6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsamaktadır. Bir avukat veya hukuk bürosu olarak web siteniz aracılığıyla kişisel veri topluyorsanız, KVKK kapsamındaki yükümlülüklerinizi yerine getirmek zorundasınız.
İletişim formu dolduran bir ziyaretçinin adı, telefon numarası ve e-posta adresi kişisel veridir. Web sitenizin topladığı çerezler, IP adresleri ve analitik verileri de bu kapsamda değerlendirilir. Bu yazıda, avukat web sitelerinin KVKK uyumunu sağlamak için yapması gereken düzenlemeleri tek tek ele alıyoruz.
Avukat Web Sitelerinde Kişisel Veri Toplama Noktaları
Bir avukat web sitesinde kişisel veri toplanan başlıca noktalar şunlardır:
| Veri Toplama Noktası | Toplanan Veriler | Hukuki Dayanak |
|---|---|---|
| İletişim formu | Ad, soyad, telefon, e-posta, mesaj içeriği | Açık rıza veya meşru menfaat |
| WhatsApp butonu | Telefon numarası (dolaylı) | Ziyaretçinin kendi iradesiyle paylaşımı |
| Çerezler (cookies) | IP adresi, tarayıcı bilgisi, ziyaret davranışı | Zorunlu çerezler için meşru menfaat; analitik ve pazarlama çerezleri için açık rıza |
| Google Analytics | IP adresi, demografik veriler, davranış verileri | Açık rıza |
| Bülten aboneliği | E-posta adresi | Açık rıza |
| Randevu formu | Ad, telefon, tarih, konu bilgisi | Açık rıza |
Bu noktaların her biri için KVKK uyumlu süreçler tasarlanmalıdır.
Aydınlatma Metni: Ne Olmalı, Nasıl Yazılmalı?
KVKK'nın 10. maddesi gereği, kişisel veri işlenmeden önce veri sahibinin aydınlatılması zorunludur. Avukat web sitelerinde aydınlatma metninin yer alması gereken sayfalar:
- Web sitesi genel gizlilik politikası sayfası
- İletişim formu sayfasında kısa bilgilendirme ve gizlilik politikasına bağlantı
- Bülten abonelik formunda kısa bilgilendirme
Aydınlatma Metninde Bulunması Gereken Bilgiler
- Veri sorumlusunun kimliği: Avukatın veya büronun adı, adresi, iletişim bilgileri
- İşlenen kişisel veriler: Hangi verilerin toplandığının listesi (ad, telefon, e-posta, IP adresi vb.)
- İşleme amacı: Veriler ne amaçla kullanılacak? (iletişim sağlama, hukuki danışmanlık talebi değerlendirme, istatistik vb.)
- Hukuki dayanak: Hangi veri işleme şartına dayanılıyor? (açık rıza, meşru menfaat, sözleşmenin ifası)
- Aktarım bilgisi: Veriler kimlere aktarılabilir? (hosting firması, e-posta hizmet sağlayıcısı, analitik araçları)
- Saklama süresi: Veriler ne kadar süre saklanacak?
- Veri sahibinin hakları: Erişim, düzeltme, silme, itiraz etme hakları
- Başvuru yöntemi: Veri sahibi haklarını nasıl kullanabilir? (e-posta, yazılı başvuru)
Aydınlatma Metni Yerleşimi
Genel gizlilik politikası ayrı bir sayfada (genellikle footer bağlantısı olarak) yer almalıdır. İletişim formu gibi veri toplama noktalarında ise kısa bir bilgilendirme metni ve gizlilik politikasına bağlantı yeterlidir:
"Formda paylaştığınız kişisel veriler, hukuki danışmanlık talebinizin değerlendirilmesi amacıyla işlenmektedir. Detaylı bilgi için Gizlilik Politikamızı inceleyebilirsiniz."
Çerez Politikası ve Çerez Onay Mekanizması
Web siteniz çerez kullanıyorsa (Google Analytics, Facebook Pixel, oturum çerezleri vb.), ziyaretçileri bu konuda bilgilendirmeniz ve belirli çerez türleri için onay almanız gerekir.
Çerez Türleri ve Onay Gereksinimleri
| Çerez Türü | Örnek | Onay Gerekli mi? |
|---|---|---|
| Zorunlu çerezler | Oturum çerezleri, güvenlik çerezleri | Hayır (meşru menfaat) |
| İşlevsel çerezler | Dil tercihi, tema seçimi | Tartışmalı (genel uygulama: bilgilendirme yeterli) |
| Analitik çerezler | Google Analytics, Hotjar | Evet (açık rıza) |
| Pazarlama çerezleri | Facebook Pixel, Google Ads remarketing | Evet (açık rıza) |
Çerez Onay Banner Yapısı
Ziyaretçi sitenize ilk girdiğinde görüntülenen çerez onay banneri şu unsurları içermelidir:
- Hangi çerez türlerinin kullanıldığına dair kısa bilgi
- "Tümünü kabul et" butonu
- "Sadece zorunlu çerezler" butonu
- "Çerez ayarları" bağlantısı (detaylı seçim imkânı)
- Çerez politikası sayfasına bağlantı
Analitik ve pazarlama çerezleri, ziyaretçi açıkça onay vermeden çalıştırılmamalıdır. Bu kural özellikle Google Analytics ve Facebook Pixel gibi üçüncü taraf araçları için kritik öneme sahiptir.
İletişim Formunda KVKK Uyumu
İletişim formu, avukat sitelerinde en yaygın veri toplama noktasıdır. KVKK uyumlu bir iletişim formu için:
- Formun altına kısa aydınlatma metni veya bağlantısı ekleyin
- Zorunlu olmayan alanlarda veri toplamaktan kaçının (yalnızca gerekli alanları isteyin)
- Form gönderildiğinde otomatik bir onay mesajı gösterin
- Toplanan verileri güvenli biçimde saklayın (şifreli veritabanı, SSL koruması)
- Belirli bir süre sonra kullanılmayan verileri silin veya anonimleştirin
Açık Rıza Gerekli mi?
İletişim formu üzerinden hukuki danışmanlık talebi gelmesi durumunda veri işleme, "bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması" (KVKK m.5/2-c) kapsamında değerlendirilebilir. Bu durumda açık rıza yerine aydınlatma yükümlülüğünün yerine getirilmesi yeterli olabilir. Ancak tartışmalı durumlardan kaçınmak için açık rıza onay kutusu eklenmesi önerilir.
Google Analytics ve Üçüncü Taraf Araçlarda KVKK
Google Analytics, Facebook Pixel veya benzeri analitik araçlar kullanıyorsanız şu hususlara dikkat edin:
- IP anonimleştirme: Google Analytics ayarlarında IP anonimleştirme (anonymize IP) özelliğini aktifleştirin
- Veri işleme sözleşmesi: Google ile veri işleme sözleşmesi (DPA) imzalayın (Google hesap ayarlarından yapılabilir)
- Çerez onayı: Bu araçların çerezleri, ziyaretçi onayı alınmadan çalıştırılmamalıdır
- Saklama süresi: Analytics verilerinin saklama süresini makul bir düzeyde tutun (14 veya 26 ay)
SSL Sertifikası ve Veri Güvenliği
KVKK'nın 12. maddesi, veri sorumlularının kişisel verilerin güvenliğini sağlamak için gerekli teknik tedbirleri almasını zorunlu kılar. Avukat web siteleri için temel güvenlik tedbirleri:
- SSL sertifikası: Tüm veri iletişiminin şifrelenmesi için zorunlu
- Güçlü parolalar: Admin paneli ve e-posta hesapları için karmaşık parolalar
- Düzenli yedekleme: Veritabanı ve dosya yedeklemesi
- Güncel yazılım: CMS, eklenti ve sunucu yazılımlarının güncel tutulması
- Erişim kontrolü: Admin paneline erişimi yalnızca yetkili kişilerle sınırlama
SSL sertifikası ve güvenlik konusunu ayrıca incelemenizi öneriyoruz.
Veri Sahibi Başvuru Süreci
KVKK kapsamında veri sahipleri (web sitesi ziyaretçileri dahil) çeşitli haklara sahiptir:
- Kişisel verilerinin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
- Verilerin düzeltilmesini veya silinmesini isteme
- İşlemeye itiraz etme
Bu hakların kullanılabilmesi için gizlilik politikanızda bir başvuru yöntemi belirtmelisiniz. Genellikle e-posta veya yazılı başvuru yöntemi tercih edilir.
KVKK Uyum Kontrol Listesi
| Kontrol Maddesi | Durum |
|---|---|
| Gizlilik politikası / aydınlatma metni sayfası mevcut mu? | ☐ |
| İletişim formunda kısa bilgilendirme ve bağlantı var mı? | ☐ |
| Çerez onay mekanizması çalışıyor mu? | ☐ |
| Analitik çerezler onay alınmadan çalışmıyor mu? | ☐ |
| Çerez politikası sayfası mevcut mu? | ☐ |
| SSL sertifikası aktif mi? | ☐ |
| Veri sahibi başvuru yöntemi belirtilmiş mi? | ☐ |
| Google Analytics IP anonimleştirme açık mı? | ☐ |
| Veri saklama süreleri belirlenmiş mi? | ☐ |
| Admin paneli güvenliği sağlanmış mı? | ☐ |
Sonuç
Avukatlar, KVKK uyumunu müvekkillerine tavsiye eden meslek grubu olarak kendi web sitelerinde de bu uyumu eksiksiz sağlamalıdır. Aydınlatma metni, çerez politikası, veri güvenliği tedbirleri ve veri sahibi başvuru sürecinin düzgün yapılandırılması hem yasal zorunluluk hem de mesleki güvenilirlik açısından vazgeçilmezdir.
Web sitenizin KVKK uyumunu sağlamak, teknik bir gereklilik olmanın ötesinde müvekkillerinize "ben bu konuyu ciddiye alıyorum" mesajı veren güçlü bir güven unsurudur.