Veri ihlalini öğrenen veri sorumlusu 72 saat içinde KVKK Kurulu'na bildirimde bulunmak zorundadır; bildirmeyenlere 450.000 TL ile 12 milyon TL arasında idari para cezası uygulanır.
Kısa Cevap
6698 sayılı KVKK’nın 12. maddesi kapsamında kişisel veri ihlalini öğrenen veri sorumlusu, 72 saat içinde Kişisel Verileri Koruma Kurulu’na bildirimde bulunmak zorundadır. Bu yükümlülüğü yerine getirmeyenlere ya da eksik/yanlış bildirim yapanlara 450.000 TL ile 12 milyon TL arasında idari para cezası uygulanabilir. İzmir’deki işletmelerin büyük çoğunluğu bu yükümlülüğün ayrıntılarına yeterince hâkim değildir; oysa ihlal anında atılacak adımlar hem cezayı azaltabilir hem de kurumsal itibarı koruyabilir.
Veri İhlali Nedir?
KVKK m.12 kapsamında veri ihlali; işlenen kişisel verilerin kanuna aykırı olarak başkaları tarafından elde edilmesi anlamına gelir. Kurul kararları ve uluslararası rehberler çerçevesinde değerlendirildiğinde veri ihlali üç temel kategoride ele alınır:
Gizlilik İhlali
Yetkisiz kişilerin kişisel verilere erişimi veya bu verileri ifşa etmesi. Örnekler:
- Siber saldırı (hacking, ransomware, phishing) sonucu müşteri veritabanının ele geçirilmesi
- Çalışanın müşteri bilgilerini izinsiz üçüncü tarafa iletmesi
- Yanlış kişiye e-posta gönderilmesi sonucu kişisel veri ifşası
- Şifrelenmemiş dizüstü bilgisayarın veya USB sürücünün çalınması
- Kâğıt dosyaların yanlış kişiye teslim edilmesi
Bütünlük İhlali
Kişisel verilerin yetkisiz biçimde değiştirilmesi veya tahrif edilmesi. Örnekler:
- Veri tabanına izinsiz erişerek kayıt değiştirme
- Şirket içi sisteme yetkisiz erişerek çalışan dosyalarında değişiklik yapılması
Erişilebilirlik İhlali
Kişisel verilerin yetkili kullanıcılar tarafından erişilemez hale gelmesi. Örnekler:
- Fidye yazılımı (ransomware) saldırısı sonucu verilerin şifrelenmesi
- Yanlışlıkla veri silme
- Yangın veya sel gibi fiziksel olaylarla veri taşıyıcıların imha edilmesi
İzmir’deki işletmelerde en sık karşılaşılan senaryolar: phishing e-postasıyla yetkisiz erişim, yanlış alıcıya kişisel veri gönderimi ve çalışan ayrılmasında erişim yetkilerinin zamanında kaldırılmaması.
72 Saat Kuralının Detayları
KVKK m.12/5 uyarınca ihlali öğrenen veri sorumlusu, bunu en kısa sürede ve her hâlükârda 72 saat içinde Kurul’a bildirmekle yükümlüdür.
Başlangıç Anı: “Öğrenme”
72 saatin hangi andan itibaren işlemeye başladığı pratikte tartışma yaratan temel sorudur. Kurul kararları ışığında “öğrenme” anı şöyle değerlendirilir:
- İT ekibinin güvenlik açığını fark ettiği an
- Yönetimin ihlalden yazılı olarak haberdar edildiği an
- İhlali bildiren güvenilir üçüncü taraf bildiriminin alındığı an (örn. siber güvenlik şirketi)
Önemli not: Olayın “ihlal mi değil mi” sorusunu araştırmak için zaman harcamak 72 saati durdurmaz. Bu nedenle soruşturma sürerken bile Kurul’a ön bildirim yapmak mümkündür; bildirim tamamlanamayan bilgilerle başlanabilir, daha sonra güncellenir.
Geç Bildirim
72 saati aşan geç bildirim durumunda Kurul’a gecikmenin gerekçesi de sunulmalıdır. Makul gerekçeler arasında ihlal kapsamının belirlenmesinin teknik güçlüğü, uluslararası koordinasyon gerekliliği veya üçüncü taraf hizmet sağlayıcısından bilgi beklenmesi sayılabilir. Gerekçesiz geç bildirim en ağır ceza takdir kararlarını davet eder.
İhlal Anında İlk 72 Saat — Saat Saat Plan
İlk 1-4 Saat: Tespit ve Kontrol Altına Alma
- İT veya güvenlik ekibi ihlali doğrular ve kaynağını tespit eder
- Etkilenen sistemler izole edilir (ağdan koparma, erişim kapatma)
- Siber saldırı ise saldırı vektörü belirlenir
- Kriz ekibi toplanır: yönetim, hukuk, IT, iletişim
- İhlalin öğrenildiği an ve tespit adımları kayıt altına alınır
İlk 4-24 Saat: Değerlendirme
- Etkilenen kişisel veri kategorileri belirlenir (kimlik, sağlık, finans vb.)
- Etkilenen kişi sayısı tahmin edilir
- Risk düzeyi değerlendirilir: yüksek risk / düşük risk
- İhlalin boyutu, süre ve kapsam açısından belgelenir
- Kurul bildirim formu hazırlanmaya başlanır
- Hukuk danışmanı sürece dahil edilir
24-48 Saat: Bildirim Hazırlığı
- Kurul’a yapılacak resmi bildirim tamamlanır
- Etkilenen kişilere bildirim gerekip gerekmediği değerlendirilir
- Basın açıklaması veya müşteri bildirimi taslağı hazırlanır (gerekiyorsa)
- Sigorta şirketine ihbar yapılır (siber güvenlik sigortası varsa)
48-72 Saat: Bildirim ve İzleme
- KVKK Kurulu’na resmi bildirim tamamlanır
- Etkilenen kişilere bildirim yapılır (yüksek risk durumunda)
- Olayın kronik kaydı oluşturulur
- Tekrar oluşmaması için acil tedbirler alınır
KVKK Kurulu’na Bildirim Formu
Kurul’a yapılacak bildirim, Kişisel Verileri Koruma Kurumu’nun resmi web sitesi üzerinden elektronik olarak iletilir. Bildirim formunda yer alması zorunlu bilgiler:
- İhlali öğrenme tarihi ve saati
- İhlalin niteliği: gizlilik, bütünlük veya erişilebilirlik ihlali
- Etkilenen kişisel veri kategorileri: kimlik, iletişim, sağlık, finansal vb.
- Etkilenen kişi sayısı: Kesin bilinmiyorsa tahmini aralık
- Muhtemel sonuçlar: Olası riskler ve zararlar
- Alınan ve alınması planlanan önlemler
- Veri Koruma Sorumlusu (DPO) veya irtibat kişisi bilgileri
Bildirim formundaki bilgilerin eksik olması durumunda Kurul ek bilgi isteyebilir. Bu süreçte hukuki danışmanlık almak, beyanların tutarlı ve eksiksiz olmasını sağlar.
Etkilenen Kişilere Bildirim
Kişisel veri ihlalinin ilgili kişiler için yüksek risk oluşturduğu değerlendirildiğinde, etkilenen kişilere de ayrıca bildirim yapılması zorunludur.
Bildirim Gerektiren Yüksek Risk Durumları
- Sağlık, finans veya biyometrik veri sızıntısı
- TC kimlik numarası, şifre veya banka bilgisi ifşası
- Çocuklara ait kişisel veri ihlali
- Özel nitelikli kişisel veri sızıntısı
Bildirim İçeriği
Etkilenen kişilere yapılacak bildirimde şunlar yer almalıdır:
- İhlalin genel niteliği ve açıklaması
- DPO veya irtibat kişisi bilgileri
- Muhtemel sonuçlar ve kişi bazındaki riskler
- Alınan ve alınması planlanan önlemler
- İlgili kişinin kullanabileceği haklar (KVKK m.11)
Bildirim; e-posta, kısa mesaj, posta veya telefon yoluyla ya da kamuoyuna duyuru biçiminde yapılabilir. Yöntem, ihlale maruz kalan kişilere en hızlı ve güvenli biçimde ulaşacak kanal seçilerek belirlenir.
Ceza Risk Matrisi
| İhlal Türü | Ceza Miktarı |
|---|---|
| Veri güvenliği yükümlülüğüne aykırılık (m.12) | 450.000 TL – 12.000.000 TL |
| Kurul kararlarına uymama | 200.000 TL – 4.500.000 TL |
| Aydınlatma yükümlülüğüne aykırılık | 100.000 TL – 1.000.000 TL |
| VERBİS kaydı yükümlülüğüne aykırılık | 100.000 TL – 4.500.000 TL |
Cezaların üst sınırına yakın tutarlar; tekrar ihlal, ihlalin gizlenmesi girişimi, kamu kurumu veya sağlık sektörü gibi hassas alanlarda yaşanması ve etkilenen kişi sayısının yüksek olması durumlarında belirlenir.
TCK kapsamında ek cezai sorumluluk da söz konusu olabilir: özellikle TCK m.136 (kişisel verileri hukuka aykırı olarak verme veya ele geçirme) kapsamında 2-4 yıl hapis cezası gündeme gelebilir.
Veri İhlali Müdahale Planı Neden Şart?
Veri ihlaliyle karşılaşıldığında en büyük hata, o anda yapılacaklara ilişkin bir planın bulunmamasıdır. 72 saatlik süre son derece kısadır ve panik ortamında doğru adımlar atmak güçleşir.
Etkin bir Kişisel Veri İhlali Müdahale Planı (Incident Response Plan) şunları kapsamalıdır:
- Kriz ekibinin kimlerden oluştuğu ve iletişim bilgileri
- İhlal tespit ve sınıflandırma prosedürü
- Kurul’a bildirim süreci ve sorumlu kişi
- Etkilenen kişilere bildirim şablonları
- İç iletişim ve basın protokolü
- Delil koruma ve log saklama yöntemi
- İhlal sonrası düzeltici faaliyet planı
Bu planın yılda en az bir kez tatbikat (masa üstü egzersiz) ile test edilmesi önerilir. İzmir’deki birçok işletme bu planı hazırlamadan önce gerçek bir ihlaalle karşılaştıklarında hem ceza hem de itibar kaybı yaşamaktadır.
İzmir İşletmelerinde Sık Görülen İhlal Senaryoları
Phishing e-postası: İzmir’deki KOBİ’lerde en yaygın ihlal türü olup çalışanın sahte e-postaya tıklamasıyla kurumsal sistemlere yetkisiz erişim sağlanır. Kullanıcı eğitimi ve çok faktörlü kimlik doğrulama (MFA) bu riski önemli ölçüde azaltır.
Eski çalışan erişimi: İşten ayrılan çalışanların sistem erişiminin kapatılmaması, izin gözetmeksizin müşteri verilerine erişilmesi riskini doğurur. İnsan kaynakları ve IT birimi arasındaki koordinasyon eksikliği bu ihlalin temel nedenidir.
Kâğıt belge imhası: Fiziksel dosyaların uygunsuz biçimde çöpe atılması veya çöp kutusunda bırakılması KVKK kapsamında ihlal sayılır. Güvenli imha prosedürü ve çapraz kesme makinesi kullanımı zorunludur.
Yanlış alıcı: Toplu e-posta gönderiminde BCC yerine CC kullanılması veya alıcı listesinin hatalı oluşturulması çok sayıda kişinin birbirinin iletişim bilgisini görmesine neden olur; bu durum veri ihlali bildirimini gerektirebilir.
Bulut depolama açıklığı: Yanlış yapılandırılmış bulut depolama alanlarının (Google Drive, AWS S3 gibi) herkese açık hale gelmesi hassas müşteri verilerinin ifşasına yol açabilir. Bu tür ihlaller teknik kaynaklı olmakla birlikte hukuki yükümlülüğü değiştirmez.
Sık Sorulan Sorular
Bir siber güvenlik firması ihlali tespit edip bize bildirdiyse 72 saat ne zaman başlar? Dış firmanın bildirimini aldığınız an “öğrenme” anı olarak kabul edilir. Bu andan itibaren 72 saat işlemeye başlar. Dış firmayla yaptığınız sözleşmede ihlal bildirim süre yükümlülüğü ve bildirimin zamanlaması konusunda açık düzenleme yapılması önerilir.
Küçük ölçekli bir işletmeyiz, ihlal yalnızca birkaç kişiyi etkiledi. Yine de bildirim zorunlu mu? Evet. KVKK kapsamında etkilenen kişi sayısı, bildirimin zorunlu olup olmadığını belirleyen tek ölçüt değildir. Risk düzeyi düşük bile olsa, ihlali öğrenen veri sorumlusu Kurul’a bildirimde bulunmak zorundadır. Etkilenen kişi sayısı az ve risk düşükse bildirimde bu husus belirtilir, etkilenen kişilere bildirim gerekmeyebilir.
Veri ihlali şüphesi var ama henüz kesin değil. Şimdi bildirim yapmalı mıyım? Şüphe aşamasında bildirim yapılabilir; bildirim, tüm bilgilerin tamamlanması için kesinleşmeyi beklemeyi gerektirmez. Eksik bilgilerle ön bildirim yapılarak bildirim, ek bilgiler elde edildikçe güncellenir. Bu yaklaşım, geç bildirimin önüne geçer.
Veri ihlali aynı zamanda TCK kapsamında suç teşkil ediyorsa ne yapmalıyım? Bir siber saldırı veya içeriden veri sızıntısı söz konusuysa KVKK bildirimi yanında İzmir Cumhuriyet Başsavcılığı’na suç duyurusunda bulunulması gerekebilir. Hukuki ve cezai süreçlerin paralel yürütülmesi için bilişim hukuku avukatı desteği alınması kritik önem taşır.
Veri ihlali yaşandığında ya da müdahale planı oluşturmak istediğinizde iletişim formumuzdan bize ulaşabilir, İzmir’deki KVKK uyum süreçlerinde hukuki destek alabilirsiniz.
Sık Sorulan Sorular
Uzmanlık Alanları