KVKK Veri İhlali Bildirimi 2026: Şirketler İçin Adım Adım Rehber
Kişisel verilerin korunması, dijital çağın en önemli hukuki meselelerinden biridir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında veri sorumluları, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve verilerin muhafazasını sağlamak amacıyla gerekli tüm teknik ve idari tedbirleri almakla yükümlüdür. Veri ihlali meydana geldiğinde ise belirli sürelerde bildirim yapılması zorunludur. Bu rehberde 2026 yılı güncel mevzuatı ve Kişisel Verileri Koruma Kurulu kararları çerçevesinde şirketlerin veri ihlali durumunda yapması gerekenleri adım adım açıklıyoruz.
Veri İhlali Nedir?
KVKK madde 12/5 kapsamında veri ihlali, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi olarak tanımlanır. Kişisel Verileri Koruma Kurulu kararlarına göre veri ihlali üç temel kategoride ele alınır. Gizlilik ihlali — kişisel verilerin yetkisiz kişilerce görülmesi veya erişilmesi (örneğin veritabanının hacklenmesi, e-posta listesinin sızdırılması). Bütünlük ihlali — kişisel verilerin yetkisiz şekilde değiştirilmesi veya silinmesi (örneğin kayıtların manipüle edilmesi). Erişilebilirlik ihlali — kişisel verilere erişimin engellenmesi veya kaybolması (örneğin fidye yazılımı saldırısı, sunucu arızası nedeniyle veri kaybı). Bir olayın veri ihlali sayılması için mutlaka kötü niyetli bir saldırı olması gerekmez. Çalışan hatası, yanlış alıcıya gönderilen e-posta veya güvenlik açığı da veri ihlali kapsamına girer.
72 Saat Bildirim Yükümlülüğü
KVKK madde 12/5 uyarınca veri sorumlusu, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu'na bildirmek zorundadır. Kurul, 2019/10 sayılı kararıyla bu süreyi 72 saat olarak belirlemiştir. 72 saatlik süre ihlalin tespit edildiği andan itibaren başlar. İhlalin tespit edilememesi durumunda bile makul sürede keşfedilebilecek ihlaller için sorumluluk doğar. 72 saat içinde tam bilgi edinilemese bile başlangıç bildirimi yapılmalı ve ek bilgiler sonradan tamamlanmalıdır.
Kurula Bildirim — Adım Adım
Kişisel Verileri Koruma Kurulu'na bildirim Veri İhlali Bildirim Formu aracılığıyla yapılır. Form elektronik ortamda Kurul'un resmi internet sitesinden doldurulabilir. Bildirimde bulunması gereken bilgiler şunlardır. İhlalin ne zaman gerçekleştiği ve ne zaman tespit edildiği. İhlalden etkilenen kişisel veri kategorileri (kimlik, iletişim, finans, sağlık vb.). İhlalden etkilenen kişi sayısı ve veri kayıt sayısı. İhlalin olası sonuçları ve riskleri. İhlalin etkilerinin azaltılması için alınan veya alınması planlanan önlemler. Varsa veri sorumlusu temsilcisinin ve irtibat kişisinin iletişim bilgileri. Kurul, bildirimi değerlendirerek gerekli görürse ihlalin kendi internet sitesinde veya uygun göreceği başka bir yöntemle ilan edilmesine karar verebilir.
Bu bilgiyi kendi durumunuza uyarlayin
AI ile durumunuza ozel analiz yapin veya avukata ulasin
Lisanslı avukat tarafından incelenmiştir
İlgili Yazılar
7545 Sayılı Siber Güvenlik Kanunu 2026: Şirketler İçin Uyum Rehberi ve Avukat Danışmanlığı
7545 sayılı Siber Güvenlik Kanunu neler getiriyor? Bildirim yükümlülükleri, sertifikasyon, 10-100 milyon TL cezalar. Avukatlar için danışmanlık rehberi.
KVKK 2026 Ceza Güncellemesi: Avukatlar Müvekkillerini Nasıl Korumalı?
KVKK 2026 idari para cezaları %25 arttı. Azami ceza 17 milyon TL. Avukatlar için KVKK uyum danışmanlığı ve müvekkil koruma rehberi.
Hukuk Büroları İçin Siber Güvenlik 2026: Müvekkil Verilerini Nasıl Korursunuz?
Hukuk büroları siber saldırı hedefinde. E-posta şifreleme, dosya güvenliği, iki faktörlü doğrulama, siber sigorta. Avukatlar için pratik güvenlik rehberi.
Sıkça Sorulan Sorular
KVKK kapsamında veri ihlali nedir?
Kişisel verilerin korunması, dijital çağın en önemli hukuki meselelerinden biridir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında veri sorumluları, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve verilerin muhafazasını sağlamak amacıyla gerekli tüm teknik ve idari tedbirleri almakla yükümlüdür.
Veri ihlali bildirimini kaç saat içinde yapmak gerekir?
KVKK madde 12/5 uyarınca veri sorumlusu, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu'na bildirmek zorundadır. Kurul, 2019/10 sayılı kararıyla bu süreyi 72 saat olarak belirlemiştir. 72 saatlik süre ihlalin tespit edildiği andan itibaren başlar.
KVKK idari para cezaları 2026'da ne kadardır?
KVKK madde 18 uyarınca kanunda öngörülen yükümlülüklere aykırı davranan veri sorumlularına idari para cezası uygulanır. 2026 yılı güncel ceza tutarları şöyledir. Aydınlatma yükümlülüğünü yerine getirmeme (madde 10): 100.000 TL ile 1.000.000 TL arası. Veri güvenliği yükümlülüklerini yerine getirmeme (madde 12): 150.000 TL ile 3.000.000 TL arası. Kurul kararlarını yerine getirmeme (madde 15): 250.