KVKK Veri İhlali Bildirim Yükümlülüğü: 6698 SK m.12, 72 Saat Kuralı ve 2026 Cezaları
Kişisel verilerin dijital ortamda büyük hacimlerde işlendiği günümüzde kvkk veri ihlali bildirim yükümlülüğü, veri sorumlusunun karşılaşacağı en kritik yükümlülüklerin başında gelmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesinin beşinci fıkrası ile getirilen “en kısa sürede bildirim” ilkesi, Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile somutlaştırılmış ve 72 saatlik azami bildirim süresi olarak uygulanır hale gelmiştir. Bu süre içinde hem Kişisel Verileri Koruma Kuruluna hem de ilgili kişilere bildirim yapmayan veri sorumluları, 2026 yılında güncellenen tutarlarla milyonlarca TL’ye ulaşan idari para cezalarıyla karşılaşabilmektedir. Rehberimizde veri ihlali kavramını, 72 saat kuralının kapsamını, bildirim içeriğini, Kurul karar sürecini, 2026 idari para cezalarını ve ilgili kişinin TBK m.49 kapsamındaki tazminat hakkını sistematik olarak inceleyeceğiz.
Avukatla Görüşün: 0554 648 37 15WhatsApp Danışma
Veri İhlali Kavramı ve 6698 SK m.12 Dayanağı
6698 sayılı Kanun’un 12. maddesi, veri sorumlusuna kişisel verilerin güvenliği bakımından beş fıkra hâlinde yükümlülük yükler. Birinci fıkraya göre veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek, ayrıca verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. İkinci fıkra, verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi (veri işleyen) tarafından işlenmesi hâlinde müşterek sorumluluk esasını getirir; üçüncü fıkra ise veri sorumlusunun kendi kurum ve kuruluşunda Kanun’un uygulanmasını sağlamak amacıyla gerekli denetimleri yapma veya yaptırma zorunluluğunu düzenler. Dördüncü fıkra veri sorumluları ile veri işleyenlerin öğrendikleri kişisel verileri Kanun’a aykırı biçimde başkasına açıklayamayacağını ve işleme amacı dışında kullanamayacağını hüküm altına alır.
Veri ihlalinin (data breach) kanuni dayanağı m.12/5’tir. Bu fıkraya göre “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.” Kanun metninde “en kısa süre” kavramı somut olarak tanımlanmamış olsa da Kurul, 2019/10 sayılı Kararı ile bu ifadeyi 72 saatlik azami süre olarak yorumlamıştır. Böylece kanuni olmayan yollarla verilerin elde edilmesi olayı (siber saldırı, hesap ele geçirme, oltalama, çalıntı cihaz, kötü niyetli çalışan erişimi, yanlış paylaşım, sunucu sızıntısı, fidye yazılımı vb.) veri sorumlusu tarafından öğrenildiği andan itibaren en geç üçüncü günün sonuna kadar bildirim yapılmalıdır.
Veri ihlali kavramı sadece siber saldırılarla sınırlı değildir. Kurul uygulamasında bir çalışanın ofisten çıkarken üzerinde müşteri listesi bulunan taşınabilir belleği kaybetmesi, bir hastaya başka hastanın tahlil sonucunun sehven verilmesi, kargo şirketinin taşıma sırasında müşteri sözleşmelerini kaybetmesi, e-postanın yanlış alıcıya gönderilmesi, bulut depoda erişim yetkisinin hatalı yapılandırılması gibi senaryolar da veri ihlali olarak değerlendirilmektedir. Ortak nokta; verinin gizliliğinin, bütünlüğünün ya da erişilebilirliğinin hukuka aykırı biçimde ihlal edilmiş olmasıdır. GDPR m.4/12’de yer alan tanım da bu üçlü koruma yaklaşımını benimser ve KVKK Kurulu 2019/10 sayılı Kararında kavramı geniş yorumlar.
72 Saatlik Bildirim Süresi – KVKK 2019/10 Sayılı Karar
Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararı, “kişisel veri ihlali bildirim usul ve esaslarına ilişkin” temel düzenleyici belgedir. Karara göre veri sorumlusu, ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kişisel Verileri Koruma Kuruluna bildirimde bulunmakla yükümlüdür. Sürenin başlangıcı, ihlalin fiilen gerçekleştiği an değil, veri sorumlusunun ihlali öğrendiği (haberdar olduğu) andır. Bu ayrım özellikle uzun süre fark edilmeyen sızıntılar (sessiz veri hırsızlığı, dark web’de veri satışının fark edilmesi, yıllar sonra ortaya çıkan yetkisiz erişim izleri vb.) bakımından hayati önem taşır.
72 saatlik süre içinde bildirim yapılamıyorsa Karar, gecikmenin gerekçelerinin bildirim sırasında açıklanmasını da gerekli kılmıştır. Kurul emsal kararlarında; veri sorumlusunun çok uluslu yapısı, olayın yurtdışı iştirakler nezdinde yaşanması, adli bilişim (forensic) analiz süresinin uzunluğu gibi gerekçeleri belirli koşullarda makul kabul etmişse de her somut olayda gerekçenin ikna edici ve belgeye dayalı olması aranır. Örneğin Kurulun 08.12.2020 tarih ve 2020/934 sayılı Kararı’nda enerji sektöründeki veri sorumlusunun 16.09.2019’da öğrendiği ihlali 24.10.2019 tarihinde bildirmesi süre bakımından geç sayılmış; ancak çok uluslu yapısı ve etkilenen ülkelerin ayrı ayrı tespit edilmesi zorunluluğu makul gerekçe olarak değerlendirilmiştir.
İlgili kişilere bildirim bakımından 2019/10 sayılı Karar iki yol öngörür. İlgili kişilerin iletişim adresine ulaşılabiliyorsa doğrudan bildirim (e-posta, SMS, ıslak imzalı yazı) yapılır. Adrese ulaşılamıyorsa veri sorumlusunun kendi internet sitesi üzerinden yayın veya benzeri uygun yöntemler kullanılır. İlgili kişiye bildirimin de makul en kısa süre içinde yapılması gerekir; Kurul bu süre için ayrı bir gün sınırı belirlememiş olsa da uygulamada etkilenen kişilerin tespit edilmesinden hemen sonra bildirimin yapılması beklenmektedir.
Avukatla Görüşün: 0554 648 37 15WhatsApp Danışma
Bildirim İçeriği, Form ve İlgili Kişinin Bilgilendirilmesi
Kurul, veri ihlali bildiriminin standardize edilmesi amacıyla “Kişisel Veri İhlal Bildirim Formu”nu yayımlamıştır. Form, kvkk.gov.tr resmi sitesinden temin edilir ve doldurulan form güvenli elektronik ortamda Kuruma iletilir. Formda yer alması zorunlu bilgiler şu başlıklarda özetlenebilir:
- İhlalin niteliği: Yetkisiz erişim, veri hırsızlığı, kaybolma, ifşa, sızma, imha, silme, değiştirme türlerinden hangisinin gerçekleştiği; olayın nasıl meydana geldiği ve hangi yolla tespit edildiği.
- Etkilenen kişisel veri kategorileri: Kimlik, iletişim, finansal, sağlık, biyometrik, özel nitelikli veriler, çocuk verileri, çalışan verileri gibi kategorilerin hangilerinin ve ne ölçüde etkilendiği.
- Etkilenen kişi sayısı ve grubu: Yaklaşık kişi sayısı, kayıt sayısı; etkilenen grubun (müşteri, çalışan, üye, tedarikçi, öğrenci vb.) niteliği.
- İhlalin muhtemel sonuçları: Kimlik hırsızlığı, dolandırıcılık, itibar kaybı, mali kayıp, ayrımcılık, fiziksel zarar riski gibi olası zararlar.
- Alınan ve alınacak tedbirler: İhlal sonrası derhal uygulanan teknik tedbirler (parola sıfırlama, sistemin kapatılması, WAF kuralı ekleme, VPN erişim iptali), idari tedbirler (personel eğitimi, prosedür güncelleme), disiplin ve hukuki süreçler.
- İletişim noktası: Veri sorumlusu adına Kurul ile iletişime geçecek irtibat kişisi (uygulamada uyum yöneticisi, hukuk müşaviri veya Veri Sorumlusu Temsilcisi).
Bildirimin ilk yapıldığı anda tüm bilgilerin eksiksiz sunulması mümkün değilse, Kurul kararı gereği aşamalı bildirim yapılabilir. İlk bildirimde mevcut bilgi sunulur, akabinde tamamlayıcı bildirimler yapılır. Bu yaklaşım GDPR m.33/4’te yer alan “aşamalı bildirim” ilkesiyle örtüşür. İlgili kişilere yapılan bildirim ise anlaşılır bir dille, kişinin haklarını (KVKK m.11-13 kapsamında başvuru hakkı, m.14/2 kapsamında tazminat talep hakkı) ve alması gereken tedbirleri (parola değişimi, kart iptali, hesap izleme, kimlik uyarı kaydı vb.) içerecek biçimde hazırlanmalıdır.
KVKK Kurulunun İnceleme ve Karar Süreci
Bildirimi alan Kurul, resen inceleme başlatır ve gerektiğinde veri sorumlusundan ek bilgi ve belge talep eder. İnceleme sürecinde teknik tedbirlerin (şifreleme, ağ güvenliği, yedekleme, log kayıtları, sızma testleri, WAF, IPS/IDS, DLP çözümleri) ve idari tedbirlerin (kişisel veri envanteri, saklama ve imha politikası, personel eğitimleri, gizlilik sözleşmeleri, erişim yetki matrisi, olay müdahale planı) yeterliliği değerlendirilir. Kurul, gerektiğinde veri sorumlusunun yerinde denetimini de yaptırabilir.
Kurulun 17.09.2020 tarih ve 2020/715 sayılı Kararı’nda bir e-ticaret şirketinin 17.12.2019’da başlayan hesap ele geçirme (credential stuffing) saldırısını aynı gün fark edip 20.12.2019’da Kurula bildirmesi 72 saatlik süre bakımından uygun bulunmuş; ancak IP bazlı başarısız giriş denemesi sınırlamasının olay öncesi uygulanmamış olması ve WAF kurallarının eksikliği veri güvenliği yükümlülüğünün ihlali sayılmıştır. Şirkete 165.000 TL idari para cezası uygulanmıştır. Kurulun 24.11.2020 tarih ve 2020/905 sayılı Kararı’nda ise bir sigorta şirketinin test sunucusu üzerinden yaşanan sızma olayı incelenmiş; yıllık sızma testinin yapılmamış olması, test sayfasının internete açık tutulmuş olması ve parola politikasının yetersizliği nedeniyle m.12/1 ihlali kabul edilerek 300.000 TL, ayrıca 72 saatlik bildirim süresine uyulmadığı için m.18/1-(b) uyarınca 30.000 TL daha ceza verilmiş, toplam ceza 330.000 TL olarak belirlenmiştir.
Karara karşı veri sorumlusu, 2577 sayılı İdari Yargılama Usulü Kanunu m.7 çerçevesinde tebliğ tarihinden itibaren 60 gün içinde idare mahkemesinde iptal davası açabilir. Ankara idare mahkemeleri, Kurulun Ankara’da bulunması sebebiyle yetkili mahkeme olarak öne çıkar. Yargılama sürecinde Kurulun somut olay değerlendirmesi, cezanın orantılılığı (5326 sayılı Kabahatler Kanunu m.17 kapsamında), gerekçelendirmenin yeterliliği (Anayasa m.125 ve İYUK m.24) gibi hukuki denetim noktaları öne çıkar.
İdari Para Cezaları – 6698 SK m.18 (2026 Rakamları)
6698 sayılı Kanun’un 18. maddesi, veri sorumlusunun yükümlülüklerini yerine getirmemesi hâline özgü kabahatler ve idari para cezalarını düzenler. Bu cezalar, 5326 sayılı Kabahatler Kanunu m.17/7 ve 213 sayılı Vergi Usul Kanunu mükerrer m.298 gereği her takvim yılı başında yeniden değerleme oranıyla güncellenir. 2026 yılı için Hazine ve Maliye Bakanlığınca ilan edilen yeniden değerleme oranı %25,49tur; bu oran 2025 üst ve alt sınırlarına uygulanarak 01.01.2026 itibariyle geçerli tutarlar belirlenmiştir. Kurumun resmi internet sitesinde yayımlanan güncel tutarlar özetle şöyledir:
- m.18/1-(a) Aydınlatma yükümlülüğünü yerine getirmemek (m.10): 85.437 TL – 1.709.200 TL
- m.18/1-(b) Veri güvenliğine ilişkin yükümlülükleri yerine getirmemek (m.12): 256.357 TL – 17.092.242 TL
- m.18/1-(ç) Kurul kararlarını yerine getirmemek (m.15): 427.263 TL – 17.092.242 TL
- m.18/1-(d) Veri Sorumluları Sicili (VERBİS) kayıt ve bildirim yükümlülüğü (m.16): 341.809 TL – 17.092.242 TL
Kritik nokta şudur: 72 saat kuralına aykırı biçimde bildirimin geciktirilmesi veya hiç yapılmaması, m.12/5’te düzenlenen veri güvenliği yükümlülüğünün ihlali olarak m.18/1-(b) kapsamında değerlendirilir. Böylece geç veya hatalı bildirim, tek başına 2026 yılında 256.357 TL‘den başlayan idari para cezasını gerektirmektedir. Cezanın somut olayda hangi düzeyde belirleneceği; ihlalin ağırlığı, etkilenen kişi sayısı, veri sorumlusunun ticari büyüklüğü, benzer olayların tekerrürü, alınan tedbirler ve işbirliği tutumu gibi kriterlere göre Kurul takdirinde şekillenir. GDPR’ın küresel cironun %4’ü veya 20 milyon Euro’ya kadar üst limitine kıyasla ceza aralığı düşük görünse de m.18 cezasının her ihlal başına ayrı ayrı uygulanabilmesi mümkün olup tekerrürde etkin bir bileşik ceza doğurmaktadır.
Avukatla Görüşün: 0554 648 37 15WhatsApp Danışma
İlgili Kişinin Tazminat Hakkı – TBK m.49 ve 6698 SK m.14/2
Veri ihlali sadece veri sorumlusu ile Kurul arasındaki idari boyutla sınırlı değildir. Verisi ihlale uğrayan ilgili kişi, uğradığı maddi ve manevi zararlar bakımından özel hukuk yollarına başvurma hakkına sahiptir. 6698 sayılı Kanun’un 14. maddesinin ikinci fıkrası, “kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır” demek suretiyle bu yolu açıkça korumuştur. Genel hükümlerin başında 6098 sayılı Türk Borçlar Kanunu’nun 49. maddesi gelir. TBK m.49’a göre kusurlu ve hukuka aykırı bir fiille başkasına zarar veren, bu zararı gidermekle yükümlüdür. Veri sorumlusunun m.12’de aranan teknik ve idari tedbirleri almadaki kusuru, TBK m.49 anlamında haksız fiil sorumluluğunun kaynağını oluşturur.
Manevi tazminat için TBK m.58 (kişilik hakkının zedelenmesi) uygulanır. Kişisel verilerin ifşası; özel hayatın gizliliği (Anayasa m.20, TMK m.24), sır çevresi, itibar ve mahremiyet hakkı gibi kişilik değerlerine yönelik saldırı sayıldığı ölçüde manevi tazminata konu olur. Uygulamada özellikle sağlık verilerinin, cinsel yönelim, dini inanç, siyasi görüş gibi özel nitelikli kişisel verilerin (m.6) ifşası daha yüksek manevi tazminatlarla sonuçlanmaktadır. Maddi tazminat bakımından kimlik hırsızlığı sonucu kredi kartından yapılan haksız çekim, yetkisiz kredi başvurusu, banka hesabından para transferi gibi somut zararlar; belge, dekont ve banka kayıtları ile ispatlanmak kaydıyla talep edilebilir.
Görev bakımından veri ihlali kaynaklı tazminat davaları, davalı sıfatı taşıyan veri sorumlusunun niteliğine göre tüketici mahkemesinde (veri sorumlusu tüketiciye mal veya hizmet sunuyor ve ilgili kişi tüketici sıfatındaysa; 6502 sayılı Tüketicinin Korunması Hakkında Kanun m.73) veya asliye hukuk mahkemesinde açılır. Yetki bakımından haksız fiile ilişkin HMK m.16’nın haksız fiilin işlendiği veya zararın meydana geldiği yer mahkemesi kuralı uygulanabilir; ilgili kişinin ikametgahı seçenek olarak öne çıkar. Zamanaşımı bakımından TBK m.72 uyarınca zararı ve veri sorumlusunun kimliğini öğrenmeden itibaren 2 yıl ve her hâlde fiilin işlenmesinden itibaren 10 yıl sınırları geçerlidir.
Sıkça Sorulan Sorular
72 saatlik süre ne zaman başlar?
Kurulun 2019/10 sayılı Kararı gereği süre, veri sorumlusunun ihlali öğrendiği andan itibaren işlemeye başlar. İhlalin fiilen gerçekleştiği an değil, veri sorumlusunun (iç denetim, IT ekibi, dış bildirim veya siber güvenlik alarmı vb. yollarla) durumu somut olarak öğrendiği tarih esastır. Öğrenme tarihi belirsizse Kurul, veri sorumlusunun ihlali makul özen çerçevesinde ne zaman öğrenmesi gerektiği değerlendirmesini yapabilir; bu nedenle log kayıtları ve olayın fark ediliş anına dair belgelerin özenle saklanması kritik önemdedir.
72 saati aştım, sorumluluğum artacak mı?
Evet; bildirimin 72 saatte yapılmaması m.18/1-(b) uyarınca 2026 yılı için 256.357 TL’den başlayan ayrı bir idari para cezası riski doğurur. Ancak gecikmenin somut ve belgeli gerekçesi (çok uluslu yapı, forensic analiz süresinin uzunluğu, adli mercilerle temas gibi durumlar) Kurulca makul kabul edilirse ceza uygulanmayabilir. Bu durumda dahi bildirim mutlaka yapılmalı, gecikme gerekçesi bildirim sırasında açıklanmalıdır; hiç bildirim yapmamak en ağır ihlal biçimidir.
Bildirimi kim yapmalı, veri sorumlusu temsilcisi zorunlu mu?
Bildirim yükümlülüğü hukuki olarak veri sorumlusuna aittir. Yurt dışında yerleşik veri sorumluları için Türkiye’de temsilci atama yükümlülüğü (m.16) çerçevesinde veri sorumlusu temsilcisi bildirimi yapabilir. Uygulamada büyük kuruluşlarda uyum yöneticisi (compliance officer) veya hukuk müşavirliği eliyle bildirim yapılırken; küçük veri sorumlularında yönetim kurulu veya bilgi güvenliği yöneticisi bildirimi imzalar. Bildirimi imzalayacak kişinin veri sorumlusunu temsile yetkili olması gerekir.
İlgili kişilere bildirim nasıl yapılır?
İlgili kişilerin iletişim bilgilerine ulaşılabiliyorsa doğrudan (e-posta, SMS, iadeli taahhütlü mektup) bildirim yapılır. Bilgilere ulaşılamıyorsa veri sorumlusunun kendi internet sitesinde en az yedi gün süreyle yayınlama gibi uygun yollar kullanılır. 2019/10 sayılı Karar “makul en kısa süre” ilkesini benimser; spesifik gün belirtmemiştir. Uygulamada etkilenen kişilerin tespit edilmesinden itibaren birkaç iş günü içinde bildirim beklenmektedir. Gecikmiş bildirim, ilgili kişinin tazminat talebinin kabulünde delil olarak da kullanılabilir.
Küçük şirket olarak bildirim yükümlülüğüm var mı?
Evet. 6698 sayılı Kanun m.12 herhangi bir çalışan sayısı veya ciro sınırlaması getirmez; kişisel veri işleyen her veri sorumlusu (bir doktor muayenehanesi, aile şirketi, KOBİ, dernek, vakıf, apartman yönetimi vb.) veri güvenliği ve bildirim yükümlülüğüne tabidir. VERBİS’e kayıt yükümlülüğünde Kurulca belirlenen istisnalar bulunsa da veri ihlali bildirim yükümlülüğü mutlak niteliktedir ve tüm veri sorumlularını kapsar.
Kişisel veri ihlali sonucu tazminat davası açabilir miyim?
Evet. 6698 SK m.14/2, ilgili kişilerin genel hükümlere göre tazminat hakkını saklı tutmuştur. TBK m.49 (haksız fiil) ve m.58 (manevi tazminat) uyarınca maddi ve manevi tazminat talep edebilirsiniz. Görevli mahkeme; veri sorumlusuyla aranızda tüketici ilişkisi varsa tüketici mahkemesi, aksi hâlde asliye hukuk mahkemesidir. Zamanaşımı zararı ve faili öğrendiğinizden itibaren 2 yıl, her hâlde 10 yıldır (TBK m.72). İspat bakımından Kurulun somut olay hakkındaki kararı, ihlal bildirim kayıtları ve zarar belgeleri kilit delillerdir.


