KVKK Kapsamında Kişisel Verileriniz İhlal Edilirse Atmanız Gereken 7 Adım

Kişisel verilerin korunması, günümüz dijital çağında her bireyin en temel haklarından biri hâline gelmiştir. Sosyal medya hesaplarımızdan bankacılık işlemlerine, e-ticaret platformlarından sağlık verilerine kadar hemen her yerde kişisel bilgilerimizi paylaşıyoruz. Bu bilgiler kötü niyetli kişilerin eline geçtiğinde yalnızca gizlilik değil, maddi ve manevi bütünlük de zarar görebilmektedir. Türkiye’de kişisel verilerin korunmasına ilişkin en önemli düzenleme 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)’dur. Kanun, yalnızca verilerin nasıl işleneceğini değil, aynı zamanda bir ihlal yaşandığında bireylerin hangi haklara sahip olduğunu da ayrıntılı biçimde düzenler.

Bir avukat ve veri koruma uzmanı gözüyle, kişisel veri ihlali karşısında bireylerin nasıl bir yol izlemesi gerektiğini adım adım açıklamak, hem yasal hem de pratik açıdan büyük önem taşımaktadır. Bu makalede, KVKK kapsamında kişisel verileriniz ihlal edildiğinde izlemeniz gereken 7 temel adımı, ilgili mevzuat hükümleri, uygulamadaki örnekler ve Kurul kararlarıyla birlikte inceleyeceğiz.

1. İhlalin Gerçekleştiğini Fark Etmek ve Kanıt Toplamak

Kişisel veri ihlalleri çoğu zaman sessizce gerçekleşir. Bir internet sitesinden sızan kullanıcı verileri, bir kargo şirketinde unutulan kimlik fotokopisi veya bir bankanın yanlış kişiye gönderdiği belge, kişisel veri ihlaline örnektir. İlk adım, ihlalin gerçekleştiğini fark etmek ve olayı belgelemektir.

Somut Delillerin Önemi

KVKK’nın 11. maddesi kişisel veri sahiplerine geniş haklar tanır, ancak bu hakları kullanabilmek için ihlalin somut biçimde ispatlanabilmesi gerekir. Ekran görüntüleri, e-posta kayıtları, log dosyaları veya yazılı beyanlar delil olarak kullanılabilir. Özellikle sosyal medya üzerinden yayılan veri ihlallerinde, içeriğin hızlıca silinme ihtimaline karşı zaman damgalı ekran görüntüsü almak kritik öneme sahiptir.

İhlal Türlerinin Belirlenmesi

Veri ihlalleri üç temel kategoriye ayrılır: izinsiz erişim, yanlış paylaşım ve kayıp/çalıntı. Örneğin, bir şirketin müşteri listesi e-posta ile yanlış kişilere gönderilmişse bu “yanlış paylaşım” olarak değerlendirilir. Bir bilgisayar korsanının veri tabanına izinsiz girmesi “izinsiz erişim”dir. Kayıp veya çalıntı USB bellek vakaları ise fiziksel güvenlik zafiyeti kaynaklı “kayıp veri ihlali” olarak nitelendirilir.

Her bir ihlal türü için alınacak aksiyon farklılık gösterir. Bu nedenle, ihlalin teknik ve hukuki yönünü anlamak sonraki adımların doğru belirlenmesini sağlar.

2. Veri Sorumlusunu Tespit Etmek

Kişisel verilerinizi kim işliyorsa, o kişi veya kuruluş KVKK açısından veri sorumlusu olarak adlandırılır. Veri sorumlusu, sizin verilerinizi hangi amaçla topladığını, nerede sakladığını ve ne kadar süreyle işleyeceğini belirleyen kişidir.

Veri Sorumlusunun Tanımı

KVKK madde 3’te, “veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir” şeklinde tanımlanmıştır. Örneğin; bir banka, müşterilerinin kimlik bilgilerini işlediği için veri sorumlusudur; bir hastane, hasta kayıtlarını tuttuğu için yine veri sorumlusudur.

Veri Sorumlusunu Doğru Belirlemenin Önemi

İhlal durumunda kimin sorumlu olduğunu belirlemek, başvuru ve dava süreçlerinin temelini oluşturur. Örneğin, bir e-ticaret sitesinde alışveriş yaptığınızda verileriniz hem e-ticaret firması hem de lojistik firması tarafından işlenebilir. Hangi tarafın ihlale neden olduğu, hukuki sürecin muhatabını belirler. Bu nedenle öncelikle hangi sistemin güvenlik açığı nedeniyle ihlal yaşandığı netleştirilmelidir.

3. Veri Sorumlusuna Başvuru Yapmak

KVKK, ihlal durumunda bireyin doğrudan mahkemeye gitmesini değil, önce veri sorumlusuna başvurmasını öngörür. Bu, Kanun’un 13. maddesi ile düzenlenmiştir. İlgili kişi, yani veri sahibi, öncelikle veri sorumlusuna başvurarak ihlalin açıklanmasını, düzeltilmesini veya silinmesini talep eder.

Başvurunun Şekli

Başvuru yazılı olarak, noter kanalıyla, kayıtlı elektronik posta (KEP) üzerinden veya veri sorumlusunun belirlediği e-posta adresine yapılabilir. Başvuruda aşağıdaki unsurlar bulunmalıdır:

• Ad, soyad ve imza
• T.C. kimlik numarası veya yabancı ise pasaport numarası
• İkamet veya iş adresi
• Varsa bildirime esas e-posta adresi, telefon numarası
• Talep konusu (örneğin: “Verilerimin üçüncü kişilerle paylaşılmasının nedenini öğrenmek istiyorum.”)

Veri Sorumlusunun Yanıt Süresi

Veri sorumlusu, başvurunuzu en geç 30 gün içinde ücretsiz olarak sonuçlandırmakla yükümlüdür. Ancak talebin maliyet gerektirmesi hâlinde Kişisel Verileri Koruma Kurulu’nun (Kurul) belirlediği tarifeye göre ücret talep edilebilir. Yanıt verilmezse ya da yetersiz görülürse, Kurul’a şikâyet hakkı doğar.

4. Kişisel Verileri Koruma Kurulu’na (KVKK Kurulu) Şikâyet Başvurusu

Veri sorumlusundan alınan cevabın tatmin edici olmaması veya hiç cevap verilmemesi hâlinde ikinci aşama Kurul’a başvuru yapmaktır. Bu, KVKK madde 14 ile düzenlenmiştir. Şikâyet, 30 günlük başvuru süresinin dolmasından itibaren 60 gün içinde yapılmalıdır.

Kurul’a Şikâyet Nasıl Yapılır?

Kurul’a başvuru doğrudan dilekçe ile yapılabileceği gibi, www.kvkk.gov.tr üzerinden e-Devlet entegrasyonuyla çevrim içi olarak da gerçekleştirilebilir. Dilekçede, ihlalin detayları, tarih, varsa yazışmalar ve deliller eklenmelidir. Başvuru için özel bir form bulunmasa da Kurum sitesinde örnek dilekçeler yer almaktadır.

Kurul’un Yetkileri

Kişisel Verileri Koruma Kurulu, başvuruyu inceledikten sonra veri sorumlusundan savunma ister, yerinde inceleme yapabilir ve gerekirse para cezası dahil idari yaptırımlar uygular. KVKK’nın 18. maddesi uyarınca, yükümlülükleri ihlal eden veri sorumlularına 2025 yılı itibarıyla 70.000 TL’den 5.000.000 TL’ye kadar idari para cezası uygulanabilir. Ayrıca, Kurul gerek görürse durumu Cumhuriyet Başsavcılığı’na ileterek cezai süreç başlatılmasını da sağlayabilir.

5. Adli Mercilere Başvuru (Tazminat Talebi)

Kurul, idari bir otoritedir; para cezası kesebilir, ancak bireyin uğradığı zararı doğrudan tazmin etmez. Maddi veya manevi tazminat talepleri için mahkeme yoluna gidilmelidir. KVKK madde 11 ve 12 ile Türk Borçlar Kanunu madde 49 birlikte değerlendirildiğinde, veri ihlali mağduru kişi, uğradığı zararın giderilmesini talep edebilir.

Yetkili Mahkeme

Dava, veri sorumlusunun yerleşim yerinde veya mağdurun ikametgâhında bulunan Asliye Hukuk Mahkemesi’nde açılır. Dava dilekçesinde ihlalin türü, tarihleri, zararın kapsamı ve varsa Kurul kararı delil olarak sunulmalıdır. Zararın manevi boyutunun ispatı her zaman kolay olmasa da, Yargıtay içtihatlarında kişisel veri ihlali başlı başına kişilik hakkı ihlali olarak kabul edilmektedir.

Ceza Hukuku Boyutu

Kişisel verilerin hukuka aykırı olarak kaydedilmesi, yayılması veya başkalarına verilmesi, Türk Ceza Kanunu’nun 135-140. maddeleri arasında suç olarak düzenlenmiştir. Bu suçların yaptırımı 1 yıldan 6 yıla kadar hapis cezasıdır. Özellikle veri tabanından yetkisiz erişimle veri kopyalayan kişiler hakkında savcılığa suç duyurusunda bulunulabilir.

6. Kurumsal Risk Bildirimi ve Kamuoyu Duyurusu

Bazı veri ihlalleri yalnızca bireyi değil, aynı zamanda geniş bir kullanıcı kitlesini etkileyebilir. KVKK madde 12/5 gereğince veri sorumlusu, bir veri ihlali meydana geldiğinde hem ilgili kişiye hem de Kişisel Verileri Koruma Kurulu’na bildirimde bulunmakla yükümlüdür. Kurul, gerek görürse bu ihlali kendi internet sitesinde kamuoyuna açıklar.

Veri Sorumlusunun İhlal Bildirimi Yükümlülüğü

İhlal bildirimi, “Veri İhlali Bildirim Formu” kullanılarak yapılır ve genellikle 72 saat içinde tamamlanmalıdır. Avrupa Birliği’nde de GDPR kapsamında benzer bir süre uygulanmaktadır. Türkiye’de bu süre yasal olarak belirlenmemiş olsa da Kurul kararlarında “makul süre” olarak 72 saatlik kriter sıkça vurgulanmaktadır.

Bireysel Duyuru ve Toplumsal Etki

İhlalden etkilenen kişiler, veri sorumlusunun sitesinde, e-posta bildiriminde veya SMS yoluyla bilgilendirilir. Bazı durumlarda medya üzerinden kamuya duyuru yapılması gerekebilir. Bu tür duyurular hem şeffaflık sağlar hem de potansiyel zararların önlenmesine yardımcı olur. Bu nedenle birey olarak yalnızca kendinizin değil, başkalarının da zarar görmemesi için ilgili kurumun bildirimlerini takip etmeniz önemlidir.

7. Kişisel Veri Güvenliği İçin Proaktif Önlemler

Veri ihlali yaşandıktan sonra atılacak adımlar kadar, ihlal öncesinde alınacak önlemler de büyük önem taşır. Kişisel verilerin korunması yalnızca kurumların değil, bireylerin de sorumluluğundadır.

Şifre ve Kimlik Doğrulama Güvenliği

Her platform için güçlü, karmaşık ve benzersiz parolalar kullanmak temel bir adımdır. Parolaları 6 ayda bir yenilemek, iki faktörlü kimlik doğrulama (2FA) sistemini etkinleştirmek ve şifrelerinizi tarayıcılarda kaydetmemek, saldırganların işini zorlaştırır. Parolanızda ad, doğum tarihi veya ardışık rakamlar kullanmayın.

Veri Paylaşımında Dikkat Edilmesi Gerekenler

Kurumsal kimlik doğrulaması olmayan web sitelerine kimlik veya kredi kartı bilgilerinizi girmeyin. HTTPS olmayan sitelerden veri paylaşmayın. Özellikle sosyal medya üzerinden gelen bağlantılara tıklamadan önce URL adresini dikkatlice kontrol edin. Sahte siteler, gerçek bankaların veya e-ticaret platformlarının kopyası gibi davranabilir.

Mobil Uygulama ve Cihaz Güvenliği

Uygulama izinlerini düzenli olarak kontrol edin. Kamera, mikrofon veya konum gibi hassas izinleri yalnızca gerekli olduğunda verin. Telefonunuzda antivirüs ve zararlı yazılım koruma uygulamaları bulundurun. İşletim sistemi ve uygulama güncellemelerini düzenli olarak yapın; birçok siber saldırı eski sürümlerdeki açıkları hedef alır.

Kurumlarla Paylaşılan Belgeler

Kurumlara teslim ettiğiniz belgelerin (kimlik fotokopisi, ikametgâh, diploma vb.) yalnızca gerekli alanlarını paylaşın. Kimlik fotokopilerine “Sadece X kurumu içindir” ibaresi yazarak yetkisiz kopyalamanın önüne geçebilirsiniz. Bu yöntem, Yargıtay kararlarında dahi “kişisel veri koruma bilinci” göstergesi olarak kabul edilmiştir.

Kişisel Verilerinizin Korunması Bilinçle Başlar

Kişisel veri ihlalleri bazen bir e-posta sızıntısı kadar basit, bazen de milyonlarca kişiyi etkileyen bir siber saldırı kadar karmaşık olabilir. Ancak KVKK sayesinde artık her bireyin hakları yasalarla güvence altına alınmıştır. İhlal karşısında doğru delilleri toplamak, veri sorumlusuna başvurmak, Kurul’a şikâyet etmek ve gerekiyorsa dava açmak, bu hakların etkin biçimde kullanılmasını sağlar.

Unutulmamalıdır ki KVKK sadece cezai bir mekanizma değildir; aynı zamanda toplumsal bir farkındalık yasasıdır. Bu farkındalık bireylerin bilinçli davranışıyla anlam kazanır. Kişisel verilerin korunması, artık yalnızca kurumların değil, her vatandaşın kendi sorumluluğundadır. Her veri paylaşımı bir iz bırakır; bu izi yönetmek sizin elinizdedir.