KVKK Veri İhlali Bildirimi: 72 Saat İçinde Ne Yapmalı
6698 sayılı KVKK md. 12/5 → veri sorumlusu ihlal halinde en geç 72 saat içinde Kurul'a bildirim yapmak zorunda. Sayaç ihlalin 'öğrenildiği' andan başlar. Form 8 bölüm, eksik bilgilerle açılabilir, sonradan güncellenir. Geç bildirim ceza tabanını yükseltir.
KVKK Veri İhlali Bildirimi: 72 Saat İçinde Ne Yapmalı, Form Nasıl Doldurulur
TL;DR: 6698 sayılı Kişisel Verilerin Korunması Kanunu madde 12/5, veri sorumlusunun ihlal halinde en kısa sürede ve en geç 72 saat içinde KVKK Veri İhlali Bildirim Sistemi üzerinden Kurul'a bildirim yapmasını şart koşar. Sayaç ihlalin "öğrenildiği" andan başlar, hafta sonu istisnası yoktur. Form eksik kalsa bile zamanında verilmesi şart, sonradan güncellenebilir. Geç bildirim idari para cezası riskini ciddi şekilde büyütür.
İhlal nedir, hangi durum bildirilir?
KVKK madde 12, veri sorumlusunu kişisel verilerin "hukuka aykırı işlenmesini" ve "yetkisiz erişimi" önlemekle yükümlü kılar. Aynı maddenin 5. fıkrası ise işlenen verilerin başkaları tarafından ele geçirilmesi durumunda bildirim zorunluluğunu düzenler.
Pratikte bildirime konu olan dört tip olay vardır:
- Sızıntı (data leak) · Veritabanı bir forumda yayınlandı, yedek dosyası açık S3 bucket'tan indirildi, çalışan kasıtlı dışarı çıkardı.
- Kayıp · Şifrelenmemiş dizüstü çalındı, USB unutuldu, yedek tape kayıp.
- Yetkisiz erişim · SQL injection ile DB tablo çekildi, çalınan kimlik bilgisi ile panel açıldı, eski çalışan VPN'i hâlâ aktif.
- Ransomware şifreleme · Fidye yazılım veriyi şifreledi · bu olayda sızıntı kanıtı bulunmasa bile çift yönlü fidye (double-extortion) varsayımı ile bildirim önerilir.
KVKK Kurul'unun yerleşik yaklaşımı şudur: "makul şüphe" yeterlidir, kesinlik beklenmez. Yani SIEM'inizden anomali alarmı geldi, log analizi sürüyor, henüz kanıt yok ama belirti güçlü · sayaç çoktan başlamıştır.
72 saat sayacı nasıl başlar?
Sayaç "ihlalin öğrenildiği" anda başlar. Bu, ihlalin gerçekleştiği an değildir. Saldırgan haftalardır içeride olabilir, sayaç sizin makul şekilde fark ettiğiniz anda işler.
Örnek senaryo: Pazartesi sabahı 09:15'te SOC ekibiniz olağan dışı dışa veri transferi alarmı aldı, ilk teyit 11:00'da geldi. Sayaç 11:00'da başlar, Perşembe sabahı 11:00'a kadar bildirim verilmelidir.
Kritik noktalar:
- Hafta sonu, resmi tatil istisnası yoktur. Cuma akşamı 17:00'de fark ettiyseniz Pazartesi akşam 17:00 son.
- Adli bilişim raporunu beklemek geçerli mazeret değildir. Form eksik bilgilerle açılır, ardından güncellenir.
- Saatlik fark önemlidir. KVKK Kurulu örnek kararlarında 72 saati aşan bildirimleri "geç" sayar ve ceza tabanını yükseltir.
Bu sayacın işleyişi, Adli Bilişim Süreci 2026 yazısında detaylı incelediğimiz delil zinciri ve müdahale akışıyla doğrudan bağlantılıdır · ilk saatlerin kötü yönetimi hem bildirimi hem ceza dosyasını olumsuz etkiler.
Adım adım bildirim süreci
- Olay tespiti ve onay · SOC veya BT ekibi şüpheyi teyit eder, zaman damgalı kayıt açılır.
- Adli bilişim ekibi çağrılır · İç ekip veya dış uzman, paralel olarak imaj alma ve uçucu kanıt toplama başlatır.
- Kapsam belirleme paralel yürür · Hangi sistem, hangi tablo, hangi tarih aralığı, hangi veri kategorisi etkilendi · ilk taslak 24 saat içinde hazır olmalı.
- KVKK formu doldurulur · Eksik alanlar "henüz bilinmiyor, güncellenecek" notu ile geçilir, Kurul bu yaklaşımı kabul eder.
- İlgili kişilere duyuru hazırlığı · Madde 12/5 gereği, yüksek riskli durumlarda veri sahipleri ayrıca bilgilendirilir.
Ransomware özelinde ilk 24 saatin daha sıkı bir aksiyon planı için Fidye yazılım sonrası ilk 24 saat yazısında izolasyon, fidye müzakeresi ve USOM bildirimini detaylandırdık.
Bildirim formu adım adım
KVKK Veri İhlali Bildirim Sistemi üzerinden açılan form, sekiz ana bölümden oluşur. Her bölümün pratik açıklamasını aşağıda bulacaksınız.
Bölüm 1: Veri sorumlusu kimlik bilgileri
Ticari unvan, vergi numarası, VERBİS sicil numarası, açık adres ve iletişim noktası girilir. İletişim noktası ya atanmış veri koruma görevlisi (DPO) ya da hukuk müşaviridir. Şirket sahibinin doğrudan numarası yerine kurumsal bir kanal verin · Kurul'un dönüş yapacağı kişi 72 saat boyunca ulaşılabilir olmalıdır.
Bölüm 2: İhlalin niteliği
Sızıntı, kayıp, yetkisiz erişim ya da kombinasyon işaretlenir. Saldırı vektörü serbest metin alanında özetlenir: "Public-facing web uygulamasında SQL injection yoluyla müşteri tablosuna erişim", "Çalışan dizüstüsünün çalınması, disk şifrelemesi yok" gibi.
Bölüm 3: Etkilenen veri kategorileri
Kimlik (ad-soyad, TCKN, doğum tarihi), iletişim (e-posta, telefon, adres), finans (IBAN, kart bilgisi · kart bilgisi tokenize değilse özellikle belirtilmeli), sağlık ve genetik gibi özel nitelikli veriler, biyometrik veri, çocuk verisi · her kategori ayrı kutucuk. Özel nitelikli veri varsa Kurul'un yaklaşımı çok daha sıkıdır.
Bölüm 4: Etkilenen kişi sayısı
Kesin sayı belli değilse aralık girin: "Tahmini 50.000 ila 80.000 kayıt". Daha sonra adli bilişim raporu kesinleşince güncellenebilir. "Bilinmiyor" yazmak yerine en azından üst sınır tahmini verilmesi tavsiye edilir.
Bölüm 5: Olası sonuçlar
Veri sahibinin karşılaşabileceği maddi ve manevi zarar riskleri sıralanır: phishing kampanyalarına hedeflenme, kimlik hırsızlığı, sahte kredi başvurusu, sosyal mühendislik, itibar kaybı. Bu bölüm, ilgili kişilere ayrıca duyuru yapma yükümlülüğünüzü Kurul'un değerlendirmesinde belirleyicidir.
Bölüm 6: Alınan ve alınacak önlemler
Anlık aksiyonlar: etkilenen sistemin kapatılması, tüm yönetici parolalarının döndürülmesi, çok faktörlü kimlik doğrulamanın zorunlu kılınması, sızdırılan oturumların geçersiz kılınması, ağ segmentasyonu. Orta vadeli aksiyonlar: WAF kuralı, kod gözden geçirme, log retansiyon süresinin uzatılması, çalışan farkındalık eğitimi.
Bölüm 7: Adli bilişim raporu
ISO 27037 uyumlu rapor varsa form ekine yüklenir. Hazır değilse "rapor hazırlanmaktadır, X tarihinde Kurul'a iletilecektir" notu eklenir. Adli bilişim raporu olan bildirimler daha güvenilir bulunur, bu konuyu Adli Bilişim Süreci 2026 pillar yazısında detaylı işledik.
Bölüm 8: Onay ve gönderi
Yetkili imzası ve KEP üzerinden onay. Sistem otomatik referans numarası verir · bu numara sonraki güncellemeler için kritiktir.
İlgili kişilere duyuru nasıl yapılır?
KVKK madde 12/5, "yüksek risk" taşıyan durumlarda veri sahibinin doğrudan bilgilendirilmesini şart koşar. Yöntem: e-posta, SMS, kayıtlı adres üzerinden mektup, kullanıcı paneli içi bildirim ve gerekirse basın açıklaması.
Duyuru içeriği dört temel başlığı kapsamalıdır:
- Ne oldu? Saldırı tipi ve tarih aralığı.
- Hangi veriler etkilendi? Hangi kategoriler, hangi kayıt sayısı.
- Veri sahibi ne yapmalı? Parola sıfırla, hesap hareketlerini izle, şüpheli e-postaya tıklama.
- Nereye başvurabilir? Şirket içi destek kanalı, KVKK Kurulu başvuru hattı, ücretsiz kredi izleme servisi gibi destekler.
Bu duyurunun yapılmaması, yüksek riskli ihlallerde idari para cezasını ağırlaştıran ayrı bir ihlal olarak değerlendirilebilir.
Yaygın bildirim hataları
KVKK Kurulu'nun yayınladığı karar özetlerinde sık tekrar eden hatalar şöyle özetlenir:
- Süreyi geçirme · "Adli bilişim raporu bekliyorduk" mazereti kabul görmüyor.
- Kapsamı yetersiz tanımlama · Etkilenen kişi sayısının 10 kat eksik bildirildiği vakalarda Kurul ek soruşturma açıyor.
- Adli bilişim raporsuz bildirim ve hiç sonradan ekleme yapmama · Bildirim açık ama dosya hep eksik.
- İlgili kişiye duyurunun ihmali · Sadece Kurul'a bildirip veri sahiplerini bilgilendirmeme.
- Sonraki güncellemelerde tutarsız bilgi · İlk bildirimde 5.000 kişi, sonra 50.000 ama açıklama yok · Kurul güven kaybı yaşıyor.
İhmalin sonuçları
KVKK madde 18, veri güvenliği yükümlülüğüne aykırılıkta milyon TL mertebesinde idari para cezası öngörür. Tutar her yıl yeniden değerleme oranıyla güncellenir, güncel rakam için kvkk.gov.tr ceza tebliğleri sayfası baz alınmalıdır.
Para cezasının ötesinde üç ek risk söz konusudur:
- İlgili kişi tazminat davası · Madde 14 kapsamında genel hükümlere göre maddi ve manevi tazminat.
- İtibar zararı · Bildirimin medyaya yansıması, müşteri kaybı.
- Tedarikçi sözleşme yükümlülükleri · B2B müşterilerinizin sözleşmesindeki "ihlal halinde 24 saat içinde bilgilendir" maddesi · KVKK'dan ayrı bir hukuki süreç.
KVKK Kurulu örnek kararları
KVKK web sitesi "Karar Özetleri" bölümünde yayınlanan ihlal bildirim kararları, şirket adı verilmeden incelendiğinde tekrarlayan örüntüler görülür: e-ticaret platformlarında SQL injection, finans sektöründe yetkisiz erişim, sağlık sektöründe özel nitelikli veri sızıntısı, telekom sektöründe üçüncü taraf tedarikçi ihlali.
Kararların ortak mesajı şudur: zamanında bildirim, eksiksiz kapsam ve teknik önlem belgelemesi olan veri sorumluları cezanın alt bandında kalır · bunların biri eksikse üst banda doğru çıkış başlar.
VERBİS kaydı ile ihlal bildirimi farkı
İki yükümlülük sıkça karıştırılır:
- VERBİS önleyici nitelikte bir envanterdir · veri sorumlusu, hangi veriyi hangi amaçla işlediğini, hangi süreyle sakladığını, kiminle paylaştığını önceden kayıt altına alır.
- İhlal bildirimi ise reaktif bir yükümlülüktür · olay gerçekleştikten sonra 72 saat içinde yapılır.
İkisi farklı süreçlerdir ama birbirini destekler. VERBİS kaydı düzgün olan bir kurum, ihlal anında "hangi sistemde ne tür veri vardı" sorusunu dakikalar içinde yanıtlar. VERBİS'i ihmal eden kurum ise bildirim formunu doldururken bile kaybeder.
GDPR ile ortak ve farklı yönler
GDPR Recital 87 ve madde 33-34, KVKK ile aynı 72 saat ilkesini benimser. Temel ortaklıklar: süre, içerik, ilgili kişiye duyuru zorunluluğu.
Farklılıklar:
- GDPR'da denetim otoritesi her üye devletin kendi DPA'sıdır · Türkiye merkezli bir kurum AB vatandaşı verisi işliyorsa hem KVKK Kuruluna hem ilgili AB DPA'sına bildirim yapar.
- GDPR maksimum cezası global yıllık cironun yüzde 4'üne kadar çıkar.
- KVKK, ceza bandını sabit TL aralığında tutar ancak özel nitelikli veri ihlalinde üst banda hızla çıkar.
AB vatandaşı veri işleyen Türk şirketleri için çifte yükümlülük gerçektir · bildirim metninin İngilizce versiyonu da hazırlanmalıdır.
Adli bilişim raporu neden kritik?
Adli bilişim raporu, bildirimin omurgasıdır. Üç soruyu kanıta dayalı yanıtlar:
- Kapsam · Hangi tablo, hangi kayıt sayısı, hangi alan etkilendi.
- Zaman · Saldırı ne zaman başladı, ne zaman tespit edildi, exfiltration ne zaman gerçekleşti.
- Vektör · Hangi açıktan girildi, hangi araç kullanıldı, lateral movement var mı.
KVKK Kurulu, adli rapor sunan bildirimleri daha güvenilir kabul eder, ceza miktarı belirgin şekilde düşer. Ayrıca olası tazminat davalarında ve cezai soruşturmada mahkemenin talep edeceği temel belge bu rapordur · bu yüzden ISO 27037 uyumlu zincir bütünlüğüne sahip olması şarttır. Detayları Adli Bilişim Süreci 2026 yazısında bulabilirsiniz.
SSS
Şüphe var ama kesin değil, yine de bildirmeli miyim?
Makul şüphe yeterlidir. Kesinliği beklemek 72 saati kaybetmeye neden olur. Form eksik bilgilerle açılır, sonradan güncellenir.
72 saati kaçırdım, ne olur?
Gecikme idari para cezası tabanını yükseltir. Gecikmenin nedeni (örneğin saldırının uzun süre tespit edilememesi) ek bir gerekçe yazısıyla açıklanmalı, kabahatler hukuku ilkeleri çerçevesinde savunma hazırlanmalıdır.
Yurt dışı sunucusundan veri sızdı, KVKK kapsamına girer mi?
Veri sorumlusu Türkiye'de yerleşik veya Türkiye'de yerleşik kişilerin verisini işliyorsa, sunucu yurt dışında olsa bile KVKK yükümlülüğü devam eder. AB vatandaşı verisi varsa GDPR de devreye girer.
Çalışan kasıtlı sızdırdı, ihlal sayılır mı?
Evet. Yetkisiz erişim ya da kötüye kullanım kategorisindedir. Çalışanın aksiyonu suç teşkil edebilir ama veri sorumlusunun bildirim ve ilgili kişiye duyuru yükümlülüğü devam eder.
Ransomware sadece şifreleme yaptı, sızıntı yok, bildirmeli miyim?
KVKK Kurulu, modern fidye yazılım gruplarının hemen her vakada veriyi de çaldığını (double extortion) varsayar. Sızıntı kanıtınız olmasa bile bildirim güvenli yaklaşımdır.
İlgili kişilere duyuru zorunluluğu hangi durumda?
"Yüksek risk" durumunda. Özel nitelikli veri, finans verisi, çocuk verisi, geniş kapsamlı kimlik bilgisi sızıntısı doğrudan yüksek risk sayılır.
KVKK uyum danışmanlığı maliyeti ne kadar?
Şirket büyüklüğü, veri kategorisi, sektör ve kapsamına göre değişir. DSET, ön tespit görüşmesi sonrası özel teklif sunar.
DSET ile çalışmak
DSET olarak üç hizmeti tek elden veriyoruz: KVKK uyum danışmanlığı (VERBİS kaydı, politika, eğitim), adli bilişim (ISO 27037 uyumlu imaj, rapor, mahkeme süreci) ve ihlal anı 72 saat refakati (form doldurma, ilgili kişi duyurusu, Kurul yazışması).
Önleyici tarafı Adli Bilişim Süreci 2026 yazısında, anlık müdahale tarafını Fidye yazılım sonrası ilk 24 saat yazısında bulabilirsiniz.
Hacettepe Teknokent Ankara · +90 536 662 38 09 · KVKK uyum ve ihlal bildirim danışmanlığı için bize ulaşın. 72 saat sayacınız başladıysa ilk arama bile kaybedilen zamanı geri kazandırır.
Kaynaklar: KVKK · KVKK Veri İhlali Bildirim Sistemi · 6698 sayılı KVKK · GDPR Recital 87 · VERBİS · USOM.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.