KVKK Veri İhlali Bildirimi — 72 Saat Kuralı ve Süreç 2026

6698 sayılı Kişisel Verilerin Korunması Kanunu m.12/5 ve KVKK Kurulu kararları, veri sorumlularının veri ihlali halinde Kuruma ve ilgili kişilere bildirim yapma yükümlülüğünü düzenler. Bu rehberde bildirim eşikleri, süreler, içerik ve cezai sonuçlar açıklanmaktadır.

Veri İhlali Tanımı

Veri ihlali (data breach), kişisel verilerin yetkisiz kişiler tarafından elde edilmesi, ifşa edilmesi, değiştirilmesi, kaybolması veya bunlara erişimin engellenmesi anlamına gelir. Tipik örnekler:

  • Hacking/siber saldırı sonucu veri çalınması
  • Fidye yazılımı ile veri şifrelenmesi
  • Yanlış kişiye e-posta/dosya gönderimi (insan hatası)
  • Cihaz kaybı/çalınması (laptop, USB, telefon)
  • Yetkisiz çalışan erişimi
  • Bulut yapılandırma hatası (yanlış izinler, public S3 bucket)
  • Üçüncü taraf işleyenin veri sızıntısı

Bildirim Yükümlülüğü — KVKK m.12/5

Veri sorumlusu, veri ihlali tespit ettiğinde:

  • “En kısa sürede” ve “72 saat içinde” KVKK Kurumu’na bildirim yapar (Kurul Kararı 24.01.2019)
  • İlgili kişilere uygun yolla bildirim — yüksek risk halinde
  • Bildirim süresi, ihlalin tespit edildiği andan itibaren işler
  • 72 saatin geçerli mazeret olmaksızın aşılması ihlal sayılır

Bildirim İçeriği — Veri İhlali Bildirim Formu

KVKK Kurumu’na yapılacak bildirimde yer alması gereken bilgiler:

  • Veri sorumlusunun kimliği ve iletişim bilgileri (VERBIS kayıt numarası)
  • İhlalin tespit edildiği tarih ve nasıl öğrenildiği
  • Olası gerçekleşme zamanı (ihlalin başlangıç tarihi)
  • İhlal türü (kazara, kötü niyetli, sistem hatası)
  • Etkilenen kişisel veri kategorileri ve özel nitelikli veri durumu
  • Etkilenen ilgili kişi sayısı (yaklaşık tahminle başlanabilir)
  • Etkilenen kişi grupları (müşteri, çalışan, tedarikçi)
  • Olası sonuçlar ve riskler
  • Alınan ve alınması planlanan teknik/idari tedbirler
  • Veri Koruma Sorumlusu (DPO) iletişim bilgileri

Aşamalı Bildirim

İlk 72 saat içinde tüm bilgiler hazır değilse, mevcut bilgilerle ön bildirim yapılır; eksik bilgiler sonra tamamlanır:

  • İlk bildirim — temel bilgiler ve tespit
  • Ek bildirim — soruşturma ilerledikçe yeni bulgular
  • Sonuç bildirimi — kök sebep analizi ve düzeltici tedbirler

İlgili Kişilere Bildirim

İhlal, ilgili kişilerin temel hak ve özgürlükleri için “yüksek risk” yaratıyorsa ilgili kişilere de bildirim yapılır. Yüksek risk göstergeleri:

  • Özel nitelikli veriler etkilenmiş (sağlık, etnik köken, biyometrik)
  • Finansal veriler (kart bilgileri, hesap detayları)
  • Kimlik hırsızlığına yol açabilecek bilgiler (TC kimlik, pasaport)
  • Konum verileri kötü niyetli kişilerin eline geçmiş
  • Çocukların verileri
  • Çok sayıda ilgili kişi etkilenmiş

İlgili kişi bildirimi içeriği:

  • İhlalin niteliği
  • İletişim noktası (DPO veya iletişim adresi)
  • Olası sonuçlar
  • İlgili kişinin alabileceği önlemler (şifre değişimi, banka hesabı izleme vb.)
  • Sade ve anlaşılır dilde — teknik jargonsuz

Bildirim Yapılmayacak Haller

İlgili kişilere bildirim, aşağıdaki hallerde gerekmeyebilir (Kurul izni veya değerlendirmesiyle):

  • Verilerin uygun teknik tedbirlerle korunmuş olması (örn. güçlü şifrelenmiş veri çalınmış)
  • Risk artışını engelleyen anlık tedbirler alınmış olması
  • Bireysel bildirim çok büyük çaba gerektiriyorsa kamuoyu duyurusu yapılabilir

Teknik ve İdari Tedbirler — KVKK m.12/1

Veri sorumlusu, veri ihlalini önlemek için:

  • Şifreleme (encryption at rest, in transit)
  • Çok faktörlü kimlik doğrulama (MFA)
  • Erişim kontrolü ve loglama (least privilege)
  • Düzenli yedekleme ve felaket kurtarma (DR) planı
  • Çalışan eğitimi (phishing farkındalık)
  • SIEM/EDR/DLP araçları
  • Risk değerlendirmesi ve PIA (Privacy Impact Assessment)
  • Yıllık iç denetim
  • Veri minimizasyonu ve anonimleştirme

Olay Yanıt Planı (Incident Response Plan)

Etkili veri ihlali yönetimi için:

  1. Tespit: SIEM uyarıları, kullanıcı raporları, dış bildirimler
  2. Sınırlandırma: Etkilenen sistemleri izole etme
  3. Eradikasyon: Tehdit unsurlarının ortadan kaldırılması
  4. Kurtarma: Sistemlerin güvenli şekilde geri alınması
  5. Bildirim: KVKK ve ilgili kişilere
  6. Sonrası: Kök sebep analizi, düzeltici tedbirler

İdari Yaptırımlar — KVKK m.18

  • Veri güvenliği yükümlülüğü ihlali (m.12) — idari para cezası alt-üst sınırları KVKK m.18/1-b kapsamında her yıl yeniden değerlemeyle güncellenir
  • Bildirim yükümlülüğü ihlali — özel olarak Kurul kararıyla ek ceza uygulanmaktadır
  • Tüzel kişi cezaları gerçek kişi cezasına göre yüksek
  • Cezaya karşı 30 gün içinde idare mahkemesinde dava açılabilir

Hukuki Sorumluluk

Veri ihlali nedeniyle zarar gören ilgili kişiler:

  • TBK m.49 haksız fiil uyarınca maddi ve manevi tazminat davası
  • TBK m.58 kişilik hakları ihlali davası
  • KVKK m.14 hak ihlali bildirimi yolu — Kurum incelemesi sonrası dava açma
  • Görev: Asliye Hukuk Mahkemesi (kişilik hakkı)

Cezai Sorumluluk — TCK m.135-140

  • m.135: Kişisel verilerin hukuka aykırı kaydedilmesi — 1-3 yıl hapis
  • m.136: Kişisel verilerin hukuka aykırı verilmesi/yayılması — 2-4 yıl hapis
  • m.138: Kişisel verileri yok etmeme — 1-2 yıl hapis
  • Kamu görevi kötüye kullanma, suç örgütü gibi nitelikli haller artırım sebebi

İlgili Mevzuat

  • 6698 sayılı KVKK m.12, m.14, m.18
  • 5237 sayılı TCK m.135-140
  • 6098 sayılı TBK m.49, m.58
  • KVKK Kurulu Kararı 24.01.2019 (72 saat eşiği)
  • Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
  • GDPR (AB 2016/679) m.33-34 (referans)

İletişim

Cevizli Mahallesi Enderun Sokak No:10C Daire:58
34865 Kartal/Istanbul
+90 545 199 25 25
info@bilalalyar.av.tr

Hizmet Alanları

Kripto Para Hukuku
Bilişim Hukuku
Ceza Hukuku
Şirketler Hukuku
Aile ve Boşanma Hukuku
İş Hukuku

Yasal

KVKK Aydınlatma Metni
Gizlilik Politikası
Çerez Politikası
Makaleler

Sosyal Medya

LinkedIn
Instagram
X (Twitter)
TikTok


İstanbul Barosu Sicil No: 54965

© 2026 Av. Bilal Alyar - Tüm hakları saklıdır.
0545 199 25 25 WhatsApp @bilalalyar info@bilalalyar.av.tr