Bir sabah sunucu loglarınızda tanımadığınız bir IP'den onlarca başarısız giriş denemesi görüyorsunuz. Ardından müşteri veritabanınızın bir kopyasının forumlarda dolaştığı haberi geliyor. Panik anı geçtikten sonra aklınıza takılan ilk hukuki soru genellikle şu olur: "Şimdi kime, ne zaman, nasıl bildirim yapmam gerekiyor?"
Bu yazıda teknik müdahaleden ziyade veri ihlali sonrası bildirim yükümlülüğüne odaklanıyoruz. Çünkü ihlali kapatmak teknik bir iş, ama 72 saatlik süreyi kaçırmak doğrudan idari para cezasına yol açabilecek hukuki bir risktir.
72 Saat Kuralı Tam Olarak Nedir?
KVKK kapsamında veri sorumlusu sıfatıyla işlenen kişisel veriler hukuka aykırı olarak başkaları tarafından ele geçirildiğinde, bu durumu Kişisel Verileri Koruma Kurulu'na (Kurum) bildirmeniz gerekir. Kurul'un 24.01.2019 tarihli kararına göre bu bildirim, ihlalin öğrenildiği andan itibaren gecikmeksizin ve en geç 72 saat içinde yapılmalıdır.
Buradaki en kritik kelime **"öğrenilme anı"**dır. 72 saat, ihlalin gerçekleştiği andan değil, sizin ihlalden haberdar olduğunuz andan itibaren başlar. Yani saldırı altı ay önce sızdırılmış olsa bile, bunu bugün fark ettiyseniz saatiniz bugün çalışmaya başlar.
72 saat içinde tüm detayları toplayamazsanız bildirim hakkınızı kaybetmezsiniz. Eldeki bilgilerle "ilk bildirimi" yapıp, eksik bilgileri gecikmeye ilişkin gerekçeleriyle birlikte sonradan tamamlayabilirsiniz. Sessiz kalmak yerine eksik bildirim yapmak her zaman daha doğrudur.
Hangi Olaylar "Veri İhlali" Sayılır?
Her teknik aksaklık ihlal değildir, ama beklediğinizden daha geniş bir yelpazeyi kapsar. Veri ihlali; gizlilik, bütünlük veya erişilebilirlik kaybı olarak üç başlıkta düşünülmelidir:
- Gizlilik ihlali: Müşteri veritabanının çalınması, yetkisiz kişinin panele erişmesi, yanlış kişiye gönderilen toplu e-posta.
- Bütünlük ihlali: Verilerin saldırgan tarafından değiştirilmesi, fidye yazılımıyla şifrelenmesi.
- Erişilebilirlik ihlali: Yedeği olmayan verinin silinmesi, donanım arızasıyla kalıcı veri kaybı.
Örnek senaryolar: Hosting hesabınız hacklenip dosyalara web shell yerleştirilmesi, yöneticinin dizüstü bilgisayarının çalınması, çalışanın müşteri listesini izinsiz dışarı sızdırması, e-bültende "bcc" yerine "to" alanına yüzlerce e-posta adresinin açıkça yazılması... Bunların hepsi koşullar oluştuğunda bildirim gerektiren ihlallerdir.
İhlali Öğrendiğiniz İlk 24 Saat: Müdahale Adımları
Bildirim metnini doldurmadan önce ihlali kontrol altına almanız gerekir. Soğukkanlı bir sırayla ilerleyin:
- İzole edin. Etkilenen hizmeti veya sunucuyu ağdan koparın. Hosting panelinizden (DirectAdmin veya Plesk) ilgili hesabı geçici askıya alabilir, FTP ve veritabanı erişimini kapatabilirsiniz.
- Kanıtları koruyun. Sunucuyu hemen sıfırlamayın. Erişim loglarını, web sunucusu kayıtlarını ve değişen dosyaların zaman damgalarını yedekleyin. Bunlar hem Kurul bildiriminde hem de olası adli süreçte gerekecek.
- Şifreleri döndürün. Tüm yönetici hesapları, veritabanı kullanıcıları, API anahtarları ve panel parolalarını değiştirin. Sızıntının kaynağı bir parola ise yenisi gelmeden boşluğu kapatamazsınız.
- Kapsamı belirleyin. Hangi tablolara erişildi? Kaç kayıt etkilendi? Kimlik numarası, sağlık bilgisi gibi özel nitelikli veri var mı? Bu bilgiler bildirimin tonunu belirler.
- Belgeleyin. İhlali fark ettiğiniz andan itibaren her adımı saat ve dakikasıyla yazılı tutun. Bu kayıt, "gecikmeksizin hareket ettim" iddianızın kanıtıdır.
Bu aşamada teknik destek gerekiyorsa, sunucunuza birlikte bağlanıp ihlal izlerini incelemek için uzaktan canlı destek hizmetimizden faydalanabilirsiniz.
Kurul Bildirimi: İhlal Bildirim Formu
Kurul'a bildirim, kvkk.gov.tr üzerindeki Veri İhlali Bildirim Formu doldurularak yapılır. Form, ihlalin niteliğini değerlendirebilmek için belirli başlıkları zorunlu kılar:
| Form Bölümü | Ne Yazmalısınız |
|---|---|
| İhlalin başlama/öğrenilme zamanı | İhlalin tahmini başladığı ve sizin öğrendiğiniz tarih-saat |
| İhlalin nasıl gerçekleştiği | Brute force, oltalama, açık güvenlik zafiyeti vb. |
| Etkilenen kişi grupları | Müşteriler, çalışanlar, üyeler, tedarikçiler |
| Etkilenen kişi sayısı | Yaklaşık rakam yeterli; net değilse aralık verin |
| Etkilenen veri kategorileri | Kimlik, iletişim, finans, özel nitelikli vb. |
| Olası sonuçlar | İtibar kaybı, dolandırıcılık, kimlik hırsızlığı riski |
| Alınan/alınacak önlemler | Müdahale adımları ve gelecekteki tedbirler |
Formu doldururken abartmaktan da küçümsemekten de kaçının. Kurul, ihlalin gerçek boyutunu ve sizin profesyonel müdahalenizi görmek ister. "Hiçbir şey çalınmadı" gibi temellendirilemeyen ifadeler, sonradan aksi çıktığında güvenilirliğinizi zedeler.
İlgili Kişilere Bildirim: Burada Süre Farklı
Sık karıştırılan bir nokta var: 72 saat kuralı yalnızca Kurul bildirimi içindir. İhlalden etkilenen kişilere (müşterileriniz, üyeleriniz) yapılacak bildirim için sabit bir saat sınırı yoktur; bu bildirim makul en kısa sürede yapılmalıdır.
İlgili kişilere bildirimi mümkünse doğrudan (kayıtlı e-posta, SMS, hesap içi bildirim) yapın. Doğrudan ulaşmak mümkün değilse web sitenizde yayımlama gibi yöntemler kabul edilebilir. Bildirim metni anlaşılır ve dürüst olmalı; şunları içermelidir:
- İhlalin ne zaman ve nasıl gerçekleştiği,
- Hangi kişisel verilerinin etkilendiği,
- Olası sonuçlar ve kişinin alabileceği önlemler (örneğin parola değiştirmesi),
- Sizinle iletişime geçebileceği bir kanal.
Teknik jargondan kaçının. "SQL enjeksiyonu sonucu unauthorized access oluştu" yerine "internet sitemizdeki bir güvenlik açığı nedeniyle bilgilerinize izinsiz erişildi" demek hem daha dürüst hem de KVKK'nın beklediği şeffaflıktır.
Bildirim Yapmamanın Bedeli
72 saat kuralını görmezden gelmek pahalıya mal olur. KVKK'nın "veri güvenliğine ilişkin yükümlülükler" kapsamında öngörülen idari para cezaları her yıl yeniden değerleme oranıyla güncellenir ve önemli rakamlara ulaşır. Üstelik ceza riski tek başına değildir:
- Çoklu ihlal: Hem ihlali gizlemeniz hem de yeterli güvenlik önlemi almamış olmanız ayrı ayrı değerlendirilebilir.
- İtibar kaybı: Müşterilerin ihlali sizden değil başka kanaldan duyması güveni kalıcı biçimde sarsar.
- Bireysel başvurular: İlgili kişiler zararlarının tazmini için ayrıca yargı yoluna gidebilir.
Kısacası, bildirim maliyeti her zaman gizlemenin maliyetinden düşüktür.
İhlal Olmadan Önce: Bir Müdahale Planınız Olsun
En iyi bildirim, hızlı yapılabilen bildirimdir. Bunu da ancak ihlal anında ne yapacağınızı önceden biliyorsanız başarabilirsiniz. Asgari bir hazırlık listesi:
- Kim sorumlu? İhlal anında kimin Kurul formunu dolduracağı, kimin teknik müdahaleyi yöneteceği önceden belli olsun.
- Loglar tutuluyor mu? Erişim logları aktif değilse ihlalin kapsamını asla belirleyemezsiniz. Sunucunuzda log saklamayı açın.
- Yedekler sağlam mı? 3-2-1 yedekleme kuralına uygun, düzenli ve test edilmiş yedekler erişilebilirlik ihlallerinde hayat kurtarır.
- Erişim envanteri var mı? Hangi verinin nerede tutulduğunu bilmeden "hangi veri etkilendi" sorusuna cevap veremezsiniz.
İhlal riskini en baştan düşürmek için sunucu sertleştirme, güçlü parola politikası, iki adımlı doğrulama ve güncel yazılım kullanımı gibi temel önlemleri ihmal etmeyin. Site güvenliğinizin dış görünümünü hızlıca kontrol etmek isterseniz, SSL durumu, açık portlar ve kara liste sorgulaması gibi başlıkları ücretsiz web araçlarımızla tarayabilirsiniz.
Özetle
KVKK veri ihlali bildiriminde başarının formülü hız, dürüstlük ve belgelemedir. İhlali öğrendiğiniz an saatiniz başlar; Kurula 72 saat içinde, ilgili kişilere ise makul en kısa sürede bildirim yaparsınız. Eksik bilgiyle bile olsa bildirim yapmak, sessiz kalmaktan her zaman daha güvenlidir.
Verilerinizi barındırdığınız altyapının güvenliği bu sürecin temelidir. Hostmana olarak yurt içi ve yurt dışı sunucularımızda log yönetimi, güncel yazılım altyapısı ve düzenli yedekleme ile ihlal riskinizi en baştan azaltmanıza yardımcı oluyoruz. KVKK uyumlu, güvenli bir barındırma için hosting paketlerimizi inceleyebilir, veri ihlali ya da güvenlik konusunda yol haritası çıkarmak için bizimle iletişime geçebilirsiniz. Doğru hazırlık, kötü bir günü yönetilebilir bir sürece dönüştürür.
<!--silo-start-->📚 İlgili Rehberler
Ana rehber: Web Sitenizi Hacklenmekten Korumanın 10 Yolu
İlgili yazılar:
<!--silo-end-->