KVKK Kurulu Karar Özetlerinden Türkiye'de Veri İhlali Trendleri: 2020-2025 Örüntü Analizi
KVKK Kurulu'nun şeffaflık ilkesi (md. 8) gereği kamuoyuyla paylaştığı karar özetlerinde tekrar eden ihlal örüntüleri. 8 ana ihlal kategorisi (sızıntı, yetkisiz erişim, kayıp, yanlış paylaşım, yetersiz tedbir, geç bildirim, eksik aydınlatma, çocuk verisi). Sektörel trend (e-ticaret, finans, sağlık, eğitim, telekom + kamu + hukuk). 2020-2025 pandemi öncesi/sonrası evrim. Kurul cezada baktığı 6 faktör. DSET 100+ kurumsal müşteri pratik desenleri.
Hızlı Cevap
- KVKK Kurulu 2020-2025 arası 1.500'ü aşkın karar yayımladı, bunların yaklaşık 600'ü doğrudan veri ihlali bildirimine ilişkindir.
- En sık ihlal türleri yetkisiz erişim, oltalama kaynaklı hesap ele geçirme, fidye yazılımı ve yanlış alıcıya veri gönderimi olarak öne çıktı.
- Sektör dağılımında finans, e-ticaret, sağlık, telekom ve kamu kurumları toplam ihlallerin yüzde 70'inden fazlasını oluşturuyor.
- İdari para cezaları 50 bin TL ile 1,9 milyon TL bandında değişti, ortalama ceza yaklaşık 350 bin TL düzeyinde gerçekleşti.
- 72 saatlik bildirim yükümlülüğü ihlali ve teknik tedbir eksikliği, ceza artırıcı en belirleyici iki gerekçe olarak kayda geçti.
KVKK Kurulu Karar Özetlerinden Türkiye'de Veri İhlali Trendleri: 2020-2025 Örüntü Analizi
KVKK Kurulu, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun verdiği yetkiyle her ay çok sayıda veri ihlali bildirimini değerlendiriyor, soruşturuyor ve sonuçlandırıyor. Bu kararların önemli bir bölümü, resmi karar özetleri sayfasında anonimleştirilmiş biçimde kamuoyu ile paylaşılıyor. Şirket adı verilmiyor, dosya numarası dışında kimliği ifşa edici bilgi yer almıyor; ancak ihlalin niteliği, alınan tedbirler, Kurul'un gerekçesi ve uygulanan yaptırım kategorisi açıkça okunabiliyor.
Bu yazıda, DSET olarak son beş yılda yüzden fazla kurumsal müşterimizin yaşadığı veya kıl payı atlattığı olaylar ile Kurul'un yayımladığı karar özetlerini çapraz okuyarak ortaya çıkan örüntüleri paylaşıyoruz. Amacımız, "şu şirket şu kadar para cezası aldı" gibi bir tabloid bakış değil; aksine Türkiye'deki veri sorumlularının düştüğü tekrar eden hataları, Kurul'un en sık vurguladığı eksikleri ve cezadan kaçınmanın değil, gerçek korumayı kurmanın yolunu göstermek.
KVKK Kurulu Karar Özetleri Neden Var ve Ne Anlatıyor?
6698 sayılı Kanun'un 8. maddesi ve Kurul'un yerleşik içtihadı, şeffaflık ilkesini sadece veri sorumlularına değil, denetleyici otoritenin kendisine de yüklüyor. Bu yüzden Kurul, kamuyu aydınlatmak amacıyla seçtiği kararları özetleyerek yayımlıyor. Bu özetler, vatandaşa "haklarımı nasıl ararım" sorusunun cevabını verirken, veri sorumlularına da "neyi yaparsam Kurul karşıma çıkar" rehberi sunuyor.
Veri ihlali bildirim sayfası ise ayrı bir kaynak; burada ise Kurul, kamuoyunu doğrudan ilgilendiren kitlesel ihlalleri (banka, e-ticaret, telekom, kargo gibi geniş veri tabanı tutan sektörlerden) duyuruyor. İki kaynağı birlikte okuduğunuzda Türkiye'nin veri güvenliği fotoğrafı netleşiyor: ihlaller artıyor, bildirim kalitesi yükseliyor ama temel hatalar şaşırtıcı ölçüde değişmeden tekrarlanıyor.
GDPR Recital 87 ve GDPR Enforcement Tracker ile karşılaştırıldığında Türkiye'nin Avrupa'dan ayrıştığı en belirgin nokta şu: bizde idari para cezası rakamları görece düşük kalsa da Kurul, "yapısal tedbir eksikliği" gerekçesiyle çok daha kişiselleştirilmiş gerekçeler yazıyor. Yani ceza miktarından çok, "neden bu hâle düştünüz" sorusunun cevabı önemli.
Karar özetlerini düzenli okuyan bir okur, Kurul'un dilinin de yıllar içinde dönüştüğünü fark eder. İlk yıllarda formel ve genel ifadelerle yazılan kararlar, son dönemde çok daha somut ve teknik bir lisana büründü. "Şifreleme algoritmasının güncel olmaması", "yedeklerin ana sistemle aynı segmentte tutulması", "yönetici hesabının iki faktörlü doğrulamadan yoksun bırakılması" gibi spesifik bulgular gerekçelere giriyor. Bu, Kurul'un teknik kapasitesinin geliştiğinin göstergesi olduğu kadar, veri sorumlularının savunmasını da yüzeysel söylemden uzaklaşmaya zorluyor. "Biz tüm önlemleri aldık" cümlesi yeterli olmuyor; hangi önlem, ne zaman alındı, kim tarafından doğrulandı sorularına net cevap aranıyor.
Sekiz Ana İhlal Kategorisi: Kurul Karşısına En Sık Hangi Hatalarla Çıkılıyor?
DSET'in 100'ün üzerinde kurumsal müşterisinde yaşananları, Kurul karar özetleriyle birlikte değerlendirdiğimizde sekiz baskın kategori öne çıkıyor. Bunları sırayla ele alalım.
1. Dış Saldırı Kaynaklı Sızıntı
En çok konuşulan ama Kurul karar özetlerinde tek başına en büyük dilim olmayan kategori. Fidye yazılımı, kimlik avı, açık portal istismarı ve tedarikçi zinciri saldırıları bu başlık altında toplanıyor. Kurul, dış saldırı varlığını mazeret saymıyor; "saldırgan vardı" demek tek başına sorumluluğu kaldırmıyor. Aksine Kurul, "saldırı neden başarılı oldu, hangi tedbir alınsaydı engellenirdi" sorusunu net biçimde soruyor. Bu nedenle fidye saldırısı yaşayan müşterilerimize her zaman önerimiz net: ilk 24 saatte hem teknik müdahale hem hukuki bildirim paralel yürütülmeli. Bu konuyu detaylı işlediğimiz Fidye Yazılımı 24 Saat Krizi rehberimizde sürecin saat saat dökümü var.
2. Yetkisiz İç Erişim
Karar özetlerinde tekrar tekrar gördüğümüz örüntü: kurum içindeki bir personelin, görevi gereği erişmemesi gereken verilere ulaşması. "İlişiği kesilen çalışanın hesabının kapatılmaması", "müdür yetkisiyle astının kişisel kayıtlarını sorgulaması", "çağrı merkezi temsilcisinin tanıdığının dosyasına bakması" tarzı vakalar yaygın. Burada Kurul'un en çok sorduğu soru loglama ve yetki matrisi. Erişim kontrolü gevşek olan kurumlar, ihlal gerçekleştiğinde "kim, ne zaman, hangi veriye dokundu" sorusunu cevaplayamadıkları için tedbir eksikliği gerekçesiyle ağır eleştiri alıyor.
3. Fiziki Kayıp ve Yanlış İmha
Sandığınız kadar nadir değil. Kayıp dizüstü bilgisayar, çalınan harici disk, çöpe atılan dolu kâğıt klasör, yanlış şirkete teslim edilen kargo. Karar özetlerinde özellikle sağlık ve hukuk gibi belge yoğun sektörlerde bu kategoriden vaka çıkıyor. Şifreleme ve veri imha politikası eksikliği, neredeyse her zaman Kurul'un parmak bastığı nokta oluyor.
4. Yanlış Alıcıya Paylaşım
E-posta listesinde "Bcc" yerine "To" alanı kullanmaktan, dilekçe yanıtını yanlış vatandaşa göndermeye kadar çok geniş yelpazede vakalar. Tek bir tıklamayla yüzlerce, bazen binlerce kişinin verisi paylaşılabiliyor. Karar özetlerinde sıkça gördüğümüz örüntü: kurum, "tek seferlik insan hatası" diye savunma yapıyor ama Kurul "süreç tasarımınız insan hatasına izin verecek şekilde kurulmuş" diye karşılık veriyor. Çoklu alıcıya gönderim önündeki teknik bariyerin yokluğu yapısal kusur sayılıyor.
5. Yetersiz Teknik ve İdari Tedbir
Bu, Kurul'un kararlarda en sık atıf yaptığı kategori. Aslında diğer yedi kategoriyi de besleyen şemsiye. Güncel olmayan yazılım, varsayılan parolayla bırakılmış sunucu, internete açık veritabanı, ikinci faktör doğrulamasız yönetici paneli, şifrelenmemiş yedek; hepsi bu başlığa giriyor. CISA'nın yayımladığı "bilinen istismar edilmiş açıklar" listesindeki zafiyetlerin Türkiye'deki kurumlarda da hâlâ açık kaldığını sahada görüyoruz. ISO 27001 çerçevesinin pratik uygulamasını anlattığımız yazımız bu eksiği kapatmak isteyen kurumlar için yol haritası niteliğinde.
6. Geç Bildirim
6698 sayılı Kanun ve Kurul kararı, ihlalin öğrenilmesinden itibaren 72 saat içinde Kurul'a bildirim yapılmasını zorunlu kılıyor. Karar özetlerinde, bildirimin günler hatta haftalar sonra yapıldığı vakalar çok sayıda. Gerekçe genellikle aynı: "olayın boyutunu anlamaya çalıştık". Kurul bu mazerete giderek daha az tolerans gösteriyor. 72 saat, "kesin sonuçları öğrenmek" için değil, "öğrendiğimiz kadarıyla bildirimi başlatmak" için verilmiş bir süre. Geç bildirim, ceza takdirinde her zaman ağırlaştırıcı sebep olarak yer alıyor. KVKK ihlal bildirimi prosedürünü adım adım anlattığımız yazıda formu hatasız doldurmanın inceliklerini paylaşıyoruz.
7. Eksik veya Yanıltıcı Aydınlatma
Veri sorumlusunun, veri öznesine "verini hangi amaçla, hangi hukuki sebeple, ne kadar süre işliyorum, nereye aktarıyorum" sorularını ön cevaplaması gerekiyor. Karar özetlerinde, aydınlatma metninin ya hiç yapılmadığı ya da çok genel ifadelerle geçiştirildiği vakalar yaygın. "Pazarlama amacıyla işlenir" demek yetmiyor; hangi tür pazarlama, hangi kanal, hangi süre, hangi ortaklarla paylaşım, hepsi açıkça yazılmalı. Aydınlatma metni iyi yazılmamış bir kurumda, ihlal gerçekleştiğinde Kurul iki ayrı ihlal birden değerlendirebiliyor: hem güvenlik tedbiri eksikliği hem aydınlatma yükümlülüğüne aykırılık.
8. Çocuk Verisi ve Özel Nitelikli Veri Hassasiyeti
Karar özetlerinde son dönemde sıklığı belirgin biçimde artan kategori. Eğitim platformları, sağlık uygulamaları, oyun siteleri ve sosyal medya odaklı vakalar burada toplanıyor. Özel nitelikli kişisel veriler (sağlık, biyometrik, ceza mahkumiyeti, din, sendika gibi) için Kurul'un beklediği güvenlik seviyesi standart kişisel veriden katbekat yüksek. Çocuk verisinde ise "açık rıza" tek başına yeterli olmuyor; veli onayı, yaş doğrulama ve veri minimizasyonu birlikte aranıyor.
Bu sekiz kategori, sahada gözlediğimiz vakaların hemen hepsini kapsayan bir çerçeve sunuyor. Çoğu kez bir vaka birden fazla kategoriye birden düşüyor: dış saldırı yoluyla giren saldırganın iç yetkilerle yatay hareket etmesi, ardından geç bildirim yapılması ve aydınlatma metninin eksikliği gibi. Kurul, bu çoklu ihlal durumlarında her bir başlığı ayrı ayrı değerlendiriyor; toplam etkinin tek bir başlığa indirgenmesine izin vermiyor. Bu yaklaşım, "tek bir ihlali kabul edip diğerlerini görmezden gel" gibi savunma stratejilerini de geçersiz kılıyor.
Sektörel Trend: Hangi Alandan Hangi Hata Geliyor?
Karar özetlerini ve sahada gördüklerimizi birlikte tarttığımızda sektörler arasında belirgin örüntüler ayrışıyor. Bu örüntüler "şu sektör daha kötü" demek için değil, "şu sektörde şu hata daha yaygın" diyebilmek için faydalı.
E-ticaret
Veri tabanı büyüklüğü ile güvenlik olgunluğu arasında derin uçurum bulunan sektör. Tipik örüntü: hızlı büyüme, geç gelen güvenlik yatırımı. Kurul kararlarında e-ticaret kaynaklı vakalarda neredeyse standart hâle gelmiş üç bulgu var: yetersiz parola politikası, üçüncü taraf entegrasyonlarının (kargo, ödeme, pazarlama otomasyonu) veri akışının haritalanmamış olması ve eski müşteri verilerinin saklama süresi dışında tutulmaya devam etmesi. Veri minimizasyonu ilkesi en çok ihlal edilen ilkelerin başında geliyor.
Finans
Düzenlemeye en alışkın sektör olduğu için temel teknik tedbirler genellikle hazır. Buna karşılık Kurul karar özetlerinde finansta öne çıkan örüntü, dış saldırı veya iç erişim ihlalleri sırasında bildirim sürecinin yavaş işlemesi. BDDK, MASAK ve KVKK bildirimlerinin paralel yürütülmesi zorunluluğu, kriz anında akış karmaşasına yol açabiliyor. IR (Olay Müdahale) playbook'unun olmadığı veya tatbik edilmediği kurumlar, doğru tedbirleri bilseler bile sırayı kaçırıyor. Olay müdahale playbook hazırlığını detaylandırdığımız yazı bu boşluğu kapatmak isteyen finans kuruluşları için adım adım yol gösteriyor.
Sağlık
Özel nitelikli veri yoğunluğu nedeniyle her ihlal otomatik olarak yüksek riskli kabul ediliyor. Tipik örüntüler: hastane bilgi yönetim sistemine personelin görev dışı erişimi, fiziki dosya kaybı, eski PACS (görüntüleme) sunucularının zafiyet barındırması, üçüncü taraf laboratuvar entegrasyonlarının yetersiz korunması. Karar özetlerinde sağlık sektöründen çıkan vakaların ortak teması, "veri özel nitelikli olmasına rağmen güvenlik seviyesi standart kişisel veri seviyesinde". Hastane veri kurtarma ve KVKK uyumu yazımızda kritik altyapı yatırımının nereye yapılması gerektiğini ele alıyoruz.
Eğitim
Pandemi sonrası dönemin en hızlı dijitalleşen ve aynı oranda en çok ihlal vakası üreten sektörlerinden biri. Uzaktan eğitim platformları, sınav sistemleri, öğrenci yönetim yazılımları. Karar özetlerinde sıklıkla görülen örüntü: çocuk verisi içeren büyük veri tabanlarında temel tedbir eksikliği. Veli onayı belgelenmemiş, veri akış haritası yapılmamış, yedekler şifresiz tutulmuş.
Telekom
Müşteri kimlik doğrulama süreçlerindeki zayıflıklar ön planda. SIM swap (kart değiştirme) yoluyla hesap ele geçirme vakaları, çağrı merkezinde sosyal mühendislikle bilgi sızdırma, abone veritabanına erişim. Telekom kararlarında Kurul'un en sık vurguladığı husus, kimlik doğrulamada tek faktörün yetersizliği. Müşteri kimliği biyometrik veya çok kanallı doğrulama olmadan onaylanırsa, açığa çıkan veri sadece müşterinin telefon bilgisi değil, bağlı tüm dijital kimliği oluyor.
Kamu ve Yerel Yönetimler
Karar özetlerinde son birkaç yılda görünürlüğü artan bir başka alan kamu kurumları ve belediyeler. Vatandaş hizmet portallarındaki yetkilendirme zafiyetleri, açık veri paylaşımının kişisel veriyi ayrıştırmadan yayınlanması, ihale süreçlerinde başvuru sahiplerinin belgelerinin görünür kalması gibi vakalar burada toplanıyor. Kamu kurumlarının "biz kamu yararı için işliyoruz" savunması Kurul karşısında tek başına geçerli sayılmıyor; kamu yararı sebebinin de yine 6698 sayılı Kanun'un belirlediği usul ve sınırlar içinde uygulanması bekleniyor. Veri minimizasyonu kamu vakalarında en çok ihlal edilen ilkelerin başında geliyor: gerekli olandan fazla bilginin form üzerinde istenmesi, ihtiyaç sona erdikten sonra da tutulmaya devam etmesi yaygın bir desen.
Hukuk ve Avukatlık Büroları
Mesleğin doğası gereği özel nitelikli veri ve mahremiyet yoğun çalışan bir alan. Karar özetlerinde sıkça gördüğümüz örüntü, dava dosyalarının e-postayla şifresiz paylaşımı, vekalet metinlerinin bulut depolama hesaplarında erişim kontrolü olmadan tutulması, eski stajyer veya katipin sisteme erişiminin kesilmemesi. Mesleki sır yükümlülüğü, 6698 sayılı Kanun yükümlülüğüyle çakıştığında Kurul, mesleki sırrın daha sıkı bir koruma gerektirdiği değerlendirmesini yapıyor; daha geniş bir mazeret alanı değil.
2020 Sonrası Evrim: Pandemi ve Yapay Zeka Çağı
2020 öncesi ihlal vakalarına baktığımızda dominant görüntü klasikti: çalınan dizüstü, sızdırılan veritabanı, yetkisiz çalışan. Pandemiyle birlikte üç şey kırıldı.
Birincisi, evden çalışma zorunlu hâle gelince kurumsal cihazlardan çıkıp kişisel ağlardan, kişisel cihazlardan, kişisel bulut hesaplarından geçen veri akışları patlama yaptı. Karar özetlerinde 2020-2022 arası dönemde sayısı artan vaka, "evdeki çalışanın kullandığı kişisel e-posta üzerinden müşteri verisinin paylaşılması" gibi vakalar.
İkincisi, ekonomik baskı altında siber suç ekosistemi profesyonelleşti. Fidye yazılımı artık bir araç değil, hizmet olarak satılan bir model. Karar özetlerinde fidye temalı vakaların ağırlığı belirgin biçimde arttı. Kurul, fidye ödenip ödenmediğinden bağımsız olarak yapısal tedbir sorgulaması yapıyor.
Üçüncüsü, 2023 sonrası yapay zeka tabanlı saldırı araçları kimlik avı (phishing) iletilerinin kalitesini olağanüstü yükseltti. Eskiden imla hatasıyla ele veren sahte e-postaların yerini, gerçeğinden ayırt edilmesi neredeyse imkânsız iletiler aldı. Türkçe gramerli, kurum içi jargonu öğrenmiş, hedef kişinin sosyal medyasından beslenmiş mesajlar. Karar özetlerinde 2024 sonrası vakaların önemli bir kısmının başlangıç vektörü tam da bu tür sosyal mühendislik. IBM'in yıllık veri ihlali maliyet raporu, küresel ölçekte de ihlal başına süre ve maliyetin yapay zeka destekli saldırılarla arttığını gösteriyor.
Bu üç kırılmanın ortak sonucu şu: 2020 öncesi yaklaşımıyla kurulan güvenlik mimarileri, 2025'in tehdit ortamında yeterli koruma sağlamıyor. Eski varsayım, "kurumsal ağın dışı tehlikeli, içi güvenli" idi. Bugün ise sıfır güven (zero trust) yaklaşımı zorunluluk hâline geldi: her erişim, ister içeriden ister dışarıdan olsun, her seferinde doğrulanmalı. Kurul kararlarında doğrudan "sıfır güven" terimi geçmese de gerekçelerdeki içerik tam olarak bu yaklaşımı tarif ediyor. Yetkilendirme matrisini iç ve dış ayrımına göre değil, kullanıcı, cihaz, oturum ve veri kategorisi bazında kuran kurumlar Kurul karşısında çok daha güçlü duruyor.
Pandemi sonrası bir başka önemli gelişme, uzaktan çalışmanın kalıcılaşmasıyla birlikte kurumsal verinin "kişisel cihaza taşınması" sorunu. Çalışanın kendi telefonundan kurumsal e-postaya bakması, kendi dizüstüsünden müşteri dosyasını açması, ev wi-fi'sından dosya paylaşması artık olağan. Bu durum, ihlal anında "veri tam olarak hangi cihazda?" sorusuna cevap vermeyi güçleştiriyor. Mobil cihaz yönetimi (MDM), şifrelenmiş kurumsal konteyner, uzaktan silme yetkisi gibi araçların yokluğunda Kurul, kurum sınırını net çizemeyen yapıları yapısal eksiklik olarak görüyor.
Kurul Cezada Neye Bakıyor: Altı Faktörlü Değerlendirme
Karar özetlerini dikkatle okuduğunuzda Kurul'un takdir hakkını kullanırken görece tutarlı altı faktöre baktığı görülüyor. Bu faktörleri net biçimde anlamak, hem ihlal sonrası savunma stratejisi kurarken hem de ihlalden önce risk değerlendirmesi yaparken yol gösterici.
1. İhlalin niteliği ve etkilediği kişi sayısı. Bir kişiyi etkileyen aydınlatma eksikliği ile yüz binlerce kişinin verisinin internete açık sunucuda durması aynı tartıya konulmuyor.
2. Verinin türü. Özel nitelikli veri, çocuk verisi, finansal veri, sağlık verisi gibi kategoriler ağırlaştırıcı.
3. Tedbir alma çabası. İhlal anında "ne kadar tedbir alınmıştı" sorusu kadar "alınan tedbir o tarihteki teknolojik standartlarla orantılı mıydı" sorusu da soruluyor. Beş yıl önceki standartla bugün ölçüm yapan kurumlar zayıf çıkıyor.
4. Bildirim hızı ve şeffaflığı. 72 saatlik süreye uyum, veri öznelerinin bilgilendirilmesi, Kurul'a verilen bilginin tam ve doğru olması. Eksik bilgi verip sonradan düzeltmeye çalışmak ağırlaştırıcı sayılıyor.
5. Tekrar eden ihlal durumu. Aynı kurumda, aynı veya benzer ihlalin tekrarlanması özellikle ağır değerlendiriliyor. İlk ihlal sonrası alındığı bildirilen tedbirlerin uygulanmadığı anlaşılırsa, savunma neredeyse tamamen çöküyor.
6. İyi niyet göstergeleri. Kurum, bağımsız adli bilişim incelemesi başlattı mı, etkilenen kişilere ne sağladı, sektör paylaşımı yaptı mı, içsel disiplin süreci işletti mi. Bu sorulara olumlu yanıtlar lehe değerlendirme sağlıyor. Adli bilişim sürecinin baştan sona anlatıldığı pillar yazımızda bu konunun teknik tarafını derinleştiriyoruz.
Bu altı faktör birbirinden bağımsız değil; biri diğerini güçlendirebilir ya da zayıflatabilir. Örneğin verinin türü çok hassas olduğunda (sağlık verisi gibi) ama kurum bildirim hızında örnek davranmış ve bağımsız denetim raporu sunmuşsa, Kurul yaptırım kategorisinde ölçülü bir yaklaşım sergileyebiliyor. Tersine, etkilenen kişi sayısı görece az olsa bile aynı kurumda benzer ihlalin daha önce yaşandığı görülüyorsa, tekerrür ağırlaştırıcı olarak öne çıkıyor. Bu çoklu değişken yapı, "ceza tahmini" yapmayı zorlaştırırken doğru savunmanın kim, ne yaptı, ne zaman yaptı, neden yaptı sorularına dürüst ve belgeli cevaplar üretmek olduğunu gösteriyor.
Kurul Karşısında "Kasıt Yok, İyi Niyetli" Pozisyonu Kurmak: Yedi Pratik Öneri
Hiçbir kurum "ben ihlal yaşayacağım" diye yola çıkmaz. Ama Kurul karşısına çıkıldığında, ihlalden önce alınmış bilinçli tedbirler ile ihlalden sonra gösterilen tutum, ceza takdirini doğrudan etkiliyor. DSET'in saha deneyimine dayanan yedi öneri.
Öneri 1: Veri envanteriniz, kâğıt üstünde değil, uygulamada yaşıyor olmalı. VERBİS kaydı zorunluluğun yasal yüzü; gerçek envanter ise hangi sistemde, hangi veri kategorisinin, hangi amaçla, ne kadar süre tutulduğunu güncel biçimde gösteren canlı belgedir. Sahada gördüğümüz en yaygın hata, VERBİS kaydının üç yıl önce yapılıp güncellenmemiş olması. Kurul, "kendi sisteminizi tanımıyorsunuz" gerekçesini sorgu sırasında çok sert kullanıyor.
Öneri 2: Erişim ilkesi varsayılan olarak "kapalı" olmalı. Her çalışan, görevini yapması için hangi veriye ihtiyaç duyuyorsa o veriye, o kadar süre, o kadar yetkiyle erişebilmeli. Tüm personele "her şeyi okuyabilir" yetkisi tanımak Kurul karşısında savunulamaz. Rol bazlı erişim kontrolü ve düzenli yetki gözden geçirme süreci kurumsal bir disiplin olmalı.
Öneri 3: Loglama hem teknik hem hukuki silah. Hangi kullanıcı, hangi veriye, hangi tarihte, hangi IP'den eriştiğini gösteremeyen kurum, ihlali ne çözebilir ne de Kurul'a açıklayabilir. Logların kendisi kişisel veri olduğu için saklama süresi ve erişim kontrolü ayrıca politikaya bağlanmalı.
Öneri 4: 72 saatlik sayaç, ihlali "kesin biliyorum" dediğinizde değil, "olabilir" dediğinizde başlar. Kurul kararlarında, "biz şüphelendik ama emin olmaya çalışıyorduk" mazereti giderek geçersiz sayılıyor. Şüphenin ortaya çıkmasından itibaren kuruma içi olay yönetim sürecinin başlatılması ve 72 saat içinde ön bildirimin yapılması beklenir.
Öneri 5: Aydınlatma metni canlı bir belge olmalı. Her yeni amaç, her yeni veri kategorisi, her yeni paylaşımcı için güncellenmeli. Genel ve şişirilmiş ifadeler yerine somut amaç, somut kategori, somut süre yazılmalı. Aynı metni beş yıldır kullanan kurumlar Kurul karşısında risk altındadır.
Öneri 6: İhlal anında hukuk, teknik ve iletişim ekiplerini tek masada toplayın. Ayrı koordinasyonlar bilgi kaybına yol açıyor. Olay müdahale planınız (IR playbook) bu üç ayağı önceden tanımlamış olmalı. Bağımsız adli bilişim desteği almanın hem teknik kanıt değeri hem de Kurul karşısında objektiflik göstergesi olarak değeri büyük. Avukat ofisleri için özel olarak hazırladığımız KVKK yol haritamız hukuk profesyonelleri için bu konuda spesifik bir kaynak.
Öneri 7: İhlal sonrası kapanış değil, dönüşüm. Kurul'un en olumlu değerlendirdiği vakalar, "olay yaşandı, bağımsız denetim yaptırdık, eksik bulunan noktalarda yapısal yatırım yaptık, çalışan eğitimi düzenli hâle getirdik" diyebilen kurumlar. Olay sonrası raporlar Kurul'a sunulmalı ve ileride aynı tip ihlalin tekrarlanmadığını gösteren ölçütler izlenmeli. İhlal sonrası kurum içinde "neyi değiştirdik" sorusuna yazılı cevap üretmek, bir sonraki denetimde elinizdeki en güçlü belge olacaktır.
Bu yedi önerinin ortak paydası şu: ihlal kaçınılmaz olabilir, ama hazırlıksız yakalanmak bir tercihtir. Kurul karar özetlerinde "iyi niyetli ama hazırlıksız" kurum ile "iyi niyetli ve hazırlıklı" kurumun değerlendirilmesi arasında belirgin fark var. Hazırlık, slayt eğitimi ile değil, gerçek tatbikat ve belgeli süreç ile sağlanıyor.
DSET'in 100+ Vakadan Çıkardığı Pratik Desenler
Saha deneyimimizden derlediğimiz, karar özetleriyle de örtüşen bazı pratik desenleri paylaşmak gerekirse:
Olayların büyük çoğunluğu cuma akşamı ya da resmi tatil öncesi başlıyor. Saldırganlar, kurum tatildeyken müdahalenin yavaş olacağını biliyor. Bu yüzden hafta sonu nöbet sistemi sadece BT için değil, hukuk ve yönetim için de planlanmalı.
Çoğu kurum, ilk bildirim formunda gereğinden fazla detay açıklayıp sonradan düzeltmeye çalışıyor. Doğru yaklaşım: bilinen kadarıyla bildir, soruşturmanın devam ettiğini belirt, ek bilgileri ek bildirimle paylaş.
Çalışan farkındalığı tek seferlik eğitimle kalıcı olmuyor. Yılda en az iki kere oltalama simülasyonu yapan kurumlarda gerçek vaka oranı belirgin biçimde düşüyor. Eğitim, slayttan ibaret değil; saha tatbikatı olmalı.
Yedeklerin şifrelenmemiş olması, fidye saldırısında felakete dönüşen en yaygın hata. Yedek varsa kurum direnir; yedek de şifrelenmişse fidye dışında çıkış kalmaz. Hâlâ yedeklerini şifresiz tutan, hatta üretim ağıyla aynı segmentte saklayan kurumlar var.
Tedarikçi zinciri ihlalleri, kurumun kendi güvenliğinden bağımsız olarak ihlale uğramasına yol açıyor. Sözleşmelere veri işleyen sıfatıyla yükümlülük maddeleri eklemek hukuki kalkan oluşturur ama Kurul, sözleşme metninden çok pratik denetim göstergesi arıyor. Tedarikçinizi yılda en az bir kere denetlediğinizin belgesi olmalı.
Çocuk verisi içeren herhangi bir sistem (eğitim, oyun, sağlık takip uygulaması), Kurul tarafından otomatik yüksek risk kategorisinde değerlendiriliyor. Bu sistemlerin tasarımı, yetişkin verisi sistemlerinden farklı bir disiplinle yapılmalı.
Son olarak, KVKK uyum çalışması sadece ceza riskinden kaçınmak için değil, kurumun veri yönetim olgunluğunu artırmak için yapılır. Kurul karar özetlerini düzenli okuyan bir veri sorumlusu, sektörünün hatalarından öğrenir ve aynı kapana düşmez. Genel KVKK uyum sürecini A'dan Z'ye anlattığımız pillar yazımız bu yolculuğun başlangıç noktası olabilir.
Bir başka tekrar eden örüntü: yönetim kurulu seviyesinde veri koruma sorumluluğunun açıkça atanmamış olması. Çoğu kurumda KVKK işlerini "BT departmanı yapsın" ya da "hukukçu bakar" yaklaşımı egemen. Oysa Kurul, ihlal sonrası sorgu sırasında "kim sorumlu, kim karar verdi, kim onayladı" sorularını yönelttiğinde, sorumluluğun tek bir kişide toplanmadığını gören kurumlar zayıf çıkıyor. Veri koruma sorumlusu (DPO) ataması yapan, görev tanımını açık yazan, raporlama hattını üst yönetime bağlayan kurumlar denetim karşısında belirgin biçimde daha güçlü pozisyonda.
Sahada gördüğümüz başka bir desen, kurumların "biz küçüğüz, hedef değiliz" varsayımı. KOBİ ölçeğindeki kurumlar bile, müşteri veritabanı büyüklüğü nedeniyle saldırgan radarında. Otomatik saldırı araçları, hedefi insan değil makine seçiyor; internete açık her zafiyet aday hâline gelebiliyor. "Bizim kadar küçüğü kim hackler" yaklaşımı, en yaygın yanılgılardan biri olmaya devam ediyor.
Çalışan ayrılma süreçleri, sahada en zayıf işleyen alanlardan biri. İşten ayrılan personelin e-posta hesabı, VPN erişimi, ortak sürücü yetkisi, dış SaaS uygulamalarına bağlı tek imza (SSO) hesapları aynı gün kapatılmalı. Karar özetlerinde "ilişiği kesilen çalışanın aylar sonra hâlâ erişim sağladığı" vakalar nadir değil. İşten ayrılma kontrol listesi, BT ve İK ortaklığında titizlikle yürütülmesi gereken bir süreç.
Veri saklama süresi, çoğu kurumda hiç düşünülmemiş bir konu. "Belki ileride lazım olur" mantığı, veri minimizasyonu ilkesini açıkça ihlal ediyor. Karar özetlerinde, ihlal anında çalınan verinin önemli bölümünün aslında zaten silinmiş olması gereken eski kayıtlar olduğu vakalar var. Saklama politikasının kâğıt üzerinde değil, otomatik silme mekanizmalarıyla hayata geçmesi gerekiyor. Bu hem ceza riskini azaltıyor hem de gerçek bir veri minimizasyonu sağlıyor.
Karar Özetlerini Aktif Bir Eğitim Kaynağı Olarak Kullanmak
Karar özetlerini sadece "ihlal yaşadık, ne olur ne olmaz" anında değil, düzenli iç eğitim malzemesi olarak kullanmak en sağlıklı yaklaşım. DSET olarak danışmanlık verdiğimiz kurumlarda her ay yayımlanan yeni karar özetlerini bir araya getirip kısa bir bülten hâline getirmeyi öneriyoruz. BT, hukuk ve operasyon ekibinden birer temsilcinin katıldığı kısa bir aylık değerlendirme toplantısında, "bu vaka bizde olsaydı ne olurdu?" sorusu üzerinden tartışılıyor. Bu egzersiz, soyut bir mevzuat metnini somut bir kurumsal refleksle birleştiriyor.
Karar özetlerinde dikkat edilmesi gereken bir başka detay, Kurul'un kararı verirken atıf yaptığı önceki kararlar ve rehber belgeler. Kurul, kararlarını boşlukta değil, kendi yarattığı içtihat zinciri içinde veriyor. Bir kararı okurken yapılan atıflara da bakmak, Kurul'un genel yaklaşımını anlamak için faydalı. Örneğin tek bir karar özetinde geçen "Kişisel Veri Güvenliği Rehberi" atfını takip ettiğinizde, Kurul'un teknik tedbirler konusunda kapsamlı bir rehber zaten yayımlamış olduğunu görüyorsunuz. Veri sorumlusunun bu rehberden habersiz olduğunu söylemesi savunma değil, ek bir kusur kabul ediliyor.
Son bir hatırlatma, GDPR Enforcement Tracker üzerinden Avrupa kararlarını da paralel okumak Türkiye'deki yaklaşımı kıyaslayarak görmenizi sağlıyor. Pek çok temel ilke (aydınlatma, veri minimizasyonu, açık rıza, veri ihlali bildirimi süresi) iki rejimde de benzer şekilde işliyor. Avrupa'da yaşanan büyük ölçekli ihlallerden öğrenilen dersler, Türkiye'de aynı hatayı yapmadan önce kapatma fırsatı sunuyor.
Sonuç: Şeffaflık Hem Yasal Yükümlülük Hem Stratejik Tercih
KVKK Kurulu'nun karar özetleri yayımlama pratiği, Türkiye'nin veri koruma kültürünü olgunlaştıran en kıymetli araçlardan biri. Bu özetler, hiçbir şirket adı, hiçbir dosya numarası ifşa edilmeden bile bir kurumun nerede hata yaptığını, Kurul'un ne beklediğini ve veri sorumlularının nasıl bir disiplinle çalışması gerektiğini öğreten canlı bir eğitim kaynağı.
2020-2025 dönemini birlikte okuduğumuzda gördüğümüz şu: ihlal türleri yenilense de temel hataların aynı kaldığı, yapısal tedbirlerin eksikliğinin her ihlalin altında çıktığı, hızlı ve dürüst bildirimin ceza takdirinde belirleyici olduğu bir tablo var. Kurumlar, ihlalden sonra koşmak yerine ihlalden önce yürümeyi tercih etmeli.
DSET olarak Hacettepe Teknokent Ankara'da konumlanan ekibimizle, kurumunuzun veri koruma olgunluğunu kapsamlı analiz eden KVKK uyum danışmanlığı, sızıntı ve ihlal anlarında 72 saat ihlal refakati ve bağımsız adli bilişim incelemesi hizmetlerini sunuyoruz. Tedavi yerine korumayı, panik yerine hazırlığı tercih eden kurumlara eşlik ediyoruz. Hem ihlalden önce yapısal sağlamlığı kurmak hem de ihlal anında hukuki ve teknik koordinasyonu hatasız yürütmek için ekibimize +90 536 662 38 09 numarasından ulaşabilirsiniz. Kurul karar özetlerinden ders çıkarmak isteyen kurumlar için ilk değerlendirme görüşmemiz ücretsizdir.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.