AC
Anasayfa Makaleler

KVKK Veri İhlali 72 Saat Bildirim: Şirket için Pratik Rehber

TL;DR

KVKK m.12/5 veri ihlalinde "en kısa süre içinde" bildirim zorunlu; Kurul 72 saat ölçütünü uyguluyor. Bildirim yapılmazsa veya geç yapılırsa idari para cezası katlanır.

15 Şubat 2026 3 dk okuma 4 görüntülenme Son güncelleme: 9 Mayıs 2026

Veri ihlali çıktığında ilk 72 saat kritik. KVKK bildirim + iletişim + soruşturma planı paralel yürütülmeli; bildirim gecikmesi tek başına ağırlaştırıcı sebep.

Hangi olay "ihlal" sayılır?

  • Yetkisiz erişim (hack, çalışan suiistimali).
  • Veri sızıntısı (Pastebin, dark web yayını).
  • Yanlış adrese e-posta (toplu).
  • Şifrelenmemiş cihaz çalınması.
  • Üçüncü taraftan kaynaklı sızıntı (alt işleyen).
  • Sistem hatası nedeniyle yanlış kişiye veri gösterimi.

İlk 72 saat — adımlar

  1. 0-2 saat: Olay tutanağı; teknik müdahale ekibi (CISO + Hukuk + İletişim).
  2. 2-12 saat: Etki analizi; kaç kişi, hangi kategoriler (sağlık, finans), risk seviyesi.
  3. 12-24 saat: Mağdur veri sahiplerine bildirim taslağı; site duyurusu hazırlık.
  4. 24-48 saat: KVKK'ya bildirim formu (kişiselverilerikoruma.gov.tr).
  5. 48-72 saat: Veri sahiplerine resmi bildirim + iletişim hattı açma.
  6. 72+ saat: Adli bilişim raporu, savcılık şikâyeti (saldırgana karşı), iyileştirme planı.

Bildirim formu içeriği

  • İhlalin niteliği ve kategorisi.
  • Olay tarihi ve farkına varma tarihi.
  • Etkilenen kişi sayısı ve veri kategorileri.
  • Olası sonuçlar (mali kayıp, kimlik hırsızlığı vb.).
  • Alınan / alınacak önlemler.
  • İrtibat kişisi.

İdari para cezası ölçütleri

  • İhlalin tipi (organize saldırı vs. ihmal).
  • Bildirim süresine uyum.
  • Etkilenen kişi sayısı.
  • Ölçek (KOBİ vs büyük şirket).
  • Önceki KVKK kayıtları.
  • Maksimum 5 milyon TL (2025 güncellemesi sonrası).

Sıkça sorulan sorular

72 saat geçti, hâlâ bildirmedik; ne yapalım?

Hemen bildirin + gerekçe sunun (analiz süreci uzun sürdü, etki belirsizdi). Geç bildirim ağırlaştırıcı; ancak hiç bildirmemekten daha az.

Mağdurlara mutlaka bildirelim mi?

"Yüksek risk" varsa zorunlu (KVKK m.12/5 + Kurul Kararı 2019/271). Risk düşükse Kurul rehberlik istenebilir; ancak şeffaflık genelde lehimize.

Saldırı dışsal, bizim suçumuz yok; ceza alır mıyız?

"Veri güvenliği yükümlülüğü" KVKK m.12/1 ile getirilmiş; saldırı dışsal olsa bile yeterli önlem alındı mı sorusu sorulur. Pen-test, ISO 27001, log yönetimi gibi belgeler savunmada kritik.

Tazminat davası açılır mı?

Evet, KVKK m.14 uyarınca veri sahibi tazminat talep edebilir. Manevi 5.000-50.000 TL aralığı yaygın; toplu tazminat (örn. 100K kişi etkilenmişse) milyonlara çıkabilir.

GDPR de mi tetiklendi?

AB veri sahibi etkilendiyse evet; GDPR Art. 33 — 72 saat içinde ilgili veri koruma kurumuna (DPA) bildirim. Türk KVKK + AB DPA paralel bildirim gerek; her iki kurum da kendi para cezalarını verebilir.

İlgili mevzuat

  • 6698 sayılı KVKK m.12 — Veri güvenliği yükümlülüğü; ihlal bildirimi (m.12/5).
  • 6698 sayılı KVKK m.14Tazminat hakkı.
  • 6698 sayılı KVKK m.18 — İdari para cezası (5 milyon TL'ye kadar).
  • GDPR Art. 33-34 — AB sınır ötesi aktarımda 72 saat ihlal bildirimi.
  • TCK m.135-136 — Kişisel verilerin hukuka aykırı kaydedilmesi/yayılması.
Yasal uyarı: Bu yazı genel bilgilendirme amaçlıdır; somut olay için avukatlık görüşmesi gereklidir. Süreler, oranlar ve uygulama içtihatla şekillenir; başvuru öncesi güncel mevzuatı kontrol edin.

Kaynaklar ve referanslar

Kaynaklar

KVKK Veri İhlali 72 Saat Bildirim: Şirket için Pratik Rehber içeriği hazırlanırken resmi mevzuat ve yüksek yargı kaynakları esas alınmıştır.

Telif bildirimi Bu içerik ve tüm bağlantılı soru-cevap metinleri 5846 sayılı FSEK kapsamında korunmaktadır. İzinsiz kopyalama, çoğaltma, yayımlama, yeniden işleme, toplu veri çekimi veya ticari kullanım yasaktır; ihlal halinde hukuki ve cezai yollara başvurulur.

Hukuki destek arıyorsanız

Bu konuda profesyonel hukuki destek için Aycan Ceylan Avukatlık Bürosu olarak yanınızdayız.

Görüşme Planla