KVKK Veri İhlali ve İdari Para Cezası Rehberi

KVKK Veri İhlali Bildirimi, Denetim ve İdari Para Cezası Süreci

KVKK Veri İhlali Bildirimi, Denetim ve İdari Para Cezası Süreci: 6698 sayılı Kişisel Verilerin Korunması Kanunu; veri sorumlularına açık rıza, aydınlatma, VERBİS kaydı, veri güvenliği ve ihlal bildirimi gibi kapsamlı yükümlülükler getirir. İhlal halinde hem idari para cezası hem de tazminat sorumluluğu doğabilir.

Veri Sorumlusu Yükümlülükleri

KVKK kapsamında veri sorumlularının temel yükümlülükleri geniş kapsamlıdır.

  • Aydınlatma yükümlülüğü (KVKK m.10)
  • Açık rıza alma (gerekli hallerde, KVKK m.5)
  • VERBİS kaydı (KVKK m.16, istisnalar dışında)
  • Veri güvenliğine ilişkin teknik ve idari tedbirler (KVKK m.12)
  • Veri saklama ve imha politikası
  • İlgili kişinin başvurularını cevaplama (KVKK m.13)
  • Veri ihlali durumunda KVKK Kurumuna 72 saat içinde bildirim
  • İlgili kişiye bildirim (KVKK m.12/5)

Veri İhlali Bildirimi

KVKK m.12/5 ve Kurul kararları uyarınca veri ihlali tespit edilir edilmez en geç 72 saat içinde Kurula bildirim yapılmalıdır. Etkilenen ilgili kişilere de makul sürede bildirim zorunludur. Bildirim KVKK’nın resmi ihlal bildirim formu üzerinden yapılır.

İdari Para Cezaları

KVKK m.18 kapsamında idari para cezaları her yıl yeniden değerleme oranına göre güncellenir.

  • Aydınlatma yükümlülüğünü yerine getirmeme
  • Veri güvenliğine ilişkin yükümlülükleri yerine getirmeme
  • Kurul kararlarına uymama
  • VERBİS’e kayıt olmama
  • İlgili kişi başvurularına cevap vermeme
  • Her bir madde kapsamında alt ve üst limit arasında ceza uygulanır

Veri Sahibi Başvurusu ve Şikâyet

İlgili kişi (veri sahibi) öncelikle veri sorumlusuna başvurmak zorundadır (KVKK m.13). Veri sorumlusu 30 gün içinde cevap vermez veya cevap yetersiz olursa 30 gün içinde KVKK Kuruluna şikâyet edilebilir (m.14). Şikâyet sonucunda Kurul idari soruşturma başlatabilir.

Yurt Dışına Veri Aktarımı

KVKK m.9 uyarınca kişisel verilerin yurt dışına aktarılması için açık rıza veya istisnai hallerin varlığı gerekir. Yeterli korumaya sahip ülkeler Kurul tarafından ilan edilir; diğer ülkeler için Kurul izni ve bağlayıcı şirket kuralları (BCR) veya taahhütnameler gereklidir.

Tazminat Davası ve Manevi Zarar

Veri ihlali nedeniyle zarar gören ilgili kişi, KVKK m.14 saklı olmak üzere TBK m.49 kapsamında maddi ve manevi tazminat davası açabilir. Bu davalar tüketici mahkemesi veya genel hukuk mahkemelerinde görülebilir.

İlgili Mevzuat

Sıkça Sorulan Sorular

VERBİS kaydı hangi şirketler için zorunlu?

Yıllık çalışan sayısı 50’den fazla olan veya yıllık mali bilanço toplamı 100 milyon TL’yi aşan veri sorumluları ile belirli sektörler (banka, sigorta, sağlık) VERBİS’e kaydolmak zorundadır.

Veri ihlali bildirimi kaç saat içinde yapılmalı?

İhlalin öğrenilmesinden itibaren en geç 72 saat içinde KVKK Kuruluna, makul sürede de ilgili kişilere bildirim yapılmalıdır.

Açık rıza ne zaman gerekli?

KVKK m.5/2’deki istisnalar (kanundan açıkça belirtilmiş, sözleşmenin ifası için gerekli, hukuki yükümlülük, meşru menfaat vb.) dışındaki tüm kişisel veri işleme faaliyetleri için açık rıza gereklidir.

KVKK para cezası ne kadardır?

Ceza kalemleri ve miktarları her yıl yeniden değerleme oranına göre güncellenir. 2026 yılı için güncel tutarlar KVKK Kurumunun resmi sitesinde yayımlanır.

İlgili Sayfalar





İletişim

Cevizli Mahallesi Enderun Sokak No:10C Daire:58
34865 Kartal/Istanbul
+90 545 199 25 25
info@bilalalyar.av.tr

Hizmet Alanları

Kripto Para Hukuku
Bilişim Hukuku
Ceza Hukuku
Şirketler Hukuku
Aile ve Boşanma Hukuku
İş Hukuku

Yasal

KVKK Aydınlatma Metni
Gizlilik Politikası
Çerez Politikası
Blog

Sosyal Medya

LinkedIn
Instagram
X (Twitter)
TikTok


İstanbul Barosu Sicil No: 54965

© 2026 Av. Bilal Alyar - Tüm hakları saklıdır.