Veri İhlal Bildirimi İlan Sürelerine İlişkin Yeni Kurallar

Giriş

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 12. maddesi uyarınca, kişisel verilerin hukuka aykırı olarak üçüncü kişiler tarafından elde edilmesi hâlinde veri sorumlularının durumu en kısa sürede hem ilgili kişilere hem de Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirmesi gerekmektedir. Bu bildirim yükümlülüğü, kişisel veri ihlallerinin ilgili kişiler bakımından doğurabileceği olumsuz sonuçların mümkün olan en kısa sürede önlenmesini veya etkilerinin en aza indirilmesini amaçlamaktadır.

Veri İhlali Bildirim Yükümlülüğü ve İlan Sürelerine İlişkin Değişiklik

KVKK’nin 12. maddesinin beşinci fıkrası uyarınca öngörülen bildirim yükümlülüğünün kapsamı, kişisel veri ihlali bildirim usul ve esaslarına ilişkin Kurul’un 24.01.2019 tarihli ve 2019/10 sayılı kararı ile somutlaştırılmıştır.[1] 2019/10 sayılı karar ile KVKK’de yer alan “en kısa sürede” ifadesi, veri sorumlusunun kişisel veri ihlalini öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içerisinde Kurul’a bildirimde bulunması şeklinde yorumlanmıştır.

Bu karar uyarınca, ihlalden etkilenen ilgili kişilerin belirlenmesini müteakip, bu kişilere de makul olan en kısa süre içerisinde bildirim yapılması gerekmektedir. İlgili kişilere yapılacak bildirimlerin, iletişim bilgilerine ulaşılabilmesi hâlinde doğrudan yapılması esastır. Ancak ilgili kişinin iletişim bilgilerine ulaşılamadığı durumlarda, veri sorumlusunun kendi internet sitesi üzerinden yayımlama gibi uygun yöntemlerle bilgilendirme yapması da mümkün kılınmıştır. Bu yaklaşım, ilgili kişilerin ihlalden zamanında haberdar edilerek gerekli önlemleri alabilmelerini sağlamaya yöneliktir.

Öte yandan, Kurul’a intikal eden kişisel veri ihlali bildirimlerinin Kişisel Verileri Koruma Kurumu (“Kurum”) internet sitesinde yayımlanıp yayımlanmayacağına karar verilirken; ihlalden etkilenen ilgili kişi grubu ve kişi sayısı, ihlalden etkilenen kişisel verilerin niteliği ve kapsamı, ihlalin gerçekleşme şekli, veri sorumlusunun faaliyet gösterdiği sektör ile veri sorumlusu tarafından ilgili kişilere bildirim yapılıp yapılmadığı gibi birden fazla kriter birlikte değerlendirilmektedir.

Son duyuru ile bu uygulamaya ilişkin önemli bir değişiklik hayata geçirilmiştir. Kurul’un 25/12/2025 tarihli ve 2025/2451 sayılı kararı doğrultusunda, daha önce herhangi bir süre sınırlaması olmaksızın Kurum internet sitesinde ilan edilen veri ihlali bildirimlerinin, artık azami 60 gün süreyle yayımlanmasına, ihlalden etkilenen ilgili kişilere bu 60 günlük süreden daha kısa bir süre içerisinde bildirim yapılınca veri ihlal bildirimi ilanının internet sitesinden kaldırılmasına karar verilmiştir. Bu düzenleme ile veri sorumlularının ilgili kişilere zamanında ve etkin bildirim yapmalarının teşvik edilmesi ve ilanların gereğinden uzun süre yayımda kalmasının önüne geçilmesi amaçlanmaktadır.

Önemli Uyarı: Kurul’un ilgili kişiye yapılan veri ihlali bildirimlerinde zorunlu tuttuğu asgari unsurları içeren 2019/271 sayılı karara buradan ulaşabilirsiniz.

Veri İhlal Bildirim Sürelerine Aykırılıkta Verilen İdari Para Cezaları

KVKK’nin 12. maddesinin beşinci fıkrasında yer verilen “en kısa sürede” (2019/10 sayılı kararı uyarınca 72 saatlik süre içerisinde) bildirimde bulunma ve 2019/271 sayılı karara uygun şekilde ilgili kişilere bildirimde yükümlülüklerine aykırı hareket edilmesi halinde veri sorumlusu hakkında KVKK’nin 18. maddesinin birinci fıkrasının (b) bendi uyarınca idari para cezası verilmektedir. Bu kapsamda veri güvenliğine ilişkin yükümlülüklerin ihlali halinde verilebilecek olan 256.357 TL- 17.092.242 TL tutarında cezalar, veri sorumluları açısından ciddi bir finansal risk doğurmaktadır.

Sonuç

2026 yılı itibarıyla KVKK kapsamında hem veri ihlali bildirim ve ilan süreçleri hem de idari para cezaları bakımından veri sorumluları açısından risklerin belirgin şekilde arttığı görülmektedir. Özellikle veri ihlallerinin Kurum internet sitesinde ilan edilmesine ilişkin sürelerin düzenlenmesi, veri sorumlularının ilgili kişilere zamanında bildirim yapmalarını ve bu bildirimleri belgelendirmelerini daha da kritik hâle getirmiştir. Bu çerçevede veri sorumlularının; veri ihlali yönetim ve müdahale prosedürlerini güncellemeleri, iç denetim ve kayıt mekanizmalarını güçlendirmeleri, bildirim yükümlülüklerine tam uyum sağlamaları ve ilgili kişi bildirim süreçlerini etkin şekilde yürütmeleri hem idari para cezaları hem de itibari riskler bakımından önem arz etmektedir.

Duyuru metninin tamamına buradan ulaşabilirsiniz.

Kaynakça

Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararına İlişkin Duyuru. (2019, 02 15). Kişisel Verileri Koruma Kurumu: https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi adresinden alındı