Sektörel·
27 Nisan 2026
Avukatlık bürolarının müvekkilleriyle e-posta yoluyla iletişim kurması artık kaçınılmaz; ancak aynı e-posta kutusunda müvekkil sırrı, kişisel veri ve ticari iletişim iç içe geçiyor. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve 6563 sayılı Elektronik Ticaret Kanunu (ETK), bu iletişimin nasıl yürütüleceğini hukuki olarak bağlayıcı biçimde düzenliyor. Yanlış yapılandırılmış bir e-posta altyapısı; veri ihlali bildirimi yükümlülüğünden idari para cezasına, baro disiplin soruşturmasından mesleki sorumluluk davalarına kadar uzanan ağır sonuçlar doğurabilir.
6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde yürürlüğe girmiş ve Avrupa Birliği'nin 95/46/EC sayılı Direktifi'nden ilham alarak hazırlanmıştır. Kanunun 1. maddesi, gerçek kişilere ait kişisel verilerin işlenmesini kapsamakta; 2. maddesi ise tüzel kişilere ait verileri kapsam dışında bırakmaktadır. Bu nedenle bir avukatın gerçek kişi müvekkiline ait dava bilgileri, kimlik bilgileri, sağlık durumu (ceza davaları, iş kazaları), mali bilgiler ve iletişim bilgileri KVKK anlamında kişisel veri sayılır.
Kanunun 5. maddesi, kişisel veri işlemenin ancak belirli hukuki dayanaklara bağlı olabileceğini düzenler. Avukatlık büroları için en sık kullanılan iki dayanak şunlardır: (a) ilgili kişinin açık rızası ve (b) bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması. Ayrıca 5. maddenin 2. fıkrasının (e) bendi uyarınca bir hakkın tesisi, kullanılması veya korunması için veri işlenmesi de meşru bir dayanak oluşturabilir; avukatların dava dosyalarında müvekkil verilerini tutması bu kapsama girer.
Özellikle dikkat edilmesi gereken husus, Kanun'un 6. maddesidir. Bu madde; ırk, etnik köken, siyasi düşünce, dini inanç, sağlık bilgisi ve biyometrik veri gibi özel nitelikli kişisel verileri daha sıkı koruma altına almaktadır. Ceza davaları veya kişisel yaralanma davalarında avukatlar kaçınılmaz olarak bu tür verilerle muhatap olur; e-posta yoluyla paylaşımda şifreleme ve ek güvenlik önlemleri zorunludur.
6563 sayılı Elektronik Ticaret Kanunu, 1 Mayıs 2015 tarihinde yürürlüğe girmiştir. Kanunun 6. maddesi, "ticari elektronik ileti" gönderimini önceden alıcının onayına bağlamaktadır. Ticari ileti; ürün, hizmet, fırsat veya tanıtım amacı taşıyan her türlü iletişimi kapsar. Avukatlık bürolarının "Yeni Avukat Katıldı" veya "Hizmet Bültenimiz" türündeki e-postaları bu kapsamda değerlendirilebilir.
BTK'nın bu kanun çerçevesinde yayımladığı Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik (son değişiklik: 4 Ocak 2020), onay yönetimini Ulusal Elektronik Tebligat Sistemi (UETS) ile ilişkilendirir. Onayların belgelenmesi ve vazgeçme (opt-out) taleplerinin en geç 3 iş günü içinde işleme alınması zorunludur.
Hukuki uyumun yanı sıra teknik altyapı da kritik öneme sahiptir. Kimliği doğrulanmamış bir e-posta; kimlik avı (phishing) saldırılarına zemin hazırlar, teslim edilebilirliği düşürür ve potansiyel bir veri ihlali riski taşır.
| Protokol | RFC Numarası | İşlevi | DNS Kayıt Türü | Avukatlık Bürosu Önceliği |
|---|---|---|---|---|
| SPF (Sender Policy Framework) | RFC 7208 | Yetkili gönderi sunucularını listeler; sahte göndericiyi engeller | TXT | Zorunlu (temel) |
| DKIM (DomainKeys Identified Mail) | RFC 6376 | Mesaj bütünlüğünü kriptografik imzayla kanıtlar | TXT (alt alan) | Zorunlu (güven) |
| DMARC (Domain-based Message Authentication) | RFC 7489 | SPF/DKIM başarısızlığında politika uygular; raporlama sağlar | TXT (_dmarc) | Zorunlu (izleme + politika) |
| MTA-STS (Mail Transfer Agent Strict Transport Security) | RFC 8461 | TLS şifrelemeyi zorunlu kılar; aktarımda dinlemeyi önler | TXT + HTTPS | Önerilen (gizlilik) |
| BIMI (Brand Indicators for Message Identification) | BIMI Kılavuzu | Doğrulanmış logonun gelen kutusunda görünmesini sağlar | TXT | İsteğe bağlı (kurumsal imaj) |
DMARC politikası önce p=none (izleme modu) olarak başlatılmalı, haftalık raporlar incelendikten sonra p=quarantine ve ardından p=reject aşamalarına geçilmelidir. Bu kademeli yaklaşım, meşru e-postaların yanlışlıkla engellenmesinin önüne geçer.
KVKK'nın 10. maddesi, veri sorumlusunun aydınlatma yükümlülüğünü düzenler. Avukatlık büroları, müvekkillere ilk iletişimde (çoğunlukla e-posta yoluyla gerçekleşir) hangi verilerin hangi amaçla işlendiğini, saklama süresini ve üçüncü taraflarla paylaşım durumunu bildirmek zorundadır. Bu aydınlatma metni en az şu unsurları içermelidir:
E-posta yoluyla gönderilen aydınlatma metinleri için e-posta istemcisinin "okundu" bildiriminin hukuki kanıt olarak yeterliliği tartışmalıdır. Bu nedenle aydınlatma yükümlülüğünün yerine getirildiğini ispatlayabilmek adına gönderilen e-postalar, gönderim zaman damgasıyla birlikte arşivlenmelidir. Türkiye'de e-posta arşivleme konusunda özel bir sektörel düzenleme olmamakla birlikte, Avukatlık Kanunu'nun 40. maddesi uyarınca bürolar dosyaları 5 yıl süreyle saklamakla yükümlüdür; dijital yazışmalar bu kapsamda değerlendirilmektedir.
Bir avukatlık bürosu, toplu e-posta veya CRM hizmeti sağlayan bir yazılım şirketiyle çalıştığında KVKK'nın 8. maddesi kapsamında veri aktarımı gerçekleşir. Bu durumda KVKK'nın 12. maddesi ve Kişisel Verileri Koruma Kurulu'nun yönlendirmelerine dayanarak bir Veri İşleme Sözleşmesi (VİS) imzalanması gerekir. VİS'de hizmet sağlayıcının;
taahhüt edilmesi gerekir. Yurt dışında sunucu barındıran e-posta servis sağlayıcıları (örn. AB dışında konuşlu olanlar) için KVKK'nın 9. maddesi uyarınca yeterli koruma güvencesi veya ilgili kişinin açık rızası aranmaktadır. Kişisel Verileri Koruma Kurumu (KVKK), 2023 yılından itibaren standart sözleşme hükümleri mekanizmasını da değerlendirmeye almış olsa da Türkiye'de AB'nin SCCs benzeri resmi bir mekanizma henüz yürürlükte değildir.
KVKK'nın 12. maddesinin 5. fıkrası, kişisel veri ihlalini öğrenen veri sorumlusunun bu durumu 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirmesini zorunlu kılmaktadır. Avukatlık bürolarının e-posta sistemleri özellikle hedef alınmaktadır, zira müvekkil bilgileri yüksek değer taşımaktadır.
İhlalin önüne geçmek için asgari teknik tedbirler şunlardır:
Gerçek kişi müvekkilin kimliğini, davasını veya kişisel bilgilerini içeren her e-posta, KVKK anlamında kişisel veri işleme faaliyeti sayılır. Sadece randevu hatırlatması bile bu kapsamdadır. Tüzel kişi müvekkillere ait veriler ise KVKK kapsamı dışında kalır; ancak yazışma karşındaki gerçek kişi çalışana ait verileri içeriyorsa KVKK yine uygulanır.
Hayır, en azından ek bir açık rıza olmadan. Avukatlık sözleşmesi kapsamındaki veri işleme yetkisi yalnızca o hizmeti yürütmek için geçerlidir. Ticari e-posta bültenlerine dahil etmek, 6563 sayılı ETK'nın 6. maddesi uyarınca ayrı ve açık bir onay gerektirir.
Hukuki açıdan zorunlu bir e-posta imzası formatı yoktur; ancak iyi uygulama ve ticari güven açısından büronun tam unvanı, adres, telefon ve baro sicil numarası önerilir. Kişisel verilerin işlenmesine ilişkin aydınlatma metni bağlantısı e-posta imzasına eklenebilir.
Ham DMARC raporları XML formatındadır ve teknik bilgi gerektiren belgelerdir. Connect365 gibi platformlar bu raporları otomatik olarak analiz ederek anlaşılır paneller üzerinden sunar; böylece teknik olmayan kullanıcılar da hangi e-postaların doğrulandığını, hangilerinin reddedildiğini kolayca görebilir.
6563 sayılı ETK ve ilgili BTK yönetmeliği uyarınca ticari elektronik ileti gönderiminden vazgeçme talepleri en geç 3 iş günü içinde işleme alınmalıdır. Bu süreyi aşan bürolar idari para cezasıyla karşılaşabilir.
KVKK'nın 12. maddesi, ilgili kişilerin zarar görebileceği durumlarda Kurul'un uygun gördüğü yöntemle kamuoyuna duyurulmasını hüküm altına almaktadır. Pratik olarak Kurul, büroya müvekkillerin bilgilendirilmesini de emredebilir. Bu nedenle ihlal durumunda hukuk danışmanıyla birlikte hem Kurul'a hem de etkilenen müvekkillere bildirim yapılması en güvenli yaklaşımdır.
Tek başına ihlal sayılmaz; ancak dikkat edilmesi gereken çeşitli koşullar vardır. Hizmet sağlayıcıyla Veri İşleme Sözleşmesi imzalanması, sunucu konumunun sorgulanması ve gerekirse yurt dışı veri aktarımı için KVKK'nın 9. maddesindeki koşulların karşılanması zorunludur. Her iki sağlayıcı da Türkiye için yerel uyumluluk kılavuzu yayımlamaktadır.
Büyük çoğunlukla veri sorumlusudur. Veri sorumlusu; kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen taraftır. Müvekkil adına üçüncü taraf verilerini işleyen avukat bazı durumlarda veri işleyen konumuna düşebilir; ancak kendi müvekkiliyle ilgili veriler söz konusu olduğunda daima veri sorumlusu sıfatını taşır. Veri sorumlusu sıfatı, VERBİS'e (Veri Sorumluları Sicili Bilgi Sistemi) kayıt yükümlülüğü de doğurur.
Kişisel Verileri Koruma Kurumu'nun 2018 ve 2019 tarihli kararlarına göre yıllık çalışan sayısı 50'nin veya yıllık mali bilançosu 25 milyon TL'nin üzerinde olan veri sorumluları VERBİS'e kayıt olmakla yükümlüdür. Küçük avukatlık büroları bu eşiğin altında kalsa da VERBİS dışı yükümlülükler (aydınlatma, rıza, güvenlik tedbirleri) her ölçekteki veri sorumlusu için geçerlidir.
S/MIME sertifikası; Comodo/Sectigo, GlobalSign, DigiCert gibi güvenilir Sertifika Otoritelerinden (CA) satın alınabilir. Sertifika, her büro avukatının kurumsal e-posta adresine bağlanır ve e-posta istemcisine (Outlook, Thunderbird vb.) yüklenir. Müvekkiller de kendi S/MIME sertifikalarını yüklemiş olmalıdır; aksi hâlde uçtan uca şifreleme gerçekleşmez.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.