KVKK ve Avukat Web Sitesi: Neden Özellikle Avukatlar İçin Kritik?
Bir avukat olarak müvekkillerinizin kişisel verilerini korumak mesleki yükümlülüğünüz. Avukatlık Kanunu'nun 36. maddesi sır saklama yükümlülüğünü düzenler. Ama web siteniz üzerinden de kişisel veri topluyorsunuz: iletişim formundan gelen ad, telefon, e-posta ve hukuki sorun açıklaması; çerezler aracılığıyla IP adresi, tarayıcı bilgileri, ziyaret edilen sayfalar; Google Analytics ile kullanıcı davranış verileri.
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) bu verilerin işlenmesini düzenliyor ve hiçbir sektöre istisna tanımıyor. Bir avukatın kendi web sitesinde KVKK uyumunu sağlamaması ciddi bir ironi olmanın ötesinde, hem idari para cezası hem mesleki itibar kaybı riski taşır.
2026 Yılı KVKK İdari Para Cezası Miktarları
Kişisel Verileri Koruma Kurulu, 6698 sayılı kanunun 18. maddesi kapsamındaki cezaları her yıl yeniden değerleme oranıyla güncelliyor. 2026 yılı için yeniden değerleme oranı yüzde 25,49. Güncel ceza miktarları:
| İhlal Türü (KVKK Maddesi) | 2026 Alt Sınır | 2026 Üst Sınır | Avukat Sitesi Riski |
|---|---|---|---|
| Aydınlatma yükümlülüğü ihlali (m.10) | 85.437 ₺ | 1.709.200 ₺ | Gizlilik politikası ve form aydınlatması eksikse |
| Veri güvenliği yükümlülüğü ihlali (m.12) | 256.357 ₺ | 17.092.242 ₺ | SSL yok, veri sızıntısı, yetersiz güvenlik |
| Kurul kararına uymama (m.15) | 342.524 ₺ | 17.092.242 ₺ | Kurul düzeltme kararına uyulmazsa |
| Veri Sorumluları Siciline kayıt yükümlülüğü ihlali (m.16) | 171.244 ₺ | 17.092.242 ₺ | VERBİS kaydı yapılmamışsa |
Bu rakamlar teorik ceza aralığı — Kurul genellikle ihlalin boyutuna göre alt sınıra yakın cezalar veriyor. Ama "düşük ceza verir" diye riskli davranmak akıllıca değil çünkü Kurul'un takdir yetkisi geniş.
Web Sitenizde KVKK Kapsamında Ne Yapmanız Gerekiyor?
6698 sayılı kanunun 10. maddesi "aydınlatma yükümlülüğü"nü düzenler. Kişisel veri işleyen her veri sorumlusu (web sitesi sahibi avukat dahil), ilgili kişiyi şu konularda bilgilendirmek zorundadır:
- Veri sorumlusunun kimliği (ad, adres, iletişim)
- Kişisel verilerin hangi amaçla işleneceği
- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
- Veri toplamanın yöntemi ve hukuki sebebi
- İlgili kişinin kanundan doğan hakları (erişim, düzeltme, silme, itiraz vb.)
Bu yükümlülük açık rıza olsun veya olmasın her durumda geçerli. "Zaten kendisi formu doldurdu" diye aydınlatmadan kaçınamazsınız.
1. Gizlilik Politikası Sayfası: Zorunlu
Web sitenizde toplanan tüm kişisel verileri, işlenme amaçlarını, saklama süresini ve ilgili kişinin haklarını açıklayan kapsamlı bir sayfa. Footer'dan her sayfada erişilebilir olmalı.
Gizlilik Politikasında Yer Alması Gereken Bölümler
| Bölüm | İçerik | Neden Gerekli |
|---|---|---|
| Veri sorumlusu bilgileri | Ad, büro adresi, telefon, e-posta | KVKK m.10/1-a |
| Toplanan veri kategorileri | Kimlik (ad, soyad), iletişim (tel, e-posta), çevrimiçi tanımlayıcılar (IP, çerez) | KVKK m.10/1-b |
| İşleme amaçları | İletişim talebi yanıtlama, site analizi, güvenlik | KVKK m.10/1-b |
| Hukuki dayanak | Açık rıza, meşru menfaat, sözleşmenin ifası | KVKK m.5 |
| Veri aktarımı | Hosting firması, Google Analytics, e-posta sağlayıcı | KVKK m.10/1-c + m.8-9 (yurt dışı aktarım) |
| Saklama süreleri | Form verileri: 2 yıl, çerez verileri: 1 yıl (örnek) | KVKK m.4/1-ç (amaca uygunluk) |
| İlgili kişi hakları | Erişim, düzeltme, silme, aktarım, itiraz hakkı | KVKK m.11 |
| Başvuru yöntemi | E-posta, posta veya KEP adresi | Veri Sorumlusuna Başvuru Usul ve Esasları Tebliği |
İnternetten indirilen hazır şablonları doğrudan kullanmayın — sitenize özel uyarlayın. Hangi verileri topladığınız, hangi üçüncü taraf araçlarını kullandığınız (Google Analytics, Cloudflare vb.) ve hosting'inizin nerede olduğu her site için farklıdır.
2. Çerez Politikası ve Onay Mekanizması: Zorunlu
Kişisel Verileri Koruma Kurulu'nun 2022/1358 sayılı kararı açıkça belirtiyor: zorunlu olmayan çerezler için kullanıcının açık rızası alınmalıdır.
Çerez Kategorileri
| Kategori | Örnekler | Açık Rıza Gerekir mi? |
|---|---|---|
| Zorunlu (Strictly Necessary) | Oturum çerezleri, CSRF koruma, çerez tercih kaydı | Hayır — site çalışması için teknik olarak zorunlu |
| Analitik (Analytics) | Google Analytics (GA4), Hotjar, Matomo | Evet — kullanıcı onayı şart |
| İşlevsel (Functional) | Dil tercihi, tema seçimi, font boyutu | Evet (zorunlu değilse) |
| Pazarlama (Marketing) | Facebook Pixel, Google Ads remarketing, LinkedIn Insight | Evet — avukat sitelerinde genellikle gereksiz |
Not: Avukat web sitelerinde pazarlama çerezleri genellikle gerekmez ve kullanılmamalıdır — çünkü TBB Reklam Yasağı Yönetmeliği çevrimiçi reklam vermeyi yasaklıyor. Facebook Pixel veya Google Ads remarketing çerezleri reklam yapmak içindir ve avukat sitesinde bulunmamalıdır.
Çerez Onay Banner'ı (Cookie Banner): Teknik Gereksinimler
KVKK ve AB GDPR uyumlu bir çerez banner'ı şu koşulları karşılamalı:
- "Kabul Et" ve "Reddet" butonları eşit belirginlikte: "Kabul" büyük ve renkli, "Reddet" küçük ve soluk — bu yaklaşım KVKK'ya uygun değil. İki buton aynı boyutta ve eşit dikkat çekicilikte olmalı
- Kategori bazlı seçim: Zorunlu, analitik, işlevsel çerezleri ayrı ayrı açıp kapama imkanı
- Ön tanımlı kapalı: Zorunlu olmayan çerezler varsayılan olarak kapalı olmalı — kullanıcı aktif olarak açmalı
- Tercih değiştirme: Kullanıcı sonradan tercihini değiştirebilmeli (footer'da "Çerez Ayarları" linki)
- Teknik uygulama: Reddedilen çerez kategorileri gerçekten yüklenmemeli — sadece görsel olarak reddetmek yetmez. Google Analytics'i onay öncesi yükleyip "reddet" dediğinde durdurmak bile sorunlu — hiç yüklenmemeli
- "Siteyi kullanmaya devam ederek kabul etmiş olursunuz" geçersiz: KVKK'da açık rıza, açık bir eylemle (buton tıklama) verilmeli
WordPress Çerez Eklentileri Karşılaştırması
| Eklenti | Ücretsiz | KVKK Uyumu | Kategori Bazlı Seçim | Kurulum Kolaylığı |
|---|---|---|---|---|
| CookieYes | Evet (temel) | İyi | Evet | Kolay |
| Complianz | Evet | Çok iyi | Evet | Orta |
| Cookie Notice & Compliance | Evet | İyi | Kısmen | Çok kolay |
| Borlabs Cookie | Hayır (39€) | Mükemmel | Evet | Orta |
| JEKCMS dahili çerez modülü | Site ile birlikte | İyi | Evet | Kolay |
3. İletişim Formu Aydınlatma Metni: Zorunlu
İletişim formunun hemen altına veya yanına kısa bir aydınlatma metni eklenmelidir. Gizlilik politikasının tamamını buraya koymak gerekmez — kısa, öz ve link içeren bir bilgilendirme yeterli:
"Bu form aracılığıyla paylaştığınız kişisel veriler (ad, telefon, e-posta), hukuki talebinizi değerlendirmek amacıyla işlenecektir. Verileriniz 2 yıl süreyle saklanacak olup detaylı bilgi için Gizlilik Politikamızı inceleyebilirsiniz."
Formda onay kutusu (checkbox) ile "Aydınlatma metnini okudum ve kabul ediyorum" onayı almak da iyi bir uygulama — zorunlu değil ama ispat kolaylığı sağlar.
4. Google Analytics ve Yurt Dışı Veri Aktarımı
Çoğu avukat sitesinde Google Analytics (GA4) kullanılıyor. GA4 kullanıcı verilerini Google'ın sunucularına aktarır — bu "yurt dışına veri aktarımı" niteliği taşır. KVKK'nın 9. maddesi yurt dışına veri aktarımını düzenler.
Pratik çözüm:
- Çerez banner'ınızda Google Analytics çerezlerini "analitik" kategorisine koyun
- Kullanıcı onay vermeden Google Analytics'i yüklemeyin (gtag.js'i onay sonrası tetikleyin)
- Gizlilik politikanızda Google'a veri aktarımını açıkça belirtin
- GA4'te IP anonimleştirme aktif edin (varsayılan olarak açık ama kontrol edin)
- Veri saklama süresini minimum tutun (GA4'te 2 ay veya 14 ay seçeneği var)
Alternatif: Google Analytics yerine Matomo (self-hosted) kullanmak yurt dışı aktarım sorununu tamamen ortadan kaldırır çünkü veriler kendi sunucunuzda kalır.
5. KVKK Uyumu Pratik Uygulama Rehberi
Teknik jargona boğulmadan, yapmanız gerekenleri sıralıyorum:
| Adım | Ne Yapılacak | Zorluk | Süre | Maliyet |
|---|---|---|---|---|
| 1 | Gizlilik politikası sayfası oluşturun | Orta | 2-4 saat | 0 ₺ (kendiniz) veya 500-2.000 ₺ |
| 2 | Çerez politikası yazın | Orta | 1-2 saat | Gizlilik politikası ile birlikte |
| 3 | Çerez banner'ı kurun | Kolay-Orta | 30 dk - 2 saat | 0 ₺ (ücretsiz eklenti) |
| 4 | İletişim formuna aydınlatma ekleyin | Kolay | 15 dakika | 0 ₺ |
| 5 | Google Analytics'i onay sonrası yüklenecek şekilde ayarlayın | Orta | 30 dk - 1 saat | 0 ₺ (eklenti yapar) |
| 6 | Veri saklama süreleri belirleyin | Kolay | 30 dakika | 0 ₺ |
| 7 | SSL aktif edin (zaten olmalı) | Çok kolay | 5 dakika | 0 ₺ |
Toplam süre: 1 iş günü. Toplam maliyet: 0-2.000 ₺. Karşılığında koruduğunuz risk: 85.437-17.092.242 ₺ ceza + mesleki itibar kaybı.
Kurul Karar Örnekleri: Gerçek Yaptırımlar
Kişisel Verileri Koruma Kurulu'nun web sitelerine yönelik kararlarından örnekler:
| Karar No | Konu | Sonuç |
|---|---|---|
| 2022/1358 | Web sitesinde çerez aydınlatması yapmayan ve açık rıza almayan platform | İdari para cezası + düzeltme talimatı |
| 2023/1041 | Aydınlatma yükümlülüğünü kolayca erişilebilir şekilde sunmayan veri sorumlusu | Uyarı + düzeltme süresi |
| 2023/1768 | İletişim formundan toplanan verilerin aydınlatma yapılmadan işlenmesi | İdari para cezası |
Kurul'un genel eğilimi: web sitelerindeki çerez uygulamalarını ve aydınlatma eksikliklerini giderek daha sıkı denetleme. "Kimse ceza almıyor" dönemi bitti — Kurul aktif olarak inceleme yapıyor.
KVKK Uyumu Kontrol Listesi
| Kontrol | Zorunluluk | Mevzuat Dayanağı | Durum |
|---|---|---|---|
| Gizlilik politikası sayfası | Zorunlu | KVKK m.10 | [ ] |
| Çerez politikası | Zorunlu | KVKK m.5 + Kurul kararları | [ ] |
| Çerez onay banner'ı (kabul/reddet eşit) | Zorunlu | KVKK m.5 + 2022/1358 kararı | [ ] |
| Kategori bazlı çerez seçimi | Önerilen | Kurul Çerez Rehberi | [ ] |
| İletişim formunda aydınlatma metni | Zorunlu | KVKK m.10 | [ ] |
| Onay kutusu (checkbox) | Önerilen | İspat kolaylığı | [ ] |
| Veri sorumlusu iletişim bilgisi | Zorunlu | KVKK m.10/1-a | [ ] |
| İlgili kişi hakları bilgilendirmesi | Zorunlu | KVKK m.10/1-ç + m.11 | [ ] |
| Veri saklama süreleri belirlenmiş | Zorunlu | KVKK m.4/1-ç | [ ] |
| Google Analytics onay sonrası yükleniyor | Zorunlu | KVKK m.5 + yurt dışı aktarım m.9 | [ ] |
| SSL (HTTPS) aktif | Zorunlu | KVKK m.12 (veri güvenliği) | [ ] |
| Çerez tercih değiştirme linki (footer) | Önerilen | Kurul Çerez Rehberi | [ ] |
| Üçüncü taraf hizmet listesi | Önerilen | Şeffaflık ilkesi | [ ] |
| VERBİS kaydı | Koşullu zorunlu | KVKK m.16 | [ ] |
Avukat-Müvekkil Gizliliği ve KVKK: İki Farklı Yükümlülük
Sık karıştırılan bir konu: avukat-müvekkil gizliliği (Avukatlık Kanunu m.36) ve KVKK farklı yasal çerçevelerdir.
| Özellik | Avukat-Müvekkil Gizliliği | KVKK |
|---|---|---|
| Dayanak | Avukatlık Kanunu m.36 | 6698 sayılı KVKK |
| Kapsam | Mesleki ilişki kapsamında öğrenilen sırlar | Tüm kişisel veriler (müvekkil olsun olmasın) |
| Yükümlü | Sadece avukat | Her veri sorumlusu |
| Yaptırım | Baro disiplin + TCK m.239 (sır ifşa) | İdari para cezası (85K-17M ₺) |
| Süre | Vekalet sona erdikten sonra da devam eder | İşleme amacı sona erene kadar |
İkisi birbirini tamamlar ama ayrı yükümlülüklerdir. Web siteniz üzerinden form dolduran biri henüz müvekkiliniz olmasa bile KVKK kapsamında kişisel veri işliyorsunuz. Etik sınırlar kılavuzumuzda bu konuyu daha geniş ele aldık.
Sıkça Sorulan Sorular
Sadece iletişim formu var, yine de KVKK uyumu gerekli mi?
Evet. İletişim formundan toplanan ad, telefon ve e-posta kişisel veridir. Aydınlatma yükümlülüğü bu veriler için de geçerli. Hatta sitenizde çerez kullanıyorsanız (Google Analytics, Cloudflare vb.) form olmasa bile KVKK kapsamındasınız çünkü IP adresi de kişisel veridir.
Çerez banner'ı olmadan Google Analytics kullanabilir miyim?
Teknik olarak kullanabilirsiniz ama KVKK'ya aykırı olur. Google Analytics analitik çerez kullandığı için kullanıcının açık rızası gerekir (2022/1358 kararı). Banner olmadan çerez yüklemek 85.437-1.709.200 ₺ arası idari para cezası riski taşır.
Gizlilik politikası şablonunu internetten indirip kullanabilir miyim?
Başlangıç noktası olarak kullanabilirsiniz ama sitenize özel uyarlamanız şart. Hangi verileri topladığınız, hangi üçüncü taraf araçlarını kullandığınız (Google Analytics, Cloudflare, Mailchimp vb.), hosting'inizin konumu — bunlar her site için farklı ve gizlilik politikanızda spesifik olarak belirtilmeli.
KVKK uyumu web sitemin SEO'sunu etkiler mi?
Doğrudan etkilemez ama dolaylı olarak evet. Çerez banner'ı kullanıcı deneyimini etkileyebilir — ama zorunlu. Öte yandan KVKK uyumu güven artırır, "güvenli site" algısı oluşturur ve ziyaretçilerin sitede daha uzun kalmasını sağlar — bu da SEO'ya olumlu katkı yapar. Tasarım hataları yazımızda KVKK eksikliğini kritik bir hata olarak vurguladık.
VERBİS kaydı yapmam gerekiyor mu?
Avukatlar bireysel olarak genellikle VERBİS'e kayıt yükümlüsü değildir (çalışan sayısı eşiği altında). Ama avukatlık ortaklıkları ve büyük bürolar eşiği aşabilir. Kurul'un güncel duyurularını takip edin.
KVKK cezası almamak için minimum ne yapmalıyım?
En az: (1) Gizlilik politikası sayfası, (2) çerez onay banner'ı (kabul/reddet eşit), (3) iletişim formunda aydınlatma, (4) Google Analytics'i onay sonrası yükleme, (5) SSL aktif. Bu 5 adım 1 iş gününde tamamlanır ve 0-2.000 ₺ maliyetle ciddi ceza riskini ortadan kaldırır. Web sitesi kurma rehberimizde KVKK uyumunu temel adımlar arasında saydık.
Web sitem hacklenir ve müvekkil verileri sızarsa ne yapmalıyım?
KVKK m.12/5 uyarınca veri ihlalini "en kısa sürede" Kurul'a ve ilgili kişilere bildirmeniz zorunlu. Kurul'un 2019/10 kararıyla 72 saat bildirim süresi öngörülmüştür. Bildirimde: ihlalin niteliği, etkilenen veri kategorileri, tahmini etkilenen kişi sayısı, alınan önlemler ve iletişim bilgileri yer almalı. Bu süreçte bir veri koruma uzmanından destek almanız şiddetle tavsiye edilir.