Veri İhlalinde 72 Saat İçinde Bildirim Rehberi 2026
KVKK m.12/5 uyarınca veri sorumlusu, kişisel veri ihlali öğrendiği andan itibaren 72 saat içinde Kurul’a bildirim yapmak zorundadır. İlgili kişilere bildirim ise ‘makul süre’ içinde yapılır. Bu rehber bildirim içeriğini ve sürecini ele alır.
İhlal Tanımı
Kişisel verilerin kaybı, yok edilmesi, değiştirilmesi, yetkisiz açıklanması veya erişimi ihlal sayılır. Gizlilik, bütünlük ve erişilebilirlik ihlalleri ayrı ayrı değerlendirilir.
72 Saat Sayımı
Süre, ihlalin öğrenildiği andan itibaren başlar. Öğrenme anının objektif olarak belirlenmesi için iç süreçler (ticket sistemi, olay logu) önem taşır.
Bildirim İçeriği
İhlalin tanımı, etkilenen veri kategorileri, kişi sayısı, olası sonuçlar, alınan/önerilen tedbirler ve irtibat kişisi bilgileri bildirimde yer almalıdır.
İlgili Kişiye Bildirim
İhlalin kişisel verilerin hukuka aykırı elde edilmesi sonucunu doğurması halinde ilgili kişilere de ayrıca bildirim yapılır. İletişim yöntemi pratik olmalıdır.
Bildirmeme Yaptırımı
KVKK m.18/1-b uyarınca bildirim yükümlülüğüne aykırılık idari para cezasına tabidir. Ceza miktarı ihlalin boyutuna göre ağırlaştırılır.
Sıkça Sorulan Sorular
Her ihlal Kurul’a bildirilir mi?
Evet; 72 saatlik bildirim zorunluluğu KVKK m.12/5 ile düzenlenmiştir.
Gecikme halinde ne olur?
Gecikme gerekçesi bildirim ile birlikte sunulur; ciddi gecikmeler ceza sebebi olabilir.
Toplu bildirim yapılabilir mi?
Aynı ihlal farklı kişileri etkiliyorsa tek bildirim yeterli; kişi başına ayrı kayıt tutulmalıdır.
Etkilenen kişi sayısı belirsizse?
İlk bildirim tahmini sayı ile yapılır; kesin sayı sonradan güncellenir.
Bu içerik bilgilendirme amaçlıdır ve bireysel hukuki danışmanlık yerine geçmez. Somut olayınız için bir hukuk müşavirila görüşmeniz önerilir.
Sulh ceza hakimlikleri ve idari yargı mercilerinin kararlarında KVKK idari para cezalarında orantılılık ilkesinin uygulanması tartışılmaktadır. Danıştay kararlarında idari yaptırımın gerekçesinin yeterli olup olmadığı, veri sorumlusunun aldığı önleyici tedbirlerin somut olarak değerlendirildiği görülmektedir. Bölge idare mahkemelerince ise VERBİS kaydı eksiklikleri ve açık rıza metnindeki kusurlar ayrı ayrı değerlendirilmektedir. Yargısal kararların güncel ve tam metinleri için mevzuat.adalet.gov.tr veritabanından sorgulama yapılabilir. Burada özetlenen yaklaşımlar somut olayın koşullarına göre değişebilir. Bilişim hukuku, KVKK, siber suçlar ve dijital delil konularındaki anlatımlarımız için @bilalalyar YouTube kanalını takip edebilirsiniz.İlgili Yargısal Yaklaşımlar
KVKK İdari Para Cezalarına İtiraz — Yargısal Görünüm
Bölgenizdeki Bilişim Hukuku Danışmanlığı
Konuyla İlgili Video İçerikler
Bu içerik 17 Nisan 2026 tarihinde gözden geçirilmiştir.
Resmi Kaynaklar
- Mevzuat Bilgi Sistemi (mevzuat.gov.tr)
- Yargıtay Karar Arama (karararama.yargitay.gov.tr)
- UYAP Vatandaş Portalı (uyap.gov.tr)
- İstanbul Barosu (istanbulbarosu.org.tr)
- T.C. Adalet Bakanlığı (adalet.gov.tr)
- Türkiye Barolar Birliği (barobirlik.org.tr)
Hazırlayan Hukuku
Av. Bilal ALYAR — İstanbul Barosu Sicil No: 54965
Marmara Üniversitesi Hukuk Fakültesi mezunu (2015). Aile hukuku, ceza hukuku, kripto para hukuku, bilişim hukuku, şirketler hukuku ve vergi hukuku alanlarında faaliyet göstermektedir.
Bu içerik yalnızca genel bilgilendirme amaçlıdır; somut hukuki görüş ya da avukat-müvekkil ilişkisi oluşturmaz. Her dosya kendine özgü koşullar içerdiğinden, hukuki süreçlerde ilgili mevzuat çerçevesinde bilgilendirme alınması yararlı olabilir.