Kişisel veri ihlalinin yaşandığı an, bir işletme için en kritik anlardan biridir. Yanlış veya geç atılan adımlar, yasal yaptırımları katlar, müşteri güvenini sarsar ve itibar zararını maksimize eder. KVKK, veri ihlali durumunda veri sorumlularına spesifik yükümlülükler yükler — ve "bilmiyordum" bir mazeret değildir. Bu rehberde KVKK kapsamında veri ihlali bildiriminin nasıl yapılacağını, 72 saat kuralını ve süreci adım adım anlatıyoruz. Kişisel Veri İhlali Nedir? KVKK'ya göre kişisel veri ihlali; iletilen, saklanan veya başka bir şekilde işlenen kişisel verilerin kanuna aykırı olarak; imha edilmesi, kaybolması, değiştirilmesi, yetkisiz olarak açıklanması veya bu verilere yetkisiz erişilmesi durumudur. Örnekler:
Siber saldırı sonucu müşteri veritabanının çalınması Çalışanın yanlış kişiye kişisel veri içeren e-posta göndermesi Kaybolan veya çalınan laptop'ta şifrelenmemiş kişisel veri olması Fidye yazılımı saldırısında verilerin şifrelenmesi (erişim kaybı) Yanlış yapılandırma nedeniyle veritabanının internete açık kalması Çalışanın yetkisi olmayan verilere erişmesi Ayrılan çalışanın hâlâ aktif olan hesabıyla sisteme girmesi
72 Saat Kuralı KVKK kapsamında, veri sorumlusu kişisel veri ihlalini öğrendiğinden itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapmak zorundadır. Bu süre kritik çünkü 72 saat başarısızlık halinde ek yaptırımlarla sonuçlanabilir. "Öğrenme anı" ne demek? İhlalin varlığından makul şekilde haberdar olduğunuz an. Yani bir siber saldırı gerçekleşti ama siz 3 hafta sonra fark ettiyseniz, 72 saat fark ettiğiniz andan itibaren başlar. 72 saat içinde tüm detayları bilmeme hakkı: İlk bildirimde tüm detaylar net olmasa bile, bilinen bilgilerle bildirim yapılmalıdır. Eksik kalan bilgiler sonradan tamamlanabilir. Bildirim İçin Gerekli Bilgiler Kurul'a yapılacak bildirimde en azından şu bilgilerin yer alması gerekir: 1. İhlalin ne zaman gerçekleştiği: Mümkünse tarih ve saat. 2. Hangi kategori kişisel verilerin etkilendiği: Ad-soyad, iletişim bilgileri, TC kimlik, sağlık verileri vb. Özel nitelikli veri varsa açıkça belirtilmeli. 3. Etkilenen kişi ve kayıt sayısı: Yaklaşık bir rakam bile olsa belirtilmeli. 4. İhlalin olası sonuçları: Kimlik hırsızlığı, dolandırıcılık, itibar kaybı gibi potansiyel zararlar. 5. Alınan veya alınması önerilen tedbirler: Zararın en aza indirilmesi için neler yapıldı ve yapılacak. 6. Veri sorumlusunun irtibat bilgileri: Kurulun iletişim kurabileceği kişi ve iletişim kanalı. Veri Sahiplerine Bildirim Kurul'a bildirimin yanı sıra, ihlalden etkilenen kişilere de bildirim yapılması gerekir. Bu bildirim, "en kısa sürede" ve her halükarda kişilerin gerekli önlemleri alabilmesini sağlayacak süre içinde yapılmalıdır. Bildirim açık, anlaşılır ve şu bilgileri içerir: ihlalin niteliği, iletişim kurulacak kişi/birim, olası sonuçlar, kişilerin alabilecekleri önlemler (parola değiştirme, hesap kontrol etme gibi). İhlal Durumunda Adım Adım Süreç Saat 0-1: Tespit ve İlk Müdahale Olayı doğrulayın — gerçekten bir ihlal var mı, yanlış alarm mı? Etkilenen sistemleri ağdan izole edin. Olayı belgelendirmeye başlayın (tarih, saat, ilk belirtiler, kim fark etti). Acil müdahale ekibini toplayın (BT, hukuk, yönetim, gerekirse dış siber güvenlik desteği). Saat 1-12: Durum Değerlendirmesi Etkilenen verileri ve kişi sayısını belirleyin. Saldırının kaynağını ve yöntemini tespit edin. Hasarın genişlemesini durdurun. Delilleri koruyun — silmeyin, değiştirmeyin, adli analiz için gerekli olabilir. Yedeklerin durumunu kontrol edin. Saat 12-48: Hazırlık ve Bildirim Kurul bildirimini hazırlayın — yukarıdaki gerekli bilgiler. Hukuki danışmanlık alın. Etkilenen kişilere bildirim metnini hazırlayın. Medya ve müşteri iletişim planını oluşturun. Kurul'a bildirimi yapın — resmi kanallardan. Saat 48-72: Takip Etkilenen kişilere bildirim yapın. Gerekirse kamuoyu açıklaması yapın. Düzeltici önlemleri uygulamaya başlayın. Ek bilgiler gerekiyorsa Kurul'a bildirin. Sonrası: Toparlanma ve Öğrenme Kapsamlı adli analiz yapın. Açığı kalıcı olarak kapatın. Etkilenen sistemleri temiz yedekten geri yükleyin. Olay sonrası değerlendirme (post-mortem) yapın. Güvenlik kontrolleri ve eğitimi güncelleyin. Benzer olayların tekrarlanmaması için önlemler alın. Cezalar ve Yaptırımlar KVKK ihlali durumunda uygulanabilecek yaptırımlar: İdari para cezaları: Kurul, ihlalin niteliğine göre ciddi para cezaları uygulayabilir. Uyumsuzluğun kapsamına göre bu rakamlar yüz binlerce liradan milyonlara kadar çıkabiliyor. Ceza miktarları yıllık olarak güncellenir. Kamu davası: Bazı KVKK ihlalleri Türk Ceza Kanunu kapsamına girer ve savcılık soruşturması başlatılabilir. Tazminat davaları: Etkilenen kişiler, uğradıkları zarar için tazminat davası açabilir. Sınıf davası potansiyeli yüksek. İtibar zararı: Para cezasından çok daha yıkıcı. Bir veri ihlali haberi, müşteri kaybına, iş ortağı güven kaybına ve uzun süreli marka zararına yol açar. Yasal süreç maliyeti: Avukat ücretleri, adli bilişim maliyetleri, müşteri bildirim maliyetleri — ek finansal yük. Yaygın Hatalar İhlali gizlemek. KVKK bildirim yükümlülüğü zorunludur. Gizleme, ihlalin kendisinden daha ağır yaptırımlar getirir. 72 saat süreyi kaçırmak. Detayları tam bilmeden bile ilk bildirim yapılmalıdır. Eksikler sonradan tamamlanabilir. Panik ve düzensiz iletişim. Hazırlıksız yapılan açıklamalar, yanlış bilgi vermeye ve durumu kötüleştirmeye yol açar. Delilleri yok etmek. Kriz anında "temizlik" yapma isteği, adli analiz için gerekli delilleri kaybettirir. Dış danışman almamak. İlk defa kriz yaşayan bir işletme, deneyimsizliği pahalıya öder. Siber güvenlik ve KVKK danışmanlığı, ilk saatlerden itibaren devreye girmelidir. Önceden Hazırlık: Veri İhlali Müdahale Planı En iyi kriz yönetimi, kriz olmadan önce yapılan hazırlıktır. Her işletmenin bir veri ihlali müdahale planı olmalı: Kim ne yapacak (roller ve sorumluluklar). İletişim zinciri (önce kim aranır). Hazır şablonlar (Kurul bildirimi, müşteri bildirimi, basın açıklaması). Dış destek iletişim bilgileri (avukat, siber güvenlik, sigorta). Planın düzenli test edilmesi (tatbikat). Sonuç KVKK veri ihlali bildirimi, yasal bir yükümlülük olmanın ötesinde, kriz yönetiminin temel bir bileşenidir. 72 saat kuralı, şeffaflık ilkesi ve veri sahiplerine bildirim — bunlar sadece yasal zorunluluklar değil, sorumlu bir işletme olmanın gereği. Diyarbakır'da KVKK uyumluluk danışmanlığı ve veri ihlali müdahale planı hazırlanması için VefaSoft ile iletişime geçebilirsiniz.
İlgili Yazılar:
KVKK Nedir? Şirketler İçin Uyumluluk Rehberi 2026 Şirketim Hacklendi, Ne Yapmalıyım? Adım Adım Kriz Rehberi Kişisel Veri Envanteri Nasıl Hazırlanır? KVKK Aydınlatma Metni Nasıl Yazılır? Örnek Şablon