6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) m.12/5, veri sorumlularına veri ihlali hâlinde 72 saat içinde Kurula ve en kısa sürede ilgili kişiye bildirim yapma yükümlülüğü getirmiştir.

Veri İhlali Nedir?

Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi; sızdırılma, silinme, değiştirilme, ifşa edilme veya yetkisiz erişim hâli.

Yaygın Örnekler

  • Şirket veri tabanına siber saldırı (ransomware, hacking)
  • Çalışanın yetkisiz veri kopyalaması ve dış paylaşım
  • E-posta gönderiminde "BCC" yerine "CC" kullanımı
  • USB / dizüstü kaybı sonucu veri sızıntısı
  • Web sitesinin güvenlik açığı nedeniyle müşteri verilerinin ifşası
  • Yanlış erişim yetkilendirmesi

Bildirim Yükümlülüğü

72 Saat İçinde KVKK Kuruluna

Veri ihlalinin tespit edildiği andan itibaren 72 saat içinde Kurum'un internet sayfasındaki form ile bildirim yapılır. Form içeriği:

  • İhlalin başlangıç tarihi ve süresi
  • İhlalden etkilenen veri kategorileri
  • Etkilenen ilgili kişi sayısı
  • İhlalin olası sonuçları
  • Alınan ve alınacak tedbirler
  • İletişim kişisi bilgileri

İlgili Kişilere Bildirim

Etkilenen kişilere e-posta, SMS, KEP veya internet sitesi duyurusu ile en kısa sürede bilgi verilir.

Kurulun Yaptırım Yetkileri (KVKK m.18)

  • İdari para cezası: 50.000 TL - 2.000.000 TL aralığında (yıllık olarak güncellenir)
  • Aydınlatma yükümlülüğüne aykırılık
  • Veri güvenliğine ilişkin yükümlülüklere aykırılık
  • Kurul kararlarına uymama
  • Veri Sorumluları Sicili'ne kayıt yükümlülüğüne aykırılık

Kurulun Önemli Kararları

KVKK Kurulu, Facebook, Cathay Pacific, Marriott, Clubhouse gibi büyük şirketlere ihlaller için yüksek miktarda idari para cezaları kesmiştir. Türkiye'de de yerel bankalara, e-ticaret platformlarına ve sosyal medya şirketlerine sayılı sıralarda milyon TL üstü cezalar uygulanmıştır.
Kurul, "veri ihlali bildirimi yapılmaması veya geç yapılması" durumunu da ayrı bir ihlal olarak değerlendirmekte ve buna ek ceza uygulamaktadır.

Veri Sorumlusu Olarak Hazırlık

  • VERBİS (Veri Sorumluları Sicili)'ne kayıt
  • İhlal müdahale planı (Incident Response Plan)
  • Veri envanteri
  • Aydınlatma metinleri ve açık rıza
  • Çalışan eğitimleri
  • Penetrasyon testleri ve güvenlik denetimi
  • Veri işleme sözleşmeleri (üçüncü taraflarla)

İlgili Kişinin Hakları (KVKK m.11)

  • Verilerinin işlenip işlenmediğini öğrenme
  • İşleniyorsa amacına uygun mu kontrolü
  • Aktarıldığı üçüncü kişileri öğrenme
  • Eksik/yanlış işlenmişse düzeltilmesini isteme
  • Silme/yok etme talebi

Veri sorumluluğu yükümlülükleri ihmal sonucu yüksek cezalara yol açabilir. KVKK uyum süreçleri için danışmanlık alınması önerilir.