Veri İhlali Bildirimi: 72 Saat Kuralı ve Adım Adım Süreç (2026)
Yazarlar: Av. Mert Güneş & Av. Melis Güneş — Güneş Partners kurucu ortakları Son güncelleme: Mayıs 2026
TL;DR — Bu Yazının Özeti
Veri ihlali tespit edildiğinde süre ihlali öğrendiğiniz andan itibaren başlar; hafta sonu veya tatil günleri süreyi uzatmaz.
72 saat içinde ihlalbildirim.kvkk.gov.tr üzerinden Kurul'a bildirim zorunludur.
Tüm bilgiler netleşmemişse aşamalı bildirim yapılabilir; bu süreyi aştığınız anlamına gelmez.
İlgili kişilere bildirim, ihlalin yüksek risk oluşturduğu tespit edildiğinde ayrıca zorunludur.
İhlali gizlemek veya geç bildirmek, ihlalin kendisinden daha ağır yaptırımlarla sonuçlanır.
2026 yılında veri güvenliği ihlali cezası 256.357 TL – 17.092.242 TL arasındadır.
Bu yazıda saat saat müdahale takvimi, "ihlal mi değil mi?" karar ağacı, Kurul bildirim şablonu ve basın açıklaması rehberi yer almaktadır.
Şu An Bir İhlal Yaşıyorsanız: İlk 15 Dakikada Yapmanız Gerekenler
Bu yazıyı aktif bir ihlal sırasında okuyorsanız, detaylı bölümlere geçmeden önce şu üç adımı hemen atın:
1. Etkilenen sistemi izole edin — ağ bağlantısını kesin, hesap erişimlerini dondurun.
2. İhlal müdahale liderinizi (yoksa en kıdemli BT ve hukuk yetkilinizi) bilgilendirin.
3. Kronolojik kayıt tutmaya başlayın — her eylemi saat ve dakika bazında not alın; bu kayıtlar Kurul savunmasında kritik delil olacaktır.
Acil durum altında olan okuyucular aşağıdaki "Saat Saat Müdahale Takvimi" bölümüne doğrudan geçebilir.
"Bu Bir Veri İhlali mi?" — Karar Ağacı
Her güvenlik olayı veri ihlali değildir. Aşağıdaki karar ağacı, yaşadığınız olayın Kurul'a bildirim gerektirip gerektirmediğini hızlıca değerlendirmenize yardımcı olur.
Soru 1: Kişisel veri içeren bir sistem etkilendi mi?
Olayın KVKK kapsamında veri ihlali sayılabilmesi için etkilenen verinin kişisel veri niteliği taşıması gerekir. Yalnızca teknik altyapıyı etkileyen ve hiçbir kişisel veriye temas etmeyen bir olay (örneğin kişisel veri barındırmayan bir test sunucusuna DDoS saldırısı) veri ihlali kapsamına girmez.
Evet → Soru 2'ye geçin. Hayır → Kurul bildirimi gerekmez; ancak iç güvenlik kaydı tutulmalıdır.
Soru 2: Verilere yetkisiz erişim, değişiklik veya erişim engeli oluştu mu?
Üç türden biri mevcutsa ihlal vardır: yetkisiz kişi veriyi gördü veya kopyaladı (gizlilik ihlali), veri yetkisiz biçimde değiştirildi (bütünlük ihlali) veya verilere erişim engellendi — ransomware dahil (erişilebilirlik ihlali).
Evet → Soru 3'e geçin. Hayır → Kurul bildirimi gerekmez; iç güvenlik kaydı tutulmalıdır.
Soru 3: Olay tesadüfi ve sınırlı mı, yoksa sistematik mi?
Yanlış alıcıya tek bir e-posta gönderilmesi gibi tesadüfi ve çok sınırlı olaylar da teknik olarak ihlal kapsamındadır. Ancak Kurul, bu tür münferit olayların bildiriminde orantılılık ilkesini gözetmektedir.
Sistematik veya geniş kapsamlı → 72 saat bildirimi kesinlikle zorunlu. Münferit ve çok sınırlı → Bildirim zorunluluğu tartışmalı; hukuki danışmanlık alınması önerilir. Ancak şüphe halinde bildirmek her zaman daha güvenlidir.
Soru 4: Özel nitelikli kişisel veri etkilendi mi?
Sağlık verileri, biyometrik veriler, ceza mahkumiyeti bilgileri, ırk/etnik köken bilgileri etkilenmişse ihlalin ağırlığı ve bildirimin aciliyeti artar.
Evet → Derhal bildirim; ilgili kişilere de bildirim büyük olasılıkla zorunlu. Hayır → Standart 72 saat süreci.
72 Saat Kuralı: Hukuki Çerçeve
KVKK'nın 12. maddesinin 5. fıkrası veri sorumlusunun ihlali "en kısa sürede" bildirmesini öngörür. Kurul'un 24.01.2019 tarihli ve 2019/10 sayılı ilke kararı bu süreyi 72 saat olarak somutlaştırmıştır.
72 saat kuralı nedir? Veri sorumlusunun, kişisel veri ihlalini öğrendiği andan itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirimde bulunma zorunluluğudur. 2019/10 sayılı Kurul ilke kararıyla belirlenmiştir.
Süre Ne Zaman Başlar?
72 saat, veri sorumlusunun ihlali fiilen öğrendiği andan itibaren işler. "Öğrenme", ihlalin doğrudan tespit edilmesini veya herhangi bir kanaldan (veri işleyen, güvenlik şirketi, müşteri şikayeti, basın haberi) haberdar olunmasını kapsar.
Veri işleyeniniz ihlali size bildirdiyse, sizin öğrenme anınız bu bildirimin tarafınıza ulaştığı saattir — veri işleyenin tespit ettiği saat değil.
Hafta Sonu ve Tatil Günleri
72 saat takvim saatidir; iş günü değildir. Cuma akşamı saat 18:00'de tespit edilen bir ihlal için bildirim son anı pazartesi saat 18:00'dir. Resmi tatiller de süreyi uzatmaz.
Aşamalı Bildirim
72 saat içinde tüm detaylar netleşmeyebilir — özellikle kapsamlı siber saldırılarda etkilenen kişi sayısının tam tespiti günler alabilir. Bu durumda Kurul aşamalı bildirim yöntemini kabul etmektedir.
İlk bildirimde mevcut bilgiler aktarılır ve "inceleme devam etmektedir" notu düşülür. Detaylar netleştikçe ek bildirimlerle güncelleme yapılır. Aşamalı bildirim, süreyi aştığınız anlamına gelmez; aksine iyi niyetin ve şeffaflığın göstergesidir.
Saat Saat Müdahale Takvimi
Saat 0-6: Tespit ve Değerlendirme
Dakika 0-15: Etkilenen sistemi izole edin. Ağ bağlantısını kesin, hesap erişimlerini dondurun. Kronolojik kayıt tutmaya başlayın.
Saat 1-3: İhlal müdahale ekibini toplayın (BT, hukuk, iletişim, üst yönetim). Karar ağacını uygulayın: bu olay veri ihlali mi? Hangi veriler etkilendi? Tahmini etkilenen kişi sayısını belirleyin.
Saat 3-6: İhlalin kaynağını tespit edin (siber saldırı, çalışan ihmali, sistem hatası, üçüncü taraf). İhlal hâlâ devam ediyor mu sorusunu yanıtlayın. Delil koruma işlemlerini başlatın: sistem logları, erişim kayıtları, e-posta kayıtları.
Saat 6-24: Sınırlama ve İlk Hukuki Adımlar
Saat 6-12: Güvenlik açığını kapatın. Saldırı devam ediyorsa ilgili sistemleri geçici olarak kapatın. Etkilenen kullanıcı hesaplarının şifrelerini sıfırlayın.
Saat 12-24: Kurul bildirim taslağını hazırlayın. Hukuk danışmanınızla bildirim metnini gözden geçirin. İlgili kişilere bildirim gerekip gerekmediğini değerlendirin. Üçüncü taraf kaynaklıysa veri işleyeninizle iletişim kurun.
Saat 24-48: Bildirim Hazırlığı ve Derinlemesine Analiz
Saat 24-36: Kök neden analizine başlayın. Etkilenen kişi sayısını netleştirin (mümkünse). Bildirim formunu tamamlayın.
Saat 36-48: İlgili kişilere bildirim gerekiyorsa metin ve kanalı hazırlayın. Basın açıklaması gerekiyorsa taslak oluşturun. Siber sigorta poliçeniz varsa sigortacıya bildirim yapın.
Saat 48-72: Bildirim ve İletişim
Saat 48-60: ihlalbildirim.kvkk.gov.tr üzerinden Kurul'a bildirimi yapın. Bildirimde tüm mevcut bilgileri aktarın; netleşmeyen hususlar için "inceleme devam etmektedir" notunu ekleyin.
Saat 60-72: İlgili kişilere bildirim yapın (gerekiyorsa). Basın açıklamasını yayımlayın (gerekiyorsa). İç raporlama sürecini başlatın.
72 Saat Sonrası: İyileştirme ve Savunma
Hafta 1: Kök neden analizini tamamlayın. Ek güvenlik tedbirlerini uygulayın. Kurul'a aşamalı bildirim güncellemesi yapın (yeni bilgi varsa).
Hafta 2-4: Kurul savunma dosyasını hazırlayın. Çalışanlara ek eğitim verin. Politikaları güncelleyin. İhlal sonuç raporunu yazın.
Kurul'a Bildirim Formu Şablonu
Aşağıdaki şablon, ihlalbildirim.kvkk.gov.tr'deki formun ana unsurlarını içermektedir. Gerçek bildirim sistemde çevrimiçi yapılır; bu şablon ön hazırlık amaçlıdır.
İlgili Kişilere Bildirim: Ne Zaman, Nasıl?
Kurul'a bildirimin yanı sıra, ihlalin ilgili kişiler açısından yüksek risk oluşturduğu tespit edildiğinde onlara da bildirim yapılması zorunludur.
Yüksek Risk Ne Zaman Oluşur?
Özel nitelikli kişisel veriler (sağlık, biyometrik, ceza kaydı) etkilenmişse, finansal veriler (kredi kartı, banka hesabı) sızmışsa, etkilenen kişi sayısı büyükse, kimlik hırsızlığı veya dolandırıcılık riski varsa veya sızan veriler kamuya açık hale gelmişse yüksek risk oluşmuş kabul edilir.
Bildirimde Yer Alması Gerekenler
İhlalin ne olduğu açık ve anlaşılır dille anlatılmalıdır. Hukuki jargondan kaçınılmalı; "Sistemlerimize yetkisiz erişim sağlanmış ve bazı müşteri bilgileri etkilenmiştir" gibi net bir dil kullanılmalıdır.
Olası sonuçlar ve riskler belirtilmeli, şirketin aldığı ve almayı planladığı tedbirler açıklanmalı, ilgili kişinin kendini korumak için yapabileceği adımlar (şifre değiştirme, banka bilgilendirme vb.) önerilmeli ve irtibat bilgileri verilmelidir.
Bildirim Kanalları
E-posta (bireysel bildirim), SMS (acil ve kısa bilgilendirme), web sitesi duyurusu (toplu ve kamuya açık bilgilendirme) veya bunların kombinasyonu kullanılabilir. Etkilenen kişi sayısı çok büyükse ve bireysel bildirim pratik olarak imkânsızsa, web sitesi ve basın yoluyla toplu bildirim kabul edilebilir.
Basın Açıklaması Rehberi
Büyük ölçekli ihlallerde veya ihlalin medyaya yansıma riski olduğunda basın açıklaması hazırlığı kritik önem taşır. Kötü yönetilen bir iletişim süreci, hukuki cezadan daha ağır itibar hasarına yol açabilir.
Basın Açıklamasında Olması Gerekenler
İhlalin ne zaman tespit edildiği ve Kurul'a bildirim yapıldığı açıkça belirtilmeli, etkilenen verilerin genel kapsamı (detay vermeden) aktarılmalı, alınan acil tedbirler özetlenmeli, ilgili kişilerin kendini korumak için ne yapabileceği belirtilmeli ve irtibat kanalı verilmelidir.
Kesinlikle Kaçınılması Gerekenler
İhlali küçümsemek veya önemsizleştirmek ("Sınırlı bir olay yaşanmıştır" gibi muğlak ifadeler), başkalarını suçlamak (ilk aşamada), etkilenen kişi sayısı hakkında kesinleşmemiş rakamlar vermek ve "verileriniz güvende" gibi henüz doğrulanamayan güvenceler vermek ciddi hukuki ve itibar risklerdir.
Basın Açıklaması Şablon Yapısı
Geç Bildirim ve Gizleme: Neden İhlalin Kendisinden Daha Tehlikeli?
Kurul kararlarında tutarlı biçimde ortaya çıkan bir ilke vardır: ihlali gizlemek veya bildirimi geciktirmek, ihlalin kendisinden daha ağır cezalandırılır.
Geç bildirimin ağır cezalandırılmasının hukuki gerekçesi şudur: bildirimin amacı ilgili kişilerin olumsuz sonuçlardan korunmasıdır. Bildirim geciktirildiğinde bu koruma amacı fiilen ortadan kalkar ve zarar büyür.
Kurul, ceza belirlerken bildirim hızını doğrudan dikkate alır. 72 saatten önce bildirim yapılması güçlü bir hafifletici etken olarak değerlendirilirken, 72 saati aşan bildirimler — özellikle aşma süresi uzadıkça — cezayı belirgin biçimde artırır.
Kasıtlı gizleme tespit edildiğinde ise cezanın üst sınıra yakın uygulanması muhtemeldir. Ayrıca ihlalin kamuoyuna ilan edilmesi yaptırımı da gündeme gelebilir.
Sık Sorulan Sorular
Veri ihlali bildirimi nasıl yapılır?
ihlalbildirim.kvkk.gov.tr üzerinden çevrimiçi olarak yapılır. Bildirimde ihlalin niteliği, etkilenen veri kategorileri, tahmini kişi sayısı, alınan tedbirler ve irtibat bilgileri yer almalıdır. Tüm bilgiler netleşmemişse aşamalı bildirim yapılabilir.
72 saat ne zaman başlar?
Veri sorumlusunun ihlali fiilen öğrendiği saatten itibaren başlar. Veri işleyenin tespit saati değil, veri sorumlusunun haberdar olduğu saat esas alınır. Hafta sonu ve resmi tatiller süreyi uzatmaz.
Aşamalı bildirim nedir?
72 saat içinde tüm detaylar netleşmemişse, mevcut bilgilerle ilk bildirim yapılır ve "inceleme devam etmektedir" notu düşülür. Detaylar netleştikçe ek bildirimlerle güncelleme yapılır. Bu yöntem Kurul tarafından kabul edilmektedir ve iyi niyetin göstergesi sayılır.
Ransomware saldırısı veri ihlali sayılır mı?
Evet. Verilere erişimin engellenmesi bir erişilebilirlik ihlalidir. Veriler çalınmamış veya dışarıya sızmamış olsa bile veri sorumlusu kendi verilerine erişemediği için Kurul'a bildirim zorunludur.
Yanlış kişiye gönderilen tek bir e-posta veri ihlali midir?
Teknik olarak evet; bir kişinin kişisel verisi yetkisiz bir alıcıya açıklanmıştır. Ancak münferit ve çok sınırlı olaylarda Kurul orantılılık ilkesini gözetmektedir. Yine de iç kayıt tutulması ve olayın belgelenmesi önerilir. Özel nitelikli veri içeriyorsa (sağlık raporu gibi) bildirim yapılması daha güvenlidir.
Veri işleyenim ihlali bana ne zaman bildirmek zorunda?
KVKK açıkça bir süre belirlememiştir ancak veri işleyenin ihlali "derhal" veri sorumlusuna bildirmesi beklenir. Bu sürenin veri işleme sözleşmesinde (DPA) somut bir saatle belirlenmesi (örneğin 24 saat) önerilir.
Okuyucular Bunları da Soruyor
İhlalin hâlâ devam ettiğini bildirimde belirtmeli miyim?
Evet. İhlalin devam edip etmediği bildirimde açıkça belirtilmelidir. Devam eden ihlali gizlemek veya tamamlanmış gibi göstermek, Kurul'un güvenini zedeler ve cezayı artıran ciddi bir faktördür.
Bildirim yaptıktan sonra Kurul ne yapar?
Kurul, bildirimi değerlendirdikten sonra inceleme kararı alabilir. İnceleme kararı alınırsa veri sorumlusundan savunma ve ek bilgi/belge talep edilir. Savunma talebine 15 gün içinde yanıt verilmelidir. İnceleme sonucunda Kurul, idari para cezası, veri silme talimatı, işleme durdurma veya kamuoyu ilanı kararlarından birini veya birkaçını verebilir.
İhlal bildirimi yapmak ceza alacağım anlamına mı gelir?
Hayır, bildirim yapmak otomatik ceza anlamına gelmez. Kurul, bildirimin ardından inceleme başlatır ve ihlalin koşullarını değerlendirir. Yeterli güvenlik tedbirleri alınmış, bildirim süresinde yapılmış ve şirket iyi niyetli biçimde işbirliği yapmışsa ceza verilmeyebilir veya alt sınıra yakın uygulanabilir. Bildirim yapmamak ise kesin olarak ek ceza gerekçesi oluşturur.
Müşteri tarafından tespit edilen ihlal için de 72 saat geçerli mi?
Evet. Müşterinin ihlali size bildirmesi, sizin "öğrenme" anınızdır. Bu andan itibaren 72 saat süre başlar. Müşterinin ihlali tespit ettiği tarih değil, size bildirdiği tarih esas alınır.
Sonuç
72 saat, bir veri ihlalinin hukuki sonuçlarını belirleyen en kritik zaman dilimidir. Bu süre içinde hem teknik müdahale hem hukuki bildirim hem de iletişim yönetiminin eş zamanlı yürütülmesi gerekir.
Hazırlıksız yakalanan şirketler için 72 saat yeterli değildir. Bu nedenle ihlal müdahale planının, ekip yapısının ve bildirim şablonlarının önceden hazırlanması, düzenli simülasyonlarla test edilmesi artık kurumsal bir zorunluluktur.
Güneş Partners olarak veri ihlali müdahale planı hazırlığı, 72 saatlik Kurul bildirim sürecinin yönetimi, ilgili kişi ve basın iletişimi ile Kurul savunması alanlarında şirketlere hukuki destek sağlıyoruz. Aktif bir ihlal yaşıyorsanız veya hazırlıklı olmak istiyorsanız bizimle iletişime geçebilirsiniz.
Bu İçerik Hakkında
Bu içerik, Güneş Partners kurucu ortakları Av. Mert Güneş ve Av. Melis Güneş tarafından, 6698 sayılı KVKK m. 12/5, Kurul'un 24.01.2019 tarihli ve 2019/10 sayılı İlke Kararı, ihlalbildirim.kvkk.gov.tr resmi formu ve güncel Kurul emsal kararları temelinde hazırlanmıştır. Veri ihlali bildirimi ve müdahale süreçlerinde profesyonel destek için gunespartners.com adresini ziyaret edebilirsiniz.