Yasal·
31 Mart 2026
Bir sabah uyandığınızda milyonlarca müşteri kaydının çalındığını öğrendiğinizi düşünün. O andan itibaren saatler değil, dakikalar önem kazanır; çünkü hem Kişisel Verileri Koruma Kurumu (KVKK) hem de etkilenen bireylere yönelik bildirim yükümlülükleriniz hukuki bir saat gibi işlemeye başlar. Veri ihlalini gizlemek ya da bildirimi ertelemek, asıl ihlalden çok daha ağır yaptırımlara yol açabilir.
Türkiye'de veri ihlali bildirimi yükümlülüğünün temel kaynağı 6698 sayılı Kişisel Verilerin Korunması Kanunu'dur. Kanunun 12. maddesi, veri sorumlularının işledikleri kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi hâlinde bu durumu "en kısa sürede" hem ilgili kişilere hem de Kurula (KVKK) bildirmeleri gerektiğini düzenler.
Bu genel hükmü somutlaştıran temel ikincil düzenleme, Kişisel Veri İhlali Bildirimi Hakkında Rehber'dir (Kişisel Verileri Koruma Kurumu, 2019). Rehber, 72 saatlik süreyi, bildirimde bulunması gereken içerik unsurlarını ve öğrenme anının nasıl belirleneceğini açıklar. Avrupa Birliği'nde yürürlükte olan GDPR'ın (General Data Protection Regulation — Genel Veri Koruma Yönetmeliği) 33. ve 34. maddelerine paralel bir yaklaşım benimsenmiştir; bu durum, uluslararası veri akışı içindeki Türk kuruluşlar için uyumu kolaylaştırmaktadır.
E-posta pazarlaması boyutuyla ele alındığında, 6563 sayılı Elektronik Ticaret Kanunu ile Ticari İletişim ve Ticari Elektronik İleti Hakkında Yönetmelik de devreye girer. E-posta listelerinin veya abonelik veritabanlarının ihlal kapsamına girmesi hâlinde hem KVKK bildirimi hem de ETK kapsamındaki hizmet sağlayıcı sorumlulukları birlikte değerlendirilmelidir.
KVKK Rehberi'ne göre 72 saatlik süre, veri sorumlusunun ihlalden "öğrendiği" andan itibaren başlar. Buradaki kritik soru, "öğrenme anı"nın ne zaman gerçekleştiğidir. Kurul kararları incelendiğinde, ihlali tespit eden çalışanın veya sistemin bilgiyi veri sorumlusunun yetkili organlarına (örneğin veri koruma sorumlusu ya da üst yönetim) ilettiği an esas alınmaktadır.
Otomatik sistem uyarıları, SIEM (Security Information and Event Management — Güvenlik Bilgisi ve Olay Yönetimi) araçları ya da üçüncü taraf bildirimleri aracılığıyla tespit edilen ihlallerde süre, bu bildirimin yetkili kişiye ulaştığı anda başlamaktadır. Dolayısıyla olay müdahale planlarında "öğrenme anının" kayıt altına alınması, hukuki uyum açısından kritik önem taşır.
72 saatlik süre içinde ihlal hakkında tüm bilgilere ulaşmak mümkün olmayabilir; bu durumda aşamalı bildirim yapılabilir. İlk bildirimde mevcut bilgiler paylaşılır, tamamlayıcı bilgiler elde edildikçe ek bildirimler yapılır.
KVKK'nın resmi web sitesinde (kvkk.gov.tr) sunulan Veri İhlali Bildirim Formu üzerinden yapılacak bildirimde aşağıdaki bilgilerin yer alması zorunludur:
| Bildirim Unsuru | Açıklama | Zorunlu mu? |
|---|---|---|
| İhlalin niteliği | Gizlilik, bütünlük veya erişilebilirlik ihlali türü | Evet |
| Etkilenen kişi kategorileri | Çalışan, müşteri, abone vb. | Evet |
| Etkilenen veri kategorileri | E-posta, kimlik, finansal veri vb. | Evet |
| Tahmini etkilenen kişi sayısı | Kesin sayı bilinmiyorsa tahmin ve gerekçe | Evet |
| İhlalin olası sonuçları | Risk değerlendirmesi, potansiyel zararlar | Evet |
| Alınan veya alınacak önlemler | Teknik ve idari tedbirler | Evet |
| Veri Koruma Sorumlusu iletişim bilgileri | VKS atanmışsa ad, e-posta, telefon | VKS varsa evet |
| Aşamalı bildirim gerekçesi | 72 saat içinde tüm bilgiler tamamlanamıyorsa açıklama | Gerektiğinde |
Kanunun 12/5. maddesi, ihlalden etkilenen bireylere bildirim yapılmasını zorunlu kılmaktadır. E-posta, bu bildirim için hem en hızlı hem de belgesi en kolay tutulan kanaldır; ancak yalnızca etkilenen kişinin e-posta adresi biliniyorsa ve bu adresin bizzat ihlal kapsamında olmadığına makul ölçüde güveniliyorsa tercih edilmelidir. İhlal, e-posta adreslerinin ele geçirilmesini içeriyorsa ek kanallar (SMS, web sitesi duyurusu, basın açıklaması) devreye alınmalıdır.
Bildirim e-postası yazılırken dikkat edilmesi gereken temel ilkeler şunlardır:
Bir veri ihlali bildirim e-postasının güvenilir şekilde iletilmesi, e-posta altyapısının teknik standartlara uygunluğuna doğrudan bağlıdır. Bu bağlamda üç temel protokol öne çıkar:
Kritik bildirim e-postalarında, teslimat oranını artırmak amacıyla e-posta hizmet sağlayıcınızın dedicated (ayrılmış) IP kullanmasına dikkat edin. Paylaşımlı IP havuzlarında başka göndericilerin kötü itibarı teslimati olumsuz etkileyebilir.
KVKK, veri ihlali bildirimi yükümlülüğünü yerine getirmeyen veri sorumlularına 6698 sayılı Kanun'un 18. maddesi kapsamında idari para cezası uygulayabilir. 2024 yılı için belirlenen üst sınır, ihlalin niteliğine göre değişmekte olup Kurul, kararlarında ihlalin büyüklüğünü, kastı ve alınan önlemleri dikkate almaktadır.
Kurul'un kamuoyuna duyurulan kararları incelendiğinde, bildirim süresine uymayan, eksik bildirim yapan veya ilgili kişilere hiç bildirimde bulunmayan kuruluşlara yönelik yaptırımların özellikle sağlık, finans ve e-ticaret sektörlerinde yoğunlaştığı görülmektedir. Bu kararlar kvkk.gov.tr üzerinden kamuoyuyla paylaşılmaktadır.
Reaktif değil proaktif bir yaklaşım için veri ihlali bildirim sürecini önceden planlamak şarttır. İyi bir olay müdahale planı en azından şu adımları içermelidir: ihlali tespit ve sınıflandırma, etkilenen veri kategorilerini ve kişi sayısını belirleme, KVKK bildirimi için bir taslak e-posta veya form oluşturma, ilgili kişilere gönderilecek bildirim şablonunu hazır tutma ve tüm bu adımları zaman damgalı olarak kayıt altına alma. Şablon e-postanın önceden hukuk birimi tarafından onaylanmış olması, kriz anında hem zaman kazandırır hem de hataları en aza indirir.
Süreyi aştıysanız yine de derhal KVKK'ya bildirimde bulunun. Bildirimi hiç yapmamak, gecikmeli yapmanın çok üzerinde bir risk oluşturur. Bildiriminizde gecikmenin nedenini, öğrenme anını ve bu süreçte aldığınız önlemleri açıklayın; Kurul değerlendirmesinde bu bilgiler hafifletici unsur olarak dikkate alınabilir.
E-posta adresi 6698 sayılı Kanun kapsamında kişisel veri sayılır. Bu verilerin yetkisiz kişilerce ele geçirilmesi bir veri ihlalidir. Risk değerlendirmesi yapılarak etkilenen kişiler için sonuçların ciddiyeti belirlenmeli; düşük riskli görünse bile KVKK'ya bildirim yükümlülüğü kural olarak devam eder.
Evet. Veri sorumlusu sıfatı taşıyorsanız, verilerin fiilen kimin altyapısında işlendiğinden bağımsız olarak bildirim yükümlülüğü size aittir. Veri işleyen (alt işleyen) sözleşmenizde ihlal bildirim mekanizmalarını ve süre yükümlülüklerini açıkça düzenlemeniz bu riski minimize eder.
KVKK mevzuatında bildirim için asgari etkilenen kişi sayısı belirlenmemiştir. Belirleyici ölçüt, ihlalin ilgili kişiler için yüksek risk doğurup doğurmadığıdır. Finansal veri, sağlık verisi veya kimlik bilgisi içeren ihlaller tek bir kişiyi kapsasa dahi bildirim gerektirebilir.
İlgili kişiye gönderilecek bildirim e-postası, içeriği itibarıyla oldukça hassas sayılabilir. Mümkünse TLS ile şifrelenmiş kanal üzerinden gönderin; ancak uçtan uca şifreleme (S/MIME veya PGP) zorunluluk değil, iyi uygulama olarak değerlendirilir. Kritik olan, e-posta altyapınızın SPF/DKIM/DMARC ile doğru yapılandırılmış olması ve teslimatın belgelenmesidir.
Gönderilen bildirimlerin zaman damgalı kopyaları, KVKK form onayı, iç olay kayıtları (log), ilk tespit tarihini gösteren sistem kayıtları ve alınan teknik önlemlere ilişkin belgeler saklanmalıdır. KVKK denetimlerinde bu belgeler talep edilebilir.
Kurul eksik veya yanıltıcı bildirim yapıldığını tespit ederse ek bilgi talep edebilir, yerinde inceleme başlatabilir ve 6698 sayılı Kanun'un 18. maddesi kapsamında idari para cezası uygulayabilir. Ayrıca ilgili kişilerin bireysel tazminat davaları açma hakkı devam eder.
Hayır, ayrı bir yasal bildirim formu yoktur; ancak bildirimin içeriğinde etkilenen kişi kategorileri arasında çalışanlar açıkça belirtilmelidir. Çalışanlara yapılacak bildirimde de müşterilere yapılanla aynı şeffaflık ve bilgi standartları geçerlidir.
Doğrudan bir ETK bildirimi yükümlülüğü bulunmamakla birlikte, ihlal kapsamındaki e-posta abonelik veritabanlarının yetkisiz kişilerin eline geçmesi, bu kişilerin söz konusu adreslere izinsiz ticari elektronik ileti göndermesine zemin hazırlayabilir. Bu durumda hizmet sağlayıcı sıfatıyla ETK uyum yükümlülüklerinizi gözden geçirmeniz ve gerekirse BTK'ya bilgi vermeniz tavsiye edilir.
Kanun "en kısa sürede" ifadesini kullanmaktadır; KVKK Rehberi bu sürenin pratik sınırını "birkaç gün" olarak tanımlar. Rehber, GDPR'daki gibi "72 saat" rakamını ilgili kişi bildirimi için doğrudan belirlememekle birlikte, uygulamada Kurul'un 72 saatlik iç bildirim süresiyle paralel bir beklenti içinde olduğu değerlendirilmektedir.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.