72 Saat Kuralı (Veri İhlali Bildirimi)
KVKK’nın 12. maddesi uyarınca, bir veri sorumlusu uğradığı siber saldırıyı veya veri sızıntısını öğrendiği andan itibaren en geç 72 saat içinde Kurul’a bildirmekle yükümlüdür. Bu süre bir “hukuki kronometre” olmanın ötesinde, kurumun Olay Müdahale (Incident Response) kapasitesinin test edildiği teknik bir süreçtir. Bildirim raporunda; saldırganın içeri nasıl girdiğini açıklayan Saldırı Vektörü, sızan verilerin şifreleme durumu, uygulanan İzolasyon (Containment) adımları ve sızıntının boyutunu kanıtlayan Log Analizleri yer almalıdır. Eksik veriler olması durumunda Kısmi Bildirim (Phased Notification) yoluyla süreç yönetilerek, kurumun teknik yetkinliği ve yasal uyumu profesyonel bir raporlama ile teminat altına alınır.