KVKK İhlali Nedir? KVKK İhlali Durumunda İzlenecek Adımlar

KVKK ihlali, kişisel verilerin korunmasına ilişkin yasal yükümlülüklerin ihlal edilmesi durumudur.
Bu tür bir ihlal, kurum ve kuruluşlar açısından hem idari para cezalarına hem de itibar kaybına yol açabilir.
Bu yazımızda, KVKK ihlali nedir, ihlal halinde hangi adımların izlenmesi gerekir ve cezai sonuçlar nelerdir gibi en çok merak edilen sorulara yanıt vereceğiz.

---

KVKK Nedir?

Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin kişisel verilerinin işlenmesi, saklanması ve paylaşılmasında uyulması gereken kuralları düzenleyen 6698 sayılı kanundur.
KVKK’nın amacı, kişisel verilerin korunmasını sağlamak, bireylerin özel hayatına saygıyı güvence altına almak ve veri işleyen kişi veya kurumların hukuka uygun hareket etmesini temin etmektir.

Kişisel veri; bir kişiyi doğrudan ya da dolaylı olarak tanımlayan tüm bilgileri kapsar. Buna örnek olarak ad, soyad, kimlik numarası, e-posta adresi, telefon numarası veya IP adresi verilebilir.

---

KVKK İhlali Nedir?

KVKK ihlali, kişisel verilerin kanunda öngörülen usul ve esaslara aykırı biçimde işlenmesi, paylaşılması veya korunmaması durumudur.
Bir başka ifadeyle, kişisel verilerin hukuka uygun şekilde işlenmemesi ya da gerekli güvenlik önlemlerinin alınmaması KVKK ihlali sayılır.

Örnek KVKK ihlali durumları:

• Müşteri bilgilerini izinsiz şekilde üçüncü kişilerle paylaşmak,
• Veri tabanının siber saldırıya uğraması,
• Kişisel verilerin yasal süresi dolmadan imha edilmemesi,
• Çalışan bilgilerini açık onay olmadan işlemek.

---

KVKK İhlali Durumunda İzlenecek Adımlar

1. İhlalin Tespiti ve Kapsamın Belirlenmesi

İlk adım olarak ihlalin ne zaman, kim tarafından ve hangi verileri kapsadığı net biçimde tespit edilmelidir.
Bu aşama, sonraki tüm bildirim süreçlerinin doğru şekilde yürütülmesi açısından kritik öneme sahiptir.

2. Kurum İçi Bildirim

İhlal fark edildiğinde kurum içinde veri sorumlusu veya veri koruma görevlisine derhal bilgi verilmelidir.
Olayın tüm detayları kayda alınmalı ve kurum içi kriz yönetim süreci başlatılmalıdır.

3. KVKK Kurumu’na Bildirim (72 Saat Kuralı)

6698 sayılı Kanun uyarınca, veri sorumlusu ihlali öğrendiği andan itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurumu’na (KVKK) bildirimde bulunmak zorundadır.
Bu süre içerisinde bildirimin yapılmaması durumunda kurum tarafından idari para cezası uygulanabilir.

4. Veri Sahiplerinin Bilgilendirilmesi

İhlalden etkilenen kişilere, olayın kapsamı ve sonuçları hakkında açık, anlaşılır ve zamanında bilgilendirme yapılmalıdır.
Bildirimde şu unsurlar yer almalıdır:

• İhlalin ne zaman gerçekleştiği,
• Hangi verilerin etkilendiği,
• Olası risklerin neler olduğu,
• Başvurulabilecek yollar.

5. Önleyici Tedbirlerin Alınması

İhlal sonrasında kurum, tekrar aynı hataların yaşanmaması için gerekli teknik ve idari önlemleri almakla yükümlüdür.
Bu kapsamda; sistem güvenliğinin artırılması, sızma testlerinin yapılması ve personelin veri koruma konusunda yeniden eğitilmesi önemlidir.

---

KVKK İhlalinin Sonuçları ve Cezalar

KVKK’ya aykırı hareket eden kişi veya kurumlar hakkında idari para cezaları uygulanabilir.
2025 yılı itibarıyla KVKK ihlalleri için öngörülen para cezaları, ihlalin niteliğine ve kapsamına göre 150.000 TL ile 2.000.000 TL arasında değişebilmektedir.

Ayrıca kişisel verilerin hukuka aykırı biçimde ifşa edilmesi veya üçüncü kişilerle paylaşılması Türk Ceza Kanunu kapsamında suç teşkil edebilir.
Bu durumda ilgili kişiler hakkında adli soruşturma başlatılabilir.

---

KVKK ihlali, yalnızca mali yaptırımlara değil, aynı zamanda kurumun itibarına da ciddi zarar verebilir.
Bu nedenle işletmelerin veri güvenliği politikalarını sürekli güncel tutması, çalışanlarını bilinçlendirmesi ve olası ihlallere karşı etkin önleyici sistemler kurması büyük önem taşır.

Kurumların, olası ihlalleri en aza indirmek için veri envanteri, aydınlatma metinleri ve açık rıza süreçlerini yasal çerçevede yürütmesi gerekir.

---

Sıkça Sorulan Sorular

1. KVKK ihlali kim tarafından bildirilir?
İhlal bildirimini yapmakla yükümlü kişi veri sorumlusudur.

2. KVKK ihlali bildirim süresi ne kadardır?
Veri sorumlusu, ihlali öğrendiği andan itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurumu’na bildirim yapmalıdır.

3. KVKK ihlali cezaları nelerdir?
İhlalin niteliğine göre 150.000 TL ile 2.000.000 TL arasında değişen idari para cezaları uygulanabilir.

4. Kişisel verisi ihlal edilen kişi ne yapabilir?
Veri sahibi, öncelikle veri sorumlusuna başvurarak ihlalin giderilmesini isteyebilir. Talebinin reddedilmesi veya cevap verilmemesi hâlinde KVKK’ya şikâyette bulunabilir.