KVK Kurulu'nun Veri İhlali Bildirim Kararları: Örüntüler ve Şirketler İçin Dersler

Giriş

Kurum'un 2024 Yılı Faaliyet Bilgi Notu, veri ihlali bildirimi alanında şimdiye kadarki en ayrıntılı resmi tabloyu sundu. Nota göre 2024 yılında Kurum'a 281 veri ihlali bildirimi ulaşmış; bu bildirimlerin 63'ü Kurul tarafından kamuoyu ilanı ile duyurulmuş; yıl boyunca toplam 552 milyon 668 bin TL idari para cezası uygulanmıştır. Rakamlar, hem önceki yıllara kıyasla bildirim sayısının artmasını hem de Kurum'un kamuoyu duyurusu politikasının olgunlaşmasını gösteriyor.

Bu yazıda Kurul'un 2024-2026 döneminde yayımladığı veri ihlali kararlarından çıkan örüntüleri, Kurul'un hangi kriterleri ağır cezayla ilişkilendirdiğini ve şirketlerin bildirim sürecinde neyi fark ettirdiğini ele alıyoruz.

2019/10 Sayılı Kararın Çerçevesi

Bildirim rejiminin merkezi, Kurul'un 24 Ocak 2019 tarihli ve 2019/10 sayılı kararıdır. Karar:

• Veri sorumlusunun bir kişisel veri ihlalini "öğrendiği tarihten itibaren 72 saat içinde" Kurum'a bildirim yapmasını zorunlu kılar.
• Veri sahipleri için yüksek risk doğuran hâllerde bireysel bildirim zorunluluğunu düzenler.
• Bildirimin formatı, asgari içeriği ve iletim yolunu belirler.

Kurul, bu karara dayanarak bildirim modülünü kurmuş; şirketler bildirimlerini bu modül üzerinden yapmaktadır. 72 saatin "öğrenme" ile başladığına dair Kurul yorumu, uygulamada belirtinin tespit edildiği andan itibaren saati başlatmak yönünde katılaşmıştır.

Kamuoyu Duyurularından Çıkan Örüntüler

Kurul, her ihlali kamuoyu duyurusuna dönüştürmez. Kamuoyu duyurusu yapılması için Kurul; ihlalin boyutu, etkilenen kişi sayısı, verinin hassasiyeti ve kamu yararı kriterlerini birlikte değerlendirir. 2024'te 281 bildirimin 63'ü kamuoyuyla paylaşılmış — bu oran (%22), Kurul'un kamuoyu duyurusunu seçici bir araç olarak kullandığını gösterir.

Kamuoyu duyurularının analizinden çıkan temel örüntüler:

1. Bildirim gecikmesi ağırlaştırıcı

Kurul kararlarında "ihlalin [X tarihte] öğrenilmesine rağmen [Y tarihte] bildirim yapıldığı" ifadesi, ceza takdirinde öne çıkan bir faktördür. Birkaç günlük gecikme bile ağırlaştırıcı olarak değerlendirilir; bir haftayı aşan gecikmelerde para cezası üst sınıra yakın çıkar.

2. Eksik bildirim birden çok ihlal olarak değerlendirilebiliyor

Şirketlerin ilk bildirimde eksik kalan bilgileri — etkilenen veri sahibi sayısı, veri kategorisi, olayın kapsamı — Kurul tarafından sorulduğunda hâlâ netleştirememeleri, sadece bildirim gecikmesi değil aynı zamanda veri güvenliği yükümlülüğü ihlali olarak da değerlendirilebiliyor.

3. Teknik ve idari tedbir eksikliği çok sık ceza konusu

Olayın büyük bölümü, temel güvenlik tedbirlerinin uygulanmamasından kaynaklanıyor:

• Güncel olmayan sistemler, yama uygulanmamış sunucular,
• Çok faktörlü kimlik doğrulamanın kurulmamış olması,
• Bulut hizmetleri için erişim yönetimi zayıflıkları (unutulmuş kullanıcı hesapları, geniş yetkiler),
• Çalışanların phishing'e maruz kalması ve farkındalık eğitiminin eksikliği,
• Veri tabanlarının şifrelenmemiş olması veya zayıf şifreleme,
• Erişim loglarının tutulmaması veya yetersizliği.

Kurul, bu alanlardaki eksiklikleri m. 12 kapsamında "gerekli teknik ve idari tedbirlerin alınmadığı" sonucuna bağlıyor.

4. Tedarikçi / bulut sağlayıcı üzerinden gelen ihlaller

Şirketin doğrudan kontrolünde olmayan, tedarikçi veya bulut sağlayıcı kaynaklı ihlallerde Kurul yine veri sorumlusunu birinci muhatap olarak alıyor. "Veri sorumlusu, veri işleyenin veya alt işleyenin güvenlik tedbirlerini denetlemekle yükümlüdür" yaklaşımı net biçimde uygulanıyor. Veri işleme sözleşmesinin (DPA) varlığı ve denetim mekanizması olmayan yapılar ek olarak kusurlu sayılıyor.

5. Büyük çaplı ihlallerde cezanın algoritmik hesabı

Kurul, 2024 Bilgi Notu'nda, büyük çaplı ihlallerde şirketin yıllık mali bilanço aktif toplamına göre ceza hesaplayan bir algoritma kullanıldığını açıkladı. Bu, özellikle büyük işletmelerde cezanın üst sınıra yaklaşmasının yolunu açmıştır.

6. Özel nitelikli veri cezayı ağırlaştırıyor

Sağlık, biyometrik, siyasi görüş, din, cinsel hayat gibi özel nitelikli verilerin işlendiği ihlallerde Kurul, hem cezayı artırır hem de kamuoyu duyurusu olasılığını yükseltir. 2018/10 sayılı Kurul kararındaki yeterli önlemlerin uygulanmadığı durumlarda ceza gerekçesi iki ayrı başlıktan birikir.

7. VERBIS kaydı ve bildirim ihlali paralel ceza

Kurul, olay incelemesinde veri sorumlusunun VERBIS kaydında eksiklik tespit ederse, ihlalle ilgili temel cezaya ek olarak VERBIS kayıt / bildirim yükümlülüğü aykırılığı da ayrı bir ceza olarak uygulanabiliyor. 2025 yılı için bu kalem 272.380 TL - 13.620.402 TL aralığındadır.

8. Veri sahibine bildirim eksikliği de ceza gerekçesi

Şirketin Kurum'a bildirim yapıp veri sahiplerine bildirim yapmaması veya zamanında yapmaması; ayrı bir aykırılık olarak değerlendiriliyor. Özellikle yüksek risk doğuran ihlallerde bu eksiklik Kurul tarafından kolaylıkla saptanıyor.

Ceza Tutarları — 2025 Çerçevesi

2025 yılı idari para cezası tutarları, yeniden değerleme oranı güncellemesiyle şöyle belirlendi:

• Aydınlatma yükümlülüğüne aykırılık: 68.083 TL - 1.362.021 TL
• Veri güvenliği yükümlülüklerine aykırılık (m. 12): 204.285 TL - 13.620.402 TL
• Kurul kararlarını yerine getirmeme: 340.476 TL - 13.620.402 TL
• VERBIS kayıt/bildirim yükümlülüğü aykırılığı: 272.380 TL - 13.620.402 TL
• Standart sözleşme bildirim yükümlülüğü aykırılığı: 71.965 TL - 1.439.300 TL

Bir olayda birden çok aykırılık belirlenirse cezalar ayrı ayrı uygulanabilir. Büyük çaplı ihlallerde toplam ceza milyonlarca TL'ye ulaşabilir.

Şirketler İçin Çıkan Dersler

Kurul kararlarından çıkan örüntüler, şirketlerin bildirim anında nasıl davranması gerektiğine dair somut bir çerçeve sunuyor.

1. Bildirim süresini kaçırmayın

72 saat üst sınırdır; pratikte "kapsam henüz net değil" diyerek beklemeyin. İlk bildirimi eldeki bilgiyle yapın, ek bildirimle güncelleyin. Bildirim modülü tam da bu şekilde çalışır.

2. Hazırlıklı olun

Bir ihlalin geldiği gün bildirim şablonu yazmak mümkün değildir. Runbook'ta yer alacak Kurum bildirim taslağı, veri sahibi iletişim şablonu, iç yükseltme prosedürü — olaydan önce mevcut olmalıdır.

3. Temel tedbirler ısrarla uygulanmalı

Kurul'un sıklıkla ceza verdiği alanlar rutin güvenlik pratikleridir; yama uygulama, çok faktörlü kimlik doğrulama, erişim hijyeni, log kaydı, şifreleme. Olağan şirket BT operasyonunun bu noktaları atlamaması için iç denetim ve bağımsız inceleme gerekir.

4. DPA olmayan ilişki olmasın

Her veri işleyen ile yazılı sözleşme, denetim ve alt işleyen yükümlülükleri tanımlanmış olmalı. Olay bir tedarikçiden gelse bile Kurul karşısında muhatap veri sorumlusudur; iyi bir DPA, cezaya karşı tek başına koruma sağlamasa da kusurun dağılımını netleştirir.

5. Aydınlatma ve veri sahibi iletişimi ihmal edilmesin

Olayda temel teknik eksiklik olmasa bile aydınlatma metinlerindeki boşluklar ya da veri sahibi iletişiminin atlanması, Kurul'un ek ceza gerekçesine dönüşür.

6. Kurum soruşturmasında savunma ciddi hazırlansın

Kurum'un bilgi/belge talepleri eksiksiz ve zamanında cevaplanmalı. Eksik bilgi, ertelenmiş cevaplar, soruşturma dosyasında olumsuz değerlendirmeye yol açar. Avukat-müvekkil gizliliği altındaki iç çalışmalar ile Kurum'a verilen cevap arasında dikkatli bir çizgi korunmalıdır.

7. İdari yargıda iptal yolu — kararı okuyun

Kurul kararları kesin değildir; idari yargıda iptal davası açılabilir. Ancak dava başarısı, kararda belirtilen somut kusurların ne kadar haklı biçimde çürütülebileceğine bağlıdır. Dava açmadan önce Kurul gerekçelerinin dikkatli analiz edilmesi ve sadece hukuki değil, teknik delil temelli bir savunma hazırlığı gerekir.

Sonuç

Kurul'un veri ihlali uygulaması, 2019'da başlayan rejimin 2024-2026 döneminde olgunlaştığını gösteriyor. Cezalar yalnızca büyüklüğüyle değil; aynı zamanda hangi eksikliği hedef aldığıyla şekilleniyor. Temel güvenlik tedbirlerini atlayan, bildirim sürelerini kaçıran, veri sahibine iletişim yapmayan veya tedarikçi denetim mekanizmasını kurmayan şirketler, cezanın üst sınıra yakın bölgesine yerleşiyor. Aynı zamanda kamuoyu duyurusu rejimi sayesinde — şirketin itibar kaybı da hesaba katılmak zorunda.

Bu örüntüler iyi okunduğunda şunu söylemek mümkün: Kurul, ceza ile hedef aldığı şey yalnızca belirli bir ihlal değil; yapılandırılmış, ciddiye alınmış, öğrenen bir veri koruma yönetişimi kültürünün yokluğudur. Bu kültürü kuran şirketler, olayın meydana geldiği gün bile görece daha korunaklı bir pozisyondan süreci yürütür.