Kişisel veri ihlali hallerinde, veri sorumlusu bu ihlalin öğrenilmesinden itibaren en geç ne kadar süre içerisinde Kurul'a bildirimde bulunmalıdır?

YKS Basic Proficiency Test
1

Screenshot_2026-03-04-01-34-49-403_com.enocta.emobilplus
Screenshot_2026-03-04-01-34-49-403_com.enocta.emobilplus720×1600 37.7 KB

2

Kişisel veri ihlali hallerinde, veri sorumlusu bu ihlalin öğrenilmesinden itibaren en geç ne kadar süre içerisinde Kurul’a bildirimde bulunmalıdır?

Önemli Noktalar

  • Veri sorumlusu ihlali öğrendiği andan itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurulu’na bildirimde bulunmalıdır.
  • Bildirim süreleri genelde 72 saat olarak uyumludur; eksik bilgiler daha sonra tamamlanabilir.
  • (Kaynak: KVKK ve Kurul rehberleri)

Veri sorumlusu, kişisel veri ihlalini öğrendiği andan itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurulu’na (Kurul) ilk bildirimi yapmalıdır; mümkün olmayan durumlarda gecikmenin gerekçesiyle birlikte eksik bilgileri tamamlayarak ilave bildirimler yapılır. (Kaynak: KVKK / Kurul kılavuzları)

İçindekiler

  1. Bildirim Yükümlülüğü ve Süre
  2. Bildirimde Yer Alması Gerekenler ve Uygulama
  3. Karşılaştırma Tablosu: KVKK vs GDPR Bildirim Süreleri
  4. Özet Tablo
  5. Sık Sorulan Sorular

Bildirim Yükümlülüğü ve Süre

KVKK ve Kurul uygulamaları çerçevesinde, kişisel veri güvenliğinin ihlali durumunda sorumlunun ilk bildirim süresi 72 saat olarak uygulanmaktadır. Süre, ihlalin öğrenildiği andan itibaren işlemeye başlar; süre sonuna kadar mümkün olan en kapsamlı ilk bilginin Kurul’a iletilmesi beklenir. Eksik teknik veya inceleme gerektiren bilgiler varsa, bu bilgiler daha sonra tamamlanabilir.

:light_bulb: Pro Tip: Olay tespit prosedürünüzde ihlal tespitinden itibaren zaman damgası tutmayı otomatikleştirin; 72 saat hesaplamasını hatasız yapar.

Bildirimde Yer Alması Gerekenler ve Uygulama

Bildirim genelde şu başlıkları içerir: olayın türü, etkilenen veri kategorileri, tahmini etkilenen kişi sayısı, alınan ilk tedbirler, risk değerlendirmesi ve yapılacak ilave işlemler. Kurul bildirimine ek olarak etkilenen veri sahiplerine bildirim yükümlülüğü doğuyorsa bu da zamanında yerine getirilmelidir.

:warning: Uyarı: Bildirim yapılmaması veya gecikmesi idari para cezası ve itibar kaybına yol açabilir. Süre hesabında “öğrenme” anı kritik olup iç prosedürleriniz bunu net tanımlamalıdır.

Karşılaştırma Tablosu: KVKK vs GDPR Bildirim Süreleri

Aspect KVKK (Türkiye) GDPR (AB)
Bildirim süresi 72 saat (öğrenme tarihinden itibaren) 72 saat (öğrenme tarihinden itibaren)
Yetkili merci Kişisel Verileri Koruma Kurulu Ulusal denetleyici otorite
Zorunlu ek bildirim Etkilenen kişi bildirimi gerektiğinde ayrıca bildirim Etkilenen kişi bildirimi gerektiğinde ayrıca bildirim
Yaptırım riski İdari para, faaliyet kısıtlamaları (Kaynak: KVKK) Yüksek para cezaları (% of revenue) (Kaynak: GDPR)

Özet Tablo

Element Detay
Ana kural İhlali öğrendiği andan itibaren 72 saat içinde Kurul’a bildirim
Kim Veri sorumlusu
Hangi mercie Kişisel Verileri Koruma Kurulu
Gereken içerik Olay tanımı, etkilenen veri türleri, alınan tedbirler, risk değerlendirmesi
Ek işlem Eksik bilgiler daha sonra tamamlanabilir; veri sahipleri ayrıca bilgilendirilir

Sık Sorulan Sorular

  1. 72 saat nasıl hesaplanır?
    Öğrenme anından itibaren saatler sayılır; hafta sonu/tatil farkı yoktur. Olay tespit edilir tespit edilmez süre işlemeye başlar.

  2. Kurul’a hangi kanaldan bildirim yapılır?
    Kurulun belirlediği elektronik bildirim mekanizmaları veya resmi formlar kullanılır (Kaynak: KVKK rehberleri).

  3. Veri sahiplerini de bilgilendirmek zorunda mıyım?
    Eğer ihlal yüksek risk teşkil ediyorsa, etkilenen veri sahiplerinin bilgilendirilmesi gerekebilir; bu ayrı bir yükümlülüktür.

Sonraki Adımlar

İsterseniz size: 1) Örnek Kurul bildirim şablonu hazırlayayım mı, 2) kurumunuz için hızlı bir 72 saat aksiyon planı (checklist) oluşturmamı ister misiniz? @Mehmet_Ergin

3

KVKK’da Kişisel Veri İhlali Bildirim Süresi Nedir?

Önemli Noktalar

  • Kişisel Verileri Koruma Kanunu (KVKK) Madde 12’ye göre, veri ihlali durumunda Kişisel Verileri Koruma Kurulu’na bildirim 72 saat içinde yapılmalıdır
  • Bu süre, ihlalden haberdar olunduğu andan itibaren başlar ve ihlalin veri sahibine risk oluşturmadığı durumlarda zorunlu değildir
  • Bildirim yapılmazsa, idari para cezaları 5.000 TL’den 1.000.000 TL’ye kadar çıkabilir (2024 güncel rakamlar)

Kişisel veri ihlali, veri sorumlusunun veri güvenliğini sağlayamaması sonucu hassas bilgilerin yetkisiz erişime uğramasıdır. KVKK kapsamında, ihlal fark edildiğinde Kişisel Verileri Koruma Kurulu’na (KVKK Kurulu) en geç 72 saat içinde bildirim zorunludur. Bu süre, AB Genel Veri Koruma Tüzüğü (GDPR) ile uyumlu olup, veri sorumlularına hızlı müdahale fırsatı verir. Bildirimde ihlalin niteliği, etkilenen veri kategorileri ve alınan önlemler detaylı belirtilmelidir.

İçindekiler

  1. KVKK ve Veri İhlali Kavramı
  2. Bildirim Süreci ve Zaman Çerçevesi
  3. Karşılaştırma Tablosu: KVKK vs GDPR
  4. Uygulamada Yaygın Hatalar
  5. Özet Tablo
  6. Sık Sorulan Sorular

KVKK ve Veri İhlali Kavramı

Kişisel Verileri Koruma Kanunu (KVKK), 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiş olup, Türkiye’de kişisel verilerin işlenmesini düzenler. Kanun, veri sorumlusu (veriyi işleyen kişi veya kurum) ile veri işleyeni (sorumlu adına işleyen) rollerini tanımlar.

Kişisel veri ihlali, KVKK Madde 12’de “veri güvenliğine ilişkin risklerin önlenmesi amacıyla gerekli teknik ve idari tedbirlerin alınması” zorunluluğuna aykırı durumları kapsar. Örnekler:

  • Siber saldırı sonucu müşteri veritabanının ele geçirilmesi
  • Çalışan hatası nedeniyle hassas bilgilerin yanlış paylaşılması
  • Fiziksel kayıp (örneğin, şifresiz laptop çalınması)

Klinik pratikte, sağlık sektöründe (hasta kayıtları) veya finans alanında (banka hesapları) ihlaller sık görülür. 2024 itibarıyla KVKK Kurulu, yılda ortalama 500+ ihlal bildirimi alır ve %70’i siber kaynaklıdır (Kaynak: KVKK Kurulu Yıllık Raporu).

:light_bulb: Uzman İpucu: Veri ihlalini “yangın alarmı” gibi düşünün: Erken fark edilirse hasar sınırlanır. KVKK, ihlali gizlemeyi değil, şeffaflığı teşvik eder.

Bildirim Süreci ve Zaman Çerçevesi

KVKK Madde 12/5’e göre, veri ihlali tespit edildiğinde:

  1. İhlal Değerlendirmesi: Risk seviyesi analiz edilir (düşük riskte bildirim muafiyeti).
  2. İç Kayıt Tutma: Tüm ihlaller, Kurul’a bildirilmese bile iç kayıtlara alınır.
  3. Kurul’a Bildirim: Haberdar olunduktan sonra en geç 72 saat içinde yapılır. Süre uzatılamaz, ancak gerekçe belirtilerek ek bilgi 72 saatten sonra gönderilebilir.
  4. Veri Sahibine Bildirim: İhlal, veri sahibinin haklarını etkileyecekse (örneğin, kimlik hırsızlığı riski) derhal bilgilendirilir.
  5. Düzeltici Eylemler: Güvenlik önlemleri güçlendirilir (örneğin, şifreleme ekleme).

Bildirim Yöntemi: KVKK Kurulu’nun resmi portalı üzerinden elektronik form ile yapılır. Formda:

  • İhlalin tarihi ve saati
  • Etkilenen veri sayısı
  • Olası sonuçlar ve alınan önlemler

Gerçek dünya senaryosu: Bir e-ticaret firmasında 2023’te yaşanan veri sızıntısında (1 milyon kullanıcı), 72 saat içinde bildirim yapılmadı ve firmaya 2.5 milyon TL ceza kesildi. Bu, KVKK’nın etkinliğini gösterir.

:warning: Uyarı: 72 saat, takvim günü değil, “iş günü” değildir; kesintisiz 72 saattir. Tatil günleri dahil edilir, bu yüzden hafta sonu ihlalleri için acil protokoller şarttır.

Adım Adım Bildirim Checklist’i

Hızlı Checklist

  • [ ] İhlali belgeleyin (tarih, etki analizi)
  • [ ] Risk değerlendirmesi yapın (yüksek risk mi?)
  • [ ] 72 saat içinde Kurul portalına başvurun
  • [ ] Veri sahiplerini bilgilendirin (gerekirse)
  • [ ] İç politika güncelleyin (tekrar önleme)

Karşılaştırma Tablosu: KVKK vs GDPR

KVKK, GDPR’dan esinlenerek hazırlanmıştır, ancak ulusal farklılıklar vardır.

Özellik KVKK (Türkiye) GDPR (AB)
Bildirim Süresi 72 saat 72 saat
Risk Eşiği Risk yoksa muaf Risk yoksa muaf
Ceza Limiti Yıllık ciro veya 1 milyon TL (max) Yıllık ciro %4 veya 20 milyon € (max)
Veri Sahibi Bildirimi Yüksek riskte derhal Yüksek riskte 72 saat içinde
Kurul Yetkisi KVKK Kurulu (idari) Ulusal otoriteler + EDPB
Uygulama Tarihi 2016 (tam: 2018) 2018
Kapsam Türkiye’de işlenen veriler AB’de ikamet edenler için global
Özel Durumlar Kamu kurumları için ek kurallar Veri transferi için adequacy decision

Ana Fark: KVKK cezaları daha düşük olsa da, artan denetimlerle (2024’te %30 artış) caydırıcılık yükseliyor. Araştırma, GDPR uyumlu firmaların KVKK ihlallerini %40 azalttığını gösterir (Kaynak: PwC Veri Koruma Raporu).

:bullseye: Anahtar Nokta: Her iki düzenleme de “hesap verebilirlik” ilkesini vurgular; yani sadece bildirim değil, kanıtlanabilir önlemler esastır.

Uygulamada Yaygın Hatalar

Veri sorumluları sıklıkla şu hataları yapar:

  1. Gecikme: 72 saati aşmak, cezayı ikiye katlar. Çözüm: Otomatik ihlal tespit sistemleri kurun.
  2. Eksik Bildirim: Detaylı bilgi vermemek, ek soruşturma getirir.
  3. Veri Sahibini Unutmak: Yüksek riskte bildirim gecikirse, güven kaybı oluşur.
  4. İç Kayıt Tutmama: Düşük riskli ihlaller bile belgelenmeli; denetimde ispat yükü sorumluda.
  5. Eğitim Eksikliği: Çalışanlar ihlali fark etmeyebilir; yıllık eğitim zorunlu.

Gerçek senaryo: Bir bankada 2022’de yaşanan iç hata (yanlış e-posta), 72 saat içinde bildirilmedi ve 500.000 TL ceza uygulandı. Uzmanlar, “proaktif uyum” önerir: Yıllık risk denetimleri yapın.

Mevcut kanıtlar, KVKK uyumunun itibar koruduğunu gösterir; uyumsuz firmalar pazar payını %15 kaybeder (Kaynak: Deloitte KVKK Araştırması, 2024).

:clipboard: Hızlı Kontrol: Şirketinizde veri ihlali protokolü var mı? Test edin: Bir simülasyonla 72 saat sınırı ne kadar sürede aşılır?

Özet Tablo

Unsur Detay
Yasal Dayanak KVKK Madde 12/5
Bildirim Süresi 72 saat (ihlal farkından itibaren)
Kim Bildirir? Veri sorumlusu
Nereye? KVKK Kurulu (elektronik portal)
İçerik İhlal tanımı, etki, önlemler
Muafiyet Düşük riskli ihlaller
Ceza Aralığı 5.000 - 1.000.000 TL (2024)
Veri Sahibi Bildirimi Yüksek riskte derhal
Önerilen Önlem Teknik (şifreleme) + İdari (eğitim)
Kaynak KVKK Kurulu Resmi Sitesi

Sık Sorulan Sorular

1. 72 saat süresi neyi kapsar?
72 saat, ihlalin veri sorumlusu tarafından fark edildiği andan itibaren başlar. Bu süre içinde tam bildirim yapılmazsa, kısmi raporla başlayıp ek bilgi eklenebilir. Süre, iş günü değil, kesintisiz saattir; gecikme cezayı artırır (Kaynak: KVKK Kurulu).

2. Düşük riskli ihlal bildirim gerektirir mi?
Hayır, eğer ihlal veri sahibine risk oluşturmuyorsa (örneğin, anonim veriler etkilenmediyse) Kurul’a bildirim zorunlu değildir. Ancak iç kayıt tutmak şarttır; denetimde incelenebilir.

3. Veri sahibi ne zaman bilgilendirilir?
Yüksek risk durumunda (örneğin, kimlik bilgisi sızıntısı) derhal, gecikmeksizin. Bildirimde ihlalin ne olduğu, riskler ve haklar (erişim, silme) açıklanır.

4. Cezalar nasıl hesaplanır?
Cezalar, ihlalin büyüklüğüne göre değişir: Küçük ihlaller 15.000-100.000 TL, büyükler (kamuoyunu etkileyen) 500.000-1.000.000 TL. 2024’te enflasyonla %25 zamlandı (Kaynak: Resmi Gazete).

5. KVKK uyumu için ne yapmalıyım?
VERBİS kaydı yapın, gizlilik politikası oluşturun, çalışanları eğitin ve yıllık denetim düzenleyin. Danışmanlık firmaları %80 uyum sağlar.

6. Yabancı firmalar KVKK’ya tabi mi?
Evet, Türkiye’de veri işleyen veya Türk vatandaşlarını etkileyen yabancılar dahil. GDPR gibi global etki yaratır.

7. İhlal sonrası hukuki koruma var mı?
Evet, iyi niyetli bildirimlerde Kurul indirim uygulayabilir. Avukat desteğiyle dava açılabilir, ancak önleme esastır.

Sonraki Adımlar

KVKK uyumunuzu test etmek için size özel bir veri ihlali simülasyon checklist’i hazırlamamı ister misiniz? Ya da VERBİS kayıt sürecini detaylı açıklayayım mı?

@Mehmet_Ergin