AC
Anasayfa Makaleler KVKK ve Veri Koruma Hukuku

KVKK Veri İhlali Bildirimi: 72 Saat Kuralı

25 Şubat 2026 KVKK ve Veri Koruma Hukuku 2 dk okuma 13 görüntülenme Son güncelleme: 8 Mayıs 2026

KVKK m.12/5, veri sorumlusuna kişisel veri ihlali halinde "en kısa sürede" Kişisel Verileri Koruma Kurulu'na ve etkilenen veri sahibine bildirim yükümlülüğü getirir. Kurum, bu süreyi "72 saat" olarak yorumlamıştır (Kurul kararı, 18.01.2019).

"İhlal" Nedir?

  • Yetkisiz erişim (hack saldırısı, içeriden sızıntı).
  • Yetkisiz aktarım (yanlış kişiye e-posta, dosya paylaşımı).
  • Yetkisiz değiştirme veya silme.
  • Şifrelenmemiş cihaz/USB kaybı.
  • Ransomware saldırısı.

Bildirim Yükümlülüğü

  • Kuruma bildirim: 72 saat içinde, "Kişisel Veri İhlal Bildirimi" formuyla.
  • Veri sahibine bildirim: "Makul bir süre içinde" — tipik 3-7 gün.
  • Bildirim açık ve anlaşılır dilde olmalı.
  • Etkilenen veri kategorileri ve kişi sayısı belirtilmeli.
  • Alınan ve önerilen önlemler bildirilmeli.

Süreyi Aşmanın Sonuçları

  • İdari para cezası (100.000 - 5.000.000 TL bandı, güncel cetvele göre).
  • İmha kararı (silme/yok etme yükümlülüğü).
  • İhlal listesinde yayınlanma (itibar zararı).
  • Tazminat davaları için somut dayanak.

Bildirim Formu İçeriği

  • Olayın gerçekleştiği tarih ve saat.
  • Olayın türü (siber saldırı, içeriden sızıntı vb.).
  • Etkilenen veri kategorileri (ad, telefon, finansal, sağlık vb.).
  • Etkilenen kişi sayısı.
  • Olası sonuçlar.
  • Alınan ve alınacak önlemler.
  • İletişim noktası (DPO).

Veri Sahibine Bildirim — Format

  • SMS, e-posta veya gönderme suretiyle ulaştırılabilir.
  • Başlık: "Kişisel Veri İhlali Hakkında Bilgilendirme".
  • Olayın özeti (sade dil).
  • Veri sahibinin alabileceği önlemler (şifre değiştirme, banka uyarısı).
  • İletişim noktası.

Kurul Kararları — Yerleşik Yaklaşım

Kişisel Verileri Koruma Kurulu, bildirim yükümlülüğünü "şüphenin oluştuğu an"dan başlatır; "kesin tespit" beklemek yetersizdir. Geç bildirim ihlali genelde idari para cezası ile sonuçlanır; ihlalin büyüklüğüne göre miktar belirlenir.

Önleyici Tedbirler

  1. Veri haritalandırma ve VERBİS kaydı güncel.
  2. Erişim kontrolleri ve şifre politikası.
  3. Düzenli sızma testleri (penetration test).
  4. Olay yönetim planı (Incident Response Plan).
  5. DPO (Veri Koruma Görevlisi) atama.
  6. Çalışan eğitimi (phishing farkındalığı).

İhlal Sonrası Süreç

  1. Olayı tespit (şüphe).
  2. İç ekip + DPO ile değerlendirme.
  3. 72 saat içinde Kurum bildirimi.
  4. Veri sahibine bildirim.
  5. Adli süreç (TCK m.135-136 boyutu).
  6. Tazminat davalarına hazırlık.

Veri ihlali yönetimi sıkı zaman çizelgesinde yürür. KVKK ve bilişim hukuku avukatı ile süreç planlanmalıdır.

Telif bildirimi Bu içerik ve tüm bağlantılı soru-cevap metinleri 5846 sayılı FSEK kapsamında korunmaktadır. İzinsiz kopyalama, çoğaltma, yayımlama, yeniden işleme, toplu veri çekimi veya ticari kullanım yasaktır; ihlal halinde hukuki ve cezai yollara başvurulur.

Hukuki destek arıyorsanız

Bu konuda profesyonel hukuki destek için Aycan Ceylan Avukatlık Bürosu olarak yanınızdayız.

Görüşme Planla