Veri İhlali Bildirim Süreci: KVKK m.12 ve 72 Saatlik Kural
KVKK m.12 kapsamında kişisel veri ihlali tespiti, 72 saatlik Kurul bildirimi ve veri sahiplerine bildirim yükümlülüğü ile pratik eylem planı.
Veri ihlali nedir?
KVKK m.12/5 kapsamında kişisel veri ihlali: İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi, açıklanması, değiştirilmesi veya yok edilmesidir.
İhlalin kaynağı farklılık gösterebilir:
- Siber saldırı: Fidye yazılımı, SQL enjeksiyonu, kimlik avı,
- İnsan hatası: Yanlış kişiye e-posta, yanlış maskelenmiş dosya gönderimi,
- Fiziksel kayıp: Şifresiz dizüstü bilgisayar kaybı, evrak çalınması,
- İç tehdit: Çalışanın veritabanını sızdırması.
Bildirim yükümlülüğünün kaynağı — KVKK m.12/5
"Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir."
Kurul, bu yükümlülüğü 72 saat olarak somutlaştırmıştır. Bunun yanı sıra GDPR'dan esinlenerek veri sahiplerine bildirim de beklenmektedir.
72 saatlik Kurul bildirimi
Süre hesabı
72 saat, ihlalden haberdar olma anından itibaren başlar. "Haberdar olma" şüphe aşamasını kapsar; kesin tespit beklenmez.
Örnek: Salı günü saat 14:00'te güvenlik ekibi anormal veri akışı fark etti. 72 saat, Cuma 14:00'te dolar. Bu süre içinde bildirim yapılmalıdır.
Bildirimin içeriği
Kurula yapılacak bildirimde:
- İhlalin niteliği ve kapsamı (etkilenen veri kategorileri ve kişi sayısı),
- Veri koruma görevlisi (DPO) veya iletişim bilgileri,
- İhlalin olası sonuçları,
- Alınan veya alınması planlanan önlemler
yer almalıdır.
72 saatte tüm bilgiler tamamlanamıyorsa kısmi bildirim yapılır; detaylar tamamlandıkça ek bildirimlerle güncellenir.
Bildirim kanalı
Bildirim, verbis.kvkk.gov.tr üzerindeki veri ihlali formu aracılığıyla yapılır. Form doldurulurken kötüniyetli olmayan eksiklikler zaman baskısı nedeniyle kabul edilmektedir.
Veri sahiplerine bildirim
KVKK m.12/5 veri sahibine bildirim zorunluluğunu "en kısa sürede" ifadesiyle düzenler. Kurul kararlarında veri sahibi bildiriminin Kurul bildirimiyle eş zamanlı ya da akabinde yapılması beklenmektedir.
Veri sahibi bildirimi:
- Yaşanan ihlali açık ve anlaşılır dilde anlatmalı,
- Hangi verilerinin etkilendiğini bildirmeli,
- Veri sahibinin başvurabileceği yol ve yöntemleri göstermeli,
- Alınan güvenlik önlemlerini özetlemeli.
İhlal senaryolarına göre bildirim zorunluluğu
Her veri ihlali bildirim gerektirmez. Risk değerlendirmesi yapılır:
| Senaryo | Risk Düzeyi | Bildirim |
|---|---|---|
| Yanlış kişiye gönderilen şifreli PDF | Düşük | Gerekebilir, değerlendir |
| Şifresiz hasta listesi sızdı | Yüksek | Zorunlu |
| Fidye yazılımı: veriler şifrelendi, dışarı çıkmadı | Orta | Kurul'a bildir, sahibine gerekmeyebilir |
| Çalışan verilerini rakibe satma | Çok yüksek | Hem Kurul hem veri sahibi zorunlu |
Olay müdahale planı
Tespit aşaması (0-4 saat)
- Güvenlik ekibi olayı tespit eder ve doğrular,
- Sistemin izole edilmesi veya erişimin kesilmesi,
- Etkilenen veri kategorileri ve kişi sayısının ilk tahmini.
Değerlendirme aşaması (4-24 saat)
- Hukuk ve BT birlikte risk değerlendirmesi yapar,
- Bildirim zorunluluğu olup olmadığına karar verilir,
- İletişim stratejisi ve iç yetkilendirme zinciri netleştirilir.
Bildirim aşaması (24-72 saat)
- Kurul'a bildirim formu gönderilir,
- Gerekiyorsa veri sahiplerine bildirim yapılır,
- Kamuoyu açıklaması gerekliyse hukuk onayından geçirilir.
Sonrası (72 saat+)
- Adli inceleme (forensic analysis) yürütülür,
- Güvenlik açığı kapatılır,
- Kurul'a ek bildirimler yapılır,
- İhlal kayıt defterine işlenir.
İhlal kayıt defteri zorunluluğu
KVKK kapsamında veri sorumluları, yaşanan tüm veri ihlallerini iç kayıt defterinde belgelemek zorundadır. Kayıt şunları içermelidir:
- İhlalin tarihi, türü ve kapsamı,
- Bildirim yapılıp yapılmadığı ve gerekçesi,
- Alınan önlemler,
- Kurul'a verilen yanıtlar.
Bu kayıt, denetimde Kurul'a sunulur.
Yaptırımlar
Bildirim yükümlülüğünü yerine getirmeyen veri sorumlusuna KVKK m.18 kapsamında idari para cezası uygulanır. 2024 itibarıyla ihlal için belirlenen ceza aralığı: 1.951.534 TL – 9.757.677 TL.
Ayrıca Kurul, veri işleme faaliyetinin durdurulmasına karar verebilir.
GDPR ile fark
GDPR'da bildirim yükümlülüğü de 72 saattir; ancak GDPR, veri sahiplerine bildirim eşiğini ve içeriğini daha net düzenler. KVKK henüz bu detayda bir düzenlemeye sahip değil; Kurul kararlarıyla şekillendirilmektedir.
Sık yapılan 5 hata
1. İhlali öğrenince beklemek — "önce tam araştıralım" gerekçesiyle 72 saat geçirilirse yaptırım kaçınılmaz; kısmi bildirim yapılmalı.
2. Yalnızca BT ekibine bırakmak — hukuk ekibi veya hukuk danışmanı ilk saatten itibaren sürece dahil edilmeli; bildirim hukuki belge niteliği taşır.
3. Veri sahibine bildirimi ertelemek — Kurul bildirimi sonrası veri sahibi bildirimi geciktirilirse Kurul ikinci ihlal olarak değerlendirebilir.
4. İhlal kaydı tutmamak — belgelenmemiş ihlaller denetimde varsa-yoksa tartışması yaratır; tüm olaylar kayıt defterine işlenmeli.
5. Şifreli veride ihlal olmadığını varsaymak — şifreli veri ele geçirilse de potansiyel risk mevcuttur; yine de değerlendirme yapılıp karar verilmeli.
Kapanış
Veri ihlali yönetimi, hazırlıklı olan şirketlerde sistematik bir süreç hâline gelir; hazırlıksız olanlar 72 saatlik süre baskısı altında panikler. Olay müdahale planının, bildirim kalıplarının ve iletişim zincirinin önceden oluşturulması hem regülatör hem müşteri güvenini korur. Avukatın görevi ihlal anında bildirim kararını hızla vermek ve Kurul önündeki süreci yönetmektir.
KVKK alanında dilekçe üretmek veya içtihat aramak ister misiniz?
Hukuk Asistanı'nı Dene →Yasal Uyarı: Bu yazı yalnızca bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. İçerik Hukuk Asistanı tarafından oluşturulmuştur; aktarılan Yargıtay kararları özet niteliğindedir, resmi karar metinleri için ilgili mahkeme kayıtlarını esas alınız. Spesifik hukuki durumunuz için lütfen bir avukattan görüş alınız.
Bu konuda dilekçe oluşturmak ister misiniz?
Dilekçe üretimi, Yargıtay içtihat araması, sözleşme analizi ve KVKK uyum kontrolleri — Türk avukatlar için tasarlanmış yapay zeka platformu.