Bir cumartesi sabahı, bir SaaS şirketinin CTO’su, müşteri veritabanının bir bölümünün bir saldırgan tarafından ele geçirildiğini fark etti. Teknik ekip refleksle doğru olanı yaptı: açığı kapattı, sistemleri izole etti, logları topladı. Ama kimse bir avukatı aramadı, kimse bir “saat”in işlemeye başladığını düşünmedi. İhlalin tespit edildiği an ile Kurul’a bildirimin yapıldığı an arasında dört gün geçti — ve teknik müdahale kusursuz olmasına rağmen, asıl sorun bildirim gecikmesinden çıktı. İhlal anında en kıt kaynak paniktir; ikinci en kıt kaynak zamandır.
Bir veri ihlali artık “olur mu” değil, “ne zaman olur” sorusudur. Fark yaratan şey, ihlalin yaşanıp yaşanmaması değil, yaşandığında hazır olup olmamanızdır. KVKK md. 12, veri güvenliğini sağlama yükümlülüğünün yanında, ihlal hâlinde bildirim yükümlülüğü de getirir. Bu yazıda, kriz anında bakacağınız müdahale planını soğukkanlı bir anda kuruyoruz.
“Veri İhlali” Tam Olarak Nedir?
Her güvenlik olayı bir veri ihlali değildir, ama kişisel verinin hukuka aykırı olarak ele geçirilmesi, ifşası, değiştirilmesi, kaybı veya erişilemez hâle gelmesi bir ihlaldir. Bir fidye yazılımı saldırısı, yanlış kişiye gönderilen toplu e-posta, kaybedilen şifresiz bir dizüstü, yanlış yapılandırılmış bir bulut kovası (bucket) — hepsi ihlal olabilir. İlk adım, olayı doğru sınıflandırmaktır; çünkü sınıflandırma, sonraki tüm yükümlülükleri tetikler.
72 Saat Kuralı: Kim, Kime, Ne Zaman Bildirir?
Kurul’un 24 Ocak 2019 tarih ve 2019/10 sayılı kararı uyarınca, veri sorumlusu, kişisel veri ihlalini öğrendiği tarihten itibaren en geç 72 saat içinde Kurul’a bildirmek zorundadır. 72 saat içinde bildirim yapılamazsa, gecikmenin gerekçeleri bildirimle birlikte Kurul’a açıklanır.
Tüm bilgiler ilk 72 saatte hazır olmayabilir — bu normaldir. Bu durumda mevcut bilgilerle bir ön bildirim yapılır, eksik bilgiler sonradan tamamlanır. “Her şey netleşsin de öyle bildirelim” yaklaşımı, en sık yapılan ve en pahalı hatadır.
İlgili Kişiye Bildirim
Kurul’a bildirim tek başına yeterli değildir. İhlalden etkilenen ilgili kişilere de, makul olan en kısa sürede, uygun yöntemlerle haber verilmelidir. Bildirim, kişinin kendi riskini yönetebilmesini sağlar — örneğin parolasını değiştirmek, kartını bloke ettirmek, oltalama (phishing) girişimlerine karşı tetikte olmak. Şeffaf ve zamanında bir bildirim, çoğu zaman kriz sonrası güveni koruyan tek şeydir.
Yüksek Risk Göstergeleri: Hangi İhlal Daha Ciddidir?
Her ihlalin etkisi aynı değildir. Şu unsurlar riski yükseltir ve müdahalenin aciliyetini artırır:
- Özel nitelikli veri — sağlık, biyometrik, etnik köken, din gibi veriler.
- Finansal veri — kart bilgileri, hesap detayları, ödeme verileri.
- Kimlik hırsızlığına yol açabilecek bilgiler — kimlik numarası, kimlik belgesi kopyaları.
- Etkilenen kişi sayısının büyüklüğü ve verinin kötüye kullanılabilirliği.
Bu unsurlardan biri varsa, hem bildirim önceliği hem de alınması gereken tedbirlerin kapsamı artar.
İhlal Anı İçin Müdahale Planı Kontrol Listesi
Kriz anında düşünmek için zaman yoktur; bu yüzden plan önceden yazılır. Asgari bir müdahale planı şunları içermelidir:
- Müdahale ekibi ve roller — kim teknik müdahaleyi, kim hukuki süreci, kim iletişimi yönetir? İsim ve iletişim bilgisiyle.
- Tespit ve sınırlama — olayı durdurma, sistemleri izole etme, kanıtları (logları) koruma adımları.
- Değerlendirme — bu bir kişisel veri ihlali mi? Hangi veri, kaç kişi, ne risk?
- Bildirim akışı — Kurul’a 72 saat içinde bildirim; etkilenen ilgili kişilere bildirim; gerekiyorsa diğer düzenleyiciler.
- Kayıt ve belgeleme — olay anından itibaren tüm kararların ve zamanların kaydı. Bu kayıt, hesap verebilirliğin kanıtıdır.
- İhlal sonrası inceleme — kök neden analizi ve tekrarını önleyecek kalıcı tedbirler.
Planı Bugün Yazın, Krizde Değil
Bir veri ihlali müdahale planının değeri, ona en çok ihtiyaç duyduğunuz anda — yani panik, baskı ve zaman kıtlığı içindeyken — kendini gösterir. O an plan yazılmaz, sadece uygulanır. İhlali tamamen önlemek elinizde olmayabilir; ama ona nasıl yanıt vereceğinizi önceden belirlemek tamamen elinizdedir. Saat, ihlali öğrendiğiniz an başlar — plan ise ondan çok önce hazır olmalıdır.
Müdahale planınız hazır mı? İhlal anında işleyecek planı birlikte kuralım. Görüşme planlayın →
Sıkça Sorulan Sorular
72 saat ne zaman başlar?
Veri sorumlusunun ihlali öğrendiği andan itibaren; bu süre içinde Kurul’a bildirim yapılmalıdır.
Tüm bilgiler hazır değilse ne yapmalıyım?
Mevcut bilgilerle ön bildirim yapın, eksikleri sonra tamamlayın. “Her şey netleşsin” beklemek en pahalı hatadır.
İlgili kişilere de haber vermek zorunda mıyım?
Evet; etkilenen kişilere makul en kısa sürede bildirim, başvuru haklarını kullanabilmeleri için gereklidir.
Kaynaklar
- KVKK — Veri İhlali Bildirimi: https://www.kvkk.gov.tr/veri-ihlali-bildirimi
- KVKK — Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin 2019/10 Sayılı Karar: https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi
- 6698 Sayılı Kişisel Verilerin Korunması Kanunu (md. 12): https://www.mevzuat.gov.tr/mevzuatmetin/1.5.6698.pdf
Bu yazı genel bilgilendirme amaçlıdır; hukuki tavsiye niteliği taşımaz. Spesifik bir durum için lütfen Vircon Legal’e danışın.
Yazar
-
Tüm yazıları görMümtaz, 2016 yılında kurduğu Vircon Legal'in Yönetici Ortağıdır. Kurucu, yatırımcı ve operatörlere finansman turları, birleşme ve devralmalar (M&A), sınır ötesi şirketleşme ve düzenlemeye tabi alanlarda — kripto-varlık altyapısı, fintech ve oyun dahil — danışmanlık verir; her işe eski bir startup kurucusunun bakış açısını taşır.