İçeriğe geç
Kivuz
Tüm yazılar
Rehber6 Haziran 20262 dk okuma

Veri İhlali Bildirimi Nasıl Yapılır? (72 Saat Kuralı)

Kişisel veri ihlalinde Kurul'a ve ilgili kişilere bildirim nasıl ve ne zaman yapılır? 72 saat kuralı, bildirimde yer alması gerekenler ve ihlal anı yol haritası.

Yazar: Kivuz Ekibi

Bir veri ihlali fark edildiğinde geçen her saat önemlidir. KVKK, ihlal hâlinde veri sorumlusuna belirli bildirim yükümlülükleri getirir ve bu yükümlülüğün zamanında yerine getirilmesi beklenir. Bu yazıda ihlal bildiriminin kime, ne zaman ve nasıl yapılacağını özetliyoruz.

Bu içerik genel bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. Güncel usul ve süreler için Kişisel Verileri Koruma Kurumu'nun kararlarını esas alın.

Veri ihlali nedir?

Veri ihlali; kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi, ifşası, değiştirilmesi veya erişilemez hâle gelmesidir. Bir siber saldırı, yanlış alıcıya gönderilen e-posta ya da kaybolan bir cihaz da ihlal kapsamına girebilir.

Kime ve ne zaman bildirilir?

Kişisel Verileri Koruma Kurulu'nun yerleşik uygulamasına göre:

  • Kurul'a bildirim: Veri sorumlusu, ihlali öğrendiği tarihten itibaren en kısa sürede ve her hâlde 72 saat içinde Kurul'a bildirir.
  • İlgili kişilere bildirim: İhlalden etkilenen kişiler belirlenebiliyorsa, onlara da en kısa sürede ve uygun yöntemle bilgi verilir.

72 saatlik süre içinde tüm bilgiler henüz net değilse, bildirim gecikmeksizin yapılır ve eksik bilgiler sonradan tamamlanabilir.

Bildirimde neler yer alır?

İhlal bildiriminde genel olarak şu bilgiler beklenir:

  • İhlalin ne zaman ve nasıl gerçekleştiği.
  • İhlale konu olan kişisel veri kategorileri.
  • Etkilenen kişi ve kayıt sayısı (yaklaşık).
  • İhlalin olası sonuçları.
  • Alınan ve alınması planlanan tedbirler.
  • İrtibat kişisi bilgileri.

İhlal anında yapılması gerekenler

  1. Tespit edin ve sınırlayın. İhlalin kaynağını belirleyip yayılmasını durdurun.
  2. Değerlendirin. Hangi veriler, kaç kişi etkilendi? Olası zarar nedir?
  3. Bildirin. Kurul'a (ve gerekiyorsa ilgili kişilere) süresinde bildirim yapın.
  4. Kayıt altına alın. İhlali, müdahaleyi ve aldığınız kararları belgeleyin — bu, hesap verebilirliğin temelidir.

İhlali önlemek hazırlık ister

İhlal anında doğru davranabilmek, önceden kurulmuş bir hazırlık ister: teknik ve idari tedbirler, bir müdahale planı ve kayıt disiplini. Bu tedbirler, daha geniş KVKK uyum sürecinin parçasıdır ve eksikliği idari para cezası riskini artırır.

Kivuz KVKK, tedbirlerin kaydından ihlal sürecinin belgelenmesine kadar bu hazırlığı destekleyen bir KVKK uyum yazılımıdır. Kurumunuzun hazırlık düzeyini değerlendirmek için demo talep edebilirsiniz.

Bu içerik hukuki tavsiye niteliği taşımaz.