Kişisel Veri İhlali Cezaları 2026 (Güncel Tutarlar)
Kişisel veri ihlali; veri güvenliğine ilişkin teknik/idari tedbirlerin yetersizliği, yetkisiz erişim, veri sızıntısı,
yanlış kişiye gönderim, kayıp cihaz, siber saldırı veya hatalı yetkilendirme gibi nedenlerle kişisel verilerin
hukuka aykırı olarak ifşa edilmesi, erişilmesi, kaybolması veya erişilemez hale gelmesi sonucunu doğuran olaylardır.
2026 yılında, KVKK kapsamındaki idari para cezaları yeniden değerleme oranı çerçevesinde güncellenmiştir.
Bu rehberde 2026 güncel ceza aralıkları, hangi ihlalde hangi cezanın doğacağı ve Kurul’un
pratikte özellikle dikkat ettiği noktalar sistematik biçimde özetlenmektedir.
📌 1) “Kişisel Veri İhlali” ile “KVKK İdari Para Cezası” Aynı Şey mi?
Uygulamada “ihlal” (data breach) çoğu zaman “ceza” ile birlikte anılır; ancak ceza, ihlalin kendisinden çok
yükümlülüklere aykırılık (aydınlatma, güvenlik tedbirleri, VERBİS, Kurul kararları vb.) üzerinden değerlendirilir.
Yani aynı veri sızıntısı, birden fazla yükümlülük ihlali doğurabilir.
ayrıca süreç içinde Kurul kararlarına uyum veya VERBİS yükümlülükleri tetiklenebilir. Bu nedenle ceza riski
“tek kalem” değil, “çoklu risk” şeklinde düşünülmelidir.
📊 2) 2026 KVKK İdari Para Cezaları (Güncel Tutarlar)
Aşağıdaki tablo, KVKK’da (6698) öngörülen idari para cezası aralıklarının 2026 yılı için güncel alt/üst sınırlarını göstermektedir.
| İhlal Başlığı | Dayanak | 2026 Alt Sınır (TL) | 2026 Üst Sınır (TL) | Tipik Risk Senaryosu |
|---|---|---|---|---|
| Aydınlatma yükümlülüğüne aykırılık | KVKK m.18/1-a (m.10) | 85.437 | 1.709.200 | Eksik/yanlış aydınlatma metni, çalışan/müşteri bilgilendirmesi yapılmaması |
| Veri güvenliğine ilişkin yükümlülüklere aykırılık | KVKK m.18/1-b (m.12) | 256.357 | 17.092.242 | Siber saldırı sonrası zafiyet, zayıf yetkilendirme, log yokluğu, şifreleme eksikliği |
| Kurul kararlarına aykırılık | KVKK m.18/1-c (m.15) | 427.263 | 17.092.242 | Kurul’un kaldırma/düzeltme/tedbir kararlarını süresinde yerine getirmeme |
| VERBİS’e kayıt ve bildirim yükümlülüğüne aykırılık | KVKK m.18/1-ç (m.16) | 341.809 | 17.092.242 | VERBİS kayıt yokluğu, eksik envanter/bildirim, kapsam uyumsuzluğu |
| Standart sözleşmenin Kurul’a bildirilmemesi (yurt dışı aktarım) | KVKK m.18/1-d (m.9/5) | 90.308 | 1.806.177 | Standart sözleşmeyi imzalayıp 5 iş günü içinde Kurum’a bildirim yapmama |
Uygulamada esas alınması gereken kaynak, Kurum’un yayımladığı güncel tablo ve duyurudur. (Kurumsal uyum dokümantasyonunda
“resmî tablo” referans alınmalıdır.)
🧭 3) Kurul Ceza Belirlerken Neye Bakar?
Kurul, idari para cezasının alt/üst sınır aralığı içinde somut olaya göre bir tutar belirlerken genellikle şu kriterleri birlikte değerlendirir:
- İhlalin niteliği ve etkisi: Sızıntının kapsamı, veri kategorileri, özel nitelikli veri bulunup bulunmadığı
- Etkilenen kişi sayısı: Tahmini sayı dahi olsa olayın ölçeği
- Kusur ve ihmal: Bilinen zafiyetlerin giderilmemesi, tekrar eden ihlaller
- Teknik/idari tedbirler: Yetki matrisi, MFA, şifreleme, loglama, erişim kontrolleri, politika/prosedürler
- İhlal sonrası aksiyon: Olay müdahale, izolasyon, düzeltici/önleyici faaliyet (CAPA), eğitimler
- Şeffaflık ve iş birliği: Zamanında ve tutarlı bildirim, doğru/eksiksiz bilgi
🚨 4) “Kişisel Veri İhlali” Olan Bir Olayda En Sık Hangi Cezalar Doğar?
Veri ihlali (data breach) yaşandığında, çoğu olayda ağırlıkla KVKK m.12 (veri güvenliği) eksenindeki ceza gündeme gelir.
Ancak olayın doğasına göre aşağıdaki kombinasyonlar sık görülür:
- Veri sızıntısı + zayıf güvenlik → m.18/1-b (yüksek aralık)
- İhlal sonrası eksik bilgilendirme / yanlış metin → m.18/1-a
- Kurul kararına uyulmaması → m.18/1-c (yüksek aralık)
- VERBİS uyumsuzluğu eşlik ediyorsa → m.18/1-ç (yüksek aralık)
- Yurt dışı aktarım + standart sözleşme bildirimi yok → m.18/1-d
🧾 5) Ceza Dışındaki Sonuçlar: Tazminat ve İtibar Riski
İdari para cezası, resmin sadece bir parçasıdır. Veri ihlali sonrası aşağıdaki riskler de gündeme gelebilir:
- İlgili kişiler tarafından tazminat talepleri (maddi/manevi zarar iddiaları)
- Kurul kararlarının kamuya açık şekilde yayımlanması (itibar etkisi)
- Sözleşmesel yaptırımlar (müşteri/tedarikçi denetimleri, sözleşme feshi, SLA ihlali)
- Regülasyon zinciri (sektörel yükümlülükler, iç denetim bulguları, ISO/uyum süreçleri)
hukuki risk + teknik güvenlik + dijital itibar ekseninde uçtan uca bir süreç olarak kurgulamak,
toplam hasarı ve ceza riskini azaltır.
✅ 6) Cezayı Azaltan / Riski Düşüren “Doğru Aksiyon Seti”
Bir olay yaşandığında, en kritik 24–72 saat içinde aşağıdaki adımların kontrollü şekilde yürütülmesi gerekir:
- Olayı izole et: erişimi kes, zafiyeti kapat, etki alanını sınırla
- Delil zinciri oluştur: loglar, olay zaman çizelgesi, etkilenen sistemler
- Kapsam analizi: veri kategorileri, kişi sayısı, risk seviyesi
- İletişim planı: iç ekipler, yönetim, hukuk, IT, gerektiğinde ilgili kişi bilgilendirmesi
- Düzeltici/önleyici faaliyet: MFA, erişim revizyonu, şifreleme, yedekleme, eğitim
📌 Sonuç
2026 güncel ceza aralıkları, veri ihlali yaşandığında kurumların karşılaşabileceği finansal riskin boyutunu net biçimde göstermektedir.
Ancak Kurul’un yaklaşımında “olay” kadar, kurumun hazırlık seviyesi ve olay yönetim kalitesi de belirleyicidir.
