Veri İhlali Durumunda Yapılması Gerekenler: 72 Saatlik Kriz Yönetimi

Siber saldırıların sofistike hale geldiği, içeriden gelen tehditlerin arttığı 2026 dünyasında, "Bizim başımıza gelmez" yaklaşımı geçerliliğini yitirmiştir. Artık soru "İhlal yaşanacak mı?" değil, "İhlal yaşandığında nasıl müdahale edeceğiz?" sorusudur.

Panik, plansızlık ve geç bildirim; ihlalin kendisinden daha ağır idari para cezalarına ve itibar kaybına neden olmaktadır.

1. Tespit ve Acil Müdahale (0-12 Saat)

İhlal haberi (bir siber saldırı alarmı, ifşa olan bir veritabanı veya çalınan bir şirket bilgisayarı) ulaştığı anda ilk hedef kanamayı durdurmaktır.

• İhlal Müdahale Ekibini Toplayın: IT, Hukuk, İK ve Kurumsal İletişim departmanlarından oluşan çekirdek ekip derhal bir araya gelmelidir
• İhlali İzole Edin: Saldırı devam ediyorsa sistemlerin ağdan koparılması, hesapların dondurulması veya yetkilerin sıfırlanması gibi teknik önlemler alınmalıdır
• Kanıtları Koruyun: Adli bilişim incelemesi (Forensic) için log kayıtları ve sistem imajları bozulmadan saklanmalıdır. Bu kayıtlar, Kurul soruşturmasında en önemli savunma aracınız olacaktır

2. Risk Değerlendirmesi ve Analiz (12-24 Saat)

Her güvenlik olayı, KVKK kapsamında bildirilmesi gereken bir "Veri İhlali" olmayabilir. Bu aşamada hukuk ve teknik ekipler şu sorulara yanıt aramalıdır:

• Hangi Veriler Etkilendi? (Kimlik, iletişim, finansal veriler mi yoksa özel nitelikli veriler mi?)
• Kişi Sayısı Nedir? İhlalden kaç kişi, ne yoğunlukta etkilendi?
• Risk Seviyesi Nedir? İlgili kişilerin karşılaşabileceği olumsuz sonuçlar (kimlik hırsızlığı, itibar kaybı, finansal zarar) nedir?

Kritik Not: 2026 yılı Kurul kararları incelendiğinde; ihlalin etkileri düşük olsa bile, bu tespitin somut gerekçelere dayandırılamadığı durumlarda "bildirim yükümlülüğünün ihlali" gerekçesiyle cezalar kesildiği görülmektedir.

3. Kurul'a ve İlgili Kişilere Bildirim (24-72 Saat)

Kanun gereği, ihlalin tespit edilmesinden itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildirim yapılmalıdır.

• Kurul Bildirimi: KVKK'nın online ihlal bildirim modülü üzerinden yapılır. Eğer 72 saat içinde tüm bilgiler toplanamadıysa, "Aşamalı Bildirim" mekanizması işletilmeli ve gecikmenin haklı gerekçesi sunulmalıdır
• İlgili Kişi Bildirimi: İhlal, kişilerin hak ve özgürlükleri üzerinde yüksek risk oluşturuyorsa, veri sahiplerine de ("Müşteriler, Çalışanlar vb.") makul olan en kısa sürede, açık ve sade bir dille bildirim yapılmalıdır

Uyarı: İlgili kişilere haber vermeden olayı "örtbas etmeye" çalışmak, 2026 yılında şirketlerin yaptığı en maliyetli hatadır.

4. Dokümantasyon ve "Hesap Verilebilirlik"

Kurul'a bildirim yapılmasa dahi (riskin çok düşük olduğu hallerde), ihlalin neden bildirilmediğine dair alınan kararın gerekçeleri yazılı olarak kayıt altına alınmalıdır.

Şirketinizde yaşanan en ufak bir siber olayın bile; ne zaman olduğu, nasıl yönetildiği ve sonuçlarının ne olduğu "Veri İhlali Kayıt Defteri"nde tutulmalıdır. Olası bir denetimde Kurul'un ilk isteyeceği belge budur.

5. İhlal Sonrası İyileştirme

Kriz dindikten sonra süreç bitmez. İhlalin kök neden analizi yapılmalı ve benzer bir durumun tekrarlanmaması için:

• Teknik açıklar kapatılmalı
• Personel farkındalık eğitimleri yenilenmeli
• Veri saklama ve imha politikaları gözden geçirilmelidir

Sonuç: Kriz Anında Yalnız Değilsiniz

Veri ihlali yönetimi, sadece bir IT sorunu değil; çok boyutlu bir hukuk mücadelesidir. 72 saatlik sürenin doğru yönetilmesi, şirketinizi milyonlarca liralık cezalardan ve telafisi imkansız itibar kayıplarından kurtarabilir.

Süreçlerinizi şansa değil, profesyonel bir plana emanet edin.