Bir kişisel veri ihlali yaşandığında en kritik kaynak paradan önce zamandır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veri sorumlusu konumundaki şirketlere ihlali öğrendikleri andan itibaren çok kısa bir süre içinde harekete geçme yükümlülüğü getirir. Bu yazıda, uygulamada "72 saat kuralı" olarak bilinen bildirim süresinin hukuki dayanağını, kime ne şekilde bildirim yapılacağını ve sürenin kaçırılması halinde ortaya çıkan idari para cezası riskini somut biçimde ele alıyoruz. Amaç, bir ihlal anında panikle değil, önceden kurulmuş bir prosedürle hareket edebilmenizi sağlamaktır.
Temel kavramlar: Veri sorumlusu, veri işleyen ve veri ihlali
Yükümlülükleri doğru anlamak için önce aktörleri tanımlamak gerekir. Veri sorumlusu, kişisel verilerin işlenme amacını ve yöntemini belirleyen, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Pratikte bu, çoğu zaman şirketin kendisidir. Veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak onun adına veri işleyen taraftır; örneğin şirketin kullandığı bir bulut sağlayıcısı ya da bordro hizmeti veren bir muhasebe firması.
KVKK m.12/5 anlamında veri ihlali, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesidir. Bu tanım yalnızca dışarıdan yapılan bir siber saldırıyı değil; bir personelin yetkisiz erişimini, verileri içeren bir dizüstü bilgisayarın çalınmasını, yanlış alıcıya gönderilen bir e-postayı veya hatalı yapılandırma nedeniyle internete açık kalan bir veri tabanını da kapsar. Çıkarılacak ilk ders: İhlal kavramı kötü niyetli saldırıyla sınırlı değildir; bir insan hatası ya da teknik yanlış yapılandırma da bildirim yükümlülüğü doğurabilir.
72 saat kuralının hukuki dayanağı
KVKK m.12/5 hükmü, işlenen kişisel verilerin başkaları tarafından ele geçirilmesi halinde veri sorumlusunun bu durumu "en kısa sürede" ilgili kişiye ve Kurul'a bildireceğini düzenler. Kanun metni somut bir saat vermez. Bu belirsizliği gideren, Kişisel Verileri Koruma Kurulu'nun 24.01.2019 tarih ve 2019/10 sayılı kararıdır. Karar, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile uyumu da gözeterek "en kısa süre" ifadesini Kurul'a bildirim açısından en geç 72 saat olarak somutlaştırmıştır.
Sürenin başlangıcı, ihlalin gerçekleştiği an değil, veri sorumlusunun ihlali öğrendiği andır. Bu ince ayrım önemlidir: Saldırı haftalar önce gerçekleşmiş olsa bile, 72 saatlik sayaç şirketin durumdan haberdar olduğu anda işlemeye başlar. Bu nedenle ihlali tespit eden ekibin bulgusu, hızlıca karar verme yetkisine sahip kişilere ulaştırılmalıdır.
Kurul'a bildirim ile ilgili kişiye bildirim aynı şey değildir
Uygulamada en sık karıştırılan nokta budur. 72 saatlik kesin süre, yalnızca Kurul'a yapılacak bildirim için geçerlidir. İhlalden etkilenen ilgili kişilere (yani verisi sızan müşterilere, çalışanlara, kullanıcılara) yapılacak bildirim için ise 2019/10 sayılı karar "makul olan en kısa süre" ölçütünü benimser.
Bu makul sürenin tayininde ölçüt, ihlalin bireyler üzerinde doğurabileceği olası zararın büyüklüğüdür. Örneğin yalnızca isim ve telefon numarasının sızdığı bir ihlal ile parola, kimlik numarası veya finansal bilgilerin sızdığı bir ihlal aynı aciliyette değildir; ikincisinde ilgili kişilerin kendilerini koruyabilmeleri (örneğin parola değiştirmeleri) için bildirim çok daha hızlı yapılmalıdır.
Kurul'a bildirim nasıl yapılır?
Bildirim, Kurum'un yayımladığı resmi "Kişisel Veri İhlal Bildirim Formu" doldurularak yapılır. Form, ihlalin niteliğini, etkilenen kişi ve kayıt sayılarını, olası sonuçlarını ve alınan veya alınması planlanan tedbirleri içerir. Tüm bilgiler ilk anda elde edilemiyorsa, kararın açıkça izin verdiği üzere bilgiler gecikmeksizin ve aşamalı olarak tamamlanabilir. Yani eksik bilgi, bildirimi 72 saatin sonuna ertelemenin gerekçesi olamaz; önce mevcut bilgilerle bildirim yapılır, ardından detaylar eklenir.
72 saat aşılırsa ne olur?
Süreye uyulamaması her durumda otomatik bir ceza anlamına gelmez; ancak gecikme gerekçesiz bırakılamaz. 2019/10 sayılı karara göre, haklı bir nedenle 72 saat içinde bildirim yapılamamışsa, veri sorumlusu bildirimle birlikte gecikmenin nedenlerini de Kurul'a açıklamak zorundadır. Burada belgelenebilir, makul bir gerekçenin (örneğin ihlalin kapsamının teknik olarak ancak belirli bir sürede tespit edilebilmesi) bulunması, şirketin iyi niyetini ortaya koyması bakımından önem taşır.
Bildirim formunda yer alması gereken bilgiler
İhlal bildiriminin Kurul tarafından doğru değerlendirilebilmesi için aşağıdaki başlıkların net biçimde doldurulması beklenir:
- İhlalin ne zaman ve nasıl gerçekleştiği ile ne zaman tespit edildiği
- İhlalden etkilenen kişisel veri kategorileri (kimlik, iletişim, finans, özel nitelikli veri vb.)
- Etkilenen ilgili kişi ve kayıt sayısı (kesin sayı bilinmiyorsa tahmini aralık)
- İhlalin ilgili kişiler üzerindeki olası sonuçları
- İhlalin etkisini azaltmak için alınan veya alınması planlanan teknik ve idari tedbirler
- İrtibat kişisi veya varsa veri sorumlusu temsilcisinin bilgileri
İhlal müdahale planı: Ceza riskini düşüren asıl unsur
2019/10 sayılı karar, veri sorumlularından yalnızca ihlal anında bildirim yapmalarını değil; önceden bir veri ihlali müdahale planı oluşturmalarını da bekler. Bu plan, ihlalin kime, nasıl ve hangi süre içinde dahili olarak raporlanacağını, sorumlulukların kimde olduğunu ve planın periyodik olarak gözden geçirileceğini belirler. Ayrıca veri sorumlusunun, yaşanan ihlalleri, bunların etkilerini ve alınan tedbirleri kayıt altına alması gerekir.
Çıkarılacak ders: 72 saatlik süreye uymanın anahtarı, ihlal anında değil ihlalden önce atılan adımlardır. Önceden tanımlanmış bir müdahale planı olmayan bir şirket, krizin ilk saatlerini "kime haber vereceğiz, formu kim dolduracak" sorularıyla harcar ve süreyi kaçırma riskine girer.
Veri işleyenden kaynaklanan ihlallerde sorumluluk
İhlal, şirketin kendi sistemlerinde değil; kullandığı bir tedarikçinin (veri işleyenin) sistemlerinde gerçekleşmiş olabilir. Bu durum, veri sorumlusunun bildirim yükümlülüğünü ortadan kaldırmaz. KVKK m.12 uyarınca veri güvenliğini sağlama yükümlülüğü esas olarak veri sorumlusundadır. Bu nedenle veri işleyenlerle yapılan sözleşmelere, ihlali öğrenir öğrenmez veri sorumlusunu gecikmeksizin bilgilendirme yükümlülüğünün açıkça yazılması, 72 saatlik sürenin işletilebilmesi için pratik bir zorunluluktur.
İhmalin bedeli: 2026 yılı idari para cezaları
Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi, KVKK m.18 kapsamında idari para cezasına bağlanmıştır. Bu cezalar her yıl Vergi Usul Kanunu'na göre belirlenen yeniden değerleme oranında artırılır; 2026 yılı için uygulanan oran %25,49 olmuştur. Güncel tutarlar, kanundaki taban ve tavan değerlerinin bu oranla güncellenmiş halidir:
| Yükümlülük türü (KVKK m.18) | 2026 alt sınır | 2026 üst sınır |
|---|---|---|
| Aydınlatma yükümlülüğünün yerine getirilmemesi | 85.437 TL | 1.709.200 TL |
| Veri güvenliğine ilişkin yükümlülükler (m.12) | 256.357 TL | 17.092.242 TL |
| Kurul kararlarının yerine getirilmemesi | 427.263 TL | 17.092.242 TL |
| VERBİS'e kayıt ve bildirim yükümlülüğüne aykırılık | 341.809 TL | 17.092.242 TL |
Tablodaki rakamlar üst sınır olarak uygulanacak tutarı değil, Kurul'un olayın özelliklerine göre takdir edeceği aralığı gösterir. Bildirim yükümlülüğünün ihlali genellikle veri güvenliği yükümlülüğünün bir parçası olarak değerlendirilir. Yerleşik uygulamaya göre Kurul, ceza miktarını belirlerken ihlalin ağırlığını, etkilenen kişi sayısını, veri sorumlusunun aldığı tedbirleri ve sürece dair iyi niyetini birlikte değerlendirir.
Somut örnek: Bir e-ticaret şirketinde veri sızıntısı
Konuyu somutlaştıralım. Orta ölçekli bir e-ticaret şirketinin müşteri veritabanına yetkisiz erişim sağlandığını ve ad-soyad, telefon, e-posta ile sipariş adreslerinin ele geçirildiğini varsayalım. Olay, güvenlik ekibi tarafından bir Salı sabahı 09.00'da tespit ediliyor.
Bu senaryoda 72 saatlik sayaç Salı 09.00'da başlar. Önceden bir müdahale planı olan şirket aynı gün içinde olayı kayıt altına alır, etkilenen kayıt sayısını tahmin eder ve mevcut bilgilerle Kurul'a ilk bildirimini yapar; teknik inceleme tamamlandıkça eksik bilgileri aşamalı olarak iletir. Eş zamanlı olarak, sızan veriler arasında iletişim bilgileri bulunduğundan müşterilerine makul en kısa sürede bildirim göndererek olası dolandırıcılık girişimlerine karşı uyarır.
Plansız bir şirket ise ilk günü iç koordinasyonla, ikinci günü hangi formun doldurulacağını araştırarak geçirir ve üçüncü günün sonunda süreyi zar zor yakalar ya da kaçırır. İki şirket de aynı ihlali yaşamıştır; ancak Kurul nezdindeki konumları çok farklıdır. Çıkarılacak ders: Aynı teknik olay, hazırlık düzeyine göre yönetilebilir bir uyum süreci ya da ciddi bir ceza riski doğurabilir.
Bildirim sonrası: Süreç bitmiş olmuyor
Kurul'a ve ilgili kişilere bildirim yapılması yükümlülüğün sonu değildir. Kurul, bildirim üzerine resen inceleme başlatabilir; veri sorumlusundan ek bilgi ve belge talep edebilir. Bu aşamada, ihlal anında tutulan kayıtlar ve alınan tedbirlere ilişkin belgeler kritik önem taşır. Ayrıca ihlal, ilgili kişilerin Kanun kapsamında veri sorumlusuna başvuru ve tazminat talebinde bulunma haklarını da gündeme getirebilir. Bu nedenle ihlal yönetimi, hem idari hem hukuki boyutuyla bir bütün olarak ele alınmalıdır.
Özet: temel noktalar
- 72 saat kuralı, KVKK m.12/5'teki "en kısa süre" ifadesinin Kurul'un 2019/10 sayılı kararıyla somutlaştırılmış halidir ve yalnızca Kurul'a bildirim için geçerli kesin süredir.
- Süre, ihlalin gerçekleştiği andan değil, veri sorumlusunun ihlali öğrendiği andan itibaren işler.
- İlgili kişilere bildirim "makul en kısa sürede" yapılır; ölçüt, ihlalin bireyler üzerindeki olası zararının büyüklüğüdür.
- Bildirim resmi İhlal Bildirim Formu ile yapılır; eksik bilgiler gecikmeksizin ve aşamalı olarak tamamlanabilir.
- 72 saat aşılırsa gecikmenin haklı gerekçesi Kurul'a açıklanmalıdır.
- Önceden hazırlanmış bir ihlal müdahale planı, süreye uyumun ve ceza riskini düşürmenin asıl güvencesidir.
- 2026'da veri güvenliği yükümlülüğü ihlalleri 256.357 TL ile 17.092.242 TL arasında idari para cezasına bağlanmıştır.
Sık sorulan sorular
72 saat hafta sonu ve resmi tatilleri kapsar mı? Karar, süreyi takvim saati olarak belirler ve iş günü ayrımı yapmaz. Bu nedenle Cuma akşamı öğrenilen bir ihlalde sayaç durmaz; şirketlerin hafta sonunu da kapsayan bir nöbet/iletişim düzeni kurması beklenir.
İhlalin etkilediği kişi sayısını ilk 72 saatte tam olarak bilemiyorsak ne yapmalıyız? Bildirimi ertelememeniz gerekir. Mevcut bilgilerle ve tahmini sayılarla ilk bildirimi yapıp, teknik inceleme tamamlandıkça bilgileri aşamalı olarak güncellemeniz, kararın açıkça izin verdiği yoldur.
Her veri ihlali Kurul'a bildirilmek zorunda mı? KVKK m.12/5, işlenen kişisel verilerin kanuni olmayan yollarla başkalarınca ele geçirilmesi halini esas alır. Riskin niteliğine göre değerlendirme yapılması gerektiğinden, tereddüt halinde bildirim yönünde hareket etmek ve hukuki görüş almak en güvenli yaklaşımdır.
İhlal bizim değil, kullandığımız bir yazılım sağlayıcısının sisteminde oldu; yine de biz mi bildireceğiz? Evet. Veri güvenliğini sağlama yükümlülüğü esas olarak veri sorumlusundadır. Veri işleyenin sizi gecikmeksizin bilgilendirmesini sözleşmeyle güvence altına almanız, sürenin işletilebilmesi için gereklidir.
İlgili kişilere bildirimi nasıl yapmalıyız? İletişim bilgileri varsa doğrudan ilgili kişiye ulaşılır. Doğrudan ulaşım mümkün değilse, internet sitesinde yayımlama gibi uygun ve etkili yöntemlerle bildirim yapılabilir.
Bildirim yaptık diye ceza almaktan kurtulur muyuz? Bildirim, yükümlülüğün gereğidir ve iyi niyet göstergesidir; ancak tek başına ceza muafiyeti sağlamaz. Kurul, asıl veri güvenliği tedbirlerinin yeterliliğini de değerlendirir. Yine de zamanında ve eksiksiz bildirim, takdir edilecek ceza bakımından olumlu bir unsurdur.
Cezaya itiraz edilebilir mi? İdari para cezalarına karşı, ilgili mevzuatta öngörülen süre ve usul çerçevesinde yargı yoluna başvurulabilir. Bu süreçte ihlal anında tutulan kayıtlar ve alınan tedbirlere ilişkin belgeler savunmanın temelini oluşturur.
Veri ihlali süreçleri, saatlerin önem taşıdığı ve her adımın belgelenmesi gereken teknik-hukuki bir bütündür. Şirketinize özel bir ihlal müdahale planı oluşturmak, mevcut sözleşmelerinizi gözden geçirmek veya yaşanan bir ihlalde bildirim sürecini doğru yönetmek için Dural Hukuk Bürosu'na danışabilirsiniz: 0535 260 74 54.
Bu yazı yalnızca genel bilgilendirme amacı taşır, hukuki danışmanlık niteliğinde değildir. Her ihlalin kendine özgü koşulları bulunduğundan, somut durumunuza ilişkin adım atmadan önce bir avukata danışmanız önerilir.