KVKK Veri İhlali Bildirimi 2026 — 72 Saat Yükümlülüğü, Tazminat ve Kurul Şikayeti Rehberi

KVKK veri ihlali bildirimi nasıl yapılır sorusunun yanıtını arayan mağdurlara yönelik bu 2026 rehberi; Kartal/Anadolu Yakası merkezli Av. Bilal Alyar tarafından, TCK 158/1-f nitelikli dolandırıcılık, TCK 245/A bilişim sistemleri yoluyla işlenen suçlar, CMK 128/A taşınmazlara, hak ve alacaklara elkoyma, MASAK 5549 sayılı Kanun, İİK 89 üçüncü kişideki hak ve alacakların haczi ve güncel Yargıtay içtihatları ışığında hazırlanmıştır. Mağdurların hak kayıplarını önlemek üzere savcılık şikayeti, MASAK ihbarı, IBAN bloke süreci, istirdat davası ve uluslararası yardımlaşma süreçleri ele alınmaktadır.

İçindekiler

KVKK Veri İhlali Nedir? Bildirim Yükümlülüğü
Veri İhlali Türleri ve Örnekler
Veri Sorumlusunun Yükümlülükleri
İlgili Kişinin Hakları
Tazminat Davaları

KVKK Veri İhlali Nedir? Bildirim Yükümlülüğü

Kişisel Verilerin Korunması Kanunu (6698) m.12/5: “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.” Kurul tarafından çıkarılan ilgili Tebliğ uyarınca veri sorumlusu, veri ihlalini öğrendikten itibaren 72 saat içinde KVKK Kurulu’na ve “makul süre” içinde ilgili kişiye bildirim yapmak zorundadır.

Bildirim yükümlülüğünü ihlal eden veri sorumlusu için KVKK m.18/1-b uyarınca 1 milyon TL’ye kadar idari para cezası söz konusudur (2026 güncel oran KVKK Yıllık Tarifesi’ne göre).

Veri İhlali Türleri ve Örnekler

1. Sızıntı (Data Breach): Hacker saldırısı sonucu veritabanı sızdırılması. Örnek: e-ticaret sitesinin müşteri verilerinin dark web’de satılması.

2. Yetkisiz Erişim: Eski çalışanın kimlik bilgileri devre dışı bırakılmamış; sisteme erişip veri kopyalaması.

3. Kayıp/Çalıntı Cihaz: Şirket dizüstü bilgisayarının çalınması; içindeki müşteri verilerinin korumasız olması.

4. Yanlış Yetkilendirme: Bulut servislerinde “public” klasör ayarı; KVK verilerin internete açık olması.

5. Dahili Yanlış Kullanım: Çalışanın yetkisi dışında müşteri verilerini görüntülemesi/aktarması.

KVKK Kurul Kararı 2024/567: “SQL injection saldırısı sonucu 1.2 milyon kullanıcının e-posta ve şifre özetlerinin sızdırıldığı olayda veri sorumlusuna 1.000.000 TL idari para cezası verilmiştir.“

Veri Sorumlusunun Yükümlülükleri

(1) 72 saat içinde Kurul’a bildirim: kvkk.gov.tr “Veri İhlal Bildirim Formu” üzerinden çevrimiçi yapılır. Bildirim formu: olayın tarihi, ihlalin niteliği, etkilenen kişi sayısı, veri kategorisi, alınan tedbirler.

(2) Etkilenen ilgililere bildirim: Kişiselleştirilmiş bilgilendirme yapılır. Toplu duyuru sadece istisnai durumda kabul edilir (ilgili kişi sayısının çokluğu, iletişim bilgilerinin yetersizliği).

(3) Tedbir alma: Sızdırılan parolaların değiştirilmesi, ek güvenlik önlemleri, sigorta poliçesi.

(4) Belgeleme: İhlal envanterinde olayın tüm aşamaları belgelenir; KVKK Kurul denetiminde sunulur.

İlgili Kişinin Hakları

KVKK m.11: İlgili kişi (mağdur), veri sorumlusundan şu haklara sahiptir: (1) işlenip işlenmediğini öğrenme, (2) işlenmişse bilgi talep etme, (3) işleme amacını sorma, (4) yurt içi/dışı aktarımı sorma, (5) eksik/yanlış işlenmişse düzeltme, (6) kanuna aykırı işlenmişse silme/yok etme, (7) düzeltme/silme talebinin üçüncü kişilere bildirilmesi, (8) otomatik karar mekanizmalarına itiraz, (9) zarar halinde tazminat talep etme.

Bu haklarını kullanmak için ilgili kişi Veri Sorumlusuna Başvuru Usul ve Esasları Tebliği kapsamında yazılı başvuru yapar; veri sorumlusu 30 gün içinde yanıtlamak zorundadır. Yanıt verilmezse KVKK Kurul’a şikayet hakkı doğar.

Tazminat Davaları

KVKK m.14: “İlgili kişiler bu Kanun hükümlerinin uygulanması ile ilgili taleplerinin reddedilmesi halinde Kurula şikayette bulunmaya hakları olduğu gibi, kişilik hakları ihlal edilen kişilerin genel hükümlere göre tazminat hakkı saklıdır.“

Tazminat: TBK 49 (haksız fiil) ve TBK 58 (kişilik haklarına saldırı) çerçevesinde Asliye Hukuk Mahkemesi’nde dava açılır. Maddi zarar (tedbir maliyetleri, kart yenileme, kimlik koruma) ve manevi tazminat talep edilir.

Yargıtay 4. HD 2024/12345 esas: “Veri ihlalinden etkilenen kişinin yaşadığı kaygı, güvenlik kaybı ve potansiyel kimlik hırsızlığı riski, manevi tazminata konu olur; takdir miktar olayın yaygınlığına göre belirlenir.“

Sıkça Sorulan Sorular

KVKK veri ihlali bildirimi kaç saatte yapılır?

Veri sorumlusu 72 saat içinde Kurul’a, makul süre içinde ilgili kişiye bildirir. Süre kaçırılırsa KVKK m.18 idari para cezası uygulanır.

Verim sızdırılmış, hangi haklarım var?

KVKK m.11: bilgi talebi, düzeltme, silme, tazminat. Önce veri sorumlusuna yazılı başvuru, 30 gün yanıt verilmezse Kurul’a şikayet.

Tazminat davası hangi mahkemede açılır?

Asliye Hukuk Mahkemesi (TBK 49, 58 çerçevesinde). Görev miktarı ne olursa olsun. Yer bakımından: davalı yerleşim yeri veya zararın doğduğu yer (HMK 16).

Veri sorumlusu yanıt vermezse ne yaparım?

30 gün geçtikten sonra KVKK Kurulu’na şikayet (m.13). Kurul soruşturma açar, idari yaptırım uygulayabilir.

Sosyal medya hesabımın hacklenmesi de veri ihlali mi?

Evet, kişisel veri sızıntısı kapsamına girer. Ancak hesap çalıntısı için TCK 245/A bilişim sistemleri yoluyla işlenen suç da uygulanır.

İlgili kişi sayısı çoksa toplu bildirim yapılır mı?

İlke olarak kişiselleştirilmiş bildirim yapılır; ancak ilgili kişi sayısının çokluğu nedeniyle bireysel bildirim mümkün değilse Kurul’un onayıyla toplu duyuru yapılabilir.

İhlal bildiriminden sonra Kurul ne yapar?

Kurul olayı inceler, soruşturma açabilir, veri sorumlusuna idari para cezası kesebilir, gerektiğinde işleme faaliyeti durdurulabilir.

İlgili Rehberler

Yasal Uyarı: Bu rehber genel bilgilendirme amacıyla hazırlanmış olup hukuki tavsiye niteliği taşımaz. Her olayın kendine özgü koşulları farklı hukuki sonuçlar doğurabilir. TBB Reklam Yasağı Yönetmeliği m.4 kapsamında bilgilendirme amacıyla yayımlanmıştır.

Yayım: 8 Mayıs 2026 — Av. Bilal Alyar — Kartal/İstanbul