KVKK Kurulu idari para cezaları 2026 yeniden değerleme sonrası yaklaşık 50.000 TL ile 9.5 milyon TL arasındadır. Ceza alt ve üst sınırı; ihlalin niteliği, etkilenen kişi sayısı, alınan teknik tedbir düzeyi ve veri sorumlusunun cirosu gibi faktörlere göre belirlenir. 72 saat içinde Kurul bildirimi zorunludur.

TL;DR

  • KVKK Kanunu 18. madde kapsamında 2026 yeniden değerleme oranı uygulanmış idari para cezası bandı: yaklaşık 50.000 TL - 9.500.000 TL.
  • Veri güvenliği yükümlülüğü ihlali en sık cezaya konu olan başlık.
  • Veri ihlali bildirim süresi: 72 saat (KVKK 2019/271 kararı).
  • Yurt dışı emsal kararlar: Facebook 2019/144 (1.6 milyon TL), Marriott 2020/173 (1.45 milyon TL).
  • Cezayı belirleyen 5 ana faktör: etkilenen kişi sayısı, veri kategorisi, alınan tedbir, kusur derecesi, ciro.

Detaylı cevap

2026 ceza bandı (yeniden değerleme oranı sonrası)

KVKK 18. madde ceza tutarları Vergi Usul Kanunu mükerrer 298. madde uyarınca her yıl yeniden değerleme oranıyla artırılır. 2026 yılı uygulamasında bantlar aşağıdaki gibidir.

İhlal türü KVKK madde 2026 ceza bandı (yaklaşık TL)
Aydınlatma yükümlülüğüne aykırılık 10 50.000 - 1.000.000
Veri güvenliği yükümlülüğünün ihlali 12 150.000 - 9.500.000
Kurul kararlarına uymama 15 250.000 - 9.500.000
VERBİS'e kayıt yükümlülüğüne aykırılık 16 200.000 - 9.500.000

Kesin tutarlar Resmî Gazete'de yayımlanan yıllık yeniden değerleme oranıyla belirlenir, KVKK Kurul sayfasında güncel tablo bulunur.

Cezayı belirleyen 5 ana faktör

  1. Etkilenen ilgili kişi sayısı. Birkaç yüz kişiyi etkileyen ihlalle milyon kişiyi etkileyen ihlal arasında ceza ölçek farkı çoktur.
  2. Veri kategorisi. Özel nitelikli kişisel veri (sağlık, biyometrik, ceza mahkûmiyeti) ihlali, sıradan kişisel veriden 3-5 kat ağır cezalandırılır.
  3. Alınan teknik ve idari tedbirler. ISO 27001 sertifikası, sızma testi raporları, KVKK uyum projesi, eğitim kayıtları ceza indirimi sağlar.
  4. Kusur derecesi ve niyet. Aktif kötü niyet (veri satışı) ile ihmali (yamasız sunucu) ayrı değerlendirilir.
  5. Veri sorumlusunun ekonomik durumu. Cirosu büyük şirketlerde caydırıcılık için üst banda yakın ceza yazılır.

Önemli Kurul kararı örnekleri

Karar 2019/144 (Facebook). Photo API zafiyetinden 300.000 kullanıcının fotoğraflarına yetkisiz erişim sağlanması üzerine, Kurul Facebook Ireland Ltd'e 1.150.000 TL veri güvenliği ihlali + 450.000 TL bildirim yükümlülüğü ihlali, toplam 1.600.000 TL idari para cezası verdi.

Karar 2020/173 (Marriott International). 5.25 milyon konuk pasaport bilgisi dahil rezervasyon veritabanı sızıntısı için 1.100.000 TL veri güvenliği + 350.000 TL bildirim yükümlülüğü, toplam 1.450.000 TL.

Karar 2021/241 (Aktif Bank). Çağrı merkezi çalışanının müşteri bilgilerine yetkisiz erişimi ve dış paylaşımı üzerine 300.000 TL.

Karar 2021/1187 (Vodafone Net İletişim). SİM swap saldırısı ile abone bilgilerinin ele geçirilmesi vakasında 750.000 TL.

Karar 2020/650 (Clubhouse). Türkiye'de hizmet veren yurt dışı uygulamanın VERBİS kaydı ve yerel temsilci eksikliği için ihtar + idari süreç açıldı.

(Tüm karar metinleri kvkk.gov.tr Kurul Karar Özetleri bölümünde yayımlanmıştır; her veri sorumlusu kendi durumu için güncel metinleri doğrudan resmî kaynaktan teyit etmelidir.)

Veri ihlali bildirim süresi: 72 saat

KVKK Kurulu 24.01.2019 tarihli 2019/271 sayılı karar ile veri ihlali bildiriminin en geç 72 saat içinde Kurul'a yapılması gerektiğine hükmetti. 72 saati aşan bildirimlerde gerekçe sunulması ve geciktirici sebebin belgelenmesi şarttır.

Bildirim formu zorunlu alanları:

  • İhlal tarihi, tespit tarihi, başvuru tarihi (UTC+03).
  • Etkilenen kişi sayısı tahmini ve veri kategorileri.
  • İhlal kaynağı (siber saldırı, içeriden tehdit, kayıp/çalıntı cihaz, hatalı paylaşım).
  • Alınan acil tedbirler.
  • İlgili kişilere yapılan veya planlanan bildirim.

Hazır şablon için: /rehber/kvkk-72-saat-veri-ihlali-bildirim-sablonu.

İhlal sonrası süreç

  1. Saat 0-2. Olay tespit edilir, IR (incident response) ekibi devreye girer, etkilenen sistem izole edilir. Detay: /rehber/siber-olay-mudahale-playbook-nist-800-61-checklist.
  2. Saat 2-24. Adli bilişim ekibi imaj alır, hash zinciri başlatılır. Kapsam, etkilenen kişi sayısı netleşir.
  3. Saat 24-72. Kurul bildirim formu doldurulur ve gönderilir. İlgili kişilere bildirim planlanır.
  4. Hafta 1-4. Kurul ek bilgi talep edebilir, savunma yazısı sunulur.
  5. Karar. Kurul soruşturma raporu, savunma ve teknik delillere göre idari para cezası kararı verir. Karar Resmî Gazete'de değil, kvkk.gov.tr Karar Özetleri'nde yayımlanır.

Cezayı azaltan unsurlar

  • 72 saat süresine uyulması.
  • ISO 27001, ISO 27701, KVKK uyum sertifikasının varlığı.
  • Düzenli sızma testi raporları (yıllık veya 6 aylık).
  • Çalışan KVKK eğitim kayıtları, taahhütnameler.
  • İhlal sonrası iyileştirici aksiyon planı ve uygulama kanıtı.

Fidye yazılım gibi acil senaryolarda ilk 24 saat aksiyon listesi için: /rehber/fidye-yazilim-ilk-24-saat-aksiyon-cizelgesi.

SSS

KVKK cezası taksitlendirilebilir mi?

İdari para cezaları 6183 sayılı Amme Alacakları Kanunu uyarınca tahsil edilir, taksit talebi vergi dairesine yapılır. Kurul'un kendisi taksit yetkisine sahip değildir.

Cezaya itiraz yolu nedir?

İdari para cezasına karşı Kabahatler Kanunu 27. madde uyarınca tebliğden itibaren 15 gün içinde Ankara İdare Mahkemesi'nde dava açılabilir. Yürütmeyi durdurma talebi de bu davada ileri sürülebilir.

Şirket cirosu cezayı nasıl etkiler?

KVKK ceza miktarını cirosuna bağlayan AB GDPR benzeri net oran getirmemiştir, ancak Kurul "veri sorumlusunun ekonomik durumu" kriteri ile büyük şirketlere üst banda yakın ceza yazar. Küçük işletmelere alt banda yakın ceza yaygındır.

KVKK cezası ile GDPR cezası birlikte verilebilir mi?

AB'de faaliyet gösteren Türk şirketleri için evet. GDPR ve KVKK iki bağımsız rejimdir, aynı ihlal her iki otorite tarafından da ayrı cezalandırılabilir.

Veri ihlali bildirilmezse ne olur?

Bildirim yükümlülüğüne aykırılık başlı başına KVKK 12. madde ihlali sayılır ve ek idari para cezası verilir. Facebook ve Marriott kararlarında bildirim gecikmesi için ayrı ceza yazılmıştır.

DSET KVKK Uyum ve Adli Bilişim Hizmetleri Hacettepe Teknokent, Beytepe, Ankara 20+ yıl deneyim · ISO 27001 · KVKK uyum projeleri Telefon: +90 536 662 38 09 · E-posta: [email protected] 72 saat ihlal bildirim desteği · acil olay müdahale ekibi.