Yonetior
Yasal Uyum·5 Mart 2026·11 dk okuma

KVKK Uyum Rehberi: Profesyonel Hizmet Firmaları İçin Uygulanabilir Kontrol Listesi

KVKK kapsamında veri işleyen hukuk, muhasebe ve danışmanlık ekipleri için aydınlatma, saklama, erişim ve güvenlik adımlarını pratik dille özetliyoruz.

KVKK Uyum Rehberi: Profesyonel Hizmet Firmaları İçin Uygulanabilir Kontrol Listesi

Kişisel veriye yoğun temas eden profesyonel hizmet firmaları için KVKK uyumu yalnızca hukuki bir yükümlülük değil, itibar yönetiminin de temelidir.

Kanun 2016 yılında yürürlüğe girmiş olsa da uygulamadaki detaylar, Kurul kararları ve yaptırım tutarları her yıl güncelleniyor. 2026 yılı itibarıyla idari para cezaları ciddi seviyelere ulaştı; Kişisel Verileri Koruma Kurulu denetimlerini hem şikayet bazlı hem de resen yürütüyor. Bu ortamda "henüz bize bir şey gelmedi" yaklaşımı güvenilir bir strateji değil.

KVKK Nedir ve Neden Profesyonel Firmaları Doğrudan İlgilendiriyor?

6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesinde bireylerin temel hak ve özgürlüklerini korumayı ve veri sorumlularının yükümlülüklerini belirlemeyi amaçlar. Kanun, kişisel veri işleyen her gerçek ve tüzel kişiyi "veri sorumlusu" olarak tanımlar.

Profesyonel hizmet firmaları, bu tanım kapsamında doğrudan muhataptır. Bir avukatlık bürosu müvekkilinin kimlik bilgilerini, dava geçmişini ve mali durumunu; bir muhasebe firması müşterisinin vergi kimlik numarasını, banka hesap bilgilerini ve çalışan maaş detaylarını; bir danışmanlık firması ise müşteri kuruluşun çalışan verilerini ve ticari sırlarını işler.

Profesyonel hizmet sektörünü özellikle hassas kılan birkaç temel faktör vardır:

Yoğun veri çeşitliliği. Tek bir müvekkil dosyasında kimlik bilgileri, mali veriler, sağlık bilgileri (iş kazası davaları gibi), ceza mahkumiyeti verileri ve hatta biyometrik veriler bir arada bulunabilir. Bunların bir kısmı Kanunun 6. maddesinde tanımlanan "özel nitelikli kişisel veri" kategorisine girer ve ek koruma tedbirleri gerektirir.

Mesleki gizlilik yükümlülüğü. Avukatlık Kanunu, SMMM mevzuatı ve ilgili meslek kuralları zaten gizlilik yükümlülüğü öngörür. KVKK bu yükümlülüğün üstüne ek katmanlar ekler; gizlilik tek başına yeterli değildir, verilerin hangi hukuki sebeple işlendiğinin belgelenmesi, saklama sürelerinin belirlenmesi ve imha politikasının uygulanması da gerekir.

Uzun saklama süreleri. Dava dosyaları, vergi kayıtları ve mali belgeler yasal zorunluluklar nedeniyle yıllarca saklanır. Bu durum, verilerin korunması yükümlülüğünün de uzun vadeli olduğu anlamına gelir.

Kişisel Veri İşleme Şartları: Hangi Hukuki Sebebe Dayanıyorsunuz?

Kanunun 5. maddesi, kişisel verilerin işlenebileceği hukuki sebepleri belirler. Her veri işleme faaliyetinin bu sebeplerden birine dayandırılması zorunludur. Profesyonel hizmet firmaları için en sık başvurulan sebepler şunlardır:

Sözleşmenin kurulması veya ifası (Madde 5/2-c). Avukatlık sözleşmesi veya danışmanlık sözleşmesi kapsamında müvekkil verilerinin işlenmesi bu sebebe dayanır. Sözleşmenin taraflarına ait kişisel verilerin işlenmesi, sözleşmenin ifası için gerekli olduğu ölçüde açık rıza aranmaksızın yapılabilir.

Hukuki yükümlülük (Madde 5/2-ç). Vergi mevzuatı, SGK bildirimleri, suç gelirlerinin aklanması mevzuatı gibi yasal zorunluluklar kapsamında işlenen veriler bu sebebe dayanır. Bir mali müşavirin müşterisinin vergi beyannamesi için işlediği veriler bu kategoriye girer.

Bir hakkın tesisi, kullanılması veya korunması (Madde 5/2-e). Avukatların müvekkilleri adına dava açmaları, icra takibi başlatmaları veya adli işlemlerde temsil etmeleri için kişisel veri işlemeleri doğrudan bu hukuki sebep kapsamındadır. Kurul kararlarında bu durum açıkça teyit edilmiştir.

Meşru menfaat (Madde 5/2-f). İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, firmanın meşru menfaatleri için veri işlenmesi bu sebebe dayanabilir. Ancak burada bir denge testi yapılması gerekir: firmanın menfaati mi ağır basar, kişinin mahremiyet beklentisi mi? Meşru menfaat, en dikkatli kullanılması gereken hukuki sebeptir.

Özel nitelikli veriler (Madde 6) ise ayrı bir rejime tabidir. Sağlık verileri, ceza mahkumiyeti bilgileri, biyometrik veriler gibi hassas veriler kural olarak ancak ilgili kişinin açık rızasıyla veya kanunda açıkça öngörülen hallerde işlenebilir. Bu veriler için Kurul tarafından belirlenen ek güvenlik tedbirlerinin de alınması zorunludur.

Hukuki sebep seçimi kritik bir karardır. Yanlış hukuki sebep, aydınlatma metninden saklama süresine kadar tüm uyum zincirini etkiler. Firmalar her veri kategorisi için uygun hukuki sebebi belirlemelidir.

Aydınlatma Yükümlülüğü: Müvekkillerinizi Bilgilendirmek Zorundasınız

Kanunun 10. maddesi uyarınca, kişisel veri işlemeye başlamadan önce ilgili kişiye aydınlatma yapılması zorunludur. Bu yükümlülük, veri işlemenin hukuki sebebinden bağımsızdır; yani açık rıza alınsa da alınmasa da aydınlatma her durumda yapılmalıdır.

Aydınlatma metninde asgari olarak şu bilgiler yer almalıdır:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği
  • Kişisel verilerin hangi amaçla işleneceği
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
  • Veri toplama yöntemi ve hukuki sebebi
  • Kanunun 11. maddesinde sayılan ilgili kişi hakları

Profesyonel hizmet firmaları için pratik uygulama şu şekilde olmalıdır: müvekkil veya müşteri ile ilk sözleşme imzalanırken, aydınlatma metni sözleşmeden ayrı ve bağımsız bir belge olarak sunulmalıdır. Aydınlatma metni, sözleşme metninin bir maddesi olarak gömülmemelidir.

Kurul, 2018/90 sayılı kararında aydınlatma yükümlülüğü ile açık rıza alınmasının ayrı ayrı yerine getirilmesi gerektiğini açıkça belirtmiştir. Aydınlatma bilgi verme amacı taşırken, açık rıza bir irade beyanıdır. Bunların tek bir formda birleştirilmesi hukuki açıdan sorunludur.

Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir. Bu nedenle aydınlatma yapıldığına dair bir kayıt tutulması (imzalı belge, e-posta kaydı veya dijital onay logu) önerilir.

Açık Rıza: Ne Zaman Gerekli, Ne Zaman Gereksiz?

Açık rıza, KVKK uygulamasında en çok karıştırılan konulardan biridir. Kanun, açık rızayı "belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza" olarak tanımlar. Ancak açık rıza, veri işlemenin tek hukuki sebebi değildir.

Profesyonel hizmet firmalarında sözleşme kapsamındaki veri işleme, yasal yükümlülükler veya bir hakkın tesisi gibi sebeplerle işlenen veriler için açık rıza alınmasına gerek yoktur. Gereksiz yere açık rıza almak iki risk yaratır: birincisi, rıza geri çekildiğinde o verinin işlenememesi durumu ortaya çıkar (oysa sözleşme veya yasal yükümlülük sebebi devam ediyordur); ikincisi, Kurul nezdinde hukuki sebebin yanlış belirlendiği izlenimi oluşur.

Açık rızanın gerekli olduğu durumlar genellikle şunlardır: pazarlama amacıyla müvekkil iletişim bilgilerinin kullanılması, müvekkil verilerinin sözleşme kapsamı dışında üçüncü kişilerle paylaşılması ve özel nitelikli kişisel verilerin kanuni istisna bulunmayan hallerde işlenmesi.

Geçerli bir açık rıza için üç unsurun bir arada bulunması gerekir: belirli bir konuya ilişkin olmalı, bilgilendirmeye dayanmalı ve özgür iradeyle açıklanmalıdır. Genel nitelikteki "tüm verilerime onay veriyorum" şeklindeki battaniye rızalar hukuken geçersizdir. Her veri işleme amacı için ayrı rıza (granular consent) alınmalıdır. Kurul, bu ilkeyi WhatsApp Türkiye kararında açıkça vurgulamıştır.

VERBİS Kaydı: Kim Kayıt Olmak Zorunda?

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS), kişisel verileri işleyen gerçek ve tüzel kişilerin veri işleme faaliyetlerini bildirdiği kamusal bir kayıt sistemidir. 2026 yılı itibarıyla geçerli eşikler şu şekildedir:

Kayıt zorunluluğu olan firmalar: Yıllık çalışan sayısı 50'den fazla olan veya yıllık mali bilanço toplamı 100 milyon TL'yi aşan tüm veri sorumluları.

Muaf olan firmalar: Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 100 milyon TL'nin altında olan firmalar (ana faaliyet konusu özel nitelikli veri işleme olmadığı sürece).

04.09.2025 tarihli ve 2025/1572 sayılı Kurul Kararı ile özel nitelikli veri işleyen firmalar için istisna eşikleri güncellendi: 10'dan az çalışanı ve 10 milyon TL'nin altında yıllık bilanço toplamı olan mikro işletmeler kayıt yükümlülüğünden muaf tutuldu.

Birçok profesyonel hizmet firması (özellikle küçük ve orta ölçekli avukatlık büroları, muhasebe ofisleri) çalışan sayısı ve bilanço tutarı nedeniyle VERBİS kaydından muaf olabilir. Ancak burada kritik bir nokta vardır: VERBİS kaydından muaf olmak, KVKK'nın diğer yükümlülüklerinden muaf olmak anlamına gelmez. Aydınlatma, veri güvenliği, saklama ve imha politikası, ihlal bildirimi gibi yükümlülükler VERBİS kaydından bağımsız olarak tüm veri sorumluları için geçerlidir.

VERBİS kaydı yapıldıktan sonra bilgilerin güncel tutulması da ayrı bir yükümlülüktür. Değişiklikler 7 gün içinde sisteme bildirilmelidir.

Veri Güvenliği Tedbirleri: Teknik ve İdari Yükümlülükler

Kanunun 12. maddesi, veri sorumlularına kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve verilerin muhafazasını sağlamak amacıyla "gerekli her türlü teknik ve idari tedbirleri almak" yükümlülüğü yükler. Kurul, bu yükümlülüğün kapsamını Kişisel Veri Güvenliği Rehberi ile somutlaştırmıştır.

Teknik Tedbirler

Erişim kontrolü. Firmadaki her çalışanın yalnızca kendi göreviyle ilgili verilere erişmesi sağlanmalıdır. "En az yetki" (least privilege) prensibi uygulanmalıdır. Stajyer avukatın tüm müvekkil dosyalarına, muhasebe asistanının tüm müşteri mali tablolarına sınırsız erişimi olmamalıdır.

Şifreleme. Kişisel veri içeren dosyalar ve veri tabanları şifrelenmelidir. Dizüstü bilgisayarlar ve taşınabilir cihazlarda disk şifreleme uygulanmalıdır. E-posta ile kişisel veri aktarımında şifreli iletişim tercih edilmelidir.

Ağ güvenliği. Güvenlik duvarı, saldırı tespit sistemleri ve güncel antivirüs yazılımları kullanılmalıdır. Ofis ağı segmentasyonu yapılarak hassas verilere erişim katmanlı hale getirilmelidir.

Yedekleme. Düzenli yedekleme yapılmalı ve yedeklerin de şifreli ortamda saklandığından emin olunmalıdır.

Sızma testi. Kurul, veri sorumlularının kendi sistemlerini düzenli olarak test etmesini beklemektedir. Özellikle bulut tabanlı sistemler kullanan firmalar için bu önlem daha da kritiktir.

İdari Tedbirler

Çalışan eğitimi. Veri güvenliği farkındalık eğitimleri düzenli olarak verilmelidir. Hangi verilerin kişisel veri olduğu, nasıl korunacağı ve ihlal durumunda ne yapılacağı tüm çalışanlara aktarılmalıdır.

Gizlilik sözleşmeleri. Çalışanlarla ve veri işleyenlerle (dış hizmet sağlayıcılar, bulut hizmeti firmaları, arşiv şirketleri) gizlilik taahhütnamesi veya sözleşmesi imzalanmalıdır. Bu yükümlülük, çalışanın görevden ayrılmasından sonra da devam eder.

Veri işleme envanteri. Firmada hangi kişisel verilerin, hangi amaçla, hangi hukuki sebeple, ne kadar süreyle işlendiği ve kimlere aktarıldığı belgelenmelidir. Bu envanter, uyumun temel taşıdır.

Kişisel veri saklama ve imha politikası. VERBİS'e kayıt yükümlülüğü olan firmalar bu politikayı hazırlamak zorundadır. Politika, her veri kategorisi için saklama süresini ve imha yöntemini belirlemelidir. Periyodik imha en geç 6 ayda bir yapılmalıdır. VERBİS kaydı zorunlu olmayan firmalar ise işleme sebebi ortadan kalktığında verileri 3 ay içinde silmek, yok etmek veya anonim hale getirmekle yükümlüdür.

Veri İhlali Durumunda Ne Yapmalısınız?

Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi bir veri ihlalidir. Siber saldırı, fidye yazılımı, çalışan hatası, kayıp dizüstü bilgisayar veya yanlış alıcıya gönderilen e-posta gibi durumlar birer veri ihlali oluşturabilir.

Veri ihlali tespit edildiğinde izlenmesi gereken adımlar şunlardır:

72 saat kuralı. İhlali öğrendiğiniz andan itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kuruluna bildirim yapmanız zorunludur. Bu süre tatil günlerinde de işlemeye devam eder. Bildirim, Kurulun Veri İhlal Bildirim Sistemi (ihlalbildirim.kvkk.gov.tr) üzerinden veya Kişisel Veri İhlali Bildirim Formu ile yapılır.

İlgili kişilerin bilgilendirilmesi. İhlalden etkilenen kişiler de makul sürede bilgilendirilmelidir. İletişim adresine ulaşılabiliyorsa doğrudan bildirim, ulaşılamıyorsa internet sitesinde ilan gibi uygun yöntemler kullanılmalıdır.

Kademeli bildirim hakkı. 72 saat içinde tüm detayları belirleyemiyorsanız, mevcut bilgilerle ön bildirim yapıp detayları kademeli olarak sunabilirsiniz. Hiç bildirimde bulunmamak, gecikmiş bildirimden çok daha ağır sonuçlar doğurur.

Olay müdahale planı. Firmada önceden hazırlanmış bir siber olay müdahale planı bulunmalıdır. Bu plan; kimlerin bilgilendirileceğini, ihlalin kapsamının nasıl belirleneceğini, hangi teknik tedbirlerin alınacağını ve Kurul bildirimi sürecini içermelidir. İhlal anında plan hazırlamaya başlamak 72 saatlik süreyi yönetmeyi neredeyse imkansız kılar.

Kayıt tutma. Tüm veri ihlalleri, etkileri ve alınan önlemler kayıt altına alınmalı ve bu kayıtlar en az 3 yıl saklanmalıdır.

2026 Yılı Güncel İdari Para Cezaları

27 Kasım 2025 tarihli Resmi Gazete'de yayımlanan yeniden değerleme oranına (%25,49) bağlı olarak, 1 Ocak 2026 itibarıyla KVKK idari para cezaları aşağıdaki şekilde güncellenmiştir:

İhlal Türü Alt Sınır (TL) Üst Sınır (TL)
Aydınlatma yükümlülüğünü yerine getirmeme 85.437 1.709.200
Veri güvenliği yükümlülüklerine aykırılık 256.357 17.092.242
Kurul kararlarını yerine getirmeme 427.263 17.092.242
VERBİS kayıt ve bildirim yükümlülüğüne aykırılık 341.809 17.092.242
Standart sözleşme bildirim yükümlülüğüne aykırılık 90.308 1.806.177

Kurul, tek bir ihlal olayında birden fazla yükümlülüğün ihlal edildiğini tespit ederse her bir ihlal için ayrı ayrı ceza verebilmektedir. Ayrıca veri sorumlusunun ekonomik gücü de ceza miktarının belirlenmesinde dikkate alınmaktadır.

Bunlara ek olarak, Türk Ceza Kanunu'nun 135-140. maddeleri kapsamında kişisel verileri hukuka aykırı olarak kaydetme, yayma veya ele geçirme fiilleri hapis cezası gerektiren suçlar olarak düzenlenmiştir. TCK'nın 138. maddesi ise verileri yasal süre sonunda imha etmeme fiilini ayrı bir suç olarak tanımlar.

Cezalara karşı itiraz yolu, 01.06.2024 tarihinde yürürlüğe giren değişiklikle Ankara İdare Mahkemeleri olarak belirlenmiştir. Kararın tebliğinden itibaren 60 gün içinde dava açılabilir.

Profesyonel Hizmet Firmaları İçin Pratik KVKK Kontrol Listesi

Aşağıdaki kontrol listesi, profesyonel hizmet firmalarının KVKK uyum durumunu değerlendirmesi için bir başlangıç noktası niteliğindedir:

Temel Belgeler

  • Kişisel veri işleme envanteri hazırlandı mı?
  • Her veri kategorisi için hukuki sebep belirlendi mi?
  • Müvekkil/müşteri aydınlatma metni hazırlandı ve sunuldu mu?
  • Çalışan aydınlatma metni hazırlandı mı?
  • Açık rıza formları (gerekli durumlar için) ayrı belgeler olarak mı düzenlendi?
  • Kişisel veri saklama ve imha politikası yazıldı mı?
  • Gizlilik sözleşmeleri/taahhütnameleri çalışanlarla ve tedarikçilerle imzalandı mı?

Teknik Güvenlik

  • Erişim yetkileri "en az yetki" prensibiyle düzenlendi mi?
  • Veri tabanları ve dosya sistemleri şifreleniyor mu?
  • Dizüstü bilgisayarlar ve taşınabilir cihazlarda disk şifreleme aktif mi?
  • Güvenlik duvarı ve antivirüs yazılımları güncel mi?
  • Düzenli yedekleme yapılıyor ve yedekler şifreli mi saklanıyor mu?
  • E-posta ile kişisel veri paylaşımında şifreli iletişim kullanılıyor mu?

Organizasyonel

  • VERBİS kayıt yükümlülüğü değerlendirildi mi?
  • Çalışanlara veri güvenliği farkındalık eğitimi verildi mi?
  • Veri ihlali müdahale planı hazırlandı mı?
  • Veri işleyen üçüncü taraflarla (bulut hizmeti, arşiv, muhasebe yazılımı) sözleşmeler güncellendi mi?
  • Periyodik imha takvimi belirlendi ve uygulanıyor mu?
  • İlgili kişi başvuru süreçleri tanımlandı mı? (30 gün içinde yanıt yükümlülüğü)

Sürekli Uyum

  • VERBİS bilgileri güncel tutuluyor mu? (Değişikliklerde 7 gün içinde güncelleme)
  • Yeni veri işleme faaliyetleri başlamadan envanter güncelleniyor mu?
  • Çalışan eğitimleri yıllık olarak tekrarlanıyor mu?
  • Veri ihlali müdahale planı düzenli olarak gözden geçiriliyor mu?
  • Saklama süreleri sona eren veriler periyodik olarak imha ediliyor mu?

KVKK Uyumu Tek Seferlik Bir Proje Değildir

Kurul, 2025-2026 döneminde kağıt üzerindeki uyumdan ziyade fiili veri akışlarını ve siber dayanıklılığı denetlemeye odaklanıyor. Bir aydınlatma metninin hazırlanmış olması tek başına yeterli değil; bu metnin doğru zamanda, doğru kanaldan ve belgelenebilir şekilde ilgili kişiye sunulmuş olması gerekiyor.

Profesyonel hizmet firmaları için KVKK uyumu, dinamik ve sürekli bir yönetişim sürecidir. Yeni müvekkil veya müşteri edinildiğinde, yeni bir yazılım sistemi devreye alındığında, çalışan değişikliği olduğunda veya mevzuatta güncelleme yapıldığında uyum süreci gözden geçirilmelidir.

Bu rehberde sunulan bilgiler genel niteliktedir ve hukuki danışmanlık yerine geçmez. Her firmanın kendi yapısına, faaliyet alanına ve veri işleme kapsamına uygun bir KVKK uyum programı oluşturması gerekir. Karmaşık konularda veri koruma alanında deneyimli bir hukuk danışmanından destek alınması önerilir.

Profesyonel hizmet firmanızdaki müvekkil verilerini, proje dosyalarını ve mali kayıtları düzenli ve güvenli bir şekilde yönetmek istiyorsanız, Yonetior gibi sektöre özel iş yönetim platformları; erişim kontrolü, rol bazlı yetkilendirme ve veri izolasyonu gibi altyapı özellikleriyle KVKK uyum sürecinizi kolaylaştırabilir.

KVKKkişisel veri korumaVERBİSveri güvenliğiprofesyonel hizmet

İlgili Yazılar

2026 E-Fatura ve E-Defter Rehberi: Yükümlülükler, Geçiş Tarihleri ve Riskler
Yasal Uyum · 12 dk
E-SMM Rehberi: Serbest Meslek Makbuzunda Dijital Süreci Doğru Kurmak
Yasal Uyum · 10 dk
Avukatlar İçin Reklam Yasağı ve Dijital Görünürlük: Sınır Nerede Başlar?
Hukuk Sektörü · 11 dk
Mali Müşavirler İçin Dijital Dönüşüm: Operasyonu Hafifleten Yol Haritası
Muhasebe Sektörü · 11 dk