← Blog
Hukuk7 dk okumaMegis

Veri Ihlali Bildirim Rehberi: Kriz Yonetimi ve Uyum

Veri ihlali durumunda yasal bildirim sureclerini ve kriz yonetimi adimlarini uygulayin.

Veri Ihlali Nedir?

Veri ihlali, kisisel verilerin hukuka aykiri olarak islenmmesi, erisillmesi, ifsa edilmesi, degistirilmesi veya yok edilmesidir. Siber saldirillar, insan hatalari, sistem arizalari veya kotu niyetli ic tehditler veri ihlallerine yol acabilir. 2026 yilinda veri ihlalleri her zamankinden daha yaygin ve maliyetlidir; ortalama bir veri ihlalinin maliyeti global olcekte 4.5 milyon dolar seviyesine ulasmistir.

Turkiye'de 6698 sayili Kisisel Verilerin Korunmasi Kanunu (KVKK) kapsaminda veri ihlalleri ciddi yasal yaptirimlarla sonuclanabilir. Bu rehberde KVKK gereksinimleri, 72 saatlik bildirim kurali, ihlal yonetim sureci ve organizasyonel hazirliklari kapsamli sekilde ele alacagiz.

KVKK Kapsaminda Veri Ihlali Bildirimi

KVKK'nin 12. maddesi, veri sorumlularinin kisisel verilerin hukuka aykiri islenmmesini onlemek, verilere hukuka aykiri erisilmesini onlemek ve verilerin muhafazasini saglamak icin gerekli teknik ve idari tedbirleri almasini zorunlu kilar. Veri ihlali tespit edildiginde bildirim yukumlulugu devreye girer.

Kisisel Verileri Koruma Kurulu'na Bildirim

Veri sorumlusu, veri ihlalini ogrenmesinden itibaren en kisa surede ve her halukarda 72 saat icinde Kisisel Verileri Koruma Kurulu'na bildirim yapmakla yukumludur. Bu 72 saatlik sure, GDPR ile uyumlu olarak belirlenmistir. Bildirimde su bilgiler yer almalidir:

  • Ihlalin niteligi: Hangi tur kisisel verilerin etkilendigi (kimlik, iletisim, finansal, saglik verileri gibi).
  • Etkilenen kisi sayisi: Ihlalden etkilenen veri sahiplerinin tahmini veya kesin sayisi.
  • Etkilenen kayit sayisi: Ihlale konu kisisel veri kayitlarinin tahmini sayisi.
  • Ihlalin olasi sonuclari: Ihlaalin veri sahipleri uzerindeki potansiyel etkileri (kimlik hirsizligi, finansal kayip, itibar zarari gibi).
  • Alinan ve alinmasi planlanan onlemler: Ihlalin etkilerini azaltmak icin yapilan ve planllanan islemler.
  • Irtibat kisisi bilgileri: Kurul ile iletisim kurulabilecek veri koruma gorevlisi veya ilgili kisinin iletisim bilgileri.

72 Saatlik Bildirim Kurali

72 saatlik sure, ihlalin "ogrenildigi" andan itibaren baslar. Ogreniilme ani, ihlaalin gerceklestigi an degil, veri sorumlusunun ihlalden haberdar oldugu andir. Pratikte bu su anlama gelir:

  • Bir calisanin ihlali fark edip yoneticiye bildirdigi an.
  • Guvenlik izleme sisteminiin anomali tespit ettigi an.
  • Ucuncu bir tarafin (musteri, partner veya duzennleyici) sizi ihlal hakkinda bilgilendirdigi an.

72 saat icinde bildirim yapilamamasi durumunda, gecikmenin gerekceleri Kurul'a aciklanmalidir. Ancak gerekcesiz gecikme idari para cezasina neden olabilir.

Ilgili Kisilere (Veri Sahiplerine) Bildirim

Kurul, gerekli gordugu hallerde ihlalin ilgili kisilere bildirilmesine karar verebilir. Veri sorumlusu, Kurul karari uzerine en kisa surede veri sahiplerini bilgilendirir. Bildirim su yollarla yapilabilir:

  • Dogrudan e-posta veya SMS ile bireysel bildirim.
  • Web sitesinde duyuru yayinlama.
  • Medya araciligi ile kamuoyu bilgilendirmesi.

Veri sahiplerine yapilan bildirimde teknik jargondan kacinilmali, ihlaalin etkileri anlasilir bir dille aciklanmali ve alinmasi gereken onlemler (sifre degistirme, banka bilgilendirmesi gibi) net olarak belirtilmelidir.

Veri Ihlali Yonetim Sureci

Etkili bir veri ihlali yonetimi, onceden hazirlanmis bir plan ve sistematik bir surec gerektirir. Ihlal yonetimi su asamalardan olusur:

1. Tespit ve Ilk Degerlendirme (0-4 Saat)

  • Ihlalin varligini ve kapsamini dogrulayin.
  • Ihlal Mudahale Ekibi'ni (Incident Response Team) haberdar edin.
  • Ihlalin turunu belirleyin: gizlilik ihlali, butunluk ihlali veya erisilebiirlik ihlali.
  • Etkilenen sistemleri ve verileri tanimlaayin.
  • Ilk kanitleri koruma altina alin (log dosyalari, erisim kayitlari).

2. Sinirlandirma (4-12 Saat)

  • Ihlalin yayilmasini durdurun. Etkilenen sistemleri izole edin.
  • Ele gecirilmis hesaplarin sifreleerini sifirlayin.
  • Guvenlik acigini gecici olarak kapatin.
  • Yedek sistemlere gecis yapin (gerekiyorsa).
  • Kanit toplama ve adli analiz icin dijital izleri koruyun.

3. Analiz ve Degerlendirme (12-48 Saat)

  • Ihlalin kok nedenini belirleyin.
  • Etkilenen veri turlerini ve kisi sayisini detayli olarak tespit edin.
  • Risk degerlendirmesi yapin: ihlalin veri sahipleri uzerindeki potansiyel etkisini analiz edin.
  • Kurul'a bildirim zorunlulugunu degerlendirin.
  • Hukuk departmanini veya dis hukuk danismanini bilgilendirin.

4. Bildirim (48-72 Saat)

  • KVKK Veri Ihlali Bildirim Formu'nu doldurun ve Kurul'a gonderiin.
  • Kurul karari dogrultusunda veri sahiplerini bilgilendirin.
  • Gerekiyorsa basinla ve kamuoyuyla iletisim stratejisini uygulaayin.

5. Iyilestirme ve Onleme (72 Saat Sonrasi)

  • Kok neden analizine dayanarak kalici duzeltmeleri uygulaayin.
  • Guvenlik politikalarini ve prosedurlerini guncelleyin.
  • Calisanlara ek guvenlik egitimleri verin.
  • Ihlal sonrasi raporu (post-incident report) hazirlayin.
  • Benzer ihlallerin tekrarlanmasini onllemek icin sistemsel iyilestirmeler yapin.

KVKK Kapsaminda Idari Yaptirimlar

Veri ihlallerinde KVKK kapsaminda uygulanabilecek idari para cezalari:

  • Veri guvenligi yukuumluluguune aykirilik: 29.503 TL ile 5.900.690 TL arasi (2026 yili guncellenmis tutarlar).
  • Kurul kararlarini yerine getirmeme: 73.758 TL ile 5.900.690 TL arasi.
  • Veri Sorumluulari Siciline kayit ve bildirim yukumlulugune aykirilik: 44.254 TL ile 2.950.346 TL arasi.

Bu cezalar her yil yeniden degerleme oranina gore guncellenir. Ayrica veri sahipleri maddi ve manevi tazminat davasi acabilir.

Ihlal Oncesi Hazirlik: Organizasyonel Tedbirler

Veri ihlallerine hazirlikli olmak, ihlal sonrasi maliyeti ve zarari onemli olcude azaltir:

  • Ihlal Mudahale Plani: Yazili bir ihlal mudahale plani hazirlayin. Roller, sorumluluklar, iletisim kanallari ve eskalasyon prosedurlerini tanimlaayin.
  • Ihlal Mudahale Ekibi: IT guvenlik, hukuk, iletisim, insan kaynaklari ve ust yonetim temsilcilerinden olusan bir ekip kurun.
  • Duzenli tatbikatlar: Yilda en az iki kez masa basi tatbikati (tabletop exercise) yaparak ekibin hazirligini test edin.
  • Veri envanteri: Hangi kisisel verileri, nerede, nasil islediginizi bilin. Veri haritasi olmadan ihlaalin kapsamini belirlemek cok zordur.
  • Log yonetimi: Tum sistemlerde kapsamli loglama yapin. Loglarri en az 2 yil boyunca saklayin.
  • Siber guvenlik sigortasi: Veri ihlali maliyetlerini karsillamak icin siber guvenlik sigortasi yaptirmayi degerlendirin.
  • Ucuncu taraf denetimi: Yilda en az bir kez bagimsiz guvenlik denetimi yaptirin.

GDPR ile KVKK Karsilastirmasi

AB Genel Veri Koruma Tuzugu (GDPR) ve KVKK arasinda veri ihlali bildirimi konusunda benzerlikler ve farkliliklar vardir:

  • Bildirim suresi: Her ikisi de 72 saat siniri belirler.
  • Bildirim esigi: GDPR, "kisisel verilerin guvenligi icin risk olusturma ihtimali olan" tum ihlallerin bildirilmesini gerektirir. KVKK'da benzer bir yaklasim benimsenmmistir.
  • Cezalar: GDPR kapsaminda cezalar yillik cironun yuzde 4'une kadar cikabilirken, KVKK'da sabit tutar araliiklari belirlenmistir.
  • DPO zorunlulugu: GDPR belirli durumlarda Veri Koruma Gorevlisi (DPO) atamasini zorunlu kilar. KVKK'da ise "irtibat kisisi" kavrami vardir.

Teknik Onlemler

Veri ihlallerini onlemek ve tespit etmek icin alinmasi gereken teknik onlemler:

  • Sifreleme: Hassas verileri hem duragan halde (at rest) hem de aktarim sirasinda (in transit) sifreleyin. AES-256 ve TLS 1.3 kullanin.
  • Erisim kontrolu: En az yetki prensibini uygulaayin. Rol tabanli erisim kontrolu (RBAC) kullanin.
  • Cok faktorlu kimlik dogrulama (MFA): Tum kritik sistemlerde MFA zorunlu kiliin.
  • SIEM (Security Information and Event Management): Merkezi log yonetimi ve anomali tespiti icin SIEM cozumu kurun.
  • DLP (Data Loss Prevention): Hassas verilerin yetkisiz disarri aktarimini tespit eden ve engelleyen DLP cozumleri kullanin.
  • Yedekleme: Duzenli yedekleme yapin ve yedeklerin geri yukleme testlerini gerceklestirin.

Sonuc

Veri ihlali bildirimi, KVKK uyumlulugu icin kritik bir gerekliliktir. 72 saatlik bildirim suresi, onceden hazirlanmis bir plan ve duzenli tatbikatlar olmadan karsilanmasi zor bir hedeftir. Ihlal mudahale plani olusturun, ekibinizi egitiin, teknik onlemleri alin ve duzenli olarak test edin. Veri ihlalini tamamen onlemek mumkun olmasa da, hizli ve etkili bir mudahale ile zarari minimize edebilir ve yasal yukumlulukleerinizi yerine getirebilirsiniz.

#veri ihlali#bildirim sureci#kvkk ihlal#kriz yonetimi