1. KVKK İhlali Nedir? (Giriş)
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında ‘veri ihlali’, kişisel verilerin yetkisiz erişim, ifşa, değiştirme veya yok edilme gibi durumlarla güvenliğinin bozulması anlamına gelir. KVKK ihlali, hem birey hem şirket açısından ciddi hukuki sonuçlar doğurur. Bu yazıda, veri ihlali bildirimi sürecini, KVKK Kurulu soruşturma aşamalarını, 2025 yılı güncel para cezalarını ve itiraz yollarını adım adım ele alacağız.
2. KVKK ve Veri İhlali Bildirimi Yükümlülüğü
KVKK m. 12, veri sorumlularına kişisel veri güvenliğini sağlama yükümlülüğü getirir. Bu yükümlülük kapsamında veri ihlali tespit edildiğinde veri sorumlusu, ihlali öğrendiği tarihten itibaren en geç 72 saat içinde KVKK Kurumuna bildirim yapmak ve ilgili kişileri bilgilendirmek zorundadır.
3. KVKK İhlali Örnekleri
• Şirket veritabanına sızılarak müşteri bilgilerine erişilmesi
• Çalışanların kişisel bilgilerinin yetkisiz paylaşılması
• E-posta yoluyla toplu şekilde kişisel veri sızması
• Fiziki arşivlerdeki belgelerin çalınması veya kaybolması
4. Veri İhlali Bildirimi Nasıl Yapılır?
Veri sorumlusu, KVKK Kurumu’nun internet sitesindeki ‘Veri İhlali Bildirim Formu’ üzerinden bildirim yapar. Bildirimde şu bilgiler yer almalıdır:
1. İhlalin ne zaman ve nasıl gerçekleştiği,
2. Etkilenen veri kategorileri (kimlik, iletişim, finans vb.),
3. İhlalden etkilenen kişi sayısı,
4. Alınan ve planlanan önlemler.
5. KVKK İhlalinde Bireylerin Hakları
İlgili kişi (birey), KVKK m. 11 kapsamında veri sorumlusuna başvurarak bilgi talep edebilir. Başvuru reddedilirse veya 30 gün içinde cevap verilmezse KVKK Kurumuna şikâyet hakkı vardır. Şikâyet süresi, cevapsızlık veya ret tarihinden itibaren 60 gündür.
6. KVKK İhlalinde Şirketler İçin Soruşturma Süreci
Şirketler açısından veri ihlali tespiti sonrası ilk adım, 72 saat içinde bildirimdir. Ardından olayın kökeni, etkilenen sistemler ve tekrarını önleyici teknik/idari tedbirler belirlenir. KVKK Kurulu, gerekli görürse yerinde inceleme yapabilir.
7. KVKK Kurulu Soruşturma Aşamaları
1. Şikâyet veya re’sen inceleme ile sürecin başlatılması
2. Veri sorumlusundan bilgi ve belge talebi
3. Teknik inceleme ve değerlendirme
4. İhlal tespiti halinde idari yaptırım kararı
5. Kararın KVKK Kurumu web sitesinde anonimleştirilerek yayımlanması
8. KVKK Para Cezaları (2025)
KVKK m. 18 uyarınca 2025 yılı için uygulanabilecek idari para cezaları (yeniden değerleme oranı %58,46 dikkate alınarak):
• Aydınlatma yükümlülüğüne aykırılık: 94.842 TL’ye kadar
• Veri güvenliğine aykırılık: 236.982 TL’ye kadar
• Kurul kararlarına uymama: 236.982 TL’ye kadar
• Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğüne aykırılık: 4.739.661 TL’ye kadar
9. KVKK Kararlarına İtiraz ve Yargı Yolu
İdari para cezalarına karşı 15 gün içinde sulh ceza hâkimliğine başvurulabilir. Kurul kararlarının iptali için ise 60 gün içinde idare mahkemesinde dava açılabilir.
10. KVKK İhlalini Önleme Yöntemleri
• Düzenli sızma testleri ve güvenlik güncellemeleri
• Erişim yetkilerinin sınırlanması
• Çalışan KVKK eğitimleri
• Veri saklama ve imha politikalarının uygulanması
11. Sonuç ve Kontrol Listesi
KVKK ihlallerinde hem bireylerin hem de şirketlerin zamanında ve doğru adımları atması, hukuki riskleri azaltır. Aşağıdaki kontrol listesi, sürecin sağlıklı yönetilmesine yardımcı olur:
□ İhlal tespit edildi mi ve kapsamı belirlendi mi?
□ 72 saat içinde KVKK Kurumuna bildirim yapıldı mı?
□ İlgili kişilere bilgilendirme sağlandı mı?
□ Önleyici teknik ve idari tedbirler alındı mı?
□ Hukuki başvuru ve itiraz süreçleri işletildi mi?