Yazan: Av. Bilal Alyar — İstanbul Barosu | Son güncelleme: 21 Mayıs 2026 | İncelendi: Yazar profili
Şirket Veri İhlali Acil Müdahale — 72 Saat Protokolü
Veri ihlali tespitinden itibaren 72 saat içinde KVKK Kurulu’na bildirim yapılması zorunludur (KVKK m.12/5). Süreç; izolasyon, log toplama, etki değerlendirme, KVKK bildirimi, veri sahibi bildirimi ve hukuki savunma dosyası oluşturma adımlarından oluşur.
Yasal Dayanak
KVKK m.12/5, Kurul 2019/271 sayılı ilke kararı; TCK m.243-244 (saldırgan yönüyle); TBK m.49.
Adım Adım Süreç
Adım 1: Tespit ve İzolasyon (0-2 saat)
Saldırı/sızıntı tespit edildiğinde etkilenen sistemler ağdan izole edilir, log servisi disk imajı alınır (chain of custody).
Adım 2: Ön Etki Değerlendirme (2-12 saat)
Etkilenen veri kategorileri, kayıt sayısı, özel nitelikli veri varlığı ve ihlal türü (gizlilik/bütünlük/erişim) belirlenir.
Adım 3: KVKK Kurul Bildirimi (12-72 saat)
KVKK m.12/5 uyarınca veribihlali.kvkk.gov.tr formu doldurularak Kurul’a bildirim yapılır. Süre geçişi para cezası riskidir.
Adım 4: Veri Sahibi Bildirimi
Etkilenen veri sahiplerine “en kısa sürede” e-posta/SMS ile ihlalin niteliği ve önerilen önlemler iletilir.
Adım 5: Adli Süreç
Saldırgan tespitine yönelik TCK m.243-244 kapsamında savcılığa suç duyurusu yapılır; siber sigorta poliçesi tetiklenir.
Adım 6: Düzeltici Önlemler
Kök neden analizi, MFA, ağ segmentasyonu, SIEM kuralları güncellenir; eğitim ve denetim raporu Kurul’a sunulur.
Önemli Notlar
- Süreç bilgilendirme amaçlıdır; somut olaylarda avukat desteği şarttır.
- Delillerin (log, IP, hash) noter veya bilirkişi tespitiyle korunması önerilir.