KVKK Veri İhlali Bildirimi 2026: Şirketler İçin Adım Adım Rehber

Kişisel verilerin korunması, dijital çağın en önemli hukuki meselelerinden biridir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında veri sorumluları, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve verilerin muhafazasını sağlamak amacıyla gerekli tüm teknik ve idari tedbirleri almakla yükümlüdür. Veri ihlali meydana geldiğinde ise belirli sürelerde bildirim yapılması zorunludur. Bu rehberde 2026 yılı güncel mevzuatı ve Kişisel Verileri Koruma Kurulu kararları çerçevesinde şirketlerin veri ihlali durumunda yapması gerekenleri adım adım açıklıyoruz.

Veri İhlali Nedir?

KVKK madde 12/5 kapsamında veri ihlali, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi olarak tanımlanır. Kişisel Verileri Koruma Kurulu kararlarına göre veri ihlali üç temel kategoride ele alınır. Gizlilik ihlali — kişisel verilerin yetkisiz kişilerce görülmesi veya erişilmesi (örneğin veritabanının hacklenmesi, e-posta listesinin sızdırılması). Bütünlük ihlali — kişisel verilerin yetkisiz şekilde değiştirilmesi veya silinmesi (örneğin kayıtların manipüle edilmesi). Erişilebilirlik ihlali — kişisel verilere erişimin engellenmesi veya kaybolması (örneğin fidye yazılımı saldırısı, sunucu arızası nedeniyle veri kaybı). Bir olayın veri ihlali sayılması için mutlaka kötü niyetli bir saldırı olması gerekmez. Çalışan hatası, yanlış alıcıya gönderilen e-posta veya güvenlik açığı da veri ihlali kapsamına girer.

72 Saat Bildirim Yükümlülüğü

KVKK madde 12/5 uyarınca veri sorumlusu, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu'na bildirmek zorundadır. Kurul, 2019/10 sayılı kararıyla bu süreyi 72 saat olarak belirlemiştir. 72 saatlik süre ihlalin tespit edildiği andan itibaren başlar. İhlalin tespit edilememesi durumunda bile makul sürede keşfedilebilecek ihlaller için sorumluluk doğar. 72 saat içinde tam bilgi edinilemese bile başlangıç bildirimi yapılmalı ve ek bilgiler sonradan tamamlanmalıdır.

Kurula Bildirim — Adım Adım

Kişisel Verileri Koruma Kurulu'na bildirim Veri İhlali Bildirim Formu aracılığıyla yapılır. Form elektronik ortamda Kurul'un resmi internet sitesinden doldurulabilir. Bildirimde bulunması gereken bilgiler şunlardır. İhlalin ne zaman gerçekleştiği ve ne zaman tespit edildiği. İhlalden etkilenen kişisel veri kategorileri (kimlik, iletişim, finans, sağlık vb.). İhlalden etkilenen kişi sayısı ve veri kayıt sayısı. İhlalin olası sonuçları ve riskleri. İhlalin etkilerinin azaltılması için alınan veya alınması planlanan önlemler. Varsa veri sorumlusu temsilcisinin ve irtibat kişisinin iletişim bilgileri. Kurul, bildirimi değerlendirerek gerekli görürse ihlalin kendi internet sitesinde veya uygun göreceği başka bir yöntemle ilan edilmesine karar verebilir.

İlgili Kişilere Bildirim

Kurul'a yapılan bildirime ek olarak ihlalden etkilenen ilgili kişilere de bildirim yapılması gerekir. Bildirim mümkün olan en kısa sürede, uygun yöntemlerle (e-posta, SMS, yazılı bildirim veya web sitesi duyurusu) yapılmalıdır. İlgili kişilere yapılacak bildirimde şu hususlar yer almalıdır: veri ihlalinin açık ve anlaşılır bir dilde açıklanması, olası sonuçlar ve riskler, veri sorumlusunun almış olduğu veya almayı önerdiği önlemler, ilgili kişilerin kendilerini korumak için yapabilecekleri ve irtibat kişisinin bilgileri. Bildirimde aşırı teknik jargondan kaçınılmalı ve etkilenen kişilerin ne yapması gerektiği net şekilde belirtilmelidir.

İdari Para Cezaları 2026

KVKK madde 18 uyarınca kanunda öngörülen yükümlülüklere aykırı davranan veri sorumlularına idari para cezası uygulanır. 2026 yılı güncel ceza tutarları şöyledir. Aydınlatma yükümlülüğünü yerine getirmeme (madde 10): 100.000 TL ile 1.000.000 TL arası. Veri güvenliği yükümlülüklerini yerine getirmeme (madde 12): 150.000 TL ile 3.000.000 TL arası. Kurul kararlarını yerine getirmeme (madde 15): 250.000 TL ile 5.000.000 TL arası. VERBİS kayıt yükümlülüğüne aykırı davranma (madde 16): 200.000 TL ile 4.000.000 TL arası. Veri ihlalini bildirmeme veya geç bildirme de madde 12 kapsamında değerlendirilir ve 150.000 TL ile 3.000.000 TL arasında ceza uygulanabilir. Bu ceza tutarları her yıl yeniden değerleme oranı kadar artırılmaktadır.

VERBİS Kayıt Yükümlülüğü

Veri Sorumluları Sicili (VERBİS) kaydı KVKK madde 16 uyarınca zorunludur. Yıllık çalışan sayısı 50'den fazla olan gerçek ve tüzel kişi veri sorumluları, yıllık mali bilanço toplamı 100 milyon TL'nin üzerinde olan gerçek ve tüzel kişi veri sorumluları, yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları ve ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları VERBİS'e kayıt olmak zorundadır. VERBİS kaydında veri sorumlusunun ve varsa temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işlendiği, veri konusu kişi grupları ve veri kategorileri, verilerin aktarılabileceği alıcı grupları, yabancı ülkelere aktarım yapılması öngörülen veriler, veri güvenliğine ilişkin alınan tedbirler ve verilerin azami muhafaza süresi bildirilir.

Veri İhlali Müdahale Planı Oluşturma

Her şirketin veri ihlali müdahale planı (incident response plan) hazırlaması zorunlu olmasa da şiddetle tavsiye edilir. Etkili bir müdahale planı şu aşamaları içermelidir. Hazırlık aşaması — müdahale ekibinin belirlenmesi, sorumlulukların dağıtılması, iletişim ağacının oluşturulması. Tespit ve analiz aşaması — ihlalin kapsamının belirlenmesi, etkilenen sistemlerin ve verilerin tespiti, kanıtların korunması. Sınırlama aşaması — ihlalin yayılmasının önlenmesi, etkilenen sistemlerin izole edilmesi. Ortadan kaldırma aşaması — güvenlik açığının giderilmesi, zararlı yazılımların temizlenmesi. İyileştirme aşaması — sistemlerin normal çalışmaya döndürülmesi, verilerin yedeklerden geri yüklenmesi. Bildirim aşaması — Kurul'a ve ilgili kişilere bildirim. Değerlendirme aşaması — olayın kök nedeninin analizi, tekrarını önleyecek tedbirlerin alınması.

Teknik Tedbirler

KVKK madde 12/1 kapsamında veri sorumluları uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik tedbirleri almak zorundadır. 2026 yılında Kurul kararlarında vurgulanan başlıca teknik tedbirler şunlardır. Güçlü şifreleme — verilerin hem iletim sırasında (TLS 1.3) hem de saklanırken (AES-256) şifrelenmesi. Erişim kontrolü — rol tabanlı erişim yönetimi (RBAC) ve en az yetki prensibi uygulanması. Çok faktörlü kimlik doğrulama (MFA) — kritik sistemlere erişimde SMS, uygulama veya donanım anahtarı ile ek doğrulama. Düzenli güvenlik testleri — penetrasyon testi, güvenlik açığı taraması ve kod incelemesi. Log yönetimi — erişim kayıtlarının tutulması ve izlenmesi (SIEM sistemleri). Yedekleme — düzenli ve test edilmiş yedekleme stratejisi (3-2-1 kuralı). Güvenlik duvarı ve IDS/IPS — ağ güvenliği için güncel koruma sistemleri. Güncellemeler — işletim sistemi ve yazılım güncellemelerinin zamanında yapılması.

İdari Tedbirler

Teknik tedbirlerin yanı sıra idari tedbirler de alınmalıdır. Kişisel veri işleme envanteri oluşturma — hangi verinin nerede, ne amaçla ve ne kadar süre saklandığının belgelenmesi. Gizlilik politikası ve aydınlatma metni — KVKK madde 10 uyarınca ilgili kişilerin veri işleme faaliyetleri hakkında bilgilendirilmesi. Çalışan eğitimi — tüm çalışanlara düzenli KVKK farkındalık eğitimi verilmesi. Veri işleyen sözleşmeleri — üçüncü taraf hizmet sağlayıcılarla veri güvenliği taahhüdü içeren sözleşmeler imzalanması. Veri saklama ve imha politikası — verilerin amaçla orantılı süre saklanması ve süre sonunda güvenli şekilde imha edilmesi. İç denetim — periyodik KVKK uyum denetimlerinin gerçekleştirilmesi.

Kurul Kararlarından Önemli Emsal Kararlar

Kişisel Verileri Koruma Kurulu bugüne kadar birçok veri ihlali kararı vermiştir. Bu kararlardan çıkan önemli ilkeler şunlardır. Veri ihlalinin geç bildirilmesi başlı başına ceza gerekçesidir — ihlalin tespit tarihinden 72 saatten fazla süre geçtikten sonra bildirim yapılması ek yaptırıma yol açar. İhlal kapsamının küçük olması cezayı tamamen ortadan kaldırmaz — az sayıda kişinin etkilendiği ihlallerde de bildirim zorunluluğu devam eder. Teknik tedbirlerin yetersizliği ağırlaştırıcı neden sayılır — temel güvenlik önlemlerinin alınmamış olması ceza miktarını artırır. İyi niyetli ve hızlı müdahale hafifletici neden olabilir — ihlalin derhal tespit edilip bildirilmesi ve etkili müdahale edilmesi ceza indirimi gerekçesi olabilir.

Veri İhlali Sonrası Hukuki Sorumluluk

Veri ihlali yalnızca idari para cezasıyla sınırlı kalmaz. İlgili kişiler KVKK madde 14 uyarınca Kurul'a şikayette bulunabilir. TBK madde 49 kapsamında maddi ve manevi tazminat davası açabilirler. Özellikle finansal verilerin sızdırılması halinde dolandırıcılık mağduriyeti yaşayan kişilerin tazminat talepleri gündeme gelir. Ayrıca TCK madde 136 uyarınca kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu 2 ila 4 yıl hapis cezası ile yaptırıma bağlanmıştır. Tüzel kişilere de güvenlik tedbiri uygulanabilir.

Yurtdışı Veri Aktarımı ve İhlal Bildirimi

KVKK madde 9 uyarınca kişisel verilerin yurtdışına aktarılması belirli koşullara bağlıdır. Yurtdışına aktarılan verilerde ihlal meydana gelmesi halinde hem Türkiye'deki Kurul'a hem de varsa aktarım yapılan ülkenin veri koruma otoritesine bildirim gerekebilir. AB ülkeleriyle veri aktarımında GDPR hükümleri de dikkate alınmalıdır. 2026 yılında Kurul'un yeterli koruma sağlayan ülkeler listesi güncellenmekte olup, listede yer almayan ülkelere aktarım için taahhütname veya açık rıza gereklidir.

Şirketler İçin KVKK Uyum Kontrol Listesi

Şirketlerin KVKK uyumunu sağlamak için aşağıdaki kontrol listesini takip etmesi önerilir. VERBİS kaydı yapıldı mı? Kişisel veri işleme envanteri hazırlandı mı? Aydınlatma metni ve gizlilik politikası yayınlandı mı? Açık rıza metinleri düzenlendi mi? Veri işleyen sözleşmeleri imzalandı mı? Veri saklama ve imha politikası oluşturuldu mu? Çalışan eğitimleri verildi mi? Teknik güvenlik önlemleri alındı mı? Veri ihlali müdahale planı hazırlandı mı? Periyodik denetim takvimi belirlendi mi? Bu kontrol listesini düzenli olarak gözden geçirmek ve güncellemek KVKK uyum sürecinin sürdürülebilirliği açısından önemlidir.

Veri ihlali bildirimi ve KVKK uyumu, özellikle dijital ortamda faaliyet gösteren tüm şirketler için kritik bir yükümlülüktür. İhlal anında doğru adımları atmak hem idari para cezası riskini azaltır hem de şirketin itibarını korur. Terai AI hukuk asistanı ile KVKK yükümlülükleriniz hakkında ön bilgi alabilir ve uyum sürecinizi değerlendirebilirsiniz. Ancak kapsamlı KVKK uyum programı ve veri ihlali müdahale planı oluşturmak için mutlaka bilişim hukuku alanında uzman bir avukata danışmanızı tavsiye ederiz.

Bu bilgi genel niteliktedir, hukuki tavsiye yerine geçmez. Somut durumunuz için mutlaka bir avukata danışınız.