Emin Çelik & Partners Emin ÇelikTeknoloji Hukuku
EN Bize Ulaşın

Ana Sayfa / Görüşler

KVKK Veri İhlali Bildirimi Nasıl Yapılır? Adım Adım Rehber (2026)

KVKK Güncellemeleri11 Haziran 20268 dk okumaAv. Emin Çelik
KVKK Veri İhlali Bildirimi Nasıl Yapılır? Adım Adım Rehber (2026)

Kısa cevap: Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğini öğrenen veri sorumlusu, en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirimde bulunmak; etkilenen kişileri de makul en kısa sürede bilgilendirmek zorundadır. Bildirim, Kurum'un Veri İhlali Bildirim Formu doldurularak ihlal bildirim sistemi üzerinden yapılır. Bildirimin hiç yapılmaması veya geç yapılması, KVKK m. 18/1-b kapsamında 2025 yılı itibarıyla 13.620.402 TL'ye varan idari para cezasına yol açabilir.

Bildirim yükümlülüğü ne zaman doğar?

6698 sayılı Kanun'un 12. maddesinin 5. fıkrası açıktır: "İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir."

Buradaki kritik eşik, verilerin üçüncü kişilerce "elde edilmesi"dir. Uygulamada bu kavram geniş yorumlanıyor: sistemlere yetkisiz erişim, veri tabanının sızdırılması, yanlış alıcıya gönderilen e-posta, çalınan veya kaybolan cihazlar, hatta fidye yazılımıyla verilerin şifrelenmesi dahi bildirim yükümlülüğünü tetikleyebilir. Tereddüt hâlinde sorulması gereken soru şudur: kişisel verilerin gizliliği, bütünlüğü veya erişilebilirliği yetkisiz bir müdahaleyle ihlal edildi mi?

Yükümlülüğün muhatabı veri sorumlusudur. Veri işleyen konumundaki tedarikçiler (bulut sağlayıcı, çağrı merkezi, yazılım firması) ihlali öğrendiklerinde durumu gecikmeksizin veri sorumlusuna bildirmekle yükümlüdür; Kurul'a bildirimi yapacak olan ise veri sorumlusudur.

72 saat kuralı: süre ne zaman başlar?

Kanun "en kısa sürede" derken, Kurul 24.01.2019 tarihli ve 2019/10 sayılı kararıyla bu ifadeyi 72 saat olarak somutlaştırmıştır. Süre, ihlalin veri sorumlusu tarafından öğrenildiği anda başlar. "Öğrenme", ihlalin tüm boyutlarıyla aydınlatılması değil, makul bir kesinlik derecesiyle ihlalin gerçekleştiğinin anlaşılmasıdır; soruşturmayı tamamlamayı bekleyerek süreyi uzatmak mümkün değildir.

72 saat içinde tüm bilgilere ulaşılamıyorsa ne olacak? Kurul'un kabul ettiği çözüm aşamalı bildirimdir: eldeki bilgilerle süresi içinde ilk bildirim yapılır, eksik kalan hususlar tamamlandıkça ek bildirimlerle Kurum'a iletilir. Haklı bir gerekçeyle 72 saatin aşıldığı hâllerde ise gecikmenin nedenlerinin bildirimle birlikte Kurul'a açıklanması gerekir. Şunu açıkça söyleyelim: uygulamada geç bildirim, Kurul kararlarında başlı başına bir ceza gerekçesi olarak karşımıza çıkmaktadır; gerekçe sunma imkânı bir af mekanizması değildir.

Adım adım bildirim süreci

Adım 1 — İhlali tespit edin ve kayıt altına alın. Olayın ne zaman, nasıl öğrenildiğini, hangi sistemleri ve veri kategorilerini etkilediğini zaman damgalı olarak belgeleyin. Bu kayıtlar hem bildirimin içeriğini besler hem de olası bir incelemede tedbir savunmanızın omurgasını oluşturur.

Adım 2 — Veri İhlali Bildirim Formu'nu doldurun. Kurum'un yayımladığı form, bildirimin asgari içeriğini belirler. Formda özetle şunlar istenir:

  • İhlalin gerçekleştiği ve tespit edildiği tarih,
  • İhlalin kaynağı ve nasıl gerçekleştiği (siber saldırı, insan hatası, kasıtlı eylem vb.),
  • Etkilenen kişi ve kayıt sayısı (kesin değilse tahminî),
  • Etkilenen veri kategorileri (özel nitelikli veri ayrımıyla),
  • İhlalin olası sonuçları,
  • İhlal öncesinde ve sonrasında alınan teknik ve idari tedbirler,
  • İlgili kişilerin bilgilendirilme şekli ve veri sorumlusu irtibat bilgileri.

Adım 3 — Bildirimi Kurum'a iletin. Bildirim, Kurum'un çevrim içi ihlal bildirim sistemi (ihlalbildirim.kvkk.gov.tr) üzerinden yapılır. Sistem üzerinden bildirimin yapılamadığı istisnai hâllerde formun Kurum'a fiziken veya KEP üzerinden iletilmesi mümkündür.

Adım 4 — İlgili kişileri bilgilendirin. Kurul'un 2019/10 sayılı kararı uyarınca, ihlalden etkilenen kişilere makul olan en kısa sürede bildirim yapılmalıdır. İletişim bilgisine ulaşılabilen kişilere doğrudan; ulaşılamıyorsa veri sorumlusunun internet sitesinde yayımlanacak bir duyuru gibi uygun yöntemlerle. Bildirimde açık ve sade bir dille ihlalin niteliği, olası sonuçları, alınan tedbirler ve ilgili kişinin bilgi alabileceği iletişim kanalları yer almalıdır.

Adım 5 — İhlal kaydı tutun ve süreci raporlayın. İhlal kapanmış olsa bile olayın, etkilerinin ve alınan aksiyonların kaydedildiği bir iç envanter tutulması, hem hesap verebilirlik ilkesinin gereği hem de Kurul'un sonraki bilgi taleplerine hazırlık açısından zorunludur.

Bildirmemenin bedeli

Bildirim yükümlülüğü, KVKK m. 12 kapsamındaki veri güvenliği yükümlülüklerinden biridir; ihlali hâlinde m. 18/1-b uyarınca 2025 yılı için 204.285 TL ile 13.620.402 TL arasında idari para cezası uygulanır. Kurul kararlarında bildirim yükümlülüğünün ihlali, tedbir eksikliğinden bağımsız ve ayrı bir ceza kalemi olarak değerlendirilmektedir; yani hem tedbirsizlikten hem bildirmemeden ayrı ayrı ceza kesilebilir.

Önemli bir hatırlatma: 2025'te yürürlüğe giren Siber Güvenlik Kanunu ile birlikte, ihlalin aynı zamanda bir siber olaydan kaynaklandığı durumlarda Siber Güvenlik Başkanlığı'na da ayrı bir bildirim yükümlülüğü doğuyor. İki bildirim birbirinin yerine geçmiyor; doktrinde de kabul edildiği üzere ikisinin ihmali hâlinde her iki kurum ayrı ayrı yaptırım uygulayabiliyor.¹ Başkanlığa bildirimin usulünü ayrı bir rehber yazıda ele aldık.

Sık sorulan sorular

Şifrelenmiş veriler sızdı; yine de bildirim gerekir mi? Verilerin güçlü şekilde şifrelenmiş olması ve anahtarın ele geçirilmemiş olması, ihlalin ilgili kişiler üzerindeki risk değerlendirmesini etkiler. Ancak Türk hukukunda GDPR m. 33/1'deki gibi açık bir "risk eşiği" istisnası bulunmadığından, ihtiyatlı yaklaşım bildirimde bulunmak yönündedir.

Yurt dışındaki grup şirketimizde yaşanan ihlal Türkiye'de bildirilmeli mi? Türkiye'deki ilgili kişilerin verileri etkilendiyse ve Türkiye'de veri sorumlusu sıfatınız varsa, evet.

Bildirim ceza almamızı engeller mi? Hayır; bildirim bir yükümlülüğün ifasıdır, tedbir eksikliklerini ortadan kaldırmaz. Ancak süresinde ve eksiksiz bildirim, Kurul'un ceza takdirinde lehe değerlendirilen bir unsurdur.

Kaynaklar

  1. Akgün, Mustafa / Akıncı, Muhammed Furkan, "Kişisel Verilerin Korunması Kanunu'nda Düzenlenen Kabahatler ile Siber Güvenlik Kanunu'nda Düzenlenen Kabahatler Arasında İçtima İlişkisi", Ankara Hacı Bayram Veli Üniversitesi Hukuk Fakültesi Dergisi, 2026, C. 30, S. 3, s. 1399-1455.
  2. 6698 sayılı KVKK, m. 12/5, 18/1-b; Kişisel Verileri Koruma Kurulu'nun 24.01.2019 tarihli ve 2019/10 sayılı kararı.
  3. Kişisel Verileri Koruma Kurumu, Kişisel Veri İhlali Bildirim Formu ve ihlal bildirim sistemi (ihlalbildirim.kvkk.gov.tr).

Bu konuda hukuki desteğe mi ihtiyacınız var?

Şirketinizin durumuna özel değerlendirme için iletişime geçin.

Görüşme Planla

← Tüm yazılar