Kişisel Veri İhlali Bildirimi: KVKK Yükümlülükleri

Teknoloji Hukuku3 Mayıs 20266 dk okuma

KVKK kapsamında veri ihlali yaşandığında KVK Kurulu'na 72 saat içinde bildirim yapılması ve etkilenen kişilerin bilgilendirilmesi nasıl sağlanır? Tüm süreç adımları bu makalede yer almaktadır.

Kişisel verilerin korunması artık yalnızca teknik bir mesele değil, işletmelerin hukuki sorumluluğunun doğrudan parçasıdır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veri ihlali yaşandığında veri sorumlularına hem KVK Kurulu'na hem de etkilenen kişilere bildirim yapma yükümlülüğü getirmektedir. Bu yükümlülüğün zamanında ve eksiksiz yerine getirilmemesi, idari para cezasından kurumsal itibar kaybına kadar uzanan ağır sonuçlar doğurabilir.

KVKK Madde 12: Veri Güvenliği Yükümlülükleri

KVKK m.12, veri sorumlularına üç temel yükümlülük yükler:

  1. 1Önleyici tedbirler: Kişisel verilerin hukuka aykırı işlenmesini önlemek için teknik ve idari tedbirler almak.
  2. 2Erişim kontrolü: Verilere yetkisiz erişimi engellemek.
  3. 3İhlal bildirimi: İhlal öğrenildiği andan itibaren "en kısa süre içinde" (KVK Kurulu 72 saati esas alır) Kurul'a bildirim yapmak; ilgili kişilere de uygun yöntemlerle haber vermek.

KVK Kurulu'nun 2019/10 sayılı kararı, veri ihlali bildirim yükümlülüğünün kapsamını ve bildirimde bulunulacak asgari içeriği belirlemiştir.

Veri İhlali Türleri

Bir veri ihlalinin meydana gelebileceği üç temel boyut vardır:

İhlal TürüAçıklamaÖrnek
Gizlilik ihlaliYetkisiz kişilerin veriye erişmesi veya ifşa edilmesiSiber saldırı, e-posta yanlış gönderme
Bütünlük ihlaliVerilerin izinsiz olarak değiştirilmesiVeritabanı manipülasyonu, fidye yazılımı şifrelemesi
Erişilebilirlik ihlaliVerilere erişimin engellenmesi veya kaybıDDoS saldırısı, sunucu arızası, yedeksiz veri silme

Her üç ihlal türü de KVKK bildirimi tetikleyebilir; ancak gizlilik ihlali genellikle en yüksek risk sınıfına girer.

72 Saat Bildirimi: Adım Adım Süreç

KVK Kurulu'na bildirimde bulunmak için aşağıdaki adımların takip edilmesi gerekir:

1. İhlalin tespiti ve sınıflandırması: Hangi veriler, kaç kişi, ne tür bir ihlal? Risk değerlendirmesi bu aşamada yapılır.

2. KVK Kurulu bildirimi (72 saat): Kurulun resmi bildirim formu e-Devlet veya kvkk.gov.tr üzerinden doldurulur. Formda şunlar yer almalıdır:

3. İlgili kişilere bildirim: Yüksek risk taşıyan durumlarda etkilenen veri sahiplerine "açık, sade ve anlaşılır" bir dille bildirim yapılır. Bildirim kanalı: e-posta, SMS, web sitesi duyurusu veya mektup.

4. İç kayıt tutma: Tüm ihlal sürecinin belgelenmesi; 3 yıl boyunca saklanması gerekir.

İlgili Kişilere Bildirim Koşulları

Her veri ihlali, etkilenen kişilere doğrudan bildirim gerektirmez. Bildirim zorunluluğu, ihlalin "yüksek risk" taşıması halinde doğar:

Risk FaktörüAçıklama
Özel nitelikli veriSağlık, biyometri, ceza mahkumiyeti verisi içeriyorsa risk yüksek
Veri miktarıEtkilenen kişi sayısının fazlalığı
Amaçlı ihlalSiber saldırı veya kasıtlı sızdırma varsa acil bildirim
Savunmasız gruplarÇocuk, hasta, yaşlı verisi içeriyorsa öncelikli bildirim

KVK Kurulu Yaptırım Örnekleri

KVK Kurulu, bildirimi geciktiren veya hiç yapmayan veri sorumlularına önemli para cezaları vermiştir:

Veri İhlali Müdahale Planı

Proaktif bir müdahale planı hazırlamak hem yasal yükümlülüğün yerine getirilmesini kolaylaştırır hem de itibar hasarını minimize eder. Temel bileşenler:

  1. 1İhlal müdahale ekibi (bilgi teknolojileri + hukuk + iletişim)
  2. 2İhlalin sınıflandırılması için karar ağacı (düşük / orta / yüksek risk)
  3. 3Kurul bildirim formu şablonu (72 saatlik süreye uyum için önceden hazır tutulmalı)
  4. 4Etkilenen kişi bildirim taslağı (risk kategorisine göre dil ve kanal)
  5. 5İhlal kayıt defteri (her olay tarihlendirilip belgelenir)

Pratik Vakalar

Vaka 1 — Fidye yazılımı saldırısı: Orta ölçekli bir muhasebe şirketi, fidye yazılımı saldırısına uğramış ve 40.000 müşteriye ait veriler şifrelenmiştir. Şirket ilk anda olayı "teknik arıza" olarak değerlendirip KVK Kurulu'na 5. günde bildirim yapmıştır. Kurul, 72 saat kuralının ihlali nedeniyle idari para cezası vermiş; ayrıca yetersiz teknik tedbir gerekçesiyle ek yaptırım uygulamıştır. Erken sınıflandırma kararı kritik önemdedir.

Vaka 2 — Çalışan verisi sızıntısı: Bir lojistik şirketinde eski bir çalışan, işten ayrılmadan önce 3.200 kişinin özlük dosyasını kopyalayarak dışarı çıkarmıştır. Şirket ihlali 48 saatte tespit etmiş, KVK Kurulu'na bildirim yapmış ve etkilenen çalışanlara e-posta göndererek bilgilendirmiştir. Kurulun soruşturmasında iç denetim süreçlerindeki yetersizlik tespit edilmiş; ancak zamanında bildirimin ceza indiriminde rol oynadığı görülmüştür.

Sık Yapılan 5 Hata

  1. 1İhlali "küçük" saydığı için bildirmemek: Kapsam veya risk düzeyi ne olursa olsun, ihlal öğrenildiğinde Kurul'a bildirim yapılması zorunludur.
  2. 272 saati iş günü olarak hesaplamak: Süre takvim günüdür; hafta sonu veya tatil fark etmeksizin işlemeye devam eder.
  3. 3Yalnızca teknik bölüme bırakmak: Veri ihlali müdahalesi hukuki ve iletişim boyutları olan bir süreçtir; hukuk birimi ilk andan itibaren dahil edilmelidir.
  4. 4Etkilenen kişilere bildirim yaparken hukuki dil kullanmak: Bildirim "açık ve anlaşılır" olmak zorundadır; jargon dolu metinler Kurul'un denetiminde sorun yaratır.
  5. 5İhlal kaydı tutmamak: Belgeleme zorunluluğu devam etmektedir; kayıt tutulmayan ihlaller denetimde ek yaptırım riski taşır.

Kapanış

Veri ihlali bildirimi yalnızca yasal bir yükümlülük değil, aynı zamanda kurumsal güven inşasının ayrılmaz bir parçasıdır. İhlali zamanında ve şeffaf biçimde bildiren şirketler hem Kurul nezdinde hem de müşterileri nezdinde daha güvenilir bir konumda yer almaktadır. Bir müdahale planının bugünden hazırlanması; yarın yaşanabilecek bir krizin hem hukuki hem kurumsal maliyetini önemli ölçüde düşürecektir.

Sık Sorulan Sorular
SVeri ihlalini KVK Kurulu'na kaç gün içinde bildirmeliyim?
CKVK Kurulu 72 saati esas almaktadır; bu süre ihlali öğrendiğiniz andan itibaren takvim günü olarak işler, hafta sonu veya resmi tatil fark etmez. 72 saati iş günü olarak hesaplamak sık yapılan hatalardan biridir ve gecikme ceza riskini doğurur.
SHer veri ihlalinde etkilenen kişileri bilgilendirmem gerekiyor mu?
CHayır. Bildirim yükümlülüğü ihlalin "yüksek risk" taşıması hâlinde doğar. Özel nitelikli veri (sağlık, biyometri) içeriyorsa, etkilenen kişi sayısı fazlaysa, ihlal kasıtlı bir saldırıdan kaynaklanıyorsa veya savunmasız grupları (çocuk, hasta) kapsıyorsa etkilenen kişilere açık ve anlaşılır bir dille bildirim yapılması zorunludur.
SVeri ihlali bildirimi gecikirse ne olur?
CKVK Kurulu, zamanında bildirim yapmayan veri sorumlularına idari para cezası uygulamaktadır. Finans, e-ticaret ve sağlık sektöründen şirketlere verilen cezalar yüzlerce bin ile milyonlarca TL arasında değişmektedir. Zamanında bildirim ise ceza indirimine katkı sağlayabilir.
SVeri ihlali kayıtlarını ne kadar süre saklamamı gerekir?
CKVKK kapsamında tüm veri ihlali süreçlerinin belgelenmesi ve bu kayıtların 3 yıl boyunca saklanması zorunludur. Kayıt tutulmayan ihlaller denetimde ek yaptırım riski taşır ve savunmayı güçleştirir.

Teknoloji Hukuku alanında dilekçe üretmek veya içtihat aramak ister misiniz?

Hukuk Asistanı'nı Dene →

Yasal Uyarı: Bu yazı yalnızca bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. İçerik Hukuk Asistanı tarafından oluşturulmuştur; aktarılan Yargıtay kararları özet niteliğindedir, resmi karar metinleri için ilgili mahkeme kayıtlarını esas alınız. Spesifik hukuki durumunuz için lütfen bir avukattan görüş alınız.

Hukuk Asistanı ile Tanışın

Bu konuda dilekçe oluşturmak ister misiniz?

Dilekçe üretimi, Yargıtay içtihat araması, sözleşme analizi ve KVKK uyum kontrolleri — Türk avukatlar için tasarlanmış yapay zeka platformu.

Ücretsiz Dene →Planları Gör
İlgili Yazılar
"Blokzincir ve Akıllı Sözleşme: Hukuki Geçerlilik"
"Akıllı sözleşmelerin TBK kapsamında hukuki geçerliliği, kod hataları, tahkim güçlükleri, NFT'nin hu
Dijital Miras ve Varlık Planlaması: Sosyal Medya, Kripto ve Şifreler
Ölüm sonrası dijital hesapların, kripto varlıkların ve şifrelerin mirasçılara aktarımı, platform pol
"E-İmza ve Elektronik Sözleşme: 5070 Sayılı Kanun"
"Elektronik imzanın hukuki geçerliliği, nitelikli e-imzanın ıslak imzayla eşdeğerliği ve e-sözleşmel