Bilişim Hukuku
KVKK Veri İhlali Bildirimi 2026: Şirketler İçin Adım Adım Rehber
Av. M. Furkan Gür27 Mart 202614 dk okuma•
Son Güncelleme: 28 Mart 2026
Kişisel verilerin korunması, dijital çağın en önemli hukuki meselelerinden biridir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında veri sorumluları, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve verilerin muhafazasını sağlamak amacıyla gerekli tüm teknik ve idari tedbirleri almakla yükümlüdür. Veri ihlali meydana geldiğinde ise belirli sürelerde bildirim yapılması zorunludur. Bu rehberde 2026 yılı güncel mevzuatı ve Kişisel Verileri Koruma Kurulu kararları çerçevesinde şirketlerin veri ihlali durumunda yapması gerekenleri adım adım açıklıyoruz.
KVKK madde 12/5 kapsamında veri ihlali, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi olarak tanımlanır. Kişisel Verileri Koruma Kurulu kararlarına göre veri ihlali üç temel kategoride ele alınır. Gizlilik ihlali — kişisel verilerin yetkisiz kişilerce görülmesi veya erişilmesi (örneğin veritabanının hacklenmesi, e-posta listesinin sızdırılması). Bütünlük ihlali — kişisel verilerin yetkisiz şekilde değiştirilmesi veya silinmesi (örneğin kayıtların manipüle edilmesi). Erişilebilirlik ihlali — kişisel verilere erişimin engellenmesi veya kaybolması (örneğin fidye yazılımı saldırısı, sunucu arızası nedeniyle veri kaybı). Bir olayın veri ihlali sayılması için mutlaka kötü niyetli bir saldırı olması gerekmez. Çalışan hatası, yanlış alıcıya gönderilen e-posta veya güvenlik açığı da veri ihlali kapsamına girer.
KVKK madde 12/5 uyarınca veri sorumlusu, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu'na bildirmek zorundadır. Kurul, 2019/10 sayılı kararıyla bu süreyi 72 saat olarak belirlemiştir. 72 saatlik süre ihlalin tespit edildiği andan itibaren başlar. İhlalin tespit edilememesi durumunda bile makul sürede keşfedilebilecek ihlaller için sorumluluk doğar. 72 saat içinde tam bilgi edinilemese bile başlangıç bildirimi yapılmalı ve ek bilgiler sonradan tamamlanmalıdır.
Kişisel Verileri Koruma Kurulu'na bildirim Veri İhlali Bildirim Formu aracılığıyla yapılır. Form elektronik ortamda Kurul'un resmi internet sitesinden doldurulabilir. Bildirimde bulunması gereken bilgiler şunlardır. İhlalin ne zaman gerçekleştiği ve ne zaman tespit edildiği. İhlalden etkilenen kişisel veri kategorileri (kimlik, iletişim, finans, sağlık vb.). İhlalden etkilenen kişi sayısı ve veri kayıt sayısı. İhlalin olası sonuçları ve riskleri. İhlalin etkilerinin azaltılması için alınan veya alınması planlanan önlemler. Varsa veri sorumlusu temsilcisinin ve irtibat kişisinin iletişim bilgileri. Kurul, bildirimi değerlendirerek gerekli görürse ihlalin kendi internet sitesinde veya uygun göreceği başka bir yöntemle ilan edilmesine karar verebilir.
Kurul'a yapılan bildirime ek olarak ihlalden etkilenen ilgili kişilere de bildirim yapılması gerekir. Bildirim mümkün olan en kısa sürede, uygun yöntemlerle (e-posta, SMS, yazılı bildirim veya web sitesi duyurusu) yapılmalıdır. İlgili kişilere yapılacak bildirimde şu hususlar yer almalıdır: veri ihlalinin açık ve anlaşılır bir dilde açıklanması, olası sonuçlar ve riskler, veri sorumlusunun almış olduğu veya almayı önerdiği önlemler, ilgili kişilerin kendilerini korumak için yapabilecekleri ve irtibat kişisinin bilgileri. Bildirimde aşırı teknik jargondan kaçınılmalı ve etkilenen kişilerin ne yapması gerektiği net şekilde belirtilmelidir.
KVKK madde 18 uyarınca kanunda öngörülen yükümlülüklere aykırı davranan veri sorumlularına idari para cezası uygulanır. 2026 yılı güncel ceza tutarları şöyledir. Aydınlatma yükümlülüğünü yerine getirmeme (madde 10): 100.000 TL ile 1.000.000 TL arası. Veri güvenliği yükümlülüklerini yerine getirmeme (madde 12): 150.000 TL ile 3.000.000 TL arası. Kurul kararlarını yerine getirmeme (madde 15): 250.000 TL ile 5.000.000 TL arası. VERBİS kayıt yükümlülüğüne aykırı davranma (madde 16): 200.000 TL ile 4.000.000 TL arası. Veri ihlalini bildirmeme veya geç bildirme de madde 12 kapsamında değerlendirilir ve 150.000 TL ile 3.000.000 TL arasında ceza uygulanabilir. Bu ceza tutarları her yıl yeniden değerleme oranı kadar artırılmaktadır.
Veri Sorumluları Sicili (VERBİS) kaydı KVKK madde 16 uyarınca zorunludur. Yıllık çalışan sayısı 50'den fazla olan gerçek ve tüzel kişi veri sorumluları, yıllık mali bilanço toplamı 100 milyon TL'nin üzerinde olan gerçek ve tüzel kişi veri sorumluları, yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları ve ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları VERBİS'e kayıt olmak zorundadır. VERBİS kaydında veri sorumlusunun ve varsa temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işlendiği, veri konusu kişi grupları ve veri kategorileri, verilerin aktarılabileceği alıcı grupları, yabancı ülkelere aktarım yapılması öngörülen veriler, veri güvenliğine ilişkin alınan tedbirler ve verilerin azami muhafaza süresi bildirilir.
Her şirketin veri ihlali müdahale planı (incident response plan) hazırlaması zorunlu olmasa da şiddetle tavsiye edilir. Etkili bir müdahale planı şu aşamaları içermelidir. Hazırlık aşaması — müdahale ekibinin belirlenmesi, sorumlulukların dağıtılması, iletişim ağacının oluşturulması. Tespit ve analiz aşaması — ihlalin kapsamının belirlenmesi, etkilenen sistemlerin ve verilerin tespiti, kanıtların korunması. Sınırlama aşaması — ihlalin yayılmasının önlenmesi, etkilenen sistemlerin izole edilmesi. Ortadan kaldırma aşaması — güvenlik açığının giderilmesi, zararlı yazılımların temizlenmesi. İyileştirme aşaması — sistemlerin normal çalışmaya döndürülmesi, verilerin yedeklerden geri yüklenmesi. Bildirim aşaması — Kurul'a ve ilgili kişilere bildirim. Değerlendirme aşaması — olayın kök nedeninin analizi, tekrarını önleyecek tedbirlerin alınması.
KVKK madde 12/1 kapsamında veri sorumluları uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik tedbirleri almak zorundadır. 2026 yılında Kurul kararlarında vurgulanan başlıca teknik tedbirler şunlardır. Güçlü şifreleme — verilerin hem iletim sırasında (TLS 1.3) hem de saklanırken (AES-256) şifrelenmesi. Erişim kontrolü — rol tabanlı erişim yönetimi (RBAC) ve en az yetki prensibi uygulanması. Çok faktörlü kimlik doğrulama (MFA) — kritik sistemlere erişimde SMS, uygulama veya donanım anahtarı ile ek doğrulama. Düzenli güvenlik testleri — penetrasyon testi, güvenlik açığı taraması ve kod incelemesi. Log yönetimi — erişim kayıtlarının tutulması ve izlenmesi (SIEM sistemleri). Yedekleme — düzenli ve test edilmiş yedekleme stratejisi (3-2-1 kuralı). Güvenlik duvarı ve IDS/IPS — ağ güvenliği için güncel koruma sistemleri. Güncellemeler — işletim sistemi ve yazılım güncellemelerinin zamanında yapılması.
Teknik tedbirlerin yanı sıra idari tedbirler de alınmalıdır. Kişisel veri işleme envanteri oluşturma — hangi verinin nerede, ne amaçla ve ne kadar süre saklandığının belgelenmesi. Gizlilik politikası ve aydınlatma metni — KVKK madde 10 uyarınca ilgili kişilerin veri işleme faaliyetleri hakkında bilgilendirilmesi. Çalışan eğitimi — tüm çalışanlara düzenli KVKK farkındalık eğitimi verilmesi. Veri işleyen sözleşmeleri — üçüncü taraf hizmet sağlayıcılarla veri güvenliği taahhüdü içeren sözleşmeler imzalanması. Veri saklama ve imha politikası — verilerin amaçla orantılı süre saklanması ve süre sonunda güvenli şekilde imha edilmesi. İç denetim — periyodik KVKK uyum denetimlerinin gerçekleştirilmesi.
Kişisel Verileri Koruma Kurulu bugüne kadar birçok veri ihlali kararı vermiştir. Bu kararlardan çıkan önemli ilkeler şunlardır. Veri ihlalinin geç bildirilmesi başlı başına ceza gerekçesidir — ihlalin tespit tarihinden 72 saatten fazla süre geçtikten sonra bildirim yapılması ek yaptırıma yol açar. İhlal kapsamının küçük olması cezayı tamamen ortadan kaldırmaz — az sayıda kişinin etkilendiği ihlallerde de bildirim zorunluluğu devam eder. Teknik tedbirlerin yetersizliği ağırlaştırıcı neden sayılır — temel güvenlik önlemlerinin alınmamış olması ceza miktarını artırır. İyi niyetli ve hızlı müdahale hafifletici neden olabilir — ihlalin derhal tespit edilip bildirilmesi ve etkili müdahale edilmesi ceza indirimi gerekçesi olabilir.
AI ile durumunuza ozel analiz yapin veya avukata ulasin
Lisanslı avukat tarafından incelenmiştir
7545 sayılı Siber Güvenlik Kanunu neler getiriyor? Bildirim yükümlülükleri, sertifikasyon, 10-100 milyon TL cezalar. Avukatlar için danışmanlık rehberi.
KVKK 2026 idari para cezaları %25 arttı. Azami ceza 17 milyon TL. Avukatlar için KVKK uyum danışmanlığı ve müvekkil koruma rehberi.
Hukuk büroları siber saldırı hedefinde. E-posta şifreleme, dosya güvenliği, iki faktörlü doğrulama, siber sigorta. Avukatlar için pratik güvenlik rehberi.
Yapay zeka sistemlerinde kişisel veri işleme KVKK'ya uygun mu? AI eğitim verisi, otomatik karar alma, profilleme ve veri sorumlusu yükümlülükleri rehberi.
Kişisel verilerin korunması, dijital çağın en önemli hukuki meselelerinden biridir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında veri sorumluları, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve verilerin muhafazasını sağlamak amacıyla gerekli tüm teknik ve idari tedbirleri almakla yükümlüdür.
KVKK madde 12/5 uyarınca veri sorumlusu, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu'na bildirmek zorundadır. Kurul, 2019/10 sayılı kararıyla bu süreyi 72 saat olarak belirlemiştir. 72 saatlik süre ihlalin tespit edildiği andan itibaren başlar.
KVKK madde 18 uyarınca kanunda öngörülen yükümlülüklere aykırı davranan veri sorumlularına idari para cezası uygulanır. 2026 yılı güncel ceza tutarları şöyledir. Aydınlatma yükümlülüğünü yerine getirmeme (madde 10): 100.000 TL ile 1.000.000 TL arası. Veri güvenliği yükümlülüklerini yerine getirmeme (madde 12): 150.000 TL ile 3.000.000 TL arası. Kurul kararlarını yerine getirmeme (madde 15): 250.
Veri Sorumluları Sicili (VERBİS) kaydı KVKK madde 16 uyarınca zorunludur. Yıllık çalışan sayısı 50'den fazla olan gerçek ve tüzel kişi veri sorumluları, yıllık mali bilanço toplamı 100 milyon TL'nin üzerinde olan gerçek ve tüzel kişi veri sorumluları, yurtdışında yerleşik gerçek ve tüzel kişi veri s...
KVKK madde 12/5 uyarınca veri sorumlusu, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu'na bildirmek zorundadır. Kurul, 2019/10 sayılı kararıyla bu süreyi 72 saat olarak belirlemiştir. 72 saatlik süre ihlalin tespit edildiği andan itibaren başlar.
Kurul'a yapılan bildirime ek olarak ihlalden etkilenen ilgili kişilere de bildirim yapılması gerekir. Bildirim mümkün olan en kısa sürede, uygun yöntemlerle (e-posta, SMS, yazılı bildirim veya web sitesi duyurusu) yapılmalıdır.
Veri ihlali bildirimi ve KVKK uyumu, özellikle dijital ortamda faaliyet gösteren tüm şirketler için kritik bir yükümlülüktür. İhlal anında doğru adımları atmak hem idari para cezası riskini azaltır hem de şirketin itibarını korur. Terai AI hukuk asistanı ile KVKK yükümlülükleriniz hakkında ön bilgi alabilir ve uyum sürecinizi değerlendirebilirsiniz.
Veri ihlali yalnızca idari para cezasıyla sınırlı kalmaz. İlgili kişiler KVKK madde 14 uyarınca Kurul'a şikayette bulunabilir. TBK madde 49 kapsamında maddi ve manevi tazminat davası açabilirler. Özellikle finansal verilerin sızdırılması halinde dolandırıcılık mağduriyeti yaşayan kişilerin tazminat talepleri gündeme gelir. Ayrıca TCK madde 136 uyarınca kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu 2 ila 4 yıl hapis cezası ile yaptırıma bağlanmıştır. Tüzel kişilere de güvenlik tedbiri uygulanabilir.
KVKK madde 9 uyarınca kişisel verilerin yurtdışına aktarılması belirli koşullara bağlıdır. Yurtdışına aktarılan verilerde ihlal meydana gelmesi halinde hem Türkiye'deki Kurul'a hem de varsa aktarım yapılan ülkenin veri koruma otoritesine bildirim gerekebilir. AB ülkeleriyle veri aktarımında GDPR hükümleri de dikkate alınmalıdır. 2026 yılında Kurul'un yeterli koruma sağlayan ülkeler listesi güncellenmekte olup, listede yer almayan ülkelere aktarım için taahhütname veya açık rıza gereklidir.
Şirketlerin KVKK uyumunu sağlamak için aşağıdaki kontrol listesini takip etmesi önerilir. VERBİS kaydı yapıldı mı? Kişisel veri işleme envanteri hazırlandı mı? Aydınlatma metni ve gizlilik politikası yayınlandı mı? Açık rıza metinleri düzenlendi mi? Veri işleyen sözleşmeleri imzalandı mı? Veri saklama ve imha politikası oluşturuldu mu? Çalışan eğitimleri verildi mi? Teknik güvenlik önlemleri alındı mı? Veri ihlali müdahale planı hazırlandı mı? Periyodik denetim takvimi belirlendi mi? Bu kontrol listesini düzenli olarak gözden geçirmek ve güncellemek KVKK uyum sürecinin sürdürülebilirliği açısından önemlidir.
Veri ihlali bildirimi ve KVKK uyumu, özellikle dijital ortamda faaliyet gösteren tüm şirketler için kritik bir yükümlülüktür. İhlal anında doğru adımları atmak hem idari para cezası riskini azaltır hem de şirketin itibarını korur. Terai AI hukuk asistanı ile KVKK yükümlülükleriniz hakkında ön bilgi alabilir ve uyum sürecinizi değerlendirebilirsiniz. Ancak kapsamlı KVKK uyum programı ve veri ihlali müdahale planı oluşturmak için mutlaka bilişim hukuku alanında uzman bir avukata danışmanızı tavsiye ederiz.
Bu bilgi genel niteliktedir, hukuki tavsiye yerine geçmez. Somut durumunuz için mutlaka bir avukata danışınız.