Emin Çelik & Partners Emin ÇelikTeknoloji Hukuku
EN Bize Ulaşın

Ana Sayfa / Görüşler

Siber Saldırıya Uğrayan Şirketin 72 Saati: KVKK'ya ve Siber Güvenlik Başkanlığı'na Çifte Bildirim Yükümlülüğü

Siber Güvenlik Uyarıları12 Haziran 20268 dk okumaAv. Emin Çelik
Siber Saldırıya Uğrayan Şirketin 72 Saati: KVKK'ya ve Siber Güvenlik Başkanlığı'na Çifte Bildirim Yükümlülüğü

Kısa cevap: Sistemlerinize sızıldığını ve kişisel verilerin ele geçirildiğini öğrendiğiniz anda artık tek bir değil, iki ayrı bildirim yükümlülüğünüz var. Kişisel Verileri Koruma Kurulu'na 72 saat içinde, Siber Güvenlik Başkanlığı'na ise "gecikmeksizin" bildirimde bulunmanız gerekiyor. Birini yapıp diğerini ihmal etmek sizi cezadan kurtarmıyor; her iki kurum da kendi mevzuatı uyarınca ayrı ayrı idari para cezası uygulayabiliyor.

Ne değişti?

12 Mart 2025'te kabul edilen 7545 sayılı Siber Güvenlik Kanunu, Türkiye'de siber olay yönetiminin hukuki çerçevesini kökten değiştirdi. Kanun'dan önce bir veri ihlali yaşayan şirketin muhatabı esas itibarıyla Kişisel Verileri Koruma Kurumu'ydu. 6698 sayılı Kanun'un 12. maddesinin 5. fıkrası, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde durumun "en kısa sürede" ilgilisine ve Kurul'a bildirilmesini öngörüyordu; Kurul da 24.01.2019 tarihli ve 2019/10 sayılı kararıyla bu süreyi 72 saat olarak somutlaştırmıştı.

Siber Güvenlik Kanunu'nun 7. maddesinin birinci fıkrasının (b) bendi ise bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan ve işleyen herkese yeni bir yükümlülük getirdi: hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Siber Güvenlik Başkanlığı'na bildirmek. Bu yükümlülüğün ihlali, Kanun'un 16. maddesinin 10. fıkrası uyarınca 1.000.000 TL'den 10.000.000 TL'ye kadar idari para cezasıyla karşılanıyor.

Dikkat edilmesi gereken nokta şu: bu iki bildirim birbirinin yerine geçmiyor.

Neden iki ayrı ceza? "Aynı olay" savunması neden tutmaz?

Uygulamada müvekkillerden en sık duyduğumuz itiraz şudur: "Olay tek; aynı saldırı için iki kez nasıl cezalandırılabilirim?" Cevap, kabahetler hukukunun içtima kurallarında gizli.

Kabahatler Kanunu'nun 15. maddesinin 1. fıkrasına göre bir fiille birden fazla kabahat işlenirse yalnızca en ağır idari para cezası verilir (fikri içtima). Ancak bildirim yükümlülükleri söz konusu olduğunda ortada tek bir fiil yok. KVKK'ya bildirim ile Siber Güvenlik Başkanlığı'na bildirim, hem içerikleri hem de muhatapları bakımından birbirinden farklı iki ayrı yükümlülük. Birincisinde Kurul'a ve ilgili kişilere kişisel verilerin hukuka aykırı şekilde ele geçirildiğini, ikincisinde Başkanlığa siber olayın kendisini bildiriyorsunuz. İkisini birden ihmal eden veri sorumlusu, hukuki anlamda iki ayrı ihmali hareket gerçekleştirmiş oluyor.

Bu nedenle burada fikri içtima değil gerçek içtima uygulanır ve her iki otorite de kendi cezasını ayrı ayrı keser. Akgün ve Akıncı'nın Ankara Hacı Bayram Veli Üniversitesi Hukuk Fakültesi Dergisi'nde yayımlanan kapsamlı incelemesi de tam olarak bu sonuca varıyor: içeriği ve muhatabı farklı raporlama yükümlülüklerinin ihmali, hukuki anlamda farklı hareketlerdir; dolayısıyla her iki kurumun ayrı yaptırım uygulaması ne bis in idem (çifte cezalandırma yasağı) ilkesine de aykırılık oluşturmaz.¹ Yazarların işaret ettiği üzere benzer yaklaşım Alman içtihadında da benimsenmiş durumda; Frankfurt İstinaf Mahkemesi, bankacılık mevzuatındaki raporların hem Bundesbank'a hem BaFin'e gönderilmesi yükümlülüğünün ihmalinde iki ayrı ihmali hareketin varlığını kabul etmiştir.²

Somut bir senaryo üzerinden bakalım

Özel bir sağlık kuruluşunun sistemlerine fidye yazılımı bulaştığını ve hasta kayıtlarının şifrelendiğini varsayalım. Yönetim, olayı ne 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildiriyor ne de Siber Güvenlik Başkanlığı'na haber veriyor; etkilenen hastalar da bilgilendirilmiyor.

Bu tabloda:

  • KVKK m. 12/5'teki bildirim yükümlülüğünün ihlali nedeniyle m. 18/1-b kapsamında kabahat oluşur. 2025 yılı itibarıyla bu cezanın alt sınırı 204.285 TL, üst sınırı 13.620.402 TL'dir.
  • Aynı zamanda Siber Güvenlik Kanunu m. 7/1-b'deki bildirim yükümlülüğünün ihlali nedeniyle m. 16/10 kapsamında ayrı bir kabahat oluşur; bunun cezası 1.000.000 TL ile 10.000.000 TL arasındadır.

Toplam yaptırım, iki cezanın toplamıdır. Üstelik Siber Güvenlik Kanunu'nun 17. maddesinin 2. fıkrasındaki nispi ceza düzenlemesi, ihlal sonucu ortaya çıkan zarar veya elde edilen menfaatin üç ila beş katına kadar ceza verilebilmesine imkân tanıdığından, büyük ölçekli olaylarda fatura bu rakamların da üzerine çıkabilir.

Şirketler ne yapmalı?

Tecrübemiz, ihlal anında en büyük zaman kaybının "kime, neyi, nasıl bildireceğiz" sorusunda yaşandığını gösteriyor. Olay müdahale planınızda her iki bildirim kanalının da önceden tanımlanmış olması gerekir:

  1. Tek bir olay müdahale planında iki bildirim hattı kurgulayın. KVKK bildirimi için Kurum'un ihlal bildirim sistemi ve formu, Başkanlık bildirimi için ise ikincil mevzuatla belirlenecek usul takip edilmelidir.
  2. Süreleri karıştırmayın. KVKK için 72 saat net bir üst sınırdır; Siber Güvenlik Kanunu'ndaki "gecikmeksizin" ifadesi ise daha da kısa bir süreye işaret eder ve beklemeyi haklı kılacak bir tampon tanımaz.
  3. Bildirim içeriklerini ayrı ayrı hazırlayın. Kurul'a yapılan bildirimde etkilenen kişi ve kayıt sayısı, veri kategorileri ve alınan tedbirler; Başkanlığa yapılan bildirimde ise olayın teknik niteliği ön plandadır. Tek metni iki kuruma göndermek çoğu zaman eksik bildirim anlamına gelir.
  4. Bildirim kararını hukuk süzgecinden geçirin ama geciktirmeyin. Geç bildirimin gerekçesinin Kurul'a sunulması mümkün olsa da uygulamada geç bildirim, başlı başına ceza gerekçesi olarak değerlendirilebilmektedir.

Sık sorulan sorular

Veri ihlali yok, sadece sistemlere erişim denemesi var. Yine de bildirim gerekir mi? KVKK bildirimi, kişisel verilerin fiilen ele geçirilmesi hâlinde devreye girer. Ancak Siber Güvenlik Kanunu m. 7/1-b "zafiyet" tespitini de bildirim kapsamına aldığından, kişisel veri boyutu olmayan olaylarda dahi Başkanlığa bildirim yükümlülüğü gündeme gelebilir.

Veri işleyen konumundayız; bildirim yükümlülüğü bizde mi, veri sorumlusunda mı? KVKK kapsamındaki bildirimin muhatabı veri sorumlusudur; veri işleyenin ihlali öğrendiğinde veri sorumlusuna derhâl haber vermesi gerekir. Siber Güvenlik Kanunu ise bilişim sistemleri üzerinden hizmet sunan herkesi kapsadığından, veri işleyen sıfatıyla faaliyet gösterenler de Başkanlığa karşı doğrudan yükümlü olabilir.

İki kuruma da bildirdik; yine de ceza riski var mı? Bildirim yükümlülüğünü yerine getirmiş olmanız, güvenlik tedbirlerini gerektiği gibi almadığınız yönündeki bir tespiti ortadan kaldırmaz. Bildirim ve tedbir yükümlülükleri ayrı ayrı değerlendirilir; bu konuyu ayrı bir yazıda ele aldık.

Kaynaklar

  1. Akgün, Mustafa / Akıncı, Muhammed Furkan, "Kişisel Verilerin Korunması Kanunu'nda Düzenlenen Kabahatler ile Siber Güvenlik Kanunu'nda Düzenlenen Kabahatler Arasında İçtima İlişkisi", Ankara Hacı Bayram Veli Üniversitesi Hukuk Fakültesi Dergisi, 2026, C. 30, S. 3, s. 1399-1455.
  2. OLG Frankfurt a.M., Beschl. v. 30.4.2020 – 2 Ss-OWi 85/19.
  3. 6698 sayılı Kişisel Verilerin Korunması Kanunu, m. 12, 18; Kişisel Verileri Koruma Kurulu'nun 24.01.2019 tarihli ve 2019/10 sayılı kararı.
  4. 7545 sayılı Siber Güvenlik Kanunu, m. 7, 16, 17.

Bu konuda hukuki desteğe mi ihtiyacınız var?

Şirketinizin durumuna özel değerlendirme için iletişime geçin.

Görüşme Planla

← Tüm yazılar