Bir siber saldırı, çalınan bir dizüstü bilgisayar, yanlış kişiye gönderilen bir e-posta ya da açıkta kalan bir veritabanı... Kişisel veri ihlalleri beklenmedik anda gelişir ve geri sayım hemen başlar. Bu rehber, bir veri ihlali yaşadığınızda ilk saatlerde tam olarak ne yapacağınızı ve ihlal yaşamadan önce nasıl hazırlanacağınızı adım adım anlatır.
Bir veri ihlalini öğrendiğinizde, en kısa sürede ve en geç 72 saat içinde Kurul'a "Kişisel Veri İhlali Bildirim Formu" ile bildirim yapmalısınız (KVKK m.12/5 ve Kurul'un 2019/10 sayılı kararı). Etkilenen ilgili kişilere de makul en kısa sürede bildirim yaparsınız. 72 saat çok kısadır; bu yüzden asıl iş, ihlalden önce hazırlanmış bir müdahale planına sahip olmaktır.
Hızlı Bilgi Panosu
- Veri ihlali nedir? (örneklerle)
- Hukuki dayanak: m.12/5 ve Kurul 2019/10
- 72 saat kuralı: süre ne zaman başlar?
- Kurul'a bildirimde hangi bilgiler istenir?
- İlgili kişilere bildirim
- İhlali veri işleyen tespit ederse
- Adım adım müdahale planı (9 adım)
- İhlal sonrası hukuki riskler
- İhlalden önce hazırlanması gerekenler
- Sık yapılan 6 hata
- Hızlı kontrol listesi
Veri İhlali Nedir? (Örneklerle)
Kişisel veri ihlali; işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi, hukuka aykırı erişime maruz kalması, kaybolması, değişmesi veya ifşa olmasıdır. Gizlilik, bütünlük veya erişilebilirlik ihlali şeklinde ortaya çıkabilir. Tipik örnekler:
- Sisteme yapılan siber saldırı (yetkisiz erişim, fidye yazılımı, sızma),
- Kişisel veri içeren cihazın (telefon, laptop, USB, harici disk) çalınması veya kaybı,
- Yetkisiz bir çalışanın verilere erişmesi veya verileri dışarı sızdırması,
- Bir müşteri listesinin ya da bordronun yanlış alıcıya e-posta/WhatsApp ile gönderilmesi,
- Yetkilendirilmemiş, internete açık kalmış bir veritabanı veya bulut klasörü,
- Yanlış yapılandırma sonucu kişisel verilerin arama motorlarınca indekslenmesi.
Hukuki Dayanak: KVKK m.12/5 ve Kurul'un 2019/10 Sayılı Kararı
KVKK m.12/5, işlenen kişisel verilerin kanuni olmayan yollarla başkalarınca elde edilmesi hâlinde veri sorumlusunun bu durumu en kısa sürede ilgili kişiye ve Kurul'a bildirmesini öngörür. Kurul, 24.01.2019 tarihli ve 2019/10 sayılı kararıyla bu "en kısa süre" ifadesini somutlaştırmış ve veri sorumlusunun ihlali öğrendiği tarihten itibaren en geç 72 saat içinde Kurul'a bildirim yapmasını; bildirimin de standart bir form (Kişisel Veri İhlali Bildirim Formu) ile yapılmasını düzenlemiştir.
72 Saat Kuralı: Süre Ne Zaman Başlar?
En kritik soru budur. 72 saatlik süre, ihlalin gerçekleştiği andan değil, veri sorumlusunun ihlali öğrendiği (farkına vardığı) andan itibaren işlemeye başlar. Yani aylar önce sızan bir veriyi bugün fark ettiyseniz, süre bugünden başlar.
- Süre kısadır ve takvim saati işler: 72 saat, mesai saati değil; hafta sonu ve tatil dahil akar.
- Bütün bilgiyi beklemeyin: Tüm ayrıntılar 72 saat içinde toplanamıyorsa, eldeki bilgilerle aşamalı (kademeli) bildirim yapılır; eksik bilgiler sonradan tamamlanır.
- "Önce çözüp sonra bildiririm" yanlıştır: 72 saat, sorunu çözmek için değil, Kurul'u haberdar etmek için verilen süredir.
Bildirim süresi "öğrenme" anından başlar. Bu nedenle ihlali kimin, nasıl, ne zaman fark ettiğinin kayıt altına alınması (olay zaman çizelgesi) hem sürenin hesabı hem de hesap verebilirlik için hayatidir.
Kurul'a Bildirimde Hangi Bilgiler İstenir?
Kişisel Veri İhlali Bildirim Formu, genel olarak şu bilgileri içerir. Bu başlıkları önceden bir şablon hâline getirmek, 72 saatlik baskı altında zaman kazandırır:
- İhlalin ne zaman ve nasıl gerçekleştiği (ve ne zaman öğrenildiği),
- Etkilenen kişisel veri kategorileri (kimlik, iletişim, finans, sağlık vb.),
- Etkilenen kişi ve kayıt sayısı (kesin bilinmiyorsa yaklaşık),
- İhlalin olası sonuçları (kimlik hırsızlığı, dolandırıcılık riski vb.),
- Alınan veya alınması planlanan tedbirler (zararı azaltıcı ve tekrarı önleyici),
- İrtibat kişisi / bildirim yapan kişinin bilgileri.
İlgili Kişilere Bildirim
Kurul'a bildirimin yanı sıra, ihlalden etkilenen ilgili kişilere de makul en kısa sürede bildirim yapılması gerekir. Amaç, kişilerin kendi verilerini korumak için önlem alabilmesidir (şifre değiştirmek, kartı bloke ettirmek, şüpheli işlemlere karşı uyanık olmak).
- İçerik açık ve sade olmalı: Ne oldu, hangi veriler etkilendi, kişi ne yapmalı, kiminle iletişime geçebilir.
- Doğrudan iletişim esastır: Mümkünse e-posta/SMS gibi doğrudan kanallar kullanılır.
- Doğrudan ulaşılamıyorsa: Web sitesinde duyuru gibi ilgili kişilerin ulaşabileceği alternatif yöntemler değerlendirilir.
İhlali Veri İşleyen Tespit Ederse
İhlal, veri sorumlusunun adına veri işleyen bir tarafta (örn. bulut sağlayıcı, çağrı merkezi, yazılım firması) ortaya çıkarsa; veri işleyen, durumu gecikmeksizin veri sorumlusuna bildirmekle yükümlüdür. Kurul'a ve ilgili kişilere bildirim sorumluluğu yine veri sorumlusundadır. Bu nedenle veri işleyenlerle yapılan sözleşmelere, ihlal halinde derhal bildirim yükümlülüğü açıkça yazılmalıdır.
Adım Adım Müdahale Planı (9 Adım)
Bir ihlal fark edildiğinde paniğe kapılmadan şu sırayı izleyin:
Tespit ve ilk uyarı
İhlali fark eden kişi (çalışan, BT ekibi, müşteri) durumu derhal önceden belirlenmiş sorumlu kişiye/ekibe bildirir. Saat ve dakika kaydedilir.
Sınırlandırma (containment)
Etkilenen sistem/hesap izole edilir, sızıntı durdurulur (erişim kapatma, parola sıfırlama, bağlantı kesme). Önce kanamayı durdurun.
Müdahale ekibini toplayın
Önceden belirlenmiş ekip devreye girer: BT/bilgi güvenliği, hukuk, üst yönetim ve irtibat kişisi. Roller bellidir.
Kapsamı değerlendirin
Hangi veri kategorileri, kaç kişi, hangi risk düzeyi etkilendi? Özel nitelikli veri (sağlık, biyometri) var mı? Risk yüksekse aciliyet artar.
Kurul'a bildirin (72 saat)
Kişisel Veri İhlali Bildirim Formu ile, öğrenmeden itibaren en geç 72 saat içinde Kurul'a bildirim yapılır. Bilgi eksikse aşamalı bildirilir.
İlgili kişilere bildirin
Etkilenen kişilere makul en kısa sürede, anlaşılır bir dille bildirim yapılır; ne yapmaları gerektiği açıkça anlatılır.
Delilleri ve süreci belgeleyin
Loglar, ekran görüntüleri, alınan kararlar ve yapılan bildirimler kayıt altına alınır. Bu, hesap verebilirliğin temelidir.
Açığı kapatın ve iyileştirin
İhlale yol açan zafiyet giderilir; benzer olayları önlemek için teknik–idari tedbirler güçlendirilir (yama, yetki gözden geçirme, eğitim).
Olay sonrası değerlendirme
Müdahale ekibi olayı gözden geçirir: ne iyi gitti, ne geliştirilmeli? Müdahale planı ve eğitimler güncellenir.
İhlal Sonrası Hukuki Riskler
Bir veri ihlali, işletme için birden çok cephede risk doğurur:
- İdari para cezası: Veri güvenliği tedbirlerinin yetersizliği ve bildirim yükümlülüğünün ihlali KVKK m.18 kapsamında yaptırıma tabidir.
- İlgili kişilerin tazminat talepleri: Zarar gören kişiler maddi ve manevi tazminat talep edebilir.
- Cezai sorumluluk: Verilerin hukuka aykırı ele geçirilmesi/yayılması, Türk Ceza Kanunu m.135–140 kapsamında ayrı bir suç oluşturabilir.
- İtibar kaybı: Kötü yönetilen bir ihlal sürecinin marka güveni üzerindeki etkisi çoğu zaman cezadan ağırdır.
İhlalden Önce Hazırlanması Gerekenler
Müdahalenin başarısı, büyük ölçüde ihlal yaşanmadan önceki hazırlığa bağlıdır. Önceden hazır olması gerekenler:
- Yazılı müdahale prosedürü: Kim, ne zaman, ne yapacak; karar akışı net.
- Sorumlu ekip ve iletişim listesi: BT, hukuk, yönetim, irtibat kişisi — telefonlarıyla.
- Hazır bildirim şablonları: Kurul formu ve ilgili kişi bildirim metni taslak olarak hazır.
- Olay kayıt formu: Zaman çizelgesi ve karar günlüğü için.
- Tatbikat: Yılda en az bir kez senaryo provası; ekip 72 saati pratikte deneyimlesin.
- Veri işleyen sözleşmeleri: Tedarikçilerin ihlalde derhal bildirim yükümlülüğü yazılı.
Sık Yapılan 6 Hata
- Geç bildirim: "Önce tamamen çözelim" diyerek 72 saati kaçırmak.
- Olayı küçümsemek: "Küçük bir sızıntı" deyip değerlendirme ve bildirim yapmamak.
- Belgelememek: Müdahale adımlarını kayıt altına almamak; sonradan ispat edememek.
- İlgili kişiyi unutmak: Sadece Kurul'a bildirip etkilenen kişilere haber vermemek.
- Plansızlık: İhlal anında sıfırdan plan yapmaya çalışmak.
- Tedarikçiyi atlamak: Veri işleyen sözleşmelerinde bildirim yükümlülüğünü düzenlememek.
Hızlı Kontrol Listesi
- ☐ İhlal fark edildi, saat/dakika kaydedildi
- ☐ Etkilenen sistem izole edildi, sızıntı durduruldu
- ☐ Müdahale ekibi toplandı, roller belli
- ☐ Kapsam değerlendirildi (veri kategorisi, kişi sayısı, risk)
- ☐ Kurul'a 72 saat içinde bildirim yapıldı (gerekirse aşamalı)
- ☐ İlgili kişilere bildirim yapıldı
- ☐ Tüm süreç belgelendi (ihlal dosyası)
- ☐ Açık kapatıldı, tedbirler güçlendirildi
- ☐ Olay sonrası değerlendirme yapıldı, plan güncellendi
Veri ihlali müdahale planının kurulması, daha geniş bir KVKK uyum sisteminin parçasıdır; VERBİS kaydı, aydınlatma metinleri, açık rıza yönetimi ve veri güvenliği tedbirleriyle birlikte ele alınmalıdır. İşletmenize özel kurulum için KVKK & Veri Koruma Avukatı sayfamıza göz atabilirsiniz.
Bu yazı genel bilgilendirme amacıyla hazırlanmıştır. Bir veri ihlali yaşıyorsanız ya da müdahale planı kurmak istiyorsanız vakit kaybetmeden bir avukata danışmanız tavsiye edilir.