logo

Kartal Avukat

Verilerin Çalınması Suçunda Şirket Sorumluluğu

Verilerin Çalınması Suçunda Şirket Sorumluluğu

Verilerin Çalınması Suçunda Şirket Sorumluluğu

Verilerin Çalınması Suçunda Şirket Sorumluluğu

Verilerin Çalınması Suçunda Şirket Sorumluluğu: "Biz De Mağduruz" Demek Yeterli Mi?

Bir siber saldırı veya içeriden sızma (Insider Threat) sonucu müşteri veritabanınızın çalındığını düşünün. Şirket olarak "hackerlar bize saldırdı, biz suçsuzum" diyebilir misiniz? Hukuk sistemimizde cevap ne yazık ki Hayır.

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veriyi elinde bulunduran şirketi "Veri Sorumlusu" olarak tanımlar ve verinin güvenliğini sağlamayı bir tercih değil, yasal bir zorunluluk olarak görür. İstanbul’un ticaret merkezi Kartal ve Anadolu Yakası'ndaki şirketler için veri hırsızlığı; sadece teknik bir kriz değil, şirketi iflasa sürükleyebilecek, yöneticilerin mal varlığını tehdit edebilecek devasa bir hukuk krizidir.

Kartal Avukat olarak, verilerin çalınması durumunda şirketinizi bekleyen 3 farklı hukuki cepheyi (İdari, Hukuki ve Cezai) ve sorumluluklarınızı detaylandırıyoruz.

1. İdari Sorumluluk: KVKK Kurul Cezaları

Veri hırsızlığında faturayı ilk kesen kurum, Kişisel Verileri Koruma Kurulu'dur (KVKK). Kanun'un 12. maddesi çok açıktır: "Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek amacıyla her türlü teknik ve idari tedbiri almak zorundadır."

Veriler çalındığında Kurul şuna bakar: "Kapıyı kilitledin mi, yoksa açık mı bıraktın?"

Şirketi Yakan Hatalar (Kusur Sayılan Haller):

  • Yetersiz Güvenlik: Firewall, antivirüs veya güncel yazılım kullanmamak.

  • Denetim Eksikliği: Sisteme sızma testleri (Penetration Test) yaptırmamak.

  • Personel Hatası: Çalışanlara veri güvenliği eğitimi vermemek (İnsani hatalar işverenin kusurudur).

  • Geç Bildirim: İhlali 72 saat içinde Kurul'a bildirmemek.

Yaptırım: Eğer Kurul, şirketin gerekli tedbirleri almadığına kanaat getirirse; 2024 yılı itibarıyla milyonlarca lirayı bulan idari para cezası keser. Bu ceza, veriyi çalan hackere değil, veriyi koruyamayan şirkete kesilir.

2. Hukuki Sorumluluk: Tazminat Davaları

Verileri çalınan kişiler (müşteriler, çalışanlar, hastalar vb.), "Kişisel verilerimi koruyamadınız, özel hayatım ifşa oldu veya dolandırılma riskiyle yaşıyorum" diyerek şirkete karşı dava açabilirler.

  • Manevi Tazminat: Kişinin duyduğu endişe, üzüntü ve itibar kaybı için talep edilir. Toplu veri sızıntılarında (Örn: 10.000 müşteri) bu davalar toplu açıldığında, tazminat yekünü şirketi batırabilir.

  • Maddi Tazminat: Çalınan verilerle müşterinin kredi kartından harcama yapıldıysa veya adına sahte şirket kurulduysa, bu maddi zararın tamamı veri sorumlusu şirketten istenir.

3. Yönetim Kurulu ve Yöneticilerin Şahsi Sorumluluğu

En çok merak edilen konu şudur: "Cezayı şirket öder, bana bir şey olmaz" düşüncesi doğru mu?

Türk Ticaret Kanunu (TTK), şirket yöneticilerine "Basiretli Tacir" gibi davranma ve "Gözetim Yükümlülüğü" yükler. Eğer veri hırsızlığı, yöneticinin bariz ihmali (Örn: IT bütçesini kısmak, güvenlik uyarılarını dikkate almamak) yüzünden gerçekleşmişse:

  1. Rücu Davası: Şirket ortakları, şirketin ödediği KVKK cezasını ve tazminatları, kusurlu yöneticiye rücu edebilir (Yöneticinin cebinden ödetebilir).

  2. Vergi ve Kamu Alacağı: Şirketin içi boşaltılırsa veya şirket cezayı ödeyemez duruma gelirse, kamu alacağı (idari para cezası) doğrudan yönetim kurulu üyelerinin şahsi mal varlığından tahsil edilir.

Veri Hırsızlığı "Ceza Davası" (Hapis) Doğurur Mu?

Genel kural olarak, dışarıdan bir saldırı (Hacklenme) durumunda şirket yöneticisi hapse girmez. Çünkü suçu işleyen hackerdir.

Ancak İstisnalar Vardır (TCK 137-138):

  • Eğer veri hırsızlığı, şirket içindeki bir yöneticinin kasten göz yumması, verileri satması veya yok etmesi gereken verileri (saklama süresi dolmuş) silmeyip sızdırması sonucu oluşmuşsa;

  • Yöneticiler hakkında TCK 136 (Verileri Hukuka Aykırı Verme) veya TCK 138 (Verileri Yok Etmeme) suçlarından 2 yıldan 4 yıla kadar hapis istemiyle dava açılabilir.

Şirketler Sorumluluktan Nasıl Kurtulur? (Kurtuluş Kanıtı)

Hukukta buna "Kurtuluş Beyyinesi" denir. Şirket, veriler çalınsa bile ceza almamak için şunları ispatlamalıdır:

  1. "Biz Her Şeyi Yaptık": Düzenli sızma testleri, güncel firewall lisansları, log kayıtları.

  2. "Eğitim Verdik": Çalışanların siber güvenlik eğitimi aldığına dair imzalı tutanaklar.

  3. "Politikalarımız Tam": KVKK teknik ve idari tedbirler envanterinin eksiksiz uygulanması.

  4. ISO 27001: Bilgi Güvenliği Yönetim Sistemi sertifikasına sahip olmak, mahkemede "gerekli özeni gösterdiğinizin" en büyük kanıtıdır.

Somut Vaka Analizi: Eski Çalışanın Veri Çalması

Olay: Kartal'da bir emlak ofisinde çalışan danışman, işten ayrılırken tüm müşteri portföyünü (isim, telefon, tapu bilgileri) USB belleğe atıp götürür ve rakip firmada kullanır.

Hukuki Sonuç:

  1. Şirket Sorumluluğu: Müşteriler şikayet edince, KVKK Kurumu şirkete ceza keser. Gerekçe: "USB girişlerini neden kapatmadın? Veri sızıntısını engelleyen DLP (Data Loss Prevention) yazılımın neden yok?"

  2. Yönetici Sorumluluğu: Şirket sahibi, gerekli teknik altyapıyı kurmadığı için kusurlu bulunur.

  3. Çalışan Sorumluluğu: Veriyi çalan çalışan hakkında TCK 136'dan hapis davası açılır. Ancak bu, şirketin yediği para cezasını iptal ettirmez.

Sıkça Sorulan Sorular

Siber güvenlik sigortası cezayı öder mi? Genellikle hayır. Sigorta poliçeleri "Hukuki masrafları" ve "Üçüncü şahıs tazminatlarını" öder ancak idari para cezalarını (KVKK cezası) çoğu poliçe kapsam dışı tutar. Poliçenizi avukatınıza inceletmelisiniz.

Veriler şifreliydi, yine de sorumlu muyum? Veritabanınız güçlü bir kriptolama ile korunuyorsa ve hacker sadece şifreli (anlamsız) veriyi çaldıysa; bu durum sorumluluğunuzu büyük ölçüde azaltır, hatta ortadan kaldırabilir. Teknik tedbir hayat kurtarır.

IT firmamız var, onlar sorumlu değil mi? Veri Sorumlusu sizsiniz (Şirket). IT firması sadece "Veri İşleyen"dir. KVKK cezası size kesilir. Siz daha sonra IT firmasına kusuru oranında rücu davası açabilirsiniz (Sözleşmeniz sağlamsa).

 

Verilerin çalınması suçunda "mağdur" olmak, hukuki sorumluluktan kaçmak için yeterli değildir. Kanun, veriyi toplayan şirkete "Bu veriyi namusun gibi koru" emrini verir. Korumayamadığınız her veri, size ceza ve tazminat olarak geri döner.

Bu riskleri yönetmek; sadece IT departmanının değil, hukuk departmanının da işidir.

Kartal Avukat olarak, KVKK ve Bilişim Hukuku alanındaki  ; veri ihlali sonrası Kurul bildirimleri, savunma dilekçeleri, tazminat davaları ve yönetici sorumluluğu konularında şirketinize kalkan oluyoruz. Kriz anında doğru hamleyi yapmak için bizimle iletişime geçebilirsiniz.

Bilişim Hukuku Avukatı Kartal Bilişim Avukatı


← Yasa Dışı Yazılım Kullanımı ve Cezai Yaptırımlar Önceden Bilgilendirme Yapılmadan Kesilen Ücretlere Karşı Dava →

İletişim Bilgilerimiz

Sabit

0 505 918 21 49

Mobil

0 505 918 21 49

Email

[email protected]

Uzmanlık Alanlarımız

Menü

Tümü

Haber & Duyurular

Torba yasa maddeleri neler ve hangi borçları kapsıyor?

11.04.2023

Adres

Ofis

Kartal/İSTANBUL
Tümü

Dökümanlar

  1. Ana Sayfa
  2. Bilgiler
  3. Verilerin Çalınması Suçunda Şirket Sorumluluğu
logo

Web Sitemiz üzerinde yer alan içerikler genel bilgilendirme amaçlıdır ve spesifik hukuki tavsiye niteliği taşımamaktadır. Ziyaretçiler, web sitemiz üzerinden edindikleri bilgileri hukuki tavsiye olarak kabul etmemeli ve bu bilgilere dayanarak hukuki işlem başlatmamalıdır. Bu doğrultuda avukatkartal.com.tr , web sitesinde ki içeriklerden ve bilgilerden doğabilecek herhangi bir zarar veya kayıptan sorumlu tutulamaz.

Hukuki yardım veya danışmanlık hizmeti almak isteyen ziyaretçilerin, direkt bir avukat ile iletişime geçmeleri tavsiye edilir. Avukatkartal.com.tr