Veri İhlali Bildirimi Neden Kritik Bir Süreçtir?
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 12. maddesi uyarınca; işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu, bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu'na bildirmekle yükümlüdür. Kurul kararlarıyla netleşen uygulamada "en kısa süre", ihlalin öğrenilmesinden itibaren 72 saat olarak belirlenmiştir. Bildirim yükümlülüğünün ihlali, ihlalin kendisinden bağımsız olarak idari para cezasına konu olabilir; yani ihlali geç bildirmek, zararı büyüten ikinci bir hata haline gelir.
Not: Bu makale genel bilgilendirme amaçlıdır ve hukuki danışmanlık yerine geçmez; gerçek bir ihlal durumunda süreci hukuk danışmanınızla birlikte yürütmenizi öneririz.
Veri İhlali Sayılan Durumlar
İhlal denince akla önce hacker saldırısı gelir; oysa kapsam çok daha geniştir ve ihlal yalnızca dış saldırı değildir. Uygulamada sık görülen örnekler şunlardır: Sistemlere yetkisiz erişim ve veri sızdırılması, fidye yazılımı saldırısı, kişisel veri içeren e-postanın yanlış alıcıya gönderilmesi, veri içeren dizüstü bilgisayar veya taşınabilir diskin kaybolması/çalınması, yanlış yapılandırılmış sunucu veya bulut deposu nedeniyle verilerin internete açık kalması ve eski çalışanların erişiminin kapatılmaması nedeniyle yaşanan yetkisiz erişimler. Ortak payda şudur: Kişisel verinin gizliliği, bütünlüğü veya erişilebilirliği kanuni olmayan biçimde etkilenmiştir.
İlk 72 Saat: Adım Adım Yol Haritası
- 1. Tespit ve teyit (0-12. saat): Şüpheli durumu teknik olarak doğrulayın: Gerçekten kişisel veri etkilendi mi, hangi sistemler kapsamda? "Öğrenme anı" 72 saatlik sürenin başlangıcıdır; tespit zamanını kayda geçirin.
- 2. Müdahale ve sınırlama: İhlalin devamını durdurun: Etkilenen sistemleri izole edin, ele geçirilen hesapların parolalarını sıfırlayın, açık kalan erişimi kapatın. Adli delilleri (loglar, disk görüntüleri) koruyun; sistemleri delilleri silecek şekilde sıfırlamayın. Gerekiyorsa bu aşamada dış olay müdahale desteği alın.
- 3. Etki değerlendirmesi: Hangi veri kategorileri (kimlik, iletişim, finans, özel nitelikli veriler), kaç kişi ve hangi olası sonuçlar (dolandırıcılık, itibar kaybı, ayrımcılık riski) etkilendi? Bu değerlendirme hem bildirimin içeriğini hem alınacak önlemleri belirler.
- 4. Kurula bildirim (en geç 72. saat): Kurumun yayımladığı Veri İhlali Bildirim Formu üzerinden bildirimi yapın. İncelemenin sürmesi bildirimi geciktirme gerekçesi değildir: Eldeki bilgilerle bildirim yapılır, eksik bilgiler ek bildirimle tamamlanır. Gecikme yaşandıysa gerekçesi de bildirimde açıklanmalıdır.
- 5. İlgili kişilere bildirim: Verisi etkilenen kişilere, makul olan en kısa sürede ulaşın. İletişim adresi biliniyorsa doğrudan; bilinmiyorsa web sitesi duyurusu gibi uygun yöntemlerle bildirim yapılır. Bildirimde ihlalin ne zaman gerçekleştiği, hangi verilerin etkilendiği, olası sonuçlar, alınan önlemler ve kişilerin kendilerini korumak için yapabilecekleri ile başvuru kanalları yer almalıdır.
Bildirim Sonrası Süreç
Bildirim, sürecin sonu değildir. Kurul ek bilgi ve belge isteyebilir, gerekli görürse inceleme başlatabilir ve ihlali kendi sitesinde ilan edebilir. İç tarafta ise kök neden analizi tamamlanmalı, alınan düzeltici önlemler (yama, erişim sıkılaştırma, eğitim) belgelenmeli ve olay; tarihçesi, kararları ve öğrenilen dersleriyle birlikte ihlal kayıt defterine işlenmelidir. Bu kayıtlar, hem olası incelemelerde özen yükümlülüğünüzün kanıtıdır hem de tekrarın önlenmesinin temelidir.
İhlal Yaşanmadan Hazırlanın
72 saat, hazırlıksız bir kurum için çok kısa bir süredir. Önceden yapılması gerekenler şunlardır: Veri ihlali müdahale planı hazırlayın (kim tespit eder, kim karar verir, kim bildirir, hukuk desteği nereden alınır); planın çevrimdışı bir kopyasını bulundurun. Yılda en az bir kez senaryo tatbikatı yapın. Log toplama ve izleme altyapınızın, bir ihlali makul sürede fark edecek olgunlukta olduğundan emin olun; ihlaller en çok, aylarca fark edilmedikleri için büyür. Veri envanterinizi güncel tutun: Hangi sistemde hangi verinin olduğunu bilmiyorsanız, etki değerlendirmesini 72 saatte tamamlayamazsınız. Tedarikçi sözleşmelerinize, veri işleyenin ihlali size derhâl bildirme yükümlülüğünü ekleyin; veri işleyendeki gecikme sizin sürenizi tüketir.
Sık Sorulan Sorular
Şüpheli ama doğrulanmamış bir durumda süre işler mi? 72 saat, ihlalin "öğrenilmesiyle" başlar. Şüphenin makul bir hızla araştırılması beklenir; incelemeyi gereksiz uzatarak öğrenme anını ertelemek, savunulabilir bir yaklaşım değildir. Tespit ve doğrulama adımlarınızı zaman damgalarıyla belgelemeniz bu nedenle önemlidir.
Veri işleyen konumundaysak (örneğin müşterimizin verisini barındırıyorsak) bildirimi kim yapar? Kurula ve ilgili kişilere bildirim yükümlülüğü veri sorumlusuna aittir; veri işleyen ise ihlali öğrendiğinde veri sorumlusunu derhâl bilgilendirmekle yükümlüdür. Sözleşmelerde bu bildirim süresinin açıkça tanımlanması her iki taraf için de koruyucudur.
Çok küçük bir ihlalde de bildirim gerekir mi? Değerlendirme, etkilenen veri türü ve kişiler açısından doğabilecek riskler üzerinden yapılır. Tereddüt halinde hukuk danışmanınızla birlikte değerlendirme yapın ve kararınızı gerekçesiyle belgeleyin; "bildirmemeyi seçtik ve nedenini belgeledik" durumu, "hiç değerlendirmedik" durumundan her zaman iyidir.
OPEIS Teknoloji Desteği
Siber güvenlik hizmetlerimiz kapsamında; olay müdahale planı hazırlığı, log ve izleme altyapısı kurulumu, ihlal tatbikatları ve teknik etki analizi konularında destek sağlıyoruz. KVKK uyum sürecinizin teknik tarafını güçlendirmek için destek ekibimizle iletişime geçebilirsiniz.