KVKK'nın 12. maddesi ihlali öğrendiğiniz andan itibaren 72 saat içinde Kurula bildirim zorunlu kılar. 25/12/2025 tarihli 2025/2451 sayılı Kurul Kararı ise ihlal ilanlarını azami 60 günle sınırladı.

Kişisel Verileri Koruma Kurulu'nun 25 Aralık 2025 tarihli 2025/2451 sayılı Kararı, veri ihlali bildirim sürecine önemli bir yenilik getirdi: Kurumun web sitesinde yayımlanan ihlal ilanlarının azami 60 gün ile sınırlı tutulması. Bu yeni kural, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 12. maddesindeki 72 saatlik Kurul bildirim yükümlülüğüyle birlikte işlemektedir. İki yükümlülüğü birarada yönetmek, hem doğru sırayla hareket etmeyi hem de kapsamlı bir belgeleme alışkanlığı geliştirmeyi gerektirmektedir. Müvekkil bilgileri, dava belgeleri ve finansal kayıtlar işleyen her avukatlık bürosu bu iki yükümlülüğe hâkim olmalı ve olası bir ihlal anında nasıl hareket edeceğini önceden planlamış olmalıdır.

Bu rehber, kanunun teorik yorumundan değil uygulamasından söz ediyor. Bir veri ihlalini öğrendiğiniz andan itibaren 72 saat boyunca ne yapmanız, kime bildirmeniz ve nasıl belgelemeniz gerektiğini adım adım aktarıyor. 2025/2451 sayılı yeni kararın pratik etkisini ve avukatlık büroları için nasıl hazırlanılacağını da ele alıyor. Hem hesap verebilirlik hem de kurumsal itibar açısından bu iki sürenin —72 saat ve 60 gün— birbirini nasıl tamamladığını anlamak kritiktir.

KVKK 12. Madde: 72 Saatlik Sayaç Nasıl Başlar?

6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 12. maddesi, kişisel verilerin hukuka aykırı biçimde üçüncü kişilerce elde edilmesi hâlinde veri sorumlusunun bu durumu hem ilgili kişilere hem de Kişisel Verileri Koruma Kurulu'na bildirmesini zorunlu kılmaktadır. Kişisel Verileri Koruma Kurumu "en kısa süre" ifadesini uygulamada ihlali öğrenme tarihinden itibaren 72 saat olarak değerlendirmektedir. Bu süre hem Kurula bildirim hem de etkilenen kişilere bireysel bildirim için temel referans kabul edilmektedir.

Veri ihlali, kişisel verilerin iletim, depolama veya başka bir işlem sırasında yetkisiz erişime, ifşaya, değiştirilmeye, silinmeye ya da imhaya yol açan ve veri güvenliğini tehdit eden her türlü olayı kapsar. Siber saldırı, yanlışlıkla gönderilen e-posta, çalınan dizüstü bilgisayar, hatalı paylaşılan bulut klasörü veya kayıp USB bellek bu kapsamda değerlendirilebilir.

72 saatlik sayacın başlangıcı olan "öğrenme" anına dikkat etmek gerekir. İhlali bürodaki bir çalışan fark etmiş ama sorumlu ortağa bildirmemişse, sayaç yine de başlamış kabul edilir; Kurul değerlendirmesinde belirleyici olan, kurumun herhangi bir üyesinin ihlalden haberdar olduğu andır. Bilginin henüz iç iletişim kanallarından geçmemiş olması süreci durdurmaz. Bu nedenle çalışanların şüpheli bir durumu fark ettiklerinde derhal sorumlu kişiye bildirmeleri için yazılı bir prosedür belirlenmiş olmalıdır. Eskalasyon zincirini tanımlayan tek sayfalık bir iç rehber dahi hem yasal riski azaltır hem de paniğe kapılmadan doğru adımların atılmasını sağlar.

Bildirim, kvkk.gov.tr üzerinden erişilebilen Veri İhlal Bildirim Formu aracılığıyla yapılır. Formda doldurulması gereken temel bilgiler şunlardır: ihlal tarihi ve öğrenilme tarihi; ihlalın niteliği; etkilenen kişi sayısı ve kategorileri; etkilenen veri kategorileri; ihlalın olası sonuçları; alınan ya da planlanmış acil tedbirler. Tüm bilgilere aynı anda ulaşmak zorunda değilsiniz; kısmi bilgiyle form gönderilebilir ve eksikler sonradan tamamlanabilir. Önemli olan 72 saatlik süreye uymaktır; gecikmeli ve tam bilgili bir bildirim, zamanında yapılan kısmi bildirimden daha ağır sonuçlar doğurabilir.

25/12/2025 Tarihli 2025/2451 Sayılı Karar: 60 Gün İlan Sınırı

Kişisel Verileri Koruma Kurulu'nun 2025/2451 sayılı Kararı, ihlal ilanlarının Kurum web sitesinde ne kadar süre yayımda kalacağına azami bir süre belirledi: 60 gün. Bu karardan önce herhangi bir süre sınırı olmaksızın yayımda kalabilen ilanlar, artık otomatik olarak en geç 60. günde kaldırılmaktadır. Bu değişiklik hem veri sorumlularını hem de etkilenen kişileri yakından ilgilendiren bir düzenlemedir; ihlal ilanının kamuoyunda görünür kalma süresi doğrudan kurumsal itibara etki etmektedir.

Kararın en kritik pratiği şudur: Veri sorumlusu, etkilenen kişilere bireysel bildirim yaptığını ve bu bildirimi 60 günden kısa sürede tamamladığını Kurula belgelerse, ilan 60 günü dolmadan siteden kaldırılabilir. Kurulun bu düzenlemeyle hedeflediği şey açıktır: veri sorumlularının etkilenenlere zamanında ulaşmasını teşvik etmek ve gereğinden uzun kalan ilanları önlemek. Erken bireysel bildirim yapmak, yalnızca yasal yükümlülük değil; kurumsal itibarın korunması açısından da somut bir avantaj sağlamaktadır.

Avukatlık bürosu bağlamında bu kuralın pratik yansıması şudur: Bir müvekkil verisi ihlali yaşandığında büronuzun adı Kurum sitesinde yayımlanabilir. Müvekkillere erkenden, kişiselleştirilmiş ve eksiksiz biçimde ulaşırsanız ilanın 60 günden önce kaldırılmasını talep edebilirsiniz. Bu nedenle müvekkil iletişim bilgilerinin güncel tutulması ve bildirim şablonlarının hazır olması, ihlal anındaki tepki hızını doğrudan etkiler. Müvekkil kaydının CRM veya hukuk yazılımında düzenli güncellendiği bir büro, ihlal anında bu süreci çok daha hızlı tamamlayabilir.

İlk 72 Saatte Avukatlık Bürosunun Yapması Gerekenler

Veri ihlali şüphesi fark edildiğinde saatler son derece değerlidir. Aşağıdaki takvim, ihlali öğrenme anından itibaren 72 saat boyunca atılması gereken adımları göstermektedir. Hukuk bürosunun ölçeğine ve ihlalın niteliğine göre bazı adımlar birleştirilebilir ya da ayrıştırılabilir; önemli olan tüm kritik noktaların atlanmamasıdır.

  1. 0–4. saat — Tespit ve eskalasyon: İhlali fark eden çalışan derhal sorumlu ortağı veya büro yöneticisini bilgilendirmelidir. Etkilenen sistem, dosya veya veri kümesi belirlenir ve teknik değerlendirme için gerekirse BT uzmanı devreye alınır. Teknik uzman yazılı tespit raporu hazırlamalıdır; bu rapor hem bildirim formunun doğru doldurulmasını sağlar hem de olası denetim süreçlerinde kritik belge niteliği taşır.
  2. 4–12. saat — Etki analizi: Hangi kişisel veri kategorileri etkilendi? Müvekkil mi, karşı taraf mı, tanık mı etkilendi? Tahmini etkilenen kişi sayısı nedir? Veriler özel nitelikli mi (sağlık kaydı, ceza mahkûmiyeti)? Bu analiz hem bildirim formunun eksiksiz doldurulmasını sağlar hem de bireysel bildirim listesinin hızlıca oluşturulmasını kolaylaştırır.
  3. 12–48. saat — Kurul bildirimi: kvkk.gov.tr üzerindeki Veri İhlal Bildirim Formu doldurulur ve gönderilir. Tüm bilgilere henüz ulaşılamamışsa form kısmi olarak gönderilip eksikler sonradan tamamlanabilir. 72 saatlik süre hiçbir koşulda aşılmamalıdır.
  4. 48–72. saat — Bireysel bildirim başlatılması: Etkilened kişilere bireysel bildirim hazırlanır ve mümkün olan en kısa sürede iletilir. Bildirimin içeriğinde etkilenen veri kategorileri, ihlalın olası sonuçları, büronun aldığı tedbirler ve kişinin başvurabileceği haklar yer almalıdır. Bildirimin gönderildiğinin belgelenmesi, ilan süresinin kısaltılması talebinde kritik kanıt işlevi görür.

Etkilened Kişilere Bildirim: Bireysel Yükümlülük

2025/2451 sayılı Kurul Kararı, etkilenen kişilere yapılacak bildirimin bireysel olmasını esas saymaktadır. Kitlesel bildirim, etkilened kişi sayısının aşırı yüksek olduğu ya da iletişim bilgilerine ulaşılamadığı istisnai durumlarda kabul görmektedir. Bu ilke, müvekkil iletişim veritabanının güncel tutulmasını pratikte zorunlu kılmaktadır. Avukatlık bürosu özelinde ihlal kapsamı genişleyebilir; tek bir dava dosyasında müvekkil, karşı taraf, tanıklar ve bilirkişilerin iletişim bilgileri bir arada bulunabilir.

Bireysel bildirimin içeriği yüzeysel tutulmamalıdır. Etkilened kişiye; hangi verilerinin dahil olduğu, ihlalın tahmini sonuçları, büronun aldığı önlemler ve kişinin KVKK kapsamındaki hakları somut biçimde aktarılmalıdır. Şablon hazırlamak ve bu şablonu önceden hukuki gözden geçirmeden geçirmek, hem içeriğin eksiksiz olmasını hem de hızlı sevk edilebilmesini sağlar. Önceden hazırlanmış bir bildirim şablonu, ihlal anında metnin sıfırdan yazılmasına gerek bırakmaz.

Dört Temel Hazırlık Adımı

İhlal anında paniksiz hareket edebilmenin koşulu önceden hazırlık yapmaktır. Aşağıdaki dört önlem, avukatlık büronuzu olası ihlal senaryolarına hazırlamak için pratikte hayata geçirilebilir adımları özetlemektedir.

  • İç eskalasyon prosedürü oluşturun: Hangi çalışan, ihlal ya da şüphesini kime, hangi kanaldan ne kadar süre içinde bildirir? Bu zincirin yazılı ve herkesce bilinen hâlde olması, sayacın gecikmeden başlamasını sağlar.
  • Müvekkil iletişim veritabanını güncel tutun: Bireysel bildirim yükümlülüğünü yerine getirebilmek için etkilened kişilere ulaşmanız şarttır. Güncellenmemiş kayıtlar bu süreci ciddi biçimde yavaşlatabilir.
  • Bildirim şablonu önceden hazırlayın: Hem Kurul bildirim formu hem de müvekkil bildirim metni için taslaklar oluşturun ve yıllık olarak gözden geçirin.
  • Teknik altyapıyı düzenli denetleyin: Erişim loglarının tutulması, güçlü parola politikası, hassas belgelerin şifrelenmesi ve kritik sistemlerde çok faktörlü kimlik doğrulama hem ihlal riskini azaltır hem de kapsam tespitini hızlandırır.

Hukuk bürolarının KVKK kapsamında maruz kalabileceği yaptırımları ele alan Avukata KVKK İhlal Cezaları 2026 yazısı bu rehberin tamamlayıcısıdır. Hukuk Bilgi Sistemi (HBS), müvekkil verisi ve belge yönetimini merkezi bir platformda toplar; olası bir ihlalin kapsamını ve etkilened veri kategorilerini hızlıca tespit etmenizi kolaylaştırır.

KVKK İhlali ve Avukatlık Meslek Sırrı: İnce Çizgi

Avukatlık büroları için KVKK veri ihlali bildiriminin özel bir boyutu vardır: Avukatlık Kanunu'nun 36. maddesi ve Meslek Kuralları'nın 4. maddesi, avukatın müvekkiliyle ilgili sırları korumakla yükümlü olduğunu açıkça düzenlemektedir. Bu yükümlülük, KVKK kapsamındaki bildirim yükümlülüğüyle zaman zaman gerilim yaratabilir. Peki bir ihlal yaşandığında bu iki yükümlülük nasıl dengelenir?

Kişisel Verileri Koruma Kurumu'na yapılacak bildirim, esasen veri işleme güvenliğindeki bir zaafiyeti raporlamayı içermektedir. Bu bildirim müvekkil sırrını ifşa etmek değil, ihlalın gerçekleştiğini ve alınan ya da alınması planlanan tedbirleri aktarmaktır. İhlal bildirim formunda müvekkilin adı ya da dava ayrıntıları değil; etkilened veri kategorileri, kişi sayısı ve güvenlik açığının niteliği yer alır. Bu çerçevede Kurula yapılan bildirim, avukat sırrını çiğneme değil, bir güvenlik olayını resmi makama raporlama niteliği taşımaktadır.

Etkilened kişilere yapılacak bireysel bildirim ise farklı değerlendirme gerektirmektedir. Müvekkile kendi verisinin ihlale konu olduğunu bildirmek hem 12. madde hem de müvekkilin bilgi alma hakkı açısından zorunludur. Karşı taraf veya tanık bilgilerinin etkilendiği durumlarda ise bildirim, meslek sırrının kapsamı gözetilerek yapılmalıdır. Bu konularda tereddüt yaşandığında baroya ya da bir KVKK uzmanına danışmak, hem yasal yükümlülüklerin hem de meslek etiğinin korunması açısından en güvenli yoldur.

Avukatlık bürosunun bu dengeyi önceden düşünmüş ve ihlal anı için uygulanacak politikayı belirlemiş olması önemlidir. Belirsiz durumlarda "bildir mi, bildirme mi?" sorusuyla zaman kaybetmek 72 saatlik süreyi hızla tüketebilir. Meslek sırrı kapsamının sınırlarını önceden netleştirmek ve ihlal bildirimi sürecinde bu sınırları gözeten bir şablon geliştirmek, hem yasal hem de etik uyumu kolaylaştırır.

Sonuç olarak: 72 saat bildirim yükümlülüğü ve 60 gün ilan sınırı, birbirini tamamlayan iki ayrı süreçtir. İlkine uymak cezai riski önler; ikincisini iyi yönetmek itibarı korur. Avukatlık büroları için en akıllıca strateji, her ikisini de olası bir ihlal anında sıfırdan planlamak zorunda kalmadan hazır sistemler kurarak karşılamaktır. Bugün atılan küçük hazırlık adımları, yarın yaşanabilecek bir kriz anında hem hukuki sorumluluğu sınırlar hem de müvekkil ilişkisini sağlam tutar.

Sıkça Sorulan Sorular

72 saat sayacı tam olarak ne zaman başlar?

Sayaç, büronuzdaki herhangi bir kişinin ihlalden haberdar olduğu anda başlar. Bilgiyi edinen çalışanın üst yönetime henüz iletmemiş olması sayacı durdurmaz. İç eskalasyon prosedürünün yazılı ve herkesce bilinmesi kritiktir.

Bildirim yaparken tüm bilgilere sahip olmak zorunlu mu?

Hayır. Kurul, mevcut bilgiyle yapılan kısmi bildirimi sonradan tamamlanan güncellemelerle birlikte kabul etmektedir. Bilgi eksikliği, bildirimi 72 saat aşana kadar ertelemek için geçerli bir gerekçe değildir.

2025/2451 sayılı karar ilan süresini nasıl değiştirdi?

25 Aralık 2025 tarihli 2025/2451 sayılı Kurul Kararı ile ihlal ilanlarının Kurum web sitesinde yayımlanma süresi azami 60 gün ile sınırlandırıldı. Etkilened kişilere bireysel bildirimi belgeleyen veri sorumlularının ilanı bu süreden önce kaldırtması mümkündür.

Müvekkillere toplu bildirim yapılabilir mi?

Bireysel bildirim esastır; kitlesel bildirim yalnızca etkilened kişi sayısının çok yüksek olduğu ya da iletişim bilgilerine ulaşılamadığı istisnai durumlarda kabul görmektedir.

Avukatlık bürosunda hangi ihlal türleri en sık görülür?

Yetkisiz erişim, yanlış alıcıya gönderilen e-posta, çalınan veya kaybolan cihazlar, kötü amaçlı yazılım ve hatalı paylaşılan bulut depolama alanları öne çıkan ihlal biçimleridir. Her şüpheli olay ihlal niteliği taşıyıp taşımadığına göre değerlendirilmelidir.