KVKK’ya göre veri ihlali nedir?

Veri ihlali; kişisel verilerin yetkisiz erişim, ifşa, ele geçirilme veya hukuka aykırı şekilde kullanılması sonucunu doğuran güvenlik olaylarıdır. KVKK m.12 kapsamında veri sorumlusu, verilerin güvenliğini sağlamak ve ihlal halinde bildirim yükümlülüklerini yerine getirmekle sorumludur.

KVKK veri ihlali bildirimi için süre kaç saattir?

Kişisel Verileri Koruma Kurulunun 24.01.2019 tarihli ve 2019/10 sayılı Kararı uyarınca, veri sorumlusu ihlali öğrendiği tarihten itibaren derhal ve en geç 72 saat (3 gün) içinde Kurula bildirimde bulunmalıdır.

İhlal 72 saat içinde bildirilemezse ne olur?

Haklı bir gerekçe ile 72 saat içinde bildirim yapılamıyorsa, gecikmenin nedenleri Kurula yapılacak bildirimle birlikte açıklanmalıdır. Ayrıca bilgiler aynı anda sağlanamıyorsa aşamalı (kademeli) bildirim yapılabilir.

KVKK Veri İhlali Bildirimi: 72 Saat Kuralı, 2019/10 Kurul Kararı ve Müdahale Planı

KVKK · Veri İhlali · Bildirim · 72 Saat

KVKK Veri İhlali Bildirimi 72 Saat (3 Gün) Kuralı, 2019/10 Kurul Kararı ve Müdahale Planı

Veri ihlali; hassas, gizli veya korunan verilere yetkisiz erişim sağlanması, verilerin ele geçirilmesi veya ifşa edilmesi ile sonuçlanan güvenlik olayıdır. KVKK bakımından konu, yalnızca teknik bir siber güvenlik problemi değil; aynı zamanda veri sorumlusu için idari ve hukuki yükümlülükler doğuran bir uyum başlığıdır.

6698 sayılı KVKK m.12 veri sorumlusuna; kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamak için gerekli teknik ve idari tedbirleri alma yükümlülüğü getirir. Ayrıca kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde veri sorumlusunun durumu ilgili kişiye ve Kişisel Verileri Koruma Kuruluna bildirmesi gerekir.

KVKK m.12 ve 2019/10 Kararı 72 Saat Checklist (Adım Adım)

İçindekiler 1. Hukuki Dayanak: KVKK m.12 ve Bildirim Yükümlülüğü 2. Veri İhlali Nedir? Kapsam, Türler ve Etkiler 3. 72 Saat Kuralı: Kurula ve İlgili Kişiye Bildirim Süreci 4. Örnek Senaryolar: Sızma, E-posta Yanlış Gönderim, Fidye Yazılımı 5. Uyum, Kayıt Tutma, Form ve Müdahale Planı 6. Sık Sorulan Sorular

Hızlı Özet

Bildirim amacı: İhlalden etkilenen kişiler hakkında oluşabilecek olumsuz sonuçları hızla önlemek veya azaltmak.
72 saat: “En kısa sürede” ifadesi Kurulun 24.01.2019 – 2019/10 Kararı ile 72 saat olarak yorumlanır.
Form: Kurula bildirimin, yayımlanan Kişisel Veri İhlali Bildirim Formu ile yapılması esastır.
Kayıt: İhlal bilgileri, etkileri ve alınan önlemler kayıt altına alınmalı ve incelemeye hazır tutulmalıdır.

KVKK m.12 2019/10 Kurul Kararı 72 Saat Bildirim İhlal Bildirim Formu

Not: 72 saat; “ihlal tespit edildiği an” değil, veri sorumlusunun ihlali öğrendiği tarihten itibaren başlayan bir uyum saatidir. Bu nedenle olay yönetiminde, “öğrenme zamanı”nın kayıt altına alınması kritik önem taşır.

1. Hukuki Dayanak: KVKK m.12 ve Bildirim Yükümlülüğü

KVKK’nın 12’nci maddesi, veri sorumlusunun kişisel verilerin güvenliğini sağlamak için uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri almakla yükümlü olduğunu düzenler. Bu kapsamda veri sorumlusu;

Hukuka aykırı işlemeyi önlemek,
Hukuka aykırı erişimi önlemek,
Kişisel verilerin muhafazasını sağlamak

için gerekli mekanizmaları kurmalıdır.

1.1. Bildirim Yükümlülüğü (m.12/5)

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgili kişiye ve Kurula bildirir; Kurul gerekmesi halinde bu durumu kendi internet sitesinde veya uygun göreceği başka bir yöntemle ilan edebilir.

1.2. 2019/10 Kurul Kararı ve “72 Saat” Yorumu

Kişisel Verileri Koruma Kurulunun 24.01.2019 tarihli ve 2019/10 sayılı Kararı ile “en kısa sürede” ifadesi, uygulamada standartlaşma sağlamak amacıyla 72 saat (3 gün) olarak yorumlanmıştır. Buna göre veri sorumlusu, ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirim yapmalıdır.

Hedef: Kurula ve ihlalden etkilenen kişilere bildirim yapılmasının amacı; ihlal nedeniyle ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemlerin hızla alınmasını sağlamaktır.

2. Veri İhlali Nedir? Kapsam, Türler ve Etkiler

Kurumsal hayatta veri ihlalleri tek tip değildir. Kimi zaman bir siber saldırı (sızma, fidye yazılımı), kimi zaman operasyonel hata (yanlış alıcıya e-posta) veya üçüncü taraf kaynaklı olay (tedarikçi sisteminden sızıntı) şeklinde görülebilir. Önemli olan; olayın kişisel verilerin güvenliğini etkileyip etkilemediğidir.

İhlal Türü	Örnek	Muhtemel Etki
Yetkisiz erişim	Hesap ele geçirme, zayıf parola ile admin paneline giriş	Veri sızıntısı, yetkisiz değişiklik, kimlik hırsızlığı
İfşa / sızdırma	Veritabanı dump’ı, bulut depolamada açık link	İtibar kaybı, dolandırıcılık, hedefli saldırı riskleri
Operasyonel hata	Yanlış kişiye bordro/sağlık raporu gönderimi	Mahremiyet ihlali, şikayet ve tazmin riski
Fidye yazılımı	Sistemlerin şifrelenmesi + veri dışarı sızdırma tehdidi	Hizmet kesintisi, veri kaybı, geniş çaplı ihlal

2.1. “Etkilenen Kişi” ve “Etkilenen Veri”yi Hızla Belirlemek

Etkilenen veri kategorileri: Kimlik, iletişim, finans, işlem güvenliği logları, müşteri kayıtları vb.
Etkilenen kişi sayısı: Tahmini bile olsa erken aşamada kapsam çıkarımı.
Risk profili: Dolandırıcılık, kimlik hırsızlığı, ayrımcılık, fiziksel güvenlik riski gibi sonuçların değerlendirilmesi.

İpucu: İhlalin kapsamını belirlemek her zaman ilk dakikada mümkün olmayabilir. Bu durumda “aşamalı bildirim” yaklaşımı (ilk bildirim + sonradan tamamlayıcı bilgi) kritik bir uyum aracıdır.

3. 72 Saat Kuralı: Kurula ve İlgili Kişiye Bildirim Süreci

Veri ihlali yönetiminde en zor kısım, teknik müdahale ile uyum yükümlülüklerinin aynı anda yürütülmesidir. 2019/10 Kurul Kararı, bu süreci standartlaştırmak için temel çerçeveyi oluşturur.

3.1. Kurula Bildirim (En Geç 72 Saat)

Başlangıç anı: Veri sorumlusunun ihlali öğrendiği tarih/saat.
Süre: Derhal ve en geç 72 saat içinde Kurula bildirim.
Form: Kurula bildirimde Kişisel Veri İhlali Bildirim Formu kullanılması.
Gecikme: 72 saat içinde bildirim yapılamıyorsa haklı gerekçe ve gecikme nedenlerinin açıklanması.
Aşamalı bilgi: Tüm bilgilerin aynı anda sağlanamadığı hallerde bilgilerin kademeli sunulması.

3.2. İlgili Kişilere Bildirim (Makul Olan En Kısa Süre)

Etkilenen kişiler belirlendikten sonra, ilgili kişilere de makul olan en kısa süre içinde bildirim yapılmalıdır. İletişim adresine ulaşılabiliyorsa doğrudan; ulaşılamıyorsa veri sorumlusunun web sitesinde duyuru gibi uygun yöntemler değerlendirilebilir.

3.3. Mini “İlk 24 Saat” Checklist

Olayı sınıflandır: Kişisel veri etkisi var mı? (varsa KVKK süreci tetiklenir)
İzolasyon: Yetkisiz erişimi durdur, kanıtları koru (log, snapshot, zaman çizelgesi).
Kapsam çıkar: Hangi sistemler, hangi veri kategorileri, kaç kişi etkilenmiş olabilir?
Risk analizi: İlgili kişiler için olası zararları (dolandırıcılık vb.) değerlendir.
Taslak bildirim: 72 saat penceresine göre Kurul bildirimi için formu hazırla.

Not: Bildirim, “cezalandırma” amacıyla değil; ilgili kişilerin korunmasına imkan verecek önlemlerin hızla alınması için tasarlanmıştır. Erken bildirim + şeffaf iletişim, zarar azaltımında anahtardır.

4. Örnek Senaryolar: Sızma, Operasyonel Hata, Fidye Yazılımı

Aşağıdaki örnekler, veri ihlali olaylarında hem teknik ekiplerin hem de hukuk/uyum birimlerinin aynı anda hangi soruları sorması gerektiğini netleştirir.

4.1. Yetkisiz Erişim (Hesap Ele Geçirme)

Belirti: Şüpheli girişler, olağan dışı veri çekimi, admin yetkisi değişimi.
İlk aksiyon: Parola sıfırlama, MFA zorunluluğu, erişim anahtarlarının iptali, logların korunması.
Bildirim odağı: Hangi verilerin erişildiği ve ilgili kişilerde hangi risklerin doğduğu.

4.2. Yanlış Alıcıya E-posta (Operasyonel İhlal)

Belirti: Bordro/kimlik/sağlık verisi yanlış kişiye gönderildi.
İlk aksiyon: Geri çağırma (varsa), alıcıdan silme teyidi, dağıtım listesinin düzeltilmesi, olay kaydı.
Bildirim odağı: Etkilenen kişi sayısı az olsa bile risk değerlendirmesi (mahremiyet/ikincil zarar).

4.3. Fidye Yazılımı (Şifreleme + Veri Sızdırma Tehdidi)

Belirti: Sistemler şifrelendi, sızdırma tehdidi var.
İlk aksiyon: Ağ izolasyonu, yedek doğrulama, adli bilişim çalışması, sızıntı teyidi.
Bildirim odağı: Hizmet sürekliliği, sızdırılan veri kategorileri, etkilenen kişi sayısı ve alınan önlemler.

Öneri: Her senaryo için önceden hazırlanmış “taslak bildirim metinleri” ve rol/sorumluluk matrisi (kim kime raporlar, kim onaylar) 72 saat stresini ciddi ölçüde azaltır.

5. Uyum, Kayıt Tutma, Form ve Müdahale Planı

Kurul kararında yalnızca “bildir” denmez; aynı zamanda veri sorumlusunun ihlale ilişkin kayıt tutma ve planlı müdahale sorumluluğu da vurgulanır. Bu yaklaşım, hesap verebilirlik ilkesinin pratik karşılığıdır.

5.1. Kişisel Veri İhlali Bildirim Formu

Kurula yapılacak bildirimde İhlal Bildirim Formu kullanılmalıdır.
Bilgilerin aynı anda sağlanamadığı durumda aşamalı bildirim mümkündür.
72 saat aşıldıysa, gecikme gerekçesi form/bildirim içinde açıklanmalıdır.

5.2. Kayıt Tutma Yükümlülüğü

Veri sorumlusu; ihlale ilişkin bilgileri, etkileri ve alınan önlemleri kayıt altına almalı ve Kurulun incelemesine hazır halde bulundurmalıdır. İyi bir kayıt seti genellikle şunları içerir:

Zaman çizelgesi: Öğrenme zamanı, tespit, izolasyon, bildirim, iyileştirme.
Kapsam raporu: Etkilenen sistemler, veri kategorileri, kişi sayısı.
Önlem listesi: Alınan teknik/idari önlemler ve tekrarını önleme aksiyonları.

5.3. Veri İşleyen (Processor) Bildirimi

Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla elde edilmesi halinde, veri işleyen durumu gecikmeksizin veri sorumlusuna bildirmelidir. Bu nedenle sözleşmelerde, ihbar süreleri ve iletişim kanalları net olmalıdır.

5.4. Veri İhlali Müdahale Planı (IR Plan)

Kurul kararı çerçevesinde; ihlal olduğunda kimlere raporlama yapılacağı, KVKK kapsamındaki bildirimler, ihlalin olası sonuçlarının değerlendirilmesi ve kurum içi sorumluluğun kimde olduğu gibi konuları içeren bir veri ihlali müdahale planı hazırlanmalı ve belirli aralıklarla gözden geçirilmelidir.

Resmi kaynaklar:
KVKK Veri İhlali Bildirimi: https://www.kvkk.gov.tr/veri-ihlali-bildirimi/
Benzer okuma: https://www.nesilteknoloji.com/veri-ihlalinden-sonra-kimliginizi-nasil-koruyabilirsiniz/

6. Sık Sorulan Sorular

Veri ihlali yaşandı ama kapsam net değil. Yine de bildirim gerekir mi?

Kapsam ilk anda netleşmeyebilir. 2019/10 Kararı, bilgilerin aynı anda sağlanamadığı durumlarda aşamalı bildirim yapılabileceğini kabul eder. Önemli olan 72 saat penceresini yönetmek ve sonradan tamamlayıcı bilgileri gecikmeksizin sunmaktır.

Kurula bildirim 72 saati aşarsa ne yapılmalı?

Haklı bir gerekçe ile 72 saat içinde bildirim yapılamıyorsa, gecikmenin nedenleri Kurula yapılan bildirimle birlikte açıklanmalıdır. “Neden geç kaldık?” sorusu, denetimlerde en kritik noktalardan biridir.

Etkilenen kişilere bildirim nasıl yapılır?

Etkilenen kişiler belirlendikten sonra, makul olan en kısa süre içinde bildirim yapılır. İletişim adresine ulaşılabiliyorsa doğrudan; ulaşılamıyorsa veri sorumlusunun web sayfasında duyuru gibi uygun yöntemler değerlendirilebilir.

Veri işleyen (tedarikçi) tarafında ihlal olursa sorumluluk kimde?

Veri işleyen, ihlali gecikmeksizin veri sorumlusuna bildirmelidir. Ancak Kurula ve ilgili kişilere bildirim yükümlülüğünün yönetimi, somut olaya göre veri sorumlusunun koordinasyonunda yürütülür. Bu yüzden sözleşmesel bildirim maddeleri ve kriz iletişim kanalları önceden belirlenmelidir.

KVKK Veri İhlali Bildirimi KVKK m.12 2019/10 Kurul Kararı 72 Saat Kuralı İhlal Bildirim Formu Müdahale Planı