byGenel

Giriş

Dijitalleşmenin yaygınlaşmasıyla birlikte veri ihlalleri (kişisel ve kurumsal verilerin izinsiz ele geçirilmesi veya açığa çıkması) sık karşılaşılan bir risk haline gelmiştir. KVKK yönetici ve çalışanları ile KOBİ’lerin dikkat etmesi gereken başlıca senaryolar; dış kaynaklı siber saldırılar, içeriden kaynaklanan ihlaller ve fiziksel cihaz kayıplarıdır. Örneğin bir hacker saldırısı sonucu müşteri bilgilerinin ele geçirilmesi veya eski bir çalışanın şirket verilerine erişip bilgi sızdırması birer veri ihlali (sızıntısı) senaryosudur. Bu tür ihlallerde kuruluşların hızlıca harekete geçerek ilk 24 saatlik kriz planını uygulaması, durumu kontrol altına almak açısından kritik öneme sahiptir.

Veri İhlali Nedir ve Ortaya Çıkış Şekilleri

Veri ihlali (veri sızıntısı), KVKK tanımına göre “kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi, paylaşılması veya erişilebilir hale gelmesi” durumudur. Örneğin; bir e-ticaret sitesine yapılan siber saldırıyla kullanıcı kredi kartı bilgilerinin çalınması, hastane hasta bilgilerinin eski bir çalışan tarafından yetkisizce ifşa edilmesi veya bir çalışanın yanlışlıkla gizli bir dosyayı herkese açık internet sitesinde yayınlaması ihlal senaryolarına örnek gösterilebilir.

Veri ihlalleri genel olarak şu şekillerde ortaya çıkabilir:

  • Dış kaynaklı siber saldırılar: Fidye yazılımları (ransomware), phishing, zararlı yazılım yüklemeleri veya yetkisiz erişim yöntemleriyle kurum ağlarına saldırılması.
  • İç kaynaklı ihlaller: Kötü niyetli veya hata sonucu veri sızdıran çalışanlar, bilgiye yetkisi olmayan bir çalışan tarafından gizli belgelere erişim gibi durumlar.
  • Fiziksel kayıplar: Şirket bilgisayarlarının, USB belleğin veya mobil cihazların çalınması ya da kaybedilmesi; kayıp cihazdaki kişisel/veri içeriklerinin izinsiz elde edilmesi.
  • Üçüncü taraf riskleri: Tedarikçiler, alt yükleniciler veya hizmet sağlayıcılar üzerinden meydana gelen saldırılar ve veri sızıntıları. Örneğin bulut hizmeti sağlayıcılarında oluşan açıklar.
  • Teknik/işlemsel hatalar: Verinin yanlışlıkla uygun olmayan kanallarda paylaşılması, yanlış e-posta gruplarına gönderilmesi veya hassas dosyaların şifrelenmeden gönderilmesi.

Bu senaryoların ortak yanı, kişisel verinin “hukuka aykırı yollarla” ele geçirilmesidir. KVKK kapsamında, veri sorumlusu gerekli teknik ve idari tedbirleri almakla yükümlüdür. Yani saldırı dışardan gelmiş olsa bile, örneğin güçlü parolalar, şifreleme ve erişim kontrolü önlemleriyle bu ihlallerin önlenebilmesi gerekir. “Hacklendik” mazereti veri sorumlusunun sorumluluğunu ortadan kaldırmaz. Dolayısıyla ihlal senaryosunun fark edilmesi durumunda yapılacak ilk adımlar, hem teknik hem de organizasyonel açıdan sağlam olmalıdır.

İlk 24 Saat Kriz Planı

Bir veri ihlali tespit edildiğinde (örneğin olağan dışı sistem hareketleri, kullanıcı şikâyetleri veya güvenlik uyarıları ile fark edilen bir durum) hızlı ve koordineli bir müdahale gereklidir. İlk 24 saat içinde atılması gereken temel adımlar şunlardır:

  • Olayın hızla tespiti ve izole edilmesi: İhlal şüphesi doğrultusunda önce etkilenen sistemler veya ağ segmentleri izole edilir. Bu, saldırının yayılmasını önlemek için kritik bir adımdır. Örneğin bir veri tabanındaki anormal erişim tespit edildiyse, ilgili sistemler ağdan geçici olarak ayrılır. Güvenlik ekibi bu aşamada sorunu kapatmaya, daha fazla zarar oluşmasını engellemeye odaklanır ve aynı zamanda saldırı vektörünü araştırır. Erken kapsam ve etkilenme derecesi analizi, ileride atılacak adımlar için yol gösterir.
  • Acil müdahale ekibinin (Olay Müdahale Ekibi) oluşturulması: Şirket içinde güvenlik, bilgi-işlem (IT), hukuk, uyum (compliance), insan kaynakları ve iletişim gibi kritik birimlerden temsilcilerin yer aldığı bir acil müdahale ekibi derhal toplanır. Sheppard Mullin tarafından hazırlanan tavsiye dokümanında, yönetici ve acil irtibat noktaları belirlenmiş bir iletişim zinciri olması önerilir. Örneğin çalışanlar, ihlali fark ettiklerinde derhal şirketin irtibat kişisine veya ilgili üst yöneticiye bildirmelidir. Bu iç bildirim zinciri, bilgi yönetimini koordine eder.
  • İlk inceleme ve ön değerlendirme: Güvenlik ve hukuk ekipleri ile birlikte ihlalin nerede, ne zaman ve nasıl gerçekleştiğine dair kısa bir değerlendirme yapılır. Bu adımda şu sorular cevaplanmaya çalışılır: Hangi veri türleri tehlikede? Kaç kişinin veya kaç veri kaydının etkilendiği tahmini nedir? Saldırının kaynağı tespit edilebilir mi? Örneğin Dinçbay Lastik’in veri ihlali planında, olay anı ve tespit edilen zaman gibi verilerle başlayıp etkilenen kişi/veri sayısı ve alınan önlemlerin raporlanması önerilir. Bu bilgiler, hem teknik müdahale için hem de ileride yapılacak yasal bildirimler için temel teşkil eder.
  • Adli bilişim ve uzman desteği: Gerekirse şirket dışından adli bilişim uzmanları veya siber güvenlik danışmanları (forensic experts) hızla işe alınır. Sheppard Mullin, uzmanların dış kaynaklı bir anlaşma (tri-party agreement) ile avukat gözetiminde sürece dahil edilmesini tavsiye eder. Bu sayede elde edilen bulgular hukuki gizlilik kapsamında tutulur. Ayrıca kurumun siber güvenlik sigortası varsa, sigorta sağlayıcısının önerdiği adımlar atılır.
  • Yasal danışmanlık devreye sokulması: Hukuki süreçlerin bir an önce başlaması için şirket avukatları veya KVKK uyum danışmanları olaya dahil edilir. Gerektiğinde olay müdahalesi “avukat yönlendirmesiyle” yapılır; yani toplanan delillerin işlenmesi avukat-müvekkil gizliliği kapsamında tutulur. Hukuk birimi, bildirim yükümlülükleri, olası idari yaptırımlar ve tazminat riskleri gibi konularda destek verir.
  • İletişim ve basın yönetimi: Şirket içi ve dışı iletişim planlanır. Bu aşamada daha önce hazırlanan “holding statement” (kriz durumunda kullanılacak ön bilgilendirme metni) devreye alınır. İletişim koordinatörü, tüm iç ve dış yazışmaları bir iletişim takip defterinde kaydetmeli, üst yönetimi gelişmelerden haberdar etmelidir. Sheppard Mullin’in önerdiği gibi, bu safhada yetkilileri bilgilendiren güncellemeler yapılır ve gerekiyorsa basın/yatırımcı sunumları hazırlanır. Aynı zamanda müşterilere veya diğer üçüncü taraflara (ör. kurumsal müşteriler, iş ortakları) bilgi verilip verilmeyeceği belirlenir.
  • Etki analizi ve kayıt tutma: İhlalin boyutunu netleştirmek için etkilenen verilerin türleri (Kişisel Veri, Özel Nitelikli Veri vb.), miktarı ve konumu ayrıntılı şekilde belirlenir. Bu bilgiler KVKK/Kurul bildiriminde ve gerekirse kişilere yapılacak bildirimde (ilgili kişi bilgilendirmesi) kullanılacaktır. Tüm olayın kronolojik olarak kaydedilmesi, belgelenmesi de kritik önemdedir; GDPR ve KVKK uyarınca ihlale dair her adımın iç raporlanması, olası incelemelerde uyumluluğu doğrular.

İlk 24 saatte izlenecek bu adımlar, ihlalin daha da büyümesini engellerken aynı zamanda ilerleyen süreç için hukuki ve operasyonel zemini hazırlar. Şeffaf ve koordineli müdahale, hem zararı minimize eder hem de ilerideki bildirim süreçlerini kolaylaştırır.

İç Bildirim Zinciri

Veri ihlali tespitinden sonra kurum içi bildirim zinciri hayati bir rol oynar. Bu zincir, olayı ilk fark eden çalışandan başlayarak, en üst yönetime kadar bilgi akışını düzenler. Genellikle izlenen basamaklar şunlardır:

  • Olaydan haberdar olan çalışan: İhlali fark eden (örneğin bir teknik personel, birim yöneticisi veya ilgili sistem yöneticisi) kişi, vakit kaybetmeden şirketin belirlediği irtibat kişisine veya doğrudan Data Protection Officer (KVKK Uyum Sorumlusu) pozisyonundakine bildirim yapmalıdır. Dinçbay planında belirtildiği üzere, “tüm çalışanlar … derhal ve gecikmeksizin Veri Sorumlusu İrtibat Kişisi’ne durumu bildirmekle yükümlüdür”. Bu bildirim yazılı olarak yapılmalı; ihlalin gerçekleşme/tespit zamanı, etkilenen veri türleri gibi temel bilgiler içeren kısa bir rapor sunulmalıdır. Ayrıca Fazla Gıda örneğinde de “ihlalden haberdar olan kişi, ihlali en geç 24 saat içinde şirket irtibat kişisine yazılı bildirmelidir” denilmektedir.
  • Veri Sorumlusu İrtibat Kişisi / Uyum Sorumlusu (DPO): Kendisine gelen bildirimi hızla değerlendirip gerekirse olay müdahale ekibini (KVKK Komisyonu) acil toplantıya çağırır. Bu aşamada İrtibat Kişisi, ilgili departmanlardan bilgi talep eder ve olayın yönetimi için koordinasyonu üstlenir. EDPB rehberlerinde belirtildiği gibi, “bir ihlal tespit edildiğinde bunun uygun yönetim seviyesine rapor edilmesi çok önemlidir; böylece durum gerekli şekilde ele alınabilir ve gerekirse maddeler 33 ve 34 uyarınca bildirim yapılır”. Bu süreç kurum içi onay mekanizmasını da harekete geçirmiş olur.
  • Hukuk, BT ve Yönetim: İrtibat kişisi, aynı anda bilgi güvenliği (IT) ekibi ile şirket hukuk/uyum birimine olayı bildirir. Şirketin üst yönetimi (CEO/CFO/BT Müdürü gibi) ve gerekirse Yönetim Kurulu bilgilendirilir. Aynı zamanda insan kaynakları ve halkla ilişkiler ekipleri de sürece dahil edilir. Sheppard Mullin’in vurguladığı gibi, bu aşamada “yöneticilerin veya ilgili liderlerin olay ve müdahale sürecinden haberdar edilmesi” sağlanmalıdır. Şeffaf iç bilgilendirme, sürecin şirket çapında tek elden yürütülmesine yardımcı olur.
  • Çalışma grubu ve görev dağılımı: Olay Müdahale Ekibi içinde görev dağılımı yapılır. Bir kişi kriz iletişimini, bir kişi teknik sorunu yönetimi, bir kişi yasal yükümlülükleri, bir kişi bilgi bildirim kayıtlarını takip eder. Roller önceden tanımlı olduğu için (örneğin KVKK Uyum Sorumlusu, BT Güvenlik Yetkilisi, Hukuk Danışmanı) olay anında hızlıca atanır. Bu yapının dokümante edilmesi, “kim ne yapacak” sorularına netlik sağlar.
  • Raporlama: Tüm bu adımlar sırasında alınan her aksiyon ve elde edilen bulgu kayıt altına alınır. Ekip, olayın gelişimini düzenli aralıklarla güncelleyerek duruma dair kapsamlı bir iç rapor hazırlar. Bu rapor, hem ileride Kurul ya da denetleyici makamlar için kanıt teşkil eder hem de kurum içindeki düzenleyici anlaşmalar veya sigorta talepleri için belgelendirme sağlar.

Kısacası, iç bildirim zinciri işaretinden olayın tamamı boyunca yönetim katına kadar uzanan bir süreçtir. EDPB rehberlerinde belirtildiği gibi, olay algılandıktan sonra “gerekli makama bilgi vermek” ve uygun gördüğü şekilde 33/34 maddelerine göre bildirim yapmak için kurumun iç planları devreye girer. Bu nedenle tüm şirket çalışanlarının ve birimlerinin; ihlalde ilk bildirim yapacak kişiyi, sonraki onay ve yönlendirme zincirini bilmesi önemlidir.

Kurum Bildirimi: KVKK ve Uluslararası Düzenlemeler

Bir veri ihlali gerçekleştiğinde, ilgili resmi mercilere yapılan bildirim de yasal bir yükümlülüktür. Türkiye’de KVKK (6698 sayılı Kanun) bu konuda açık hükümlere sahiptir. KVKK Madde 12/5 uyarınca, kişisel verilerin “kanuni olmayan yollarla başkaları tarafından elde edildiği” fark edildiğinde, veri sorumlusu durumu en kısa sürede ilgili kişiye ve Kurul’a bildirmekle yükümlüdür. Bu zorunluluk, ihlalin öğrenildiği andan itibaren ne yapılacağını belirler. Uygulamada KVKK Kurulu, ilgili ihlal bildirimlerinin 72 saat içinde yapılmasını öngören kararlar çıkarmıştır (Örneğin 2019/10 sayılı Karar). KVKNET gibi danışmanlık kaynakları da veri sorumlularını, ihlal tespitinden itibaren 72 saatte Kurul’a bildirim yapmakla yükümlü kılınacağı konusunda uyarmaktadır.

Kurum (KVKK Kurumu) bildirimi şu şekilde yürütülür: İhlali öğrenen veri sorumlusu veya yetkilisi, KVKK’nın internet sitesinden indirilen “Veri İhlali Bildirim Formu” nu doldurarak veya ihlalbildirim.kvkk.gov.tr sistemi aracılığıyla Kuruma başvuru yapar. Bildirimde aşağıdaki unsurların yer alması zorunludur:

  • İhlalin ne zaman ve hangi koşullarda gerçekleştiği,
  • Hangi tür kişisel verilerin (normal Kişisel Veri / Özel Nitelikli Veri ayrımı yaparak) ihlalden etkilendiği,
  • İhlalden kaç kişinin etkilendiği veya etkilenen veri kayıtlarının sayısı,
  • İhlalin muhtemel sonuçları (risk analizi),
  • Oluşabilecek zararları engellemek için alınan veya planlanan önlemler,
  • İlgili kişilere bilgi verecek irtibat kişileri ve iletişim bilgileri.

Aynı zamanda KVKK Kurulu’nun 2019/271 sayılı Kararı uyarınca, etkilenen ilgili kişilere (veri sahiplerine) de bildirim yapılması gerekir. Verisi ihlal edilen kişiye, ihlalle ilgili durumu açıklayan bir yazı iletilmeli; bu bildirim de dilekçeyle doğrudan, ulaşılamıyorsa kurum web sitesinde yayımlama yoluyla gerçekleştirilmelidir. Yapılan bildirimlerde, Kişisel Veri kategorileri, olası riskler, alınacak tedbirler ve iletişim bilgileri dahil yukarıdaki asgari unsurlar yer almalıdır.

GDPR (AB Genel Veri Koruma Tüzüğü) de benzer kuralları içermektedir. GDPR Madde 33’e göre, veri sorumlusu bir veri ihlalini “kendisine ulaştığı andan itibaren gecikmeksizin ve mümkünse 72 saat içinde” ilgili denetim otoritesine bildirmek zorundadır. Burada tek fark, GDPR’da “kişisel verilerin ihlalinin doğal kişilerin hak ve özgürlüklerine risk yaratmaması” halinde bildirim şartının esnetilebilmesidir (risksiz ihlallerde bildirim gerekmez). KVKK ise bildirim yükümlülüğüne şekli veya muhtemel zarara bakmaksızın genel olarak uyulmasını öngörmektedir. GDPR ayrıca kontrolöre ek olarak, yüksek riskli ihlallerde veri sahibine direkt bilgilendirme yapma zorunluluğu yükler. Türkiye’de ise benzer şekilde verisi açığa çıkan kişi bilgilendirilmektedir.

Her iki düzenlemeye göre, bildirimin zamanında yapılmaması ağır yaptırımlar doğurur. KVKK Kurulu, veri sorumlularının güvenlik önlemleri yetersizse veya bildirim yapmazsa yüksek miktarda idari para cezası uygulayabilmektedir. Örneğin bir zincir otele yapılan siber saldırıda veri sahiplerini bildirmeyen kuruma toplamda 500 bin TL’yi bulan ceza kesilmiştir. GDPR ceza rejimi ise çok daha yüksektir (milyon Euro seviyeleri).

Uluslararası düzeyde başka düzenlemeler de mevcuttur. Örneğin ABD’de sağlık sektörü için HIPAA, finans için GLBA gibi kanunlar veri ihlali bildirim zorunluluğu getirir. Avrupa Birliği’nde NIS2 Direktifi, kritik altyapı sağlayıcılarının siber olayları bildirmesini zorunlu kılar. Ayrıca Türkiye’de Telekomünikasyon Kurumu (BTK) da kritik altyapı ve servis sağlayıcılarının ihlallerini takip etmektedir. Özellikle ISP’ler, barındırma firmaları veya bankalar telekom düzenlemeleri gereği ek bildirim yükümlülüklerine tabi olabilir.

Sonuç olarak, bir veri ihlali senaryosunda hem kurum içi krize müdahale hem de ilgili yasal mercilere zamanında bildirim hayati önemdedir. İlgili düzenlemeler (KVKK, GDPR vb.) “72 saat” kuralıyla sıkı bir zaman kısıtlaması koyarken, iç süreçlerin de tanımlı olması gerektiğini vurgular. Bu kapsamlı kriz planı ve bildirim zinciri uygulandığında, kurum hem yasal yükümlülüklerini yerine getirmiş olur hem de itibar kaybını ve yasal riskleri en aza indirmiş olur.

Kaynakça

  • KVKNET (2025), “Kişisel Veri İhlâli Bildirimi Nasıl, Nereye Yapılır?”kvknet.com.trkvknet.com.tr.
  • Ferhat Kule (2024), “Veri Sızdırma ve KVKK İhlalleri: Siber Saldırıdan Kim Sorumludur?”, avukatblogu (erişim 2024)ferhatkule.av.trferhatkule.av.tr.
  • Logo Software Blog (2023), “Veri İhlali Durumunda Yapılması Gerekenler”logo.com.trlogo.com.tr.
  • Fazla Gıda AŞ (2023), “KVKK Kişisel Veri İhlali Müdahale Planı”fazla.comfazla.com.
  • Dincbay Lastik (2021), “KVKK Veri İhlali Müdahale Planı”dincbay.comdincbay.com.
  • Intersoft Consulting (gdpr-info.eu), GDPR Madde 33 (Personal Data Breach Notification)gdpr-info.eugdpr-info.eu.
  • Avrupa Veri Koruma Kurulu (EDPB) (2023), “Guidelines on personal data breach notification under Regulation 2016/679”edpb.europa.euedpb.europa.eu.
  • Sheppard Mullin Richter & Hampton LLP (2019), “Data Breaches – The First 24 Hours: Checklist”

 

Yorum Yazın

Nunc velit metus, volutpat elementum euismod eget, cursus nec nunc.