KVKK m.12/5 uyarınca veri sorumlusu, kişisel veri ihlali öğrendiği andan itibaren 72 saat içinde Kurul’a bildirim yapmak zorundadır. İlgili kişilere bildirim ise ‘makul süre’ içinde yapılır. Bu rehber bildirim içeriğini ve sürecini ele alır.
İhlal Tanımı
Kişisel verilerin kaybı, yok edilmesi, değiştirilmesi, yetkisiz açıklanması veya erişimi ihlal sayılır. Gizlilik, bütünlük ve erişilebilirlik ihlalleri ayrı ayrı değerlendirilir.
72 Saat Sayımı
Süre, ihlalin öğrenildiği andan itibaren başlar. Öğrenme anının objektif olarak belirlenmesi için iç süreçler (ticket sistemi, olay logu) önem taşır.
Bildirim İçeriği
İhlalin tanımı, etkilenen veri kategorileri, kişi sayısı, olası sonuçlar, alınan/önerilen tedbirler ve irtibat kişisi bilgileri bildirimde yer almalıdır.
İlgili Kişiye Bildirim
İhlalin kişisel verilerin hukuka aykırı elde edilmesi sonucunu doğurması halinde ilgili kişilere de ayrıca bildirim yapılır. İletişim yöntemi pratik olmalıdır.
Bildirmeme Yaptırımı
KVKK m.18/1-b uyarınca bildirim yükümlülüğüne aykırılık idari para cezasına tabidir. Ceza miktarı ihlalin boyutuna göre ağırlaştırılır.
Sıkça Sorulan Sorular
Her ihlal Kurul’a bildirilir mi?
Evet; 72 saatlik bildirim zorunluluğu KVKK m.12/5 ile düzenlenmiştir.
Gecikme halinde ne olur?
Gecikme gerekçesi bildirim ile birlikte sunulur; ciddi gecikmeler ceza sebebi olabilir.
Toplu bildirim yapılabilir mi?
Aynı ihlal farklı kişileri etkiliyorsa tek bildirim yeterli; kişi başına ayrı kayıt tutulmalıdır.
Etkilenen kişi sayısı belirsizse?
İlk bildirim tahmini sayı ile yapılır; kesin sayı sonradan güncellenir.
Bu içerik bilgilendirme amaçlıdır ve bireysel hukuki danışmanlık yerine geçmez. Somut olayınız için bir avukatla görüşmeniz önerilir.
İlgili Yargısal Yaklaşımlar
KVKK İdari Para Cezalarına İtiraz — Yargısal Görünüm
Sulh ceza hakimlikleri ve idari yargı mercilerinin kararlarında KVKK idari para cezalarında orantılılık ilkesinin uygulanması tartışılmaktadır. Danıştay kararlarında idari yaptırımın gerekçesinin yeterli olup olmadığı, veri sorumlusunun aldığı önleyici tedbirlerin somut olarak değerlendirildiği görülmektedir. Bölge idare mahkemelerince ise VERBİS kaydı eksiklikleri ve açık rıza metnindeki kusurlar ayrı ayrı değerlendirilmektedir.
Yargısal kararların güncel ve tam metinleri için mevzuat.adalet.gov.tr veritabanından sorgulama yapılabilir. Burada özetlenen yaklaşımlar somut olayın koşullarına göre değişebilir.
Bölgenizdeki Bilişim Avukatlığı Danışmanlığı
Konuyla İlgili Video İçerikler
Bilişim hukuku, KVKK, siber suçlar ve dijital delil konularındaki anlatımlarımız için @bilalalyar YouTube kanalını takip edebilirsiniz.
Bu içerik 17 Nisan 2026 tarihinde gözden geçirilmiştir.