Kişisel Veri İhlalinde Ne Yapılmalı? Bildirim Süreci ve Cezalar

shape
shape
shape
shape
shape
shape
shape
shape
  • 26.01.2025
  • Özgür ÇİFTCİ
  • 7 dk okuma
  • KVKK

Giriş

Her kurumun başına gelebilecek en ciddi olaylardan biri, kişisel verilerin yetkisiz şekilde ele geçirilmesi veya ifşa edilmesidir.
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) bu durumları “veri ihlali” olarak tanımlar ve kurumlara bildirim yükümlülüğü getirir.

Bu yazıda, veri ihlali yaşandığında neler yapılması gerektiğini, bildirim süresini, ceza risklerini ve kurumların alması gereken önlemleri anlatıyoruz.

Kişisel Veri İhlali Nedir?

KVKK’ya göre kişisel veri ihlali;

Kişisel verilerin yetkisiz kişilerce elde edilmesi, paylaşılması, değiştirilmesi, silinmesi veya yok edilmesi durumudur.

Bu ihlal, siber saldırı, insan hatası veya teknik arıza gibi birçok farklı yolla gerçekleşebilir.
Örnekler:

  • Yetkisiz erişim veya sızma (ör. e-posta hesabının hacklenmesi),
  • USB, laptop veya sunucu kaybı,
  • Yanlış kişiye e-posta gönderilmesi,
  • Yedekleme diskinin çalınması,
  • Log veya yedeklerin açıkta bırakılması.

İhlal Durumunda İlk 72 Saat Çok Önemli

Kişisel veri ihlali yaşandığında ilk 72 saat içinde harekete geçilmesi gerekir.
Bu süre, KVKK Kurulu tarafından açıkça belirlenmiştir.

Kurumun yapması gereken adımlar:

  1. İhlali tespit etmek ve etki analizini başlatmak
    • Hangi veriler etkilendi, kaç kişi etkilendi, ihlalin nedeni ne?
  2. Kurul Bildirimi (KVKK Bildirim Formu)
    • 72 saat içinde KVKK Kurumu’na çevrimiçi sistem üzerinden bildirim yapılmalıdır.
  3. Veri Sahiplerinin Bilgilendirilmesi
    • Etkilenen kişilere, makul süre içinde, açık ve sade bir bilgilendirme yapılmalıdır.
    • Bildirimde; ihlalin ne zaman olduğu, hangi verileri kapsadığı ve alınan önlemler açıklanmalıdır.
  4. Kök neden analizi ve önlem planı
    • Aynı ihlalin tekrar yaşanmaması için teknik ve idari önlemler alınmalıdır.

Bildirim yapılmaması veya gecikmesi durumunda, kurum “ihlali gizlediği” kabul edilir ve ağır cezalarla karşılaşabilir.

KVKK Kuruluna Bildirim Nasıl Yapılır?

Bildirim süreci https://ihlalbildirim.kvkk.gov.tr/ adresinden yapılır.
Formda şu bilgiler istenir:

  • Veri sorumlusu bilgileri,
  • İhlalin türü ve kapsamı,
  • Etkilenen kişi sayısı,
  • Alınan ve planlanan önlemler,
  • İletişim ve irtibat kişisi bilgileri.

KVKK Kurulu bu bildirimleri değerlendirir ve gerekirse kamuya duyurabilir.
Bazı ihlaller (ör. büyük ölçekli veri sızıntıları) USOM (Ulusal Siber Olaylara Müdahale Merkezi) ile de paylaşılabilir.

İhlal Bildirimi Yapılmazsa Ne Olur?

KVKK’nın 18. maddesi uyarınca;
ihlalin bildirilmemesi, geç bildirilmesi veya yanlış bilgi verilmesi durumunda idari para cezası uygulanabilir.

2025 yılı için güncel ceza aralıkları:

| İhlal Türü | Ceza Aralığı (TL) | Kanun Maddesi | |-------------|-------------------|----------------| | Bildirim yükümlülüğünü yerine getirmemek | 272.380 – 13.620.402 | Madde 18/1-ç | | Veri güvenliği yükümlülüklerine aykırılık | 204.285 – 13.620.402 | Madde 18/1-b |

Ayrıca Türk Ceza Kanunu’na göre, kişisel verilerin hukuka aykırı şekilde paylaşılması veya saklanması halinde 1 yıldan 4 yıla kadar hapis cezası öngörülmektedir.

Veri İhlaline Karşı Alınabilecek Önlemler

Veri ihlallerini tamamen önlemek mümkün olmasa da, etkilerini minimize etmek mümkündür.
Kuruluşların alması gereken önlemler:

  • Erişim kontrolü ve log yönetimi
  • Düzenli yedekleme ve veri imha politikası
  • DLP, SIEM ve MDM sistemlerinin kullanımı
  • Personel farkındalık eğitimi
  • İç denetim ve sızma testlerinin düzenli yapılması

Kurumun bilgi güvenliği, sadece teknolojik araçlara değil; insan, süreç ve farkındalığa dayanır.

Danışmanla Çalışmak Neden Önemlidir?

Veri ihlaliyle karşılaşıldığında doğru yönetim, hasarı minimuma indirir.
KVKK ve ISO 27001 danışmanları, kurumun:

  • Olay müdahale planını oluşturmasına,
  • Bildirim süreçlerini zamanında yürütmesine,
  • Kurul incelemelerinde güçlü savunma hazırlamasına yardımcı olur.

Bir ihlal yaşanmadan önce süreci planlamak,
bir ihlal yaşandıktan sonra savunma yapmaktan çok daha az maliyetlidir.

Sonuç

Kişisel veri ihlalleri her kurum için büyük bir risk oluşturur.
72 saat içinde yapılacak doğru bildirim, hem cezai riskleri azaltır hem de kurumsal itibarın korunmasını sağlar.
Unutmayın: Veri ihlali değil, yönetilemeyen ihlal kurumlara zarar verir.

💬 Veri ihlali yönetimi ve KVKK danışmanlığı sürecinde profesyonel destek almak için bizimle iletişime geçebilirsiniz.

İlgili Yazılar

#KVKK #Veriİhlali #KişiselVeri #VeriKoruma #KVKKBildirim #KVKKBildirimFormu #KVKKCezası #VERBIS #BGYS #SiberGüvenlik

Blog'a Dön