İletişim Formu
Pars Hukuk
Bilişim ve Şirketler Hukuku

Siber Saldırılar ve Veri İhlalleri Kapsamında Şirket Yönetim Kurullarının Hukuki ve Cezai Sorumluluğu

Sayfa İçindekiler

Dijitalleşme süreçlerinin eksponansiyel hız kazandığı günümüz ekosisteminde; ticari işletmelerin ve sermaye şirketlerinin en değerli sermayeleri, fiziksel malvarlıklarından ziyade sunucularında (server) ve bulut mimarilerinde muhafaza ettikleri büyük veri (Big Data) ve kişisel verilerdir. Siber güvenlik tehditlerinin (Ransomware, Phishing, Zero-Day istismarları) asimetrik ve karmaşık bir yapıya evrilmesi, şirket tüzel kişiliklerini yalnızca finansal ve itibari kayıplarla değil; telafisi güç hukuki, idari ve cezai yaptırımlarla karşı karşıya bırakmaktadır.

Özellikle 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Türk Ceza Kanunu (TCK) muhteviyatında; bir siber ihlal (data breach) vuku bulduğunda, şirket yönetimlerinin "Şirketimizin de siber saldırı mağduru olduğu" yönündeki soyut savunmaları, hukuki ve idari mesuliyeti bertaraf etmemektedir. Şirket Yönetim Kurulları ve Bilgi Teknolojileri (IT) departmanı yöneticileri, veri güvenliğini asgari yasal standartlarda tesis etmekle kanunen mükelleftir.

KVKK m. 12 Kapsamında Veri Sorumlusunun İdari ve Hukuki Mesuliyeti

6698 sayılı KVKK’nın 12. maddesi, veri sorumlusu sıfatını haiz tüzel kişiliğe (şirkete), kişisel verilerin hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak amacıyla "uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma" yükümlülüğünü emredici olarak getirmiştir.

Kişisel Verileri Koruma Kurulu (KVKK), bir siber sızıntı vakasını incelerken öncelikli olarak işletmenin proaktif güvenlik (Sızma testleri, DLP, log yönetimi, yama süreçleri) mimarisini denetler:

  • İdari Yaptırımlar (Para Cezaları): Kurul tarafından yapılacak incelemede, şirketin güvenlik altyapısında ağır ihmal (Örn: periyodik Sızma Testi/Pentest yaptırılmaması, bilinen bir zafiyetin yamalanmaması) tespit edilirse, güncel yeniden değerleme oranlarıyla milyonlarca Türk Lirasına varan idari yaptırımlar tatbik edilmektedir.
  • 72 Saatlik Yasal Bildirim Süresi: İhlal gerçekleştiğinde, şirket yönetimi (veri sorumlusu) durumu en geç 72 saat içerisinde Kişisel Verileri Koruma Kuruluna ve ihlalden etkilenen ilgili kişilere bildirmek zorundadır. Bildirim yükümlülüğünün ihmali veya gizlenmesi, uygulanacak idari para cezasını katlayarak artırmaktadır.
  • Tazminat Hukuku Boyutu: Kişisel verileri ihlal edilen ilgili kişiler (müşteriler, çalışanlar vb.), uğradıkları maddi ve manevi zararların tazmini talebiyle, veri sorumlusuna karşı genel hükümler çerçevesinde Asliye Hukuk/Tüketici Mahkemelerinde tazminat davaları ikame etme hakkını haizdir.

TCK ve TTK Çerçevesinde Şirket Yöneticilerinin Cezai Sorumluluğu

Siber saldırılar neticesinde oluşan hukuki zafiyetler salt idari para cezalarıyla sınırlı kalmamakta; tüzel kişiliği temsile yetkili Yönetim Kurulu Üyeleri, C-Level Yöneticiler ve IT Direktörleri açısından kişisel cezai sorumluluklar da doğurabilmektedir.

  • Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme (TCK m. 136): Şirket içerisindeki (iç tehdit) yetkili personelin erişim haklarını kötüye kullanarak müşteri verilerini üçüncü şahıslara sızdırması veya siber saldırganların sisteme nüfuz etmesine kasten olanak sağlaması doğrudan hürriyeti bağlayıcı yaptırımları gerektirir.
  • Özen ve Gözetim Yükümlülüğünün İhlali (TTK m. 369): Türk Ticaret Kanunu uyarınca Yönetim Kurulu üyeleri, görevlerini tedbirli bir yöneticinin özeniyle yerine getirmekle yükümlüdür. Siber güvenliğe asgari bütçe tahsis edilmemesi veya denetim mekanizmalarının kurulmaması idari/hukuki bir kusurdur. Şirket yönetiminin "Süreçleri tamamen IT departmanına devrettik (delegasyon)" şeklindeki savunmaları, yönetim kurulunun gözetim yükümlülüğünü ortadan kaldırmamaktadır.
  • Önleyici Hukuk Perspektifi ve Siber Güvenlik (Compliance) Uyum Süreçleri: Bir siber kriz (Data Breach) anında kurumun hukuki ve mali hasarını minimize etmenin yegâne yöntemi, kriz vuku bulmadan evvel hukuki uyum süreçlerini tamamlamaktır. Alınması elzem olan teknik ve yasal aksiyonlar şunlardır:
    1. Bağımsız Sızma Testleri (Pentest): Bilişim altyapısının bağımsız kuruluşlarca test edilmesi ve raporlanması. Bu raporlar, idari yargı ve Kurul nezdinde "gerekli teknik tedbirlerin alındığına" dair en güçlü ispat vasıtasıdır.
    2. Siber Olaylara Müdahale Planı (SOMP): İhlal anında yasal bildirimlerin (72 saat) kim tarafından ve nasıl yapılacağını düzenleyen acil eylem protokolleri.
    3. Gizlilik Sözleşmeleri (NDA): Veri sızıntılarının ekseriyetle iç tehditlerden (personel zafiyeti) kaynaklandığı göz önüne alındığında, personelle akdedilecek cezai şart içeren ağırlaştırılmış gizlilik sözleşmeleri.

Ankara merkezli Pars Hukuk Bürosu olarak, Bilişim, Şirketler ve Ceza Hukuku disiplinlerindeki entegre yetkinliğimizle; kurumsal şirketlerin siber güvenlik (compliance) uyum süreçlerini ve veri ihlali sonrası kriz yönetimini üstlenmekteyiz. KVKK uyum projelerinin tesisi, siber saldırı (data breach) anında Kurul (72 saat) bildirimlerinin yasal normlara uygun yapılması, şüpheli failler hakkında Cumhuriyet Başsavcılığı suç duyurularının koordinasyonu ve Yönetim Kurulunun hukuki/cezai mesuliyetten korunması hususlarında stratejik müşavirlik sunuyoruz. Şirketinizin veri güvenliğini ve ticari itibarını hukuki güvence altına almak için iletişim sayfamızdan kurumsal hukuk ekibimize ulaşabilirsiniz.

Sıkça Sorulan Sorular

Soru: Veri ihlali durumunda şirket yönetiminin KVKK'ya bildirim süresi yasal olarak ne kadardır?
Cevap: Veri sorumlusu tüzel kişi (şirket yönetimi), gerçekleşen siber ihlali öğrendiği andan itibaren en geç 72 saat içerisinde Kişisel Verileri Koruma Kuruluna ve ihlalden etkilenen ilgili kişilere resmi bildirimde bulunmakla hukuken mükelleftir. Sürenin aşılması üst sınırdan idari para cezası sebebidir.

Soru: Siber saldırı durumunda şirket yönetim kurulu üyelerinin şahsi cezai sorumluluğu doğar mı?
Cevap: Türk Ticaret Kanunu (TTK m. 369) uyarınca yönetim kurulu üyelerinin 'Özen ve Gözetim Yükümlülüğü' mevcuttur. Siber güvenlik altyapısına ilişkin asgari tedbirlerin kasten veya ağır ihmal ile alınmaması neticesinde verilerin sızdırılması, somut olayın şartlarına göre TCK kapsamında kişisel cezai ve hukuki sorumluluklara (tazminat yükümlülüklerine) sebebiyet verebilmektedir.

Soru: Sızma Testi (Pentest) raporları hukuki bir delil vasfı taşır mı?
Cevap: Evet, taşır. Bağımsız uzman kuruluşlarca hazırlanan periyodik sızma testi raporları, olası bir siber ihlal (veri sızıntısı) vakıasında Kişisel Verileri Koruma Kurulu nezdinde; şirketin KVKK m. 12 uyarınca 'gerekli her türlü teknik ve idari tedbiri' aldığını (veya almaya çalıştığını) ispatlayan en güçlü ve yasal teknik delildir.

 
YASAL UYARI VE BİLGİLENDİRME: Bu makale genel hukuki bilgilendirme amacıyla hazırlanmış olup, somut bir hukuki mütalaa veya avukatlık tavsiyesi niteliği taşımamaktadır. Her veri ihlali (Data Breach) vakıası; sızıntının boyutu, alınan teknik tedbirler, bildirim süreleri ve KVKK ile TCK/TTK hükümleri çerçevesinde münhasıran değerlendirilmelidir.