Single Blog Title

This is a single blog caption

Avukatlık Büroları İçin KVKK Uyumu: Müvekkil Verileri ve Sır Saklama Yükümlülüğü

Giriş

Avukatlık büroları, kişisel verilerin en yoğun ve en hassas şekilde işlendiği mesleki yapılardan biridir. Bir avukatlık bürosu; müvekkillerin kimlik bilgilerini, iletişim bilgilerini, adreslerini, vekâletnamelerini, dava dosyalarını, icra takip evraklarını, sağlık raporlarını, banka kayıtlarını, ticari belgelerini, aile ilişkilerine dair bilgilerini, ceza soruşturması evraklarını, şirket kayıtlarını, çalışan bilgilerini, tanık beyanlarını ve çoğu zaman üçüncü kişilere ait birçok veriyi işler. Bu nedenle avukatlık büroları açısından KVKK uyumu, sıradan bir şirket uyum sürecinden çok daha hassas değerlendirilmelidir.

Avukatlık mesleğinin temelinde güven ilişkisi vardır. Müvekkil, avukata çoğu zaman en mahrem bilgisini, ticari sırrını, ailevi sorununu, ceza dosyasını, malvarlığı bilgisini veya kişisel yaşamına ilişkin hassas belgeleri teslim eder. Bu güven ilişkisi yalnızca meslek etiği bakımından değil, aynı zamanda hukuki bir yükümlülük olarak da korunur. Avukatlık Kanunu’nun 36. maddesinde avukatların, kendilerine tevdi edilen veya avukatlık görevi dolayısıyla öğrendikleri hususları açığa vurmalarının yasak olduğu düzenlenmiştir. Aynı maddede avukatın bu hususlarda tanıklık edebilmesinin iş sahibinin muvafakatine bağlı olduğu, fakat bu halde dahi avukatın tanıklıktan çekinebileceği belirtilmektedir.

Bu noktada avukatlık büroları için iki ayrı koruma rejimi birlikte çalışır. Birincisi, Avukatlık Kanunu ve meslek kurallarından doğan sır saklama yükümlülüğüdür. İkincisi ise 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndan doğan kişisel verileri hukuka uygun işleme ve koruma yükümlülüğüdür. Bu iki yükümlülük birbirinin alternatifi değildir. Avukatın sır saklama yükümlülüğü bulunması, KVKK yükümlülüklerini ortadan kaldırmaz; KVKK’ya uygun hareket edilmesi de avukatlık sırrının korunması yükümlülüğünü azaltmaz.

Avukatlık Bürolarında Hangi Kişisel Veriler İşlenir?

Avukatlık bürolarında işlenen kişisel veriler, dosyanın türüne göre oldukça geniş bir alana yayılır. Bir boşanma dosyasında eşlerin kimlik bilgileri, adresleri, gelir durumları, çocuklara ilişkin bilgiler, banka hareketleri, sosyal medya yazışmaları ve aile yaşamına dair kayıtlar bulunabilir. Bir işçilik alacağı dosyasında bordrolar, SGK kayıtları, çalışma süreleri, sağlık raporları, tanık bilgileri ve işyeri yazışmaları işlenebilir. Bir ceza dosyasında ifade tutanakları, adli sicil kayıtları, telefon inceleme raporları, kamera kayıtları, HTS kayıtları, kolluk tutanakları ve mağdur-şüpheli bilgileri yer alabilir.

Ticari dava ve icra takiplerinde ise şirket yetkililerine ait kimlik bilgileri, cari hesap kayıtları, banka dekontları, sözleşmeler, faturalar, çek-senet bilgileri, ticari defterler ve şirket içi yazışmalar işlenebilir. Gayrimenkul ve miras dosyalarında tapu kayıtları, nüfus kayıt örnekleri, veraset ilamları, aile bağları, taşınmaz bilgileri ve malvarlığı verileri gündeme gelir.

Bu verilerin bir kısmı sıradan kişisel veri, bir kısmı ise özel nitelikli kişisel veri niteliğindedir. Sağlık raporları, ceza mahkûmiyeti ve güvenlik tedbirlerine ilişkin bilgiler, biyometrik veriler, sendika üyeliği, dini inanç, siyasi düşünce, cinsel hayat ve benzeri bilgiler özel nitelikli kişisel veri kapsamındadır. KVKK Kurumu, özel nitelikli kişisel verilerin öğrenilmesi halinde kişinin ayrımcılığa veya mağduriyete uğrayabileceğini, bu nedenle diğer kişisel verilere göre daha sıkı korunması gerektiğini belirtmektedir.

Dolayısıyla bir avukatlık bürosu yalnızca müvekkiline ait verileri değil, karşı tarafın, tanıkların, bilirkişilerin, şirket çalışanlarının, aile bireylerinin, borçluların, alacaklıların ve dosyayla ilişkili üçüncü kişilerin verilerini de işler. Bu nedenle KVKK uyumu yalnızca “müvekkil aydınlatma metni” ile sınırlı düşünülmemelidir.

Avukatlık Bürosu Veri Sorumlusu mudur?

KVKK bakımından veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen kişidir. Avukatlık bürosu, mesleki faaliyeti kapsamında müvekkil dosyalarını hangi amaçla işleyeceğine, hangi sistemde saklayacağına, kimlerle paylaşacağına, ne kadar süre muhafaza edeceğine ve hangi güvenlik tedbirlerini alacağına karar veriyorsa, çoğu durumda veri sorumlusu sıfatıyla hareket eder.

Bununla birlikte bazı ilişkilerde avukatlık bürosunun veri işleyen gibi hareket ettiği durumlar da teorik olarak gündeme gelebilir. Örneğin büyük bir şirketin belirlediği sistem ve talimatlar içinde sınırlı bir veri işleme hizmeti sunuluyorsa, somut ilişkinin niteliği ayrıca değerlendirilmelidir. Ancak klasik avukat-müvekkil ilişkisinde avukat, dosyanın hukuki stratejisini belirleyen, delilleri değerlendiren, dava veya icra süreçlerini yürüten bağımsız meslek mensubu olduğu için veri sorumlusu niteliği daha baskındır.

Avukatlık bürosunun veri sorumlusu sayılması halinde; aydınlatma yükümlülüğü, veri güvenliği yükümlülüğü, ilgili kişi başvurularına cevap verme, veri ihlali halinde Kurul’a ve ilgili kişilere bildirim yapma, saklama-imha süreçlerini düzenleme ve gerekli teknik-idari tedbirleri alma yükümlülükleri gündeme gelir. KVKK Kurumu, veri sorumlusunun kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamak için gerekli teknik ve idari tedbirleri almak zorunda olduğunu açıklamaktadır.

Sır Saklama Yükümlülüğü ile KVKK Arasındaki İlişki

Avukatlık mesleğinde sır saklama yükümlülüğü, yalnızca müvekkilin açıkça “bu sırdır” dediği bilgilerle sınırlı değildir. Avukat, mesleki faaliyeti sırasında öğrendiği ve müvekkilin açıklanmasını istemeyeceği her türlü bilgiyi korumakla yükümlüdür. Bu yükümlülük dava bittikten, vekâlet ilişkisi sona erdikten veya ücret ilişkisi tamamlandıktan sonra da devam eder.

KVKK ise sır saklama yükümlülüğünü teknik ve kurumsal düzeyde tamamlar. Avukatın dosya içeriğini üçüncü kişilere anlatmaması tek başına yeterli değildir. Aynı zamanda dosya evraklarının açıkta bırakılmaması, dijital dosyaların şifresiz paylaşılmaması, ofis çalışanlarının sınırsız erişim sahibi olmaması, eski çalışanların sistem erişiminin kapatılması, e-posta ve WhatsApp paylaşımlarında dikkatli olunması, bulut sistemlerinin kontrol edilmesi ve veri ihlali yaşandığında doğru bildirim sürecinin yürütülmesi gerekir.

Başka bir ifadeyle, sır saklama yükümlülüğü “bilgiyi açıklamama” borcunu içerirken, KVKK bu bilginin hukuka uygun, güvenli, ölçülü ve denetlenebilir şekilde işlenmesini zorunlu kılar. Avukatlık büroları açısından en doğru yaklaşım, sır saklama yükümlülüğünü KVKK uyum sisteminin merkezine koymaktır.

Müvekkil Aydınlatma Metni Nasıl Hazırlanmalıdır?

Avukatlık büroları, kişisel verileri elde ederken ilgili kişilere aydınlatma yapmalıdır. Aydınlatma metni; veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işlendiği, kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin KVKK kapsamındaki haklarını içermelidir. KVKK Kurumu, aydınlatma yükümlülüğünün kişisel veri işlenen her durumda yerine getirilmesi gerektiğini; veri işleme açık rızaya dayansa da Kanun’daki diğer işleme şartlarına dayansa da aydınlatma yükümlülüğünün devam ettiğini belirtmektedir.

Avukatlık bürosu için hazırlanacak aydınlatma metni genel ve soyut olmamalıdır. “Kişisel verileriniz hukuki hizmetlerin yürütülmesi amacıyla işlenmektedir” ifadesi tek başına yeterli olmayabilir. Metinde hukuki danışmanlık verilmesi, dava ve icra takiplerinin yürütülmesi, sözleşme ve dilekçe hazırlanması, delillerin değerlendirilmesi, müvekkil ile iletişim kurulması, ücret ve muhasebe süreçlerinin yürütülmesi, hukuki yükümlülüklerin yerine getirilmesi ve mesleki sorumluluk süreçleri gibi amaçlar daha somut şekilde gösterilmelidir.

Ayrıca veri aktarımı da açıkça belirtilmelidir. Avukatlık bürosu, kişisel verileri mahkemeler, icra daireleri, arabuluculuk büroları, bilirkişiler, noterler, tapu müdürlükleri, nüfus müdürlükleri, kolluk, savcılıklar, vergi daireleri, barolar, UYAP sistemi, mali müşavir, tercüman, bilirkişi, danışman veya kargo/kurye hizmet sağlayıcıları ile paylaşabilir. Ancak her aktarım dosyanın gereğiyle sınırlı olmalıdır. KVKK Kurumu’nun 2026 tarihli duyurusunda da kişisel veri aktarımı söz konusu olduğunda aktarımın amacı ve alıcı gruplarının aydınlatmada ayrıca belirtilmesi gerektiği vurgulanmıştır.

Açık Rıza Her Zaman Gerekli midir?

Avukatlık bürolarında kişisel veri işleme faaliyetlerinin tamamı için açık rıza alınması gerekmez. Hatta her işlem için açık rıza almak, çoğu zaman doğru hukuki yöntem değildir. Çünkü avukatlık hizmeti kapsamında birçok veri işleme faaliyeti; sözleşmenin kurulması veya ifası, hukuki yükümlülüğün yerine getirilmesi, bir hakkın tesisi, kullanılması veya korunması, kanunlarda açıkça öngörülme veya meşru menfaat gibi hukuki sebeplere dayanabilir.

Örneğin bir dava dilekçesi hazırlamak için müvekkilin kimlik ve iletişim bilgilerinin işlenmesi, vekâlet ilişkisinin kurulması ve hukuki hizmetin yürütülmesi için gereklidir. Bir alacak davasında banka dekontlarının, sözleşmelerin veya faturaların dosyaya sunulması, bir hakkın tesisi, kullanılması veya korunması amacıyla yapılabilir. Bir ceza dosyasında ifade tutanaklarının veya delil niteliğindeki belgelerin işlenmesi de savunma hakkının kullanılması bakımından zorunlu olabilir.

Buna karşılık avukatlık bürosunun müvekkil verilerini bülten, reklam, etkinlik duyurusu, sosyal medya paylaşımı, referans gösterme veya başarı hikâyesi şeklinde kullanması farklı değerlendirilir. Müvekkilin adı, davası, sonucu, fotoğrafı veya ticari unvanı tanıtım amacıyla kullanılacaksa sır saklama yükümlülüğü, reklam yasağı ve KVKK birlikte değerlendirilmelidir. Bu tür kullanım için açık rıza alınsa bile meslek kuralları açısından ayrıca değerlendirme yapılmalıdır.

Açık rıza gerekiyorsa, aydınlatma metni ile açık rıza metni ayrı düzenlenmelidir. Aydınlatma Yükümlülüğü Tebliği, kişisel veri işleme faaliyeti açık rızaya dayanıyorsa aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiğini düzenlemektedir.

Özel Nitelikli Kişisel Veriler ve Dava Dosyaları

Avukatlık büroları, çok sık şekilde özel nitelikli kişisel veri işler. İş kazası dosyasında maluliyet raporu, ceza dosyasında adli sicil veya ceza mahkûmiyeti bilgisi, boşanma dosyasında psikolojik rapor, sağlık hukuku dosyasında tıbbi kayıt, iş hukuku dosyasında sendika üyeliği bilgisi, yabancılar hukuku dosyasında kimlik ve sağlık verileri, miras dosyasında aile ve soybağı bilgileri bulunabilir.

Özel nitelikli kişisel verilerin işlenmesi, KVKK’nın 6. maddesi kapsamında daha sıkı şartlara tabidir. Güncel düzenlemeye göre özel nitelikli kişisel veriler; açık rıza, kanunlarda açıkça öngörülme, ilgili kişinin alenileştirdiği verilerin alenileştirme iradesine uygun işlenmesi, bir hakkın tesisi, kullanılması veya korunması için zorunluluk gibi hallerde işlenebilir. KVKK Kurumu, özel nitelikli kişisel verilerin işlenebileceği halleri ayrıntılı şekilde açıklamaktadır.

Avukatlık büroları bakımından “bir hakkın tesisi, kullanılması veya korunması için zorunluluk” sebebi önemli bir hukuki dayanak olabilir. Örneğin iş kazası tazminat davasında sağlık raporu olmadan zarar ispat edilemeyebilir. Ceza dosyasında adli belgeler savunma hakkının kullanılması için zorunlu olabilir. Aile hukuku dosyasında psikolojik rapor veya sosyal inceleme raporu velayet yönünden önem taşıyabilir. Ancak bu veriler yalnızca dosya amacıyla ve gerekli olduğu ölçüde işlenmelidir.

Özel nitelikli verilerin güvenliği ayrıca önemlidir. Bu tür belgeler ofis içinde herkesin erişebileceği klasörlerde tutulmamalı, şifresiz e-posta ile gelişigüzel gönderilmemeli, WhatsApp gruplarında kontrolsüz paylaşılmamalı ve dosya kapanınca gereksiz kopyalar temizlenmelidir.

UYAP, Dava Dosyaları ve Dijital Arşiv Güvenliği

Avukatlık bürolarında kişisel verilerin önemli bir kısmı UYAP, e-tebligat, e-imza, KEP, dijital arşiv, bulut depolama, ofis yazılımları ve e-posta hesapları üzerinden işlenir. Bu sistemler avukatlık pratiğini kolaylaştırır; ancak aynı zamanda ciddi veri güvenliği riskleri doğurur.

UYAP şifreleri, e-imza cihazları, mobil imza bilgileri, KEP hesapları ve ofis e-posta adresleri yalnızca yetkili kişiler tarafından kullanılmalıdır. Stajyer, sekreter veya ofis çalışanı dosya takibi yapacaksa, bu erişim görevle sınırlı olmalı ve denetlenmelidir. Eski çalışanların e-posta, bulut, UYAP entegrasyonu, dosya takip programı ve ofis bilgisayarı erişimleri derhal kapatılmalıdır.

Dijital arşivlerde klasör bazlı yetkilendirme yapılmalıdır. Ceza dosyaları, aile hukuku dosyaları, sağlık raporları, şirket ticari sırları ve kişisel banka dökümleri gibi hassas evraklara yalnızca ilgili avukat ve gerekli personel erişebilmelidir. Dosyaların “herkesin eriştiği ortak klasör” mantığıyla saklanması, veri güvenliği bakımından risklidir.

Yedekleme yapılması da önemlidir. Ancak yedeklerin nerede tutulduğu, şifreli olup olmadığı, kimlerin eriştiği ve yurt dışı sunucularda saklanıp saklanmadığı ayrıca kontrol edilmelidir. Bulut depolama hizmeti kullanılıyorsa, bu hizmet sağlayıcının veri güvenliği ve yurt dışı aktarım boyutu da değerlendirilmelidir.

E-Posta, WhatsApp ve Müvekkil İletişimi

Avukatlık pratiğinde müvekkillerle WhatsApp, e-posta ve telefon üzerinden yoğun iletişim kurulmaktadır. Bu iletişim kanalları pratik olsa da veri güvenliği bakımından dikkatli kullanılmalıdır. Müvekkilin kimlik belgesi, pasaport görüntüsü, tapu senedi, sağlık raporu, banka dekontu, ceza dosyası evrakı veya özel yazışmaları WhatsApp üzerinden gönderildiğinde, bu veriler cihaz güvenliği, yedekleme, ekran görüntüsü, yanlış kişiye gönderim ve üçüncü taraf platform riskiyle karşılaşır.

Avukatlık büroları mümkün olduğunca kurumsal e-posta adresleri, güvenli dosya paylaşım sistemleri, şifreli bağlantılar ve erişimi süreli linkler kullanmalıdır. Özel nitelikli veya çok hassas belgeler gönderilirken dosya şifrelenmeli, şifre ayrı kanaldan iletilmeli ve yanlış alıcı kontrolü yapılmalıdır. Müvekkil dosyaları kişisel telefonlarda dağınık şekilde tutulmamalı; ofis politikasına göre merkezi, güvenli ve denetlenebilir bir arşive aktarılmalıdır.

E-posta gönderiminde “yanlış alıcı” riski avukatlık büroları için çok ciddidir. Bir dilekçenin, sağlık raporunun veya ceza dosyası evrakının yanlış müvekkile gönderilmesi hem sır saklama yükümlülüğünün hem de KVKK yükümlülüklerinin ihlaline yol açabilir. Bu nedenle gönderimden önce alıcı kontrolü, ek kontrolü ve konu içeriği kontrolü yapılmalıdır.

Avukatlık Bürosunda Çalışan, Stajyer ve Dış Hizmet Sağlayıcılar

KVKK uyumu yalnızca avukatların davranışına bağlı değildir. Sekreter, stajyer avukat, yardımcı personel, muhasebeci, bilgi işlem danışmanı, tercüman, bilirkişi, kargo/kurye personeli, arşiv hizmeti sağlayıcısı ve temizlik personeli dahi kişisel verilere temas edebilir. Bu nedenle ofis içi yetki ve gizlilik sistemi kurulmalıdır.

Ofis çalışanları ve stajyerler için gizlilik taahhütnamesi alınmalı, hangi dosyalara erişebilecekleri belirlenmeli, kişisel veri ve sır saklama eğitimi verilmelidir. Tercüman, danışman, dış avukat, mali müşavir veya teknik bilirkişi gibi üçüncü kişilerle çalışılırken, verilerin hangi amaçla paylaşıldığı ve bu kişilerin gizlilik yükümlülükleri yazılı hale getirilmelidir.

Veri sorumlusu, kişisel verilerin kendi adına başka kişiler tarafından işlenmesi halinde gerekli tedbirlerin alınması konusunda bu kişilerle birlikte sorumlu olabilir. KVKK Kurumu da veri sorumlusunun kendi adına veri işleyenlerle birlikte gerekli tedbirlerden müştereken sorumlu olduğunu belirtmektedir.

VERBİS Yükümlülüğü Avukatlar İçin Var mı?

Avukatlık büroları bakımından en çok sorulan konulardan biri VERBİS kaydıdır. KVKK Kurulu’nun 22.04.2020 tarihli ve 2020/315 sayılı kararında, 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatların Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulacak veri sorumluları arasında sayıldığı görülmektedir.

Ancak bu nokta çok önemlidir: VERBİS kayıt yükümlülüğünden istisna olmak, KVKK’nın tamamından muaf olmak anlamına gelmez. Avukatlık bürosu VERBİS’e kayıtlı olmasa bile aydınlatma yükümlülüğü, veri güvenliği yükümlülüğü, kişisel verileri hukuka uygun işleme yükümlülüğü, ilgili kişi başvurularına cevap verme, veri ihlali halinde bildirim yapma ve saklama-imha süreçlerini düzenleme yükümlülükleri devam eder.

Dolayısıyla “avukatlar VERBİS’ten istisna, bu nedenle KVKK metni gerekmez” yaklaşımı hatalıdır. Avukatlık bürosu, veri sorumlusu olarak yürüttüğü faaliyetleri KVKK’ya uygun hale getirmeli; yalnızca VERBİS kaydı bakımından istisna olup olmadığını ayrıca değerlendirmelidir.

Müvekkil Dosyalarının Saklanması ve İmha Edilmesi

Avukatlık bürolarında dosyalar çoğu zaman yıllarca saklanır. Bunun haklı sebepleri vardır: Mesleki sorumluluk, zamanaşımı süreleri, vekâlet ilişkisine dair uyuşmazlık ihtimali, ücret alacağı, dava dosyasının yeniden gündeme gelmesi, kesinleşme sonrası işlem ihtiyacı veya arşiv yükümlülükleri gibi nedenlerle dosyaların belirli sürelerle muhafaza edilmesi gerekebilir.

Ancak bu durum, tüm müvekkil dosyalarının süresiz ve kontrolsüz saklanabileceği anlamına gelmez. KVKK’nın temel ilkelerinden biri, kişisel verilerin işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesidir. Bu nedenle avukatlık büroları dosya türlerine göre saklama süreleri belirlemelidir. Dava dosyaları, icra takip dosyaları, danışmanlık dosyaları, sözleşme taslakları, vekâletnameler, muhasebe evrakı, kimlik fotokopileri, sağlık raporları ve geçici çalışma notları aynı süreyle saklanmak zorunda değildir.

Fiziki dosyalar kilitli arşivlerde tutulmalı, yetkisiz kişilerin erişimi engellenmelidir. Dijital dosyalar ise şifreli, yedekli ve yetki sınırlı sistemlerde saklanmalıdır. Süresi dolan gereksiz kopyalar, taslaklar, mükerrer taramalar, WhatsApp’tan indirilen belgeler ve kişisel cihazlarda kalan dosyalar düzenli olarak temizlenmelidir.

İlgili Kişi Başvuruları Avukatlık Bürolarında Nasıl Yönetilir?

Müvekkil, karşı taraf, tanık veya dosyada adı geçen üçüncü kişiler, KVKK kapsamında ilgili kişi başvurusu yapabilir. Bu kişiler, hangi verilerinin işlendiğini öğrenmek, yanlış verinin düzeltilmesini istemek, verilerin kimlere aktarıldığını sormak veya şartları varsa silinmesini talep etmek isteyebilir.

Avukatlık büroları bu başvuruları dikkatle değerlendirmelidir. Çünkü bir kişinin KVKK başvurusu, başka bir müvekkilin sırlarını veya dava stratejisini öğrenme aracına dönüşmemelidir. Örneğin karşı taraf, “büroda hakkımda hangi belgeler var?” diye başvurduğunda, avukatlık sırrı, savunma hakkı, yargılama faaliyetinin yürütülmesi ve bir hakkın tesisi/kullanılması/korunması gibi hususlar birlikte değerlendirilmelidir.

Bu nedenle avukatlık bürolarında ilgili kişi başvuruları için özel bir prosedür bulunmalıdır. Başvurunun kimden geldiği doğrulanmalı, talep kapsamı belirlenmeli, dosyanın tarafları ve sır saklama yükümlülüğü dikkate alınmalı, cevaplar süresinde ve hukuki gerekçeli verilmelidir. KVKK Kurumu, ilgili kişi başvurularının veri sorumlusu tarafından en kısa sürede ve en geç otuz gün içinde sonuçlandırılması gerektiğini belirtmektedir.

Veri İhlali Halinde Avukatlık Bürosu Ne Yapmalıdır?

Avukatlık bürosunda veri ihlali; bilgisayarın çalınması, e-posta hesabının ele geçirilmesi, UYAP veya e-imza bilgilerinin yetkisiz kullanılması, müvekkil dosyasının yanlış kişiye gönderilmesi, WhatsApp hesabının yedeklerinden veri sızması, bulut klasörünün herkese açık hale gelmesi, eski çalışanın dosyalara erişmeye devam etmesi veya fiziki dosyanın kaybolması şeklinde ortaya çıkabilir.

KVKK’ya göre işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde veri sorumlusu, bu durumu en kısa sürede ilgili kişiye ve Kurul’a bildirmek zorundadır. Veri ihlali bildirimi özellikle avukatlık büroları bakımından hassastır; çünkü ihlal edilen veriler yalnızca kişisel veri değil, aynı zamanda avukatlık sırrı ve dava stratejisi niteliğinde olabilir.

Bu nedenle avukatlık bürosu, veri ihlali şüphesi doğduğunda hızlıca şu adımları atmalıdır: İhlalin devam edip etmediği tespit edilmeli, erişim kapatılmalı, etkilenen dosyalar belirlenmeli, hangi kişisel verilerin ihlal edildiği saptanmalı, müvekkil sırları bakımından risk analizi yapılmalı, deliller korunmalı, Kurul ve ilgili kişi bildirimi değerlendirilmelidir. İhlal küçük görünse bile, özellikle ceza dosyası, sağlık raporu, ticari sır veya aile hukuku dosyası gibi hassas içeriklerde etkisi büyük olabilir.

Avukatlık Bürolarının En Sık Yaptığı KVKK Hataları

Avukatlık bürolarında en sık yapılan ilk hata, KVKK’nın yalnızca büyük şirketleri ilgilendirdiğinin düşünülmesidir. Oysa küçük bir hukuk bürosu da çok hassas müvekkil verileri işleyebilir. Ölçek küçük olsa bile veri hassasiyeti yüksek olabilir.

İkinci hata, VERBİS istisnasının KVKK muafiyeti gibi yorumlanmasıdır. Avukatlar VERBİS kaydından istisna tutulmuş olabilir; ancak aydınlatma, veri güvenliği ve hukuka uygun işleme yükümlülükleri devam eder.

Üçüncü hata, müvekkil evraklarının WhatsApp, kişisel e-posta ve kişisel bilgisayarlarda dağınık şekilde saklanmasıdır. Bu durum veri ihlali riskini artırır.

Dördüncü hata, ofis çalışanları ve stajyerlere sınırsız dosya erişimi verilmesidir. Her personel yalnızca görev alanıyla ilgili dosyalara erişmelidir.

Beşinci hata, fiziki dosyaların açıkta bırakılmasıdır. Bekleme salonu, toplantı odası, yazıcı önü veya sekreterya masasında müvekkil evraklarının görünür olması sır saklama ve KVKK bakımından risklidir.

Altıncı hata, eski çalışanların e-posta, bulut, dosya takip programı ve ofis bilgisayarı erişimlerinin kapatılmamasıdır. Ayrılan personelin erişimleri aynı gün kaldırılmalıdır.

Yedinci hata, müvekkil referansı veya dava sonucu paylaşımı yapılırken açık rıza, sır saklama ve reklam yasağı boyutunun birlikte değerlendirilmemesidir.

Sekizinci hata, dosya saklama ve imha politikasının bulunmamasıdır. Her evrak süresiz saklanmamalı; gereksiz kopyalar güvenli şekilde imha edilmelidir.

Avukatlık Büroları İçin KVKK Uyum Kontrol Listesi

Bir avukatlık bürosu KVKK uyumu için öncelikle hangi kişisel verileri işlediğini tespit etmelidir. Müvekkil, karşı taraf, tanık, çalışan, stajyer, danışman, tedarikçi ve ziyaretçi verileri ayrı ayrı belirlenmelidir.

İkinci olarak, müvekkil ve ilgili kişi aydınlatma metinleri hazırlanmalıdır. Bu metinlerde veri işleme amaçları, hukuki sebepler, veri aktarımı yapılan alıcı grupları ve başvuru yolları açıkça yazılmalıdır.

Üçüncü olarak, ofis içi gizlilik politikası oluşturulmalıdır. Avukatlar, stajyerler ve personel hangi dosyalara erişebileceğini bilmeli; tüm çalışanlardan gizlilik taahhüdü alınmalıdır.

Dördüncü olarak, dijital güvenlik tedbirleri uygulanmalıdır. Güçlü parola, iki aşamalı doğrulama, düzenli yedekleme, şifreli disk, yetki matrisi, antivirüs, güvenli bulut, erişim kayıtları ve eski kullanıcıların kapatılması ihmal edilmemelidir.

Beşinci olarak, fiziki arşiv güvenliği sağlanmalıdır. Dosyalar kilitli dolaplarda tutulmalı, imha edilecek evraklar gelişi güzel çöpe atılmamalı, güvenli imha yöntemi kullanılmalıdır.

Altıncı olarak, veri ihlali müdahale planı hazırlanmalıdır. Yanlış e-posta gönderimi, cihaz kaybı, hesap ele geçirilmesi veya dosya kaybı gibi durumlarda kimlerin ne yapacağı önceden belirlenmelidir.

Yedinci olarak, dış hizmet sağlayıcılarla gizlilik ve veri güvenliği hükümleri içeren sözleşmeler yapılmalıdır. Tercüman, mali müşavir, bilgi işlem uzmanı, arşiv firması, yazılım sağlayıcı ve danışmanlarla veri güvenliği açıkça düzenlenmelidir.

Sonuç

Avukatlık büroları için KVKK uyumu, yalnızca mevzuata uyma meselesi değildir; mesleğin özünü oluşturan güven ve sır saklama yükümlülüğünün dijital çağdaki karşılığıdır. Müvekkil, avukata en hassas kişisel bilgilerini, ailevi sırlarını, ticari belgelerini, ceza dosyasını, sağlık raporlarını veya malvarlığı kayıtlarını teslim eder. Bu bilgilerin korunması, hem Avukatlık Kanunu’ndan doğan sır saklama yükümlülüğünün hem de KVKK’dan doğan veri güvenliği yükümlülüklerinin gereğidir.

Avukatlık Kanunu m.36, avukatın mesleki faaliyeti nedeniyle öğrendiği hususları açıklamasını yasaklamaktadır. KVKK ise bu bilgilerin nasıl toplanacağı, hangi amaçla işleneceği, kimlerle paylaşılacağı, ne kadar süre saklanacağı ve hangi güvenlik tedbirleriyle korunacağı konusunda avukatlık bürolarına somut yükümlülükler getirir.

Bu nedenle hukuk büroları; müvekkil aydınlatma metinlerini hazırlamalı, açık rıza gerektiren işlemleri ayrıştırmalı, özel nitelikli kişisel verileri daha sıkı korumalı, UYAP ve dijital arşiv güvenliğini sağlamalı, e-posta ve WhatsApp paylaşımlarında dikkatli olmalı, ofis çalışanları ve stajyerler için gizlilik prosedürleri oluşturmalı, dosya saklama-imha sürelerini belirlemeli ve veri ihlali halinde hızlı hareket edecek bir sistem kurmalıdır.

Sonuç olarak, KVKK’ya uyumlu bir avukatlık bürosu yalnızca idari para cezası riskini azaltmaz; aynı zamanda müvekkiline güven veren, meslek etiğine uygun, kurumsal ve sürdürülebilir bir hukuk hizmeti sunar. Avukatlık pratiğinde gizlilik, yalnızca söze dayalı bir meslek ilkesi olarak kalmamalı; teknik, idari ve hukuki tedbirlerle somut şekilde uygulanmalıdır.

Leave a Reply

Call Now Button