Kişisel Verileri Koruma Kurulu, 18/01/2019 tarihli ve 2019/10 sayılı Karar metniyle 6698 sayılı Kanun'un 12. maddesinin beşinci fıkrasında geçen "en kısa sürede" ifadesini 72 saat olarak somutlaştırmıştır. Karar metni, Kurum'un resmi web sitesinde kvkk.gov.tr/Icerik/5469 adresinde yayımlanmıştır. Bu zaman dilimi, veri sorumlusunun ihlali öğrendiği andan itibaren işlemeye başlar. Sürenin başlangıç noktası tartışma yaratan bir noktadır, Kurul kararlarında "öğrenme anı" bilgi işlem ekibinin teknik doğrulamayı tamamladığı an değil, ilk şüphenin makul gerekçeyle anlamlı hale geldiği an olarak yorumlanmaktadır.
24/02/2021 tarihli ve 31405 sayılı Resmi Gazete'de yayımlanan değişikliklerle birlikte bildirim formatı kvkk.gov.tr üzerindeki "Veri İhlali Bildirim Formu" portali ile dijital olarak alınmaktadır. Form, ıslak imzalı evrak gerektirmez, ancak veri sorumlusunu temsile yetkili kişinin e-imza veya KEP üzerinden teyidi beklenir. Formun ön bölümünde alıkonulan tarama tabanlı ekler için 25 MB'lik boyut sınırı, KVKK'nın resmi duyurusunda belirtilmiştir.
Bu rehber, ihlalin tespit edildiği T0 anından T+72 saate kadar olan periyodu saat saat aksiyona dökmektedir. Hedef, "sürede yetişmek" değil, sürede yetişebilecek kalitede teknik ve hukuki dosyayı tamamlamaktır.
Bölüm 1. Yasal Çerçeve ve Tanımlar
1.1. Veri ihlali nedir
6698 sayılı KVKK m.12/5 "işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi" halini bildirim yükümlülüğüne bağlamıştır. Avrupa Veri Koruma Yönetmeliği GDPR Madde 4(12) tanımına paralel olarak Kurul, ihlali üç temel boyutta ele almaktadır.
| Boyut | Türkçe karşılık | Tipik örnek |
|---|---|---|
| Confidentiality breach | Gizlilik ihlali | Veritabanı sızıntısı, yetkisiz erişim, kayıp dizüstü |
| Integrity breach | Bütünlük ihlali | Yetkisiz değiştirme, kayıt manipülasyonu, ransomware şifreleme |
| Availability breach | Erişilebilirlik ihlali | DDoS, kayıt silme, yedeksiz kalma, ransomware kilitleme |
Bir olay aynı anda birden fazla boyutu kapsayabilir. Ransomware olaylarında klasik olarak gizlilik, bütünlük ve erişilebilirlik aynı anda tehlikeye girer.
1.2. Kim bildirmek zorunda
Bildirim yükümlülüğü "veri sorumlusu" üzerindedir. Veri işleyenin sorumluluğu, ihlali veri sorumlusuna gecikmeksizin haber vermek ile sınırlıdır. Bulut hizmet sağlayıcısı, dış IT destek firması, çağrı merkezi gibi aktörler veri işleyen sıfatıyla hareket eder. Sözleşmede aksi yazsa bile yasal bildirim yükümlülüğü transfer edilemez. Bu husus Kurul'un 2019/271 sayılı kararında açıkça vurgulanmıştır.
1.3. Hangi olaylar bildirilir, hangileri bildirilmez
Kurul, "düşük riskli" istisnaları geniş yorumlamamaktadır. Şifrelenmiş ve anahtarı uzlaşmadan kalmış bir kayıp dahi, anahtar güvenliği konusunda makul şüphe varsa bildirilmelidir. Genel kural, ihlalin gerçek kişilerin hak ve özgürlüklerine risk doğurma ihtimali bulunup bulunmadığıdır.
Bölüm 2. T0 - T+72 Saat Zaman Çizelgesi
Aşağıdaki tablo, ihlalin tespiti anından bildirim teslimine kadar tipik bir veri sorumlusunun izlemesi gereken saat saat aksiyonları sıralar. Süreler azami öneri değerlerdir, daha hızlı kapatılması beklenir.
| Saat | Görev | Sorumlu rol | Çıktı |
|---|---|---|---|
| T0 | Tespit, ilk şüphenin doğrulanması | SOC, BT, kullanıcı | Olay biletinin açılması |
| T+1 | Olay komuta zincirinin aktive edilmesi | CISO, BT Müdürü | Yazılı çağrı kaydı |
| T+2 | Etkilenen sistem ve veri kategorisi taslağı | BT, Hukuk | Ön kapsam notu |
| T+4 | Geçici izolasyon kararları | BT, İş birimleri | Ağ segmentasyon kaydı |
| T+6 | Adli kopya alımı, RAM dump | İç ekip veya dış uzman | İmaj hash kayıtları |
| T+8 | Veri kategorisi kesin tespiti | Veri envanteri sahibi | Etkilenen kişi sayısı tahmini |
| T+12 | Hukuk birimi bildirim metni taslağı | Hukuk Müşaviri | Form alanlarının doldurulmuş ilk hali |
| T+18 | Üst yönetim brifingi | CEO, Yönetim Kurulu | İmza yetkisi onayı |
| T+24 | İhlal sınıflandırma matrisi tamamlanması | CISO | Boyut x risk skoru |
| T+36 | Kişi sayısı, veri kategorisi, etki kesinleştirme | BT, Veri envanter sahibi | Form ekleri |
| T+48 | İç teknik raporun tamamlanması | Adli bilişim ekibi | Bulgular dosyası |
| T+60 | Form üzerindeki son revizyon | Hukuk + CISO | Onaylı taslak |
| T+66 | KEP üzerinden e-imzalı bildirim teslimi | Yetkili imza sahibi | Teslim alındı belgesi |
| T+72 | Bildirim teyidinin saklanması | Veri sorumlusu | Arşiv dosyası |
Bu çizelge bir hedef olduğu kadar bir savunma aracıdır. Kurul incelemesi sırasında "her saat ne yapıldı" sorusuna verilecek cevap, idari para cezasının ağırlığını doğrudan etkilemektedir.
Bölüm 3. Bildirim Formu Alanları
Kurul'un veriihlalbildirim.kvkk.gov.tr portali üzerindeki form, aşağıdaki ana bölümlerden oluşmaktadır. Form, alan alan doldurulurken kayıt edilebilir, oturum yarıda bırakılıp sonradan tamamlanabilir.
3.1. Veri sorumlusu bilgileri
VERBIS sicil numarası, ticari unvan, KEP adresi, irtibat kişisi adı ve telefonu. KEP adresi yoksa form gönderilse dahi tebligat aşamasında sorun çıkmaktadır.
3.2. İhlal kategorisi
Çoktan seçmeli alan. Gizlilik, bütünlük, erişilebilirlik kombinasyonları işaretlenir. Birden fazla boyut seçilebilir.
3.3. İhlal kaynağı
Dış kaynaklı saldırı, içeriden kötü niyetli erişim, ihmal, üçüncü taraf sağlayıcı, fiziki kayıp, donanım arızası gibi alt başlıklar.
3.4. Etkilenen veri kategorileri
Kimlik, iletişim, lokasyon, finans, sağlık, biyometrik, ceza mahkumiyeti, müşteri işlem, çalışan özlük gibi başlıklar. Özel nitelikli veri kategorisi seçildiğinde Kurul incelemesi otomatik olarak yüksek önem kademesine alınır.
3.5. Etkilenen kişi sayısı
Tam sayı bilinmiyorsa bant aralığı kabul edilmektedir. Ancak bant aralığı verildiyse 7 gün içinde kesin sayı güncellemesi yapılması beklenir.
3.6. Olay özeti
500-1500 karakter arası serbest metin. Teknik detay değil, ihlalin mahiyetinin anlaşılır anlatımı tercih edilir.
3.7. Alınan tedbirler
Olay anına ve sonrasına ait teknik ve idari tedbirler. Boş bırakılması Kurul tarafından eksik bildirim olarak değerlendirilebilir.
3.8. İlgili kişilere bildirim
Veri sorumlusunun ilgili kişilere ayrı bildirim yapıp yapmadığı, yapacaksa yöntemi ve tahmini tarihi.
3.9. Ekler
Tekno raporlar, ekran görüntüleri, log özetleri, hukuki görüşler, üçüncü taraf sözleşme parçaları. Tek bir ekin 25 MB'ı aşmaması beklenir.
Bölüm 4. Üç Örnek Senaryo
Senaryo A. Ransomware ile dosya sunucusu şifrelenmesi
Orta ölçekli üretim firmasında perşembe akşamı 22:40'ta dosya sunucusunun erişilemez hale geldiği fark edilir. Sabah 08:15'te BT ekibi şifrelenmiş dosya uzantılarını ve fidye notunu tespit eder. T0 burada 22:40 değil, makul şüphenin doğrulandığı 08:15 olarak kabul edilebilir. Ancak Kurul incelemesinde gece vardiyasının da fark edebileceği argümanı gündeme gelebilir, bu yüzden gece kayıt loglarının korunması önemlidir.
Bu senaryoda ihlal üç boyutu da kapsar. Şifrelenen dosyalar içinde personel özlük dosyaları ve müşteri sözleşmeleri varsa kategoriler arasında kimlik, iletişim, çalışan özlük yer alır. Etkilenen kişi sayısı kesin değilse "1000 ile 5000 arası" gibi bant aralığı kabul edilir. Form içindeki "alınan tedbirler" bölümünde ağdan izolasyon, yedekten geri yükleme, kimlik bilgilerinin sıfırlanması, EDR konuşlanması, çoklu faktör kimlik doğrulama zorunlu hale getirilmesi gibi maddeler listelenir.
Senaryo B. Çalınan dizüstü bilgisayar
Saha satış ekibinden bir çalışanın aracı pazar günü gece İstanbul'da kırıldı, çantadan dizüstü bilgisayarı çalındı. Cihazda yaklaşık 800 müşteri kayıt tablosu vardı. Cihaz BitLocker ile tam disk şifreliydi, başlangıç PIN'i 6 haneliydi.
Bu olayda gizlilik boyutu öncelikli, ancak şifreleme nedeniyle Kurul'a "düşük risk" argümanı sunulabilir. Form alanında PIN politikasının zayıflığı, brute force koruma var mı yok mu sorularına dürüst cevap verilmesi gerekir. Kurul, 2020/13 sayılı kararında şifreli olsa dahi cihaz kaybının bildirilmesi gereken bir olay olduğunu açıkça belirtmiştir.
Pratik aksiyonlar arasında polise hırsızlık tutanağı, uzaktan silme komutu (MDM üzerinden), VPN sertifikasının iptali, müşteri portalına erişim için saklı oturum jetonlarının invalidate edilmesi yer alır.
Senaryo C. E-posta gönderim hatası
Pazarlama ekibinin 6300 müşteriye gönderdiği kampanya e-postasında "BCC" yerine "CC" seçeneği kullanılmış, tüm alıcıların e-posta adresi birbirine ifşa olmuştur. İlk müşteri şikayeti 22 dakika sonra geldi.
Bu küçük gibi görünen olay aslında klasik bir gizlilik ihlalidir. Etkilenen kişi sayısı kesindir, 6300. Veri kategorisi iletişim verisidir, özel nitelikli değildir, ancak müşteri profili duyuru içeriğinden tahmin edilebiliyorsa (örneğin sağlık hizmeti aboneliği) o zaman özel nitelikli veri ihlali boyutu da gündeme gelir.
Alınan tedbirler arasında e-posta sisteminde toplu gönderim için "CC alanı 50 alıcıyı geçemez" kuralı, çift onay zorunluluğu, pazarlama ekibine farkındalık eğitimi yer almalıdır. Kurul, bu tür ihlallerde sistemsel kontrolün yokluğunu ağırlaştırıcı bulmaktadır.
Bölüm 5. KVKK Kurulu Para Cezası Örnekleri
Aşağıdaki kararlar Kurul'un resmi karar özetleri sayfasından doğrulanabilir. Aktarımlar yorum değil, açıklanmış karar özetlerine dayanmaktadır.
| Karar tarihi · sayı | Olay | Yaptırım |
|---|---|---|
| 16/05/2019 · 2019/144 | Facebook'un yurt dışı veri ihlali, Türk ilgili kişilerin etkilenmesi | 1.150.000 TL idari para cezası |
| 27/02/2020 · 2020/173 | Marriott Hotel uluslararası veri ihlali, Türk konuk bilgileri | 1.450.000 TL idari para cezası |
| 17/09/2020 · 2020/717 | Bir bankanın eski personeline ait kişisel verilerin korunmaması | 250.000 TL idari para cezası |
| 22/12/2020 · 2020/966 | Bir e-ticaret platformunun veri ihlalini geç bildirmesi | 1.100.000 TL idari para cezası |
| 11/08/2022 · 2022/793 | Bir kargo şirketinin müşteri verilerinin web üzerinden erişilebilir olması | 950.000 TL idari para cezası |
Bu kararlar gösteriyor ki Kurul, hem ihlalin kendisini hem de bildirim sürecinin yönetimini ayrı ayrı değerlendirmektedir. Geç bildirim, eksik bildirim, asılsız "düşük risk" iddiası ağırlaştırıcı sebep olarak işlenmektedir.
Bölüm 6. Bildirim Sonrası Kurul İnceleme Süreci
Bildirim teslim alındıktan sonra Kurul, ön incelemeyi tipik olarak 30 ila 90 gün içinde tamamlamaktadır. Süreç şu adımlardan oluşur.
- Bildirim formunun teknik açıdan eksik olup olmadığının değerlendirilmesi
- Veri sorumlusundan ek bilgi talebi (yazılı, çoğunlukla 15 günlük cevap süresi ile)
- İhlalin Kurul kamuoyu duyurusuna konu edilip edilmeyeceği kararı
- Yerinde inceleme veya uzaktan teknik inceleme
- Veri sorumlusunun savunmasının alınması
- İdari yaptırım gündemine alınma
- Karar tebliği ve gerekirse kamuoyu açıklaması
Kurul, bazı vakalarda olayın kendisinden ziyade veri sorumlusunun bildirim sonrası iletişim disiplinine bakmaktadır. Sürelere uyum, talep edilen belgelerin eksiksiz teslimi, savunmanın tutarlılığı, idari para cezasının alt sınırda tutulmasında belirleyici olmaktadır.
Bölüm 7. 10 Saatlik Aksiyon Checklist
Aşağıdaki tablo, ihlal sonrası ilk 10 saatte tipik bir veri sorumlusunun atması gereken adımları özetlemektedir. Bu, Bölüm 2'deki 72 saatlik çizelgenin ilk dilimini yoğunlaştıran bir çalışma listesidir.
| Saat | Aksiyon | Sahibi | Çıktı |
|---|---|---|---|
| 0-1 | Olay biletinin açılması, ilk dokümantasyon | Tespit eden | Olay numarası |
| 1-2 | Komuta zinciri toplantısı, rol dağılımı | CISO | Toplantı tutanağı |
| 2-3 | Hukuk biriminin sürece dahil olması | Hukuk Müşaviri | Hukuki not |
| 3-4 | Geçici izolasyon kararları, ağ segmentasyonu | BT Operasyon | Değişiklik kaydı |
| 4-5 | Adli kopya hazırlığı, RAM dump | İç ekip veya DSET | İmaj hash |
| 5-6 | Etkilenen veri kategorisinin taslak tespiti | Veri envanter sahibi | Ön envanter |
| 6-7 | Üst yönetim brifingi | CEO ofisi | Brifing notu |
| 7-8 | Form taslağının başlatılması, KEP teyidi | Hukuk + CISO | Form ID |
| 8-9 | Üçüncü taraf sağlayıcı bilgilendirilmesi | Tedarik | Yazışma kaydı |
| 9-10 | İletişim planı taslağı, müşteri mesajı şablonu | Pazarlama + Hukuk | Onay bekleyen şablon |
Bu liste, "ne yapacağımızı düşünmek için zamanımız yok" diyen kuruluşlar için zaman kazandıran bir referanstır.
Bölüm 7.5. İlgili Kişilere Bildirim Yükümlülüğü
Veri sorumlusu, ihlali Kuruma bildirmenin yanı sıra ihlalden etkilenen ilgili kişilere de "uygun yöntem" ile bildirim yapmakla yükümlüdür. Kurul'un 24/01/2019 sayılı kararında bu yöntem için somut bir format dayatılmamış, ancak iletişimin makul, anlaşılır ve doğrudan olması istenmiştir.
7.5.1. Doğrudan iletişim kanalları
Tercih edilen iletişim, ilgili kişiyle birebir kurulan kanaldır. E-posta, SMS, üyelik portali içi mesaj, fiziksel posta veya telefon araması bu kapsama girer. Tek başına sosyal medya duyurusu, web sitesi banner ilanı ya da gazete ilanı yeterli kabul edilmemektedir. Bu kanallar ancak ilgili kişilere doğrudan ulaşmanın orantısız maliyet doğuracağı durumlarda tamamlayıcı yöntem olarak kullanılabilir.
7.5.2. Mesaj içeriğinde yer alması gerekenler
İlgili kişiye gönderilecek mesajda aşağıdaki bilgiler yer almalıdır.
- İhlalin gerçekleştiği tarih ve süresi
- İhlalin niteliği (gizlilik, bütünlük, erişilebilirlik)
- Etkilenen kişisel veri kategorileri
- Olası sonuçlar ve riskler (özellikle kimlik hırsızlığı, dolandırıcılık)
- Alınan ve alınması planlanan teknik ve idari tedbirler
- İlgili kişinin başvurabileceği iletişim noktası
- Kuruma yapılan bildirimin tarihi ve özet bilgisi
Mesaj, hukuki çekincelere takılan dolaylı ifadelerden uzak, yalın bir dille yazılmalıdır. Kurul, bazı vakalarda iletişim mesajının "olayı küçümseyici" olduğunu tespit ettiğinde bunu ağırlaştırıcı sebep olarak değerlendirmektedir.
7.5.3. Zaman çizelgesi
İlgili kişilere bildirim, "makul süre" ifadesiyle ölçülmektedir. Kurul kararlarında bu süre 7 ila 15 gün arasında somutlaşmıştır. 72 saat içinde Kurum'a bildirim yapılmış olması, ilgili kişilere bildirimin de aynı sürede yapılmasını gerektirmez. Ancak gecikme arttıkça veri sorumlusunun gerekçelendirme yükü ağırlaşır.
Bölüm 7.6. Sınır Ötesi Veri Aktarımı ve Yabancı Otoriteler
Veri ihlali, birden fazla ülkede ikamet eden ilgili kişileri etkiliyorsa veya veri sorumlusu yurt dışında da faaliyet gösteriyorsa, KVKK bildiriminin yanı sıra yabancı otoritelere de bildirim yükümlülüğü doğabilir. En sık karşılaşılan paralel yükümlülükler şunlardır.
- GDPR kapsamındaki AB üyesi ülkelerin denetim otoriteleri (örneğin Almanya BfDI, Fransa CNIL)
- İngiltere ICO (Information Commissioner's Office)
- ABD eyalet otoriteleri, özellikle California CPPA ve New York Attorney General Office
Sınır ötesi koordinasyonun yönetilmesi, tek elden bir hukuki sorumlu atanmasını gerektirir. Farklı yargı çevrelerine farklı içerikte mesaj iletilmesi, daha sonra Kurul incelemesinde tutarsızlık iddiasına konu olabilir.
Bölüm 8. Tipik Hatalar
Kurul'un yayımladığı kararlar incelendiğinde aynı hatalar tekrar tekrar karşımıza çıkmaktadır.
- Bildirimi "biz kendi içimizde halledelim, geç olmasın" diyerek 72 saati aşmak
- Form içindeki "alınan tedbirler" alanını "araştırma sürmektedir" gibi içi boş cümlelerle doldurmak
- Etkilenen kişi sayısını gerçeğin altında göstermek, sonradan revize zorunda kalmak
- Şifreleme varlığını "tedbir aldık" gerekçesi sayarak bildirim yapmamak
- Veri işleyene "siz bildirin" diye sorumluluğu devretmeye çalışmak
- İlgili kişilere bildirim yapmamak ya da bildirimi sosyal medya açıklamasına dönüştürmek
- Bildirim sonrası Kurul'un ek bilgi talebine geç yanıt vermek
- Tedbirleri sözlü taahhüt olarak sunup belgelendirmemek
- Üçüncü taraf hizmet sağlayıcı sözleşmelerinde KVKK ek protokolünün eksik olması
- Olayı bilinçli olarak bir "BT arızası" gibi sunarak hukuki süreci geciktirmek
Bölüm 9. DSET Olay Müdahale Retainer
DSET, 20 yılı aşkın siber olay müdahale ve adli bilişim deneyimi ile veri sorumlularının KVKK 72 saat sürecini sıfır kayıpla yönetmelerine destek vermektedir. Hacettepe Üniversitesi Teknokent Beytepe yerleşkesinde konuşlanmış ekibimiz, ISO 27037 standardına uyumlu delil zinciri ile çalışmaktadır.
Retainer hizmetimiz dört temel ayağı kapsar.
- Olay öncesi hazırlık. Politika gözden geçirmesi, komuta zinciri tatbikatı, KEP altyapısı hazırlığı, KVKK form taslağının önceden hazırlanmış halleri.
- Olay anında 7/24 erişim. +90 536 662 38 09 numaralı hattan saha ekibi yönlendirmesi, uzaktan kanıt güvence altına alma, izolasyon stratejisi danışmanlığı.
- Bildirim dosyası hazırlığı. Form alanlarının teknik ve hukuki uyumla doldurulması, eklerin hazırlanması, KEP üzerinden teslim koordinasyonu.
- Olay sonrası savunma. Kurul ek bilgi taleplerine yanıt, yerinde inceleme süreci eşliği, savunma metni hazırlığı.
Görüşme talepleriniz için [email protected] adresine yazabilir veya doğrudan +90 536 662 38 09 numaralı hattı arayabilirsiniz. Kapsam ön görüşmesi ücretsizdir, gizlilik anlaşması altında gerçekleştirilir.
Kapanış Notu
KVKK 72 saat bildirim süreci, hız meselesi değil, hazırlık meselesidir. Olay anında dakikalarla yarışmak istemiyorsanız, olaydan önce çizelgelerinizi, formlarınızı, komuta zincirlerinizi, dış destek sözleşmelerinizi yerli yerine oturtmuş olmanız gerekir. Bu rehber bir başlangıç noktasıdır, kurumunuza özel adaptasyon için DSET ekibi ile temasa geçmeniz tavsiye edilir.