KVKK Veri İhlali Bildirim Süreleri: Mali Müşavirler İçin Güncel Rehber

Giriş

Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında veri sorumlularının en kritik yükümlülüklerinden biri, kişisel veri ihlali durumunda zamanında ve eksiksiz bildirim yapmaktır. Kişisel Verileri Koruma Kurumu (KVKK) tarafından yapılan son duyurular ve alınan kararlar, bu bildirim süreçlerine ilişkin önemli açıklıklar getirmiştir. Özellikle mali müşavirler gibi kişisel veri işleme faaliyetlerini yoğun olarak gerçekleştiren meslek grupları için bu güncellemeler büyük önem taşımaktadır. Bu makale, veri ihlali bildirim süreleri, yükümlülükleri ve dikkat edilmesi gereken noktaları mali müşavirler perspektifinden ele alarak kısa ve öz bir rehber sunmayı amaçlamaktadır.

Mali müşavirler, müşterilerinin finansal kayıtları, çalışan bilgileri ve diğer hassas verileri işlerken çoğu durumda veri sorumlusu sıfatına sahiptirler. Bu durum, KVKK'nın getirdiği tüm yükümlülüklere tabi oldukları anlamına gelir. VERBİS kaydından istisna olsalar dahi, Kanun hükümlerine uyma zorunlulukları devam etmektedir ve aksi takdirde idari para cezalarıyla karşılaşabilirler.

Dikkat Edilmesi Gerekenler

• 72 Saatlik Bildirim Süresi: Kişisel veri ihlalinin öğrenildiği andan itibaren, veri sorumlularının gecikmeksizin ve en geç 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildirimde bulunma yükümlülüğü bulunmaktadır. Bu süre, ihlalin tespit edildiği an itibarıyla işlemeye başlar.
• İlgili Kişilere Bildirim Zorunluluğu: Veri sorumluları, Kurul'a yapılan bildirimin yanı sıra, ihlalden etkilenen ilgili kişileri de makul olan en kısa sürede doğrudan veya uygun alternatif yollarla bilgilendirmekle yükümlüdür. İlgili kişilerin iletişim bilgilerine ulaşılamadığı durumlarda, veri sorumlusunun kendi internet sitesi üzerinden yayımlama gibi uygun yöntemlerle bilgilendirme yapması da mümkündür.
• KVKK İnternet Sitesinde İlan Süresi: Kurul, 25 Aralık 2025 tarihli ve 2025/2117 sayılı Kararı ile veri ihlali bildirimlerinin Kurumun internet sitesinde ilan edilme süresini 60 gün ile sınırlandırmıştır. Ancak, veri sorumlusu tarafından ilgili kişilere daha kısa süre içerisinde bildirim yapıldığının somut bir şekilde belgelendirilmesi halinde, ilgili ilanlar 60 günlük süre dolmadan kurumun internet sitesinden kaldırılabilecektir.
• Bildirim Formunun Güncel Hali: KVKK'ya yapılacak bildirimler, Kurumun resmi internet sitesinde yer alan "Veri İhlali Bildirim Formu" doldurularak gerçekleştirilir. Bu formda ihlalin ne zaman ve nasıl gerçekleştiği, etkilenen kişi sayısı ve veri türleri, alınan önlemler ve ilgili kişilere yapılacak bildirim planı gibi detaylı bilgiler yer almalıdır. Formu doldururken ihlale konu olan herhangi bir kişisel verinin forma dahil edilmemesi gerektiği unutulmamalıdır.
• İdari Para Cezaları: Veri ihlali bildirim yükümlülüğüne uyulmaması veya geç bildirim yapılması durumunda, 6698 sayılı Kanun'un 18. maddesi uyarınca 1.000.000 TL'ye kadar idari para cezası uygulanabilir. Ayrıca, şirketin kamuoyundaki itibarı da ciddi şekilde zedelenebilir.

Yapılması Gerekenler

1. İhlal Tespit ve Müdahale Planı Oluşturun: Veri ihlali durumunda hızlı ve etkili bir şekilde hareket edebilmek için önceden belirlenmiş bir ihlal tespit ve müdahale planına sahip olmak kritik öneme sahiptir. Bu plan, ihlalin nasıl yönetileceğini, kimlerin sorumlu olacağını ve hangi adımların atılacağını içermelidir.
2. 72 Saatlik Süreye Uyun: İhlalin öğrenildiği andan itibaren 72 saatlik yasal süreyi aşmadan Kişisel Verileri Koruma Kurumu'na bildirim yapın. Bu süre zarfında tüm gerekli bilgileri toplamak ve bildirim formunu eksiksiz doldurmak için hızlı hareket edin.
3. İlgili Kişileri Bilgilendirin: İhlalden etkilenen kişileri, ihlalin niteliği, olası sonuçları ve alınan önlemler hakkında makul olan en kısa sürede bilgilendirin. Bu bildirimde şeffaflık esastır ve ilgili kişilerin haklarını korumaya yönelik adımlar atıldığını göstermelidir.
4. Güncel Bildirim Formunu Kullanın: KVKK'nın internet sitesinde yayımlanan en güncel "Veri İhlali Bildirim Formu"nu kullanarak bildirimde bulunun. Formda istenen tüm bilgileri doğru ve eksiksiz bir şekilde sağlayın.
5. Teknik ve İdari Tedbirleri Gözden Geçirin: Yaşanan veri ihlalinin nedenlerini detaylıca analiz edin ve benzer ihlallerin tekrar yaşanmaması için mevcut teknik ve idari tedbirlerinizi gözden geçirerek gerekli iyileştirmeleri yapın. Bu, veri güvenliği politikalarınızı ve çalışan eğitimlerinizi de kapsayabilir.

Sonuç

Kişisel veri ihlalleri, günümüz dijital dünyasında kaçınılmaz risklerden biridir. Ancak, bu risklere karşı hazırlıklı olmak ve ihlal durumunda yasal yükümlülüklere uygun hareket etmek, hem hukuki sorumluluklardan kaçınmak hem de kurumsal itibarı korumak açısından hayati öneme sahiptir. Mali müşavirler olarak, müvekkillerinizin ve kendi verilerinizin güvenliğini sağlamak adına KVKK'nın veri ihlali bildirim süreçlerine ilişkin güncel duyurularını yakından takip etmek ve yukarıda belirtilen adımları titizlikle uygulamak büyük önem taşımaktadır. Unutmayın, zamanında ve doğru bildirim, olası zararları en aza indirmenin ve güveni yeniden tesis etmenin ilk adımıdır.