2026 KVKK Cezaları ve Veri İhlali Bildirimi: KOBİ Eylem Planı
03.05.2026
17:06
Xen Bilişim
27 Kasım 2025 tarihli Resmî Gazete'de yayımlanan %25,49'luk yeniden değerleme oranı KVKK idari para cezalarını yeniden hesaplattı. 2026 yılında en küçük ceza 85.437 TL'den, en büyüğü 17.092.242 TL'ye kadar çıkıyor. Yıllık ciroların artmadığı, kur baskısının sürdüğü bir dönemde bu rakamlar özellikle KOBİ'ler için ciddi bir kasa riski.
Geçen ay üç ayrı müşterimde aynı sahneyi yaşadık: bir e-posta hesabı sızdı, içinden müşteri verisi olan bir Excel açıldı, 72 saatlik bildirim sürecini hatırlamadan önce 36 saat geçmişti. Bu yazıda 20 yıllık saha deneyimimle 2026 ceza tablosunu ve veri ihlali sürecini somut bir eylem planına çevireceğim — broşür değil, gerçek vakalardan damıtılmış bir rehber.
2026 KVKK İdari Para Cezaları Tam Tablo
Vergi Usul Kanunu Genel Tebliği (Sıra No: 585) ile %25,49 yeniden değerleme oranı uygulanan güncel rakamlar şu şekilde:
İhlal Türü (KVKK m.18)
Alt Sınır (TL)
Üst Sınır (TL)
Aydınlatma yükümlülüğüne aykırılık
85.437
1.709.200
Veri güvenliği yükümlülüklerine aykırılık (en kritik)
256.357
17.092.242
Kurul kararlarını yerine getirmeme
427.097
17.092.242
VERBİS kayıt ve bildirim yükümlülüğü ihlali
341.677
17.092.242
Saha gözlemim: Kurul son iki yılda veri güvenliği kalemini özellikle agresif uyguluyor. 2024-2025 dönemine ait kararların büyük çoğunluğu burada yoğunlaştı; en sık alıntılanan gerekçe "log tutmama" ve "yetkili erişim kontrolü eksiklikleri".
72 Saat Veri İhlali Bildirimi: Saatlerin Anatomi
KVKK m.12/5'e göre veri ihlalinin öğrenildiği andan itibaren 72 saat içinde Kurul'a bildirim yapılması zorunlu. Cümle kısa, gerçek karmaşık. Saha pratiğinde bu süreç altı evreye bölünür:
0-2 saat — Tespit ve doğrulama: Defender alarmı, kullanıcı çağrısı veya log anomali saatlerden gelir. İlk yapılan: "false-positive değil mi?" doğrulaması.
2-8 saat — Kapsam tespiti: Hangi kullanıcı, hangi mailbox, hangi paylaşılan klasör, hangi müşteri verisi etkilendi? Bu evrede bir data classification raporu kritik — Microsoft Purview / Azure Information Protection ile etiketlenmiş veriler bu adımı 4 saatten 30 dakikaya indirir.
8-24 saat — Kontrol altına alma: Etkilenen hesapların parolaları sıfırlanır, oturumlar kapatılır (Entra ID — "revoke all sessions"), ihlal yolu kapatılır.
24-48 saat — Hukuki danışmanlık + bildirim metni: KVKK avukatı veya iç danışman, etkilenen ilgili kişi sayısını ve veri kategorisini belirler. Bildirim formu doldurulur.
48-72 saat — Resmi bildirim: Kurul'un online formu üzerinden bildirim. Eksik bilgi varsa 5-7 gün içinde tamamlanmak üzere ek bildirim hakkı saklı.
72+ saat — İlgili kişi bilgilendirme: Yüksek riskli ihlallerde etkilenen ilgili kişilere doğrudan bildirim (e-posta, SMS).
Yaygın hata: Şirket "müşteri kötü etkilenmesin" diye süreyi geciktirir. Sonuç ters teper — Kurul, gizleme tespit ettiğinde ihlalin kendisinden ağır ceza yazıyor. 2024-2025 emsal kararlarında 5 milyon TL üzerinde örnek görüyoruz.
KVKK Cezasından Korunmak İçin 6 Pratik Adım
Müşterilerime önerdiğim minimum yapı:
VERBİS kaydı güncel mi? 2018'de kaydolup unutmuş olanların oranı %40 üzerinde. Yıllık inceleme rutini şart.
Aydınlatma metinleri her form ve uygulamada var mı? Web siteniz, mobil uygulamanız, başvuru formlarınız, e-ticaret check-out'unuz... Eksik tek nokta yeterli.
Açık rıza yönetimi: "Kabul ediyorum" tek kutucukla toplanan rızalar geçersiz; pazarlama, çerez, üçüncü taraf paylaşım için ayrı rıza şart.
Veri minimizasyonu: Form alanı kadar veri toplama kuralı. "Belki gerekir" diye TC kimlik numarası alan formlar Kurul'un en sık ceza yazdığı kalem.
Teknik tedbir paketi: Çok faktörlü kimlik doğrulama (MFA), uç nokta koruma (Defender for Endpoint, Sophos vb.), düzenli yedekleme (3-2-1 kuralı, ransomware-proof), erişim logları (en az 2 yıl saklama).
Yıllık iç denetim: ISO 27001 belgesi olmasa bile KVKK gap analizi yapılması, bulunan açıkların 90 gün içinde kapatılması. Kurul denetiminde "iç denetim raporumuz var" demek cezayı %50 indirebilir (m.18/3 etkin pişmanlık).
Microsoft 365 Güvenlik Yığını ile KVKK Uyumu
2026 itibariyle KVKK uyumunu en hızlı sağlayan teknik kombinasyon:
Microsoft Entra ID + Conditional Access: kim, hangi cihazdan, hangi konumdan erişebilir kuralları
Microsoft Purview / Azure Information Protection: veri sınıflandırma, otomatik etiketleme, DLP politikaları
Microsoft Defender for Office 365 + Endpoint: phishing, BEC, fidye yazılımı algılama
Microsoft Sentinel: SIEM/SOAR — log toplama ve olay yanıtı
Bu yığını sıfırdan kurmak değil, Microsoft 365 Business Premium veya E5 lisansının zaten içinde olan modülleri doğru yapılandırmak çoğu KOBİ için yeterli. Lisansınız var ama yapılandırma eksik — bu en sık karşılaştığım manzara.
Sıkça Sorulan Sorular
Cezaya itiraz edebilir miyim?
Evet. Karar tebliğinden itibaren 60 gün içinde Ankara İdare Mahkemeleri'nde dava açma hakkınız var. Etkin pişmanlık (m.18/3) gösterilebilirse ceza %50'ye kadar indirilebiliyor.
Veri ihlali bildirim formu nereden doldurulur?
KVKK resmi sitesi: kvkk.gov.tr/veri-ihlali-bildirimi. e-Devlet üzerinden de erişilebilir. 72 saatlik süre içinde bildirim yetersiz olsa bile başlangıç bildirimi yapılması, sonraki güncellemelerle tamamlanması Kurul tarafından kabul ediliyor.
10 kişilik şirketim ceza alır mı?
Evet. KVKK'da çalışan sayısı eşiği yok — hangi sektörden hangi büyüklükte olursanız olun, kişisel veri işliyorsanız kanunun kapsamındasınız. Yıllık 2,5 milyon TL altı net satış hasılatı + 50 çalışan altı işletmeler için VERBİS muafiyeti var; ancak diğer yükümlülükler (aydınlatma, açık rıza, veri güvenliği) tüm işletmeleri bağlar.
Çalışan kendi e-postasından veri sızdırırsa şirket sorumlu mu?
Evet — şirket "veri sorumlusu" sıfatıyla teknik ve idari tedbir yükümlülüğünü taşır. Çalışan eylemi bireysel sorumluluk doğursa da, Kurul "DLP ve loglama olsaydı engellerdi" diye şirkete ceza yazıyor.
Bulut hizmeti kullanıyorum (Microsoft 365, AWS), veri yurtdışında — sorun olur mu?
Microsoft 365 Türkiye veri merkezi mevcut (İstanbul), Microsoft Cloud for Sovereignty seçeneği var. Yurtdışına aktarımda Kurul izni veya yeterli koruma sözleşmesi gerekir. KVKK m.9 incelenmeli.
Sonuç
2026 ceza tablosu KOBİ'ler için lüks değil, varlık riskidir. 17 milyon TL üst sınır, 30 kişilik bir mühendislik ofisinin yıllık karını yiyebilir. Ama iyi haber: KVKK uyumu için gereken teknik altyapının %80'i Microsoft 365 Business Premium veya E5 lisansınızda zaten var; eksik olan yapılandırma ve süreç dokümantasyonu.
Xen Bilişim olarak 20 yılı aşkın süredir KVKK uyumu, veri sınıflandırma ve Microsoft 365 güvenlik yapılandırması projeleri yürütüyoruz. Mevcut altyapınızı 2-3 hafta içinde gap analizinden geçirip somut bir 90 günlük yol haritası çıkarabiliriz. Detaylı görüşme için iletişime geçin.
Bu Yazıyı Paylaş
Bu yazıyı paylaşın
Başlık, özet ve hashtagler panoya kopyalanır, paylaş penceresi açılır — yapıştırın (Cmd/Ctrl+V) ve gönderin.
27 Kasım 2025 tarihli Resmî Gazete'de yayımlanan %25,49'luk yeniden değerleme oranı KVKK idari para cezalarını yeniden hesaplattı. 2026 yılında en küçük ceza 85.437 TL'den, en büyüğü 17.092.242 TL'ye kadar çıkıyor. Yıllık ciroların artmadığı, kur baskısının sürdüğü bir dönemde bu rakamlar özellikle KOBİ'ler için ciddi bir kasa riski.
Geçen ay üç ayrı müşterimde aynı sahneyi yaşadık: bir e-posta hesabı sızdı, içinden müşteri verisi olan bir Excel açıldı, 72 saatlik bildirim sürecini hatırlamadan önce 36 saat geçmişti. Bu yazıda 20 yıllık saha deneyimimle 2026 ceza tablosunu ve veri ihlali sürecini somut bir eylem planına çevireceğim — broşür değil, gerçek vakalardan damıtılmış bir rehber.
2026 KVKK İdari Para Cezaları Tam Tablo
Vergi Usul Kanunu Genel Tebliği (Sıra No: 585) ile %25,49 yeniden değerleme oranı uygulanan güncel rakamlar şu şekilde:
İhlal Türü (KVKK m.18)
Alt Sınır (TL)
Üst Sınır (TL)
Aydınlatma yükümlülüğüne aykırılık
85.437
1.709.200
Veri güvenliği yükümlülüklerine aykırılık (en kritik)
256.357
17.092.242
Kurul kararlarını yerine getirmeme
427.097
17.092.242
VERBİS kayıt ve bildirim yükümlülüğü ihlali
341.677
17.092.242
Saha gözlemim: Kurul son iki yılda veri güvenliği kalemini özellikle agresif uyguluyor. 2024-2025 dönemine ait kararların büyük çoğunluğu burada yoğunlaştı; en sık alıntılanan gerekçe "log tutmama" ve "yetkili erişim kontrolü eksiklikleri".
72 Saat Veri İhlali Bildirimi: Saatlerin Anatomi
KVKK m.12/5'e göre veri ihlalinin öğrenildiği andan itibaren 72 saat içinde Kurul'a bildirim yapılması zorunlu. Cümle kısa, gerçek karmaşık. Saha pratiğinde bu süreç altı evreye bölünür:
0-2 saat — Tespit ve doğrulama: Defender alarmı, kullanıcı çağrısı veya log anomali saatlerden gelir. İlk yapılan: "false-positive değil mi?" doğrulaması.
2-8 saat — Kapsam tespiti: Hangi kullanıcı, hangi mailbox, hangi paylaşılan klasör, hangi müşteri verisi etkilendi? Bu evrede bir data classification raporu kritik — Microsoft Purview / Azure Information Protection ile etiketlenmiş veriler bu adımı 4 saatten 30 dakikaya indirir.
8-24 saat — Kontrol altına alma: Etkilenen hesapların parolaları sıfırlanır, oturumlar kapatılır (Entra ID — "revoke all sessions"), ihlal yolu kapatılır.
24-48 saat — Hukuki danışmanlık + bildirim metni: KVKK avukatı veya iç danışman, etkilenen ilgili kişi sayısını ve veri kategorisini belirler. Bildirim formu doldurulur.
48-72 saat — Resmi bildirim: Kurul'un online formu üzerinden bildirim. Eksik bilgi varsa 5-7 gün içinde tamamlanmak üzere ek bildirim hakkı saklı.
72+ saat — İlgili kişi bilgilendirme: Yüksek riskli ihlallerde etkilenen ilgili kişilere doğrudan bildirim (e-posta, SMS).
Yaygın hata: Şirket "müşteri kötü etkilenmesin" diye süreyi geciktirir. Sonuç ters teper — Kurul, gizleme tespit ettiğinde ihlalin kendisinden ağır ceza yazıyor. 2024-2025 emsal kararlarında 5 milyon TL üzerinde örnek görüyoruz.
KVKK Cezasından Korunmak İçin 6 Pratik Adım
Müşterilerime önerdiğim minimum yapı:
VERBİS kaydı güncel mi? 2018'de kaydolup unutmuş olanların oranı %40 üzerinde. Yıllık inceleme rutini şart.
Aydınlatma metinleri her form ve uygulamada var mı? Web siteniz, mobil uygulamanız, başvuru formlarınız, e-ticaret check-out'unuz... Eksik tek nokta yeterli.
Açık rıza yönetimi: "Kabul ediyorum" tek kutucukla toplanan rızalar geçersiz; pazarlama, çerez, üçüncü taraf paylaşım için ayrı rıza şart.
Veri minimizasyonu: Form alanı kadar veri toplama kuralı. "Belki gerekir" diye TC kimlik numarası alan formlar Kurul'un en sık ceza yazdığı kalem.
Teknik tedbir paketi: Çok faktörlü kimlik doğrulama (MFA), uç nokta koruma (Defender for Endpoint, Sophos vb.), düzenli yedekleme (3-2-1 kuralı, ransomware-proof), erişim logları (en az 2 yıl saklama).
Yıllık iç denetim: ISO 27001 belgesi olmasa bile KVKK gap analizi yapılması, bulunan açıkların 90 gün içinde kapatılması. Kurul denetiminde "iç denetim raporumuz var" demek cezayı %50 indirebilir (m.18/3 etkin pişmanlık).
Microsoft 365 Güvenlik Yığını ile KVKK Uyumu
2026 itibariyle KVKK uyumunu en hızlı sağlayan teknik kombinasyon:
Microsoft Entra ID + Conditional Access: kim, hangi cihazdan, hangi konumdan erişebilir kuralları
Microsoft Purview / Azure Information Protection: veri sınıflandırma, otomatik etiketleme, DLP politikaları
Microsoft Defender for Office 365 + Endpoint: phishing, BEC, fidye yazılımı algılama
Microsoft Sentinel: SIEM/SOAR — log toplama ve olay yanıtı
Bu yığını sıfırdan kurmak değil, Microsoft 365 Business Premium veya E5 lisansının zaten içinde olan modülleri doğru yapılandırmak çoğu KOBİ için yeterli. Lisansınız var ama yapılandırma eksik — bu en sık karşılaştığım manzara.
Sıkça Sorulan Sorular
Cezaya itiraz edebilir miyim?
Evet. Karar tebliğinden itibaren 60 gün içinde Ankara İdare Mahkemeleri'nde dava açma hakkınız var. Etkin pişmanlık (m.18/3) gösterilebilirse ceza %50'ye kadar indirilebiliyor.
Veri ihlali bildirim formu nereden doldurulur?
KVKK resmi sitesi: kvkk.gov.tr/veri-ihlali-bildirimi. e-Devlet üzerinden de erişilebilir. 72 saatlik süre içinde bildirim yetersiz olsa bile başlangıç bildirimi yapılması, sonraki güncellemelerle tamamlanması Kurul tarafından kabul ediliyor.
10 kişilik şirketim ceza alır mı?
Evet. KVKK'da çalışan sayısı eşiği yok — hangi sektörden hangi büyüklükte olursanız olun, kişisel veri işliyorsanız kanunun kapsamındasınız. Yıllık 2,5 milyon TL altı net satış hasılatı + 50 çalışan altı işletmeler için VERBİS muafiyeti var; ancak diğer yükümlülükler (aydınlatma, açık rıza, veri güvenliği) tüm işletmeleri bağlar.
Çalışan kendi e-postasından veri sızdırırsa şirket sorumlu mu?
Evet — şirket "veri sorumlusu" sıfatıyla teknik ve idari tedbir yükümlülüğünü taşır. Çalışan eylemi bireysel sorumluluk doğursa da, Kurul "DLP ve loglama olsaydı engellerdi" diye şirkete ceza yazıyor.
Bulut hizmeti kullanıyorum (Microsoft 365, AWS), veri yurtdışında — sorun olur mu?
Microsoft 365 Türkiye veri merkezi mevcut (İstanbul), Microsoft Cloud for Sovereignty seçeneği var. Yurtdışına aktarımda Kurul izni veya yeterli koruma sözleşmesi gerekir. KVKK m.9 incelenmeli.
Sonuç
2026 ceza tablosu KOBİ'ler için lüks değil, varlık riskidir. 17 milyon TL üst sınır, 30 kişilik bir mühendislik ofisinin yıllık karını yiyebilir. Ama iyi haber: KVKK uyumu için gereken teknik altyapının %80'i Microsoft 365 Business Premium veya E5 lisansınızda zaten var; eksik olan yapılandırma ve süreç dokümantasyonu.
Xen Bilişim olarak 20 yılı aşkın süredir KVKK uyumu, veri sınıflandırma ve Microsoft 365 güvenlik yapılandırması projeleri yürütüyoruz. Mevcut altyapınızı 2-3 hafta içinde gap analizinden geçirip somut bir 90 günlük yol haritası çıkarabiliriz. Detaylı görüşme için iletişime geçin.
Telefon : 0850 259 5949
