0552 613 87 93info@dengeavukatlik.com Fikirtepe Mah. Kadıköy / İstanbul

Veri İhlali Müdahale Rehberi 2026: 72 Saat Kuralı ve Adım Adım Ne Yapılır?

8 Haziran 2026 · Yazar: Av. Elif Sarı Kandemir · 13 dk okuma

Bir siber saldırı, çalınan bir dizüstü bilgisayar, yanlış kişiye gönderilen bir e-posta ya da açıkta kalan bir veritabanı... Kişisel veri ihlalleri beklenmedik anda gelişir ve geri sayım hemen başlar. Bu rehber, bir veri ihlali yaşadığınızda ilk saatlerde tam olarak ne yapacağınızı ve ihlal yaşamadan önce nasıl hazırlanacağınızı adım adım anlatır.

Hızlı Bilgi Panosu

72 saat Kurul'a bildirim (öğrenmeden itibaren)
2019/10 Kurul'un veri ihlali kararı
m.12/5 bildirim yükümlülüğünün dayanağı
En kısa süre ilgili kişilere bildirim
Aşamalı bilgi yetersizse kademeli bildirim
Form Kişisel Veri İhlali Bildirim Formu

Veri İhlali Nedir? (Örneklerle)

Kişisel veri ihlali; işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi, hukuka aykırı erişime maruz kalması, kaybolması, değişmesi veya ifşa olmasıdır. Gizlilik, bütünlük veya erişilebilirlik ihlali şeklinde ortaya çıkabilir. Tipik örnekler:

Hukuki Dayanak: KVKK m.12/5 ve Kurul'un 2019/10 Sayılı Kararı

KVKK m.12/5, işlenen kişisel verilerin kanuni olmayan yollarla başkalarınca elde edilmesi hâlinde veri sorumlusunun bu durumu en kısa sürede ilgili kişiye ve Kurul'a bildirmesini öngörür. Kurul, 24.01.2019 tarihli ve 2019/10 sayılı kararıyla bu "en kısa süre" ifadesini somutlaştırmış ve veri sorumlusunun ihlali öğrendiği tarihten itibaren en geç 72 saat içinde Kurul'a bildirim yapmasını; bildirimin de standart bir form (Kişisel Veri İhlali Bildirim Formu) ile yapılmasını düzenlemiştir.

72 Saat Kuralı: Süre Ne Zaman Başlar?

En kritik soru budur. 72 saatlik süre, ihlalin gerçekleştiği andan değil, veri sorumlusunun ihlali öğrendiği (farkına vardığı) andan itibaren işlemeye başlar. Yani aylar önce sızan bir veriyi bugün fark ettiyseniz, süre bugünden başlar.

Kurul'a Bildirimde Hangi Bilgiler İstenir?

Kişisel Veri İhlali Bildirim Formu, genel olarak şu bilgileri içerir. Bu başlıkları önceden bir şablon hâline getirmek, 72 saatlik baskı altında zaman kazandırır:

İlgili Kişilere Bildirim

Kurul'a bildirimin yanı sıra, ihlalden etkilenen ilgili kişilere de makul en kısa sürede bildirim yapılması gerekir. Amaç, kişilerin kendi verilerini korumak için önlem alabilmesidir (şifre değiştirmek, kartı bloke ettirmek, şüpheli işlemlere karşı uyanık olmak).

İhlali Veri İşleyen Tespit Ederse

İhlal, veri sorumlusunun adına veri işleyen bir tarafta (örn. bulut sağlayıcı, çağrı merkezi, yazılım firması) ortaya çıkarsa; veri işleyen, durumu gecikmeksizin veri sorumlusuna bildirmekle yükümlüdür. Kurul'a ve ilgili kişilere bildirim sorumluluğu yine veri sorumlusundadır. Bu nedenle veri işleyenlerle yapılan sözleşmelere, ihlal halinde derhal bildirim yükümlülüğü açıkça yazılmalıdır.

Adım Adım Müdahale Planı (9 Adım)

Bir ihlal fark edildiğinde paniğe kapılmadan şu sırayı izleyin:

Tespit ve ilk uyarı

İhlali fark eden kişi (çalışan, BT ekibi, müşteri) durumu derhal önceden belirlenmiş sorumlu kişiye/ekibe bildirir. Saat ve dakika kaydedilir.

Süre: dakikalar içinde

Sınırlandırma (containment)

Etkilenen sistem/hesap izole edilir, sızıntı durdurulur (erişim kapatma, parola sıfırlama, bağlantı kesme). Önce kanamayı durdurun.

Süre: ilk saatler

Müdahale ekibini toplayın

Önceden belirlenmiş ekip devreye girer: BT/bilgi güvenliği, hukuk, üst yönetim ve irtibat kişisi. Roller bellidir.

Süre: ilk saatler

Kapsamı değerlendirin

Hangi veri kategorileri, kaç kişi, hangi risk düzeyi etkilendi? Özel nitelikli veri (sağlık, biyometri) var mı? Risk yüksekse aciliyet artar.

Çıktı: ihlal kapsam raporu

Kurul'a bildirin (72 saat)

Kişisel Veri İhlali Bildirim Formu ile, öğrenmeden itibaren en geç 72 saat içinde Kurul'a bildirim yapılır. Bilgi eksikse aşamalı bildirilir.

Son tarih: 72 saat

İlgili kişilere bildirin

Etkilenen kişilere makul en kısa sürede, anlaşılır bir dille bildirim yapılır; ne yapmaları gerektiği açıkça anlatılır.

Süre: makul en kısa süre

Delilleri ve süreci belgeleyin

Loglar, ekran görüntüleri, alınan kararlar ve yapılan bildirimler kayıt altına alınır. Bu, hesap verebilirliğin temelidir.

Çıktı: ihlal dosyası

Açığı kapatın ve iyileştirin

İhlale yol açan zafiyet giderilir; benzer olayları önlemek için teknik–idari tedbirler güçlendirilir (yama, yetki gözden geçirme, eğitim).

Süre: gün/hafta

Olay sonrası değerlendirme

Müdahale ekibi olayı gözden geçirir: ne iyi gitti, ne geliştirilmeli? Müdahale planı ve eğitimler güncellenir.

Çıktı: güncellenmiş plan

İhlal Sonrası Hukuki Riskler

Bir veri ihlali, işletme için birden çok cephede risk doğurur:

İhlalden Önce Hazırlanması Gerekenler

Müdahalenin başarısı, büyük ölçüde ihlal yaşanmadan önceki hazırlığa bağlıdır. Önceden hazır olması gerekenler:

Sık Yapılan 6 Hata

Hızlı Kontrol Listesi

Veri ihlali müdahale planının kurulması, daha geniş bir KVKK uyum sisteminin parçasıdır; VERBİS kaydı, aydınlatma metinleri, açık rıza yönetimi ve veri güvenliği tedbirleriyle birlikte ele alınmalıdır. İşletmenize özel kurulum için KVKK & Veri Koruma Avukatı sayfamıza göz atabilirsiniz.

Bu yazı genel bilgilendirme amacıyla hazırlanmıştır. Bir veri ihlali yaşıyorsanız ya da müdahale planı kurmak istiyorsanız vakit kaybetmeden bir avukata danışmanız tavsiye edilir.

Veri İhlali Müdahale Planınızı Birlikte Kuralım

İletişim