Kişisel Veri İhlali Nedir? KVKK 12, 72 Saat Bildirim, 2019/10 Kurul Kararı ve Yaptırımlar

KVKK · Kişisel Veri İhlali · 72 Saat Bildirim · Müdahale Planı

Kişisel Veri İhlali Nedir? KVKK’da Bildirim Yükümlülüğü ve Uygulama Rehberi

Kişisel veri ihlali; kişisel verilerin kazara veya hukuka aykırı şekilde yok edilmesine, kaybolmasına, değiştirilmesine, yetkisiz ifşasına veya kişisel verilere yetkisiz erişime yol açan güvenlik ihlallerini ifade eder. Bu tür olaylar yalnızca teknik bir arıza olarak değerlendirilmez; aynı zamanda mevzuat uyumu, itibar yönetimi ve operasyonel süreklilik açısından kritik sonuçlar doğurur.

6698 sayılı KVKK’nın 12. maddesi, veri sorumlularına veri güvenliği kapsamında teknik ve idari tedbirleri alma yükümlülüğü getirir. Ayrıca, işlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi halinde veri sorumlusu; durumu en kısa sürede ilgili kişiye ve Kişisel Verileri Koruma Kurulu’na bildirmekle sorumludur. Bu rehberde, veri ihlalinin tanımını, risk seviyelerinin nasıl belirleneceğini, 72 saat bildirim standardını, 2019/10 sayılı Kurul Kararı’ndaki temel prensipleri ve bildirim yapılmaması halinde ortaya çıkabilecek riskleri ele alıyoruz.

Veri İhlali Tanımı Bildirim ve Kontrol Listesi

İçindekiler 1. Kişisel Veri İhlali Nedir? 2. KVKK m.12: Veri Güvenliği Yükümlülükleri 3. Risk Seviyeleri ve Etki Değerlendirmesi 4. 2019/10 Kurul Kararı: 72 Saat ve Standart Bildirim 5. Bildirim Süreci, Kayıt Tutma ve Yaptırımlar 6. Sık Sorulan Sorular (SSS)

Hızlı Özet

Veri ihlali: Yetkisiz erişim/ifşa, kayıp, imha, değişiklik gibi sonuçlar doğuran güvenlik olayıdır.
KVKK m.12: Teknik ve idari tedbir alma + ihlali ilgili kişiye ve Kurul’a bildirme yükümlülüğü.
2019/10: Kurul’a bildirim için 72 saat standardı; gecikme gerekçesiyle birlikte açıklanır.
Risk: İdari para cezası + tazminat + itibar kaybı + sözleşmesel yaptırımlar.

Etkin bir veri ihlali müdahale planı ve kayıt düzeni; olay anında doğru aksiyon almanızı hızlandırır.

KVKK 12 72 Saat Bildirim İhlal Formu

Not: Bu içerik genel bilgilendirme amaçlıdır. Her ihlal olayı; sektör, veri türü, sistem mimarisi ve etkilenen kişi gruplarına göre farklı aksiyon ve bildirim gerektirebilir. Kurumunuzun olay müdahale planını ve sözleşmelerini (veri işleyen ilişkileri dâhil) ayrıca değerlendirin.

1. Kişisel Veri İhlali Nedir?

Kişisel veri ihlali; kişisel verilerin kazara veya hukuka aykırı olarak yok edilmesi, kaybolması, değiştirilmesi, yetkisiz ifşası veya kişisel verilere yetkisiz erişim doğuran güvenlik ihlalleridir. KVKK çerçevesinde veri ihlali, uygulamada “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi” olarak özetlenir. GDPR perspektifinde ise ihlal; iletilen/saklanan/işlenen verilerin kazara veya hukuka aykırı şekilde değiştirilmesi, imhası, kaybı, yetkisiz açıklanması veya yetkisiz erişime yol açan bir güvenlik ihlali olarak daha geniş tanımlanır.

İhlal Türleri (Uygulamada Sık Görülen Senaryolar)

Yetkisiz erişim: Zayıf kimlik doğrulama, ele geçirilen hesaplar, ayrıcalıklı kullanıcı suiistimali.
Yetkisiz ifşa: Yanlış alıcıya e-posta gönderimi, yanlış yetkilendirme/rol ataması, paylaşım linklerinin sızması.
Kayıp/çalıntı: Şifrelenmemiş taşınabilir cihaz kaybı, yedeklerin kaybolması.
Değişiklik/bozulma: Log manipülasyonu, veri bütünlüğünün bozulması, yanlış veri güncellemesi.
İmha/yok olma: Fidye yazılımı, yanlış silme, hatalı yedekleme/geri yükleme süreçleri.

Kritik bakış: İhlalin “nasıl olduğu” kadar, “hangi verinin etkilendiği” ve “ilgili kişi üzerindeki muhtemel etkisi” bildirim kararının temelini oluşturur.

2. KVKK m.12: Veri Güvenliği Yükümlülükleri

6698 sayılı KVKK’nın 12. maddesi, veri sorumlularına veri güvenliği kapsamında üç ana sorumluluk yükler: (i) kişisel verilerin hukuka aykırı işlenmesini önlemek, (ii) kişisel verilere hukuka aykırı erişimi önlemek ve (iii) kişisel verilerin muhafazasını sağlamak. Bu amaçla veri sorumlusu, uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almakla yükümlüdür.

Teknik ve İdari Tedbirlere Örnekler

Tedbir Türü	Örnek Uygulamalar	Kontrol Hedefi
Teknik Tedbirler	MFA, RBAC, şifreleme, loglama/SIEM, EDR, zafiyet yönetimi, yedekleme, ağ segmentasyonu	Yetkisiz erişimi azaltmak, olay tespiti ve kanıt üretmek
İdari Tedbirler	Politikalar, eğitim/farkındalık, rol-sorumluluk matrisi, tedarikçi sözleşmeleri, prosedürler, denetimler	Süreç standardı ve mevzuat uyumu sağlamak
Olay Yönetimi	İhlal müdahale planı, olay kayıtları, iletişim zinciri, bildirim şablonları, kriz yönetimi	72 saat hedefiyle hızlı aksiyon ve doğru bildirim

Ayrıca, işlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi halinde veri sorumlusu; bu durumu en kısa sürede ilgili kişiye ve Kurul’a bildirmekle sorumludur. Bu yükümlülüğün amacı; ilgili kişiler üzerinde oluşabilecek olumsuz etkilerin önlenmesi veya asgari seviyeye indirilmesi için hızlı aksiyon alınmasını sağlamaktır.

3. Risk Seviyeleri ve Etki Değerlendirmesi

Gerçekleşen veri ihlalinde; ihlalin ilgili kişiler üzerinde ne ölçüde etki doğurabileceği değerlendirilmeli ve ihlal seviyesi saptanmalıdır. Bu değerlendirme; yalnızca “kaç kayıt etkilendi?” sorusuna indirgenmemeli, veri türü ve ilgili kişi üzerindeki olası sonuçlar üzerinden yapılmalıdır.

Değerlendirmede Dikkate Alınması Önerilen Parametreler

İhlalin niteliği: Yetkisiz erişim mi, ifşa mı, kayıp mı, imha mı?
İhlalin sebebi: İnsan hatası, siber saldırı, tedarikçi kaynaklı olay, iç tehdit vb.
Etkilenen veri türü: Kimlik/iletişim, finansal veriler, özel nitelikli veriler, erişim kayıtları vb.
Alınan azaltıcı tedbirler: Şifreleme, tokenizasyon, erişim kesme, parola sıfırlama, karantina vb.
Etkilenen kişi grupları: Müşteri, çalışan, tedarikçi, aday, çocuk verisi gibi kırılgan gruplar.

İhlal Risk Seviyeleri (Pratik Sınıflama)

Düşük düzeyde risk: İhlal olumsuz etki doğurmamakta veya etki göz ardı edilebilir düzeydedir.
Orta düzeyde risk: Olumsuz etkilere sebep olabilir; ancak etki büyük çaplı değildir.
Yüksek düzeyde risk: Etkilenen kişiler üzerinde ciddi seviyede olumsuz etkilere sebep olur.

Uygulama notu: Risk sınıflaması; bildirim içeriğinin kapsamını, ilgili kişiye yapılacak iletişimin tonunu ve olay sonrası iyileştirme planının önceliklerini doğrudan etkiler.

4. 2019/10 Kurul Kararı: 72 Saat ve Standart Bildirim Yaklaşımı

Kişisel Verileri Koruma Kurulu, uygulamada standart sağlanması amacıyla 24 Ocak 2019 tarihli ve 2019/10 sayılı kararı ile veri ihlali bildirimlerine ilişkin önemli prensipler ortaya koymuştur. Bu prensipler, veri sorumlularının hem Kurul’a hem de ilgili kişilere bildirim sürecini yönetirken zamanlama, format ve kayıt düzeni açısından bir çerçeve sunar.

Öne Çıkan Esaslar

72 saat içinde Kurul’a bildirim: Veri sorumluları, veri ihlalini öğrendikten sonra 72 saat içinde Kurul’a bildirim yapmalıdır. Haklı bir nedenle süre içinde bildirim yapılamazsa, bildirimle birlikte gecikme gerekçesi açıklanır.
İlgili kişiye bildirim: Etkilenen kişiler belirlendikten sonra, makul süre içinde ilgili kişilere bildirim yapılmalıdır. İletişim bilgisi mevcutsa doğrudan; değilse veri sorumlusunun internet sitesinde ilan gibi yöntemlerle duyuru yapılabilir.
Bildirim formu ve kılavuz: Kurul’a yapılacak bildirimlerde Kişisel Veri İhlali Bildirim Formu esas alınır. Formu destekleyen belgeler mevcutsa eklenir; tüm bilgilerin aynı anda sağlanamadığı hallerde bilgiler kademeli olarak iletilebilir.
Kayıt tutma zorunluluğu: İhlale ilişkin bilgiler, etkiler ve alınan önlemler Kurul incelemesine hazır olacak şekilde kayıt altında tutulur.
Veri işleyen bildirim yükümlülüğü: İhlal, veri işleyen nezdinde gerçekleştiyse veri işleyen, veri sorumlusuna gecikmeksizin bildirim yapmalıdır. Bu süreç, veri işleme sözleşmesinde açıkça düzenlenmelidir.
Yurt dışı veri sorumluları: İhlal yurt dışında yerleşik veri sorumlusu gözetiminde gerçekleşse dahi Türkiye’deki ilgili kişileri etkiliyorsa, Kurul’a bildirim yükümlülüğü doğabilir.

Kurumsal yönetişim: 72 saat hedefinin sürdürülebilir olması için “olay tespiti + teknik analiz + hukuk/uyum + iletişim” ekiplerinin önceden tanımlı bir koordinasyon planı olmalıdır.

5. Bildirim Süreci, Kayıt Tutma ve Yaptırımlar

Veri sorumluları, veri ihlalini yönetirken iki paralel hattı aynı anda yürütmelidir: (i) olayın kontrol altına alınması ve etkilerin azaltılması, (ii) mevzuata uygun bildirim ve kayıt süreçlerinin işletilmesi. Aşağıdaki adımlar, saha uygulamalarında en çok kullanılan operasyonel akışı özetler.

1. Olayı Tespit Edin ve Kapsamı Netleştirin

İhlalin ne zaman başladığı, hangi sistemleri etkilediği, hangi veri setlerinin risk altında olduğu ve olayın devam edip etmediği hızla belirlenmelidir. Bu aşamada loglar, erişim kayıtları, sistem uyarıları ve tedarikçi bildirimleri kritik rol oynar.

2. Risk Sınıflaması Yapın ve Etkiyi Azaltın

Düşük/orta/yüksek risk değerlendirmesi; bildirim içeriğini ve ilgili kişiye yapılacak iletişimi doğrudan etkiler. Erişim kesme, anahtar/şifre rotasyonu, karantina, düzeltici yamalar, yedekten geri dönüş ve ek izleme gibi azaltıcı önlemler devreye alınır.

3. Kurul’a Bildirim: 72 Saat Standardı

Kurul’a bildirim, Kişisel Veri İhlali Bildirim Formu esas alınarak yapılmalıdır. Formdaki bilgileri destekleyen belgeler (log özetleri, teknik analiz raporu, etkilenen veri kategorileri listesi, alınan önlemler vb.) mümkün olduğunca eklenmelidir. Tüm bilgilere aynı anda ulaşılamıyorsa, bilgiler kademeli şekilde tamamlanabilir.

4. İlgili Kişiye Bildirim: Şeffaf ve Eylem Odaklı İletişim

Etkilenen kişiler belirlendiğinde, iletişim kanalı biliniyorsa doğrudan bildirim yapılmalı; bilinmiyorsa web sitesi duyurusu gibi alternatif yöntemler değerlendirilmelidir. Bildirim; olayın özeti, etkilenen veri türleri, olası riskler, alınan tedbirler ve ilgili kişilerin alabileceği aksiyonları (parola değişikliği, şüpheli işlem kontrolü vb.) içermelidir.

5. Kayıt Tutma ve Denetim Hazırlığı

İhlale ilişkin bilgiler, etkiler ve alınan önlemler; Kurul incelemesine hazır olacak biçimde kayıt altına alınmalıdır. Bu kayıt düzeni; olay sonrası iyileştirme planının kanıtlanabilirliği ve tekrarlayan risklerin önlenmesi için kritik bir temel oluşturur.

Yaptırımlar ve Riskler

Veri ihlali bildirim yükümlülüklerinin yerine getirilmemesi, KVKK’nın 18. maddesi kapsamında idari para cezası riskini doğurur. Buna ek olarak, ilgili kişiler; bildirim yapılmaması veya güvenlik tedbirlerindeki yetersizlik nedeniyle uğradıkları zararlar için maddi ve manevi tazminat talep edebilir. Ticari hayatta ise itibar kaybı, iş ortaklıklarında güven erozyonu ve sözleşmesel yaptırımlar (özellikle kurumsal müşterilerde) önemli sonuçlar doğurabilir.

kişisel veri ihlali KVKK 12 72 saat bildirim 2019/10 Kurul Kararı ihlal müdahale planı

Pratik öneri: Veri ihlali müdahale planınızı yılda en az bir kez masaüstü tatbikat (tabletop) ile test edin; 72 saat hedefi için rol ve sorumlulukları netleştirin.

6. Sık Sorulan Sorular (SSS)

Her güvenlik olayı veri ihlali sayılır mı?

Hayır. Ancak olay; kişisel verilerin yetkisiz erişim/ifşa/kayıp/imha/değişiklik gibi sonuçlara yol açıyorsa veri ihlali kapsamında değerlendirilir. Bu nedenle olayın veri setine etkisi hızlı analiz edilmelidir.

72 saat ne zaman başlar?

Uygulamada temel yaklaşım, veri sorumlusunun ihlali öğrendiği an itibarıyla sürecin başlamasıdır. Gecikme olması halinde gerekçe, bildirimle birlikte açıklanmalıdır.

İlgili kişiye bildirim zorunlu mu?

Etkilenen kişiler tespit edildikten sonra makul süre içinde bildirim yapılması esastır. İletişim bilgileri biliniyorsa doğrudan; bilinmiyorsa internet sitesinde duyuru gibi yöntemler kullanılabilir.

Tüm detaylar hazır değilse Kurul’a bildirim yapılır mı?

Evet. Gerekli bilgilerin tamamı aynı anda sağlanamıyorsa, bildirim yapılır ve bilgiler gecikmeksizin kademeli olarak tamamlanabilir. Önemli olan sürecin kayıt altında ve kontrol edilebilir şekilde yürütülmesidir.

Veri işleyen (tedarikçi) ihlali yaşarsa sorumluluk kimde?

Veri işleyen, veri sorumlusuna gecikmeksizin bildirim yapmakla yükümlüdür. Kurul’a bildirim ve ilgili kişi iletişimi gibi dış yükümlülüklerin yönetimi ise veri sorumlusu tarafından yürütülür. Bu akışın veri işleme sözleşmesinde açıkça düzenlenmesi kritik önemdedir.

Bildirim yapılmazsa kurum açısından en büyük risk nedir?

İdari para cezası riskinin yanında; tazminat talepleri, itibar kaybı ve kurumsal müşteriler nezdinde sözleşmesel yaptırımlar önemli etkiler doğurabilir. Bu nedenle olay yönetimi ve bildirim süreçleri “kriz anında” değil, önceden planlanmalıdır.