörü
  • Kötü amaçlı yazılım (ransomware, virus)

Bildirim kvkk.gov.tr üzerinden Veri İhlal Bildirim Formu ile yapılır. Tüm bilgilere sahip olmasanız bile 72 saat içinde kısmi bildirim gönderip eksikleri sonradan tamamlayabilirsiniz.

2025/2451 sayılı Kurul Kararı ile ihlal ilanlarının Kurum sitesinde yayım süresi 60 günle sınırlandı; etkilenen kişilere hızlı bireysel bildirim ile ilan süresini kısaltma imkanı doğdu.

2026 KVKK İdari Para Cezaları ve Avukatlık Bürosu Kararları

2026 yılı KVKK idari para cezaları %25,49 yeniden değerleme oranı ile güncellendi:

  • Aydınlatma yükümlülüğüne aykırılık: 20.000 TL – 400.000 TL
  • Veri güvenliği tedbirleri almama: 60.000 TL – 4.000.000 TL
  • Kurul kararına uymama: 100.000 TL – 4.000.000 TL
  • VERBİS kayıt yükümlülüğüne aykırılık: 80.000 TL – 4.000.000 TL
  • Üst sınır (toplam): 17.000.000 TL

KVKK Kurulu son yıllarda avukatlık bürolarına özel kararlar verdi: müvekkil iletişim bilgilerini yanlış paylaşan, yeterli teknik tedbir almayan, ihlali süresinde bildirmeyen bürolara 50.000 TL'den milyon TL'ye uzanan cezalar uyguladı. Bu kararlar Kurum sitesinde anonim biçimde yayımlanır.

Bu konuda detaylı makaleler

Aşağıdaki yazılar bu rehberin alt başlıklarını derinlemesine ele alır:

Sıkça Sorulan Sorular

Solo avukat olarak VERBİS'e kaydolmak zorunda mıyım?

Esas faaliyet alanınız özel nitelikli veri işleme olduğundan ölçek muafiyetinden yararlanamazsınız. Solo avukat dahi VERBİS kaydı yapmalıdır.

Müvekkilden açık rıza nasıl alınır?

Vekalet sözleşmesinin ekinde yazılı, ayrı belge olarak alınmalıdır. "Özel nitelikli verilerinizin (sağlık, ceza kaydı vb.) iş bu vekalet kapsamında işlenmesine açık rıza veriyorum" şeklinde net ifade, müvekkil imzası ile.

Bulut hukuk yazılımı kullanmak KVKK'ya uygun mu?

Evet, sağlayıcı KVKK uyumlu ise. Veri Türkiye sunucusunda olmalı, sözleşmesel KVKK garantileri verilmeli, denetim hakkı tanınmalıdır. Yurtdışı sunucu kullanan yazılımlar ek belgelendirme gerektirir.

Veri ihlali olduğunu öğrendim, ne yapmalıyım?

İlk 4 saat: ihlal kapsamını teknik olarak tespit edin. 4-12 saat: etki analizi yapın, ihlal türünü belirleyin. 12-48 saat: kvkk.gov.tr üzerinden Veri İhlal Bildirim Formu doldurun. 48-72 saat: etkilenen kişilere bireysel bildirimi başlatın.

KVKK eğitimi avukat için zorunlu mu?

Doğrudan yasal zorunluluk yok, ancak veri sorumlusunun "gerekli idari tedbirleri aldığını" ispatlayabilmesi için ekip eğitimi pratik bir gerekliliktir. KVKK Kurumu denetimlerinde eğitim kayıtları sorulur.