Kartal Avukat

Verilerin Çalınması Suçunda Şirket Sorumluluğu

Verilerin Çalınması Suçunda Şirket Sorumluluğu

Verilerin Çalınması Suçunda Şirket Sorumluluğu

Verilerin Çalınması Suçunda Şirket Sorumluluğu

Verilerin çalınması Suçunda Şirket Sorumluluğu: "Biz De Mağduruz" Demek Yeterli Mi?

Dijital varlıkların ve müşteri veritabanlarının siber saldırılar veya içeriden sızma (Insider Threat) yoluyla ele geçirilmesi, işletmeler için sadece teknik bir zafiyet değil, çok boyutlu bir hukuk krizidir. Türk hukuk sisteminde, özellikle 6698 sayılı KVKK çerçevesinde, veriyi elinde bulunduran işletme "Veri Sorumlusu" olarak tanımlanır. Bu tanım, verinin güvenliğini sağlamayı bir "sonuç borcu" olmasa da, en üst düzeyde "özen borcu" ve yasal zorunluluk olarak belirler. Dolayısıyla bir veri hırsızlığı vakasında şirketin "saldırıya uğradığı için mağdur olduğu" savunması, idari ve hukuki sorumluluktan kurtulmak için tek başına yeterli kabul edilmemektedir.

1. İdari Sorumluluk: KVKK Kurul Cezaları ve Denetim Kriterleri

Veri sızıntısı gerçekleştiğinde Kişisel Verileri Koruma Kurulu, işletmenin KVKK m. 12 kapsamındaki yükümlülüklerini yerine getirip getirmediğini denetler. Kurul, saldırının varlığından ziyade, işletmenin bu saldırıyı önlemek için "gerekli teknik ve idari tedbirleri" alıp almadığına odaklanır.

  • Teknik Kusur Halleri: Güncel olmayan güvenlik duvarları (firewall), yetkisiz erişim kontrol listelerinin (ACL) eksikliği ve periyodik sızma testlerinin (Pentest) yapılmamış olması.

  • İdari Kusur Halleri: çalışanlara veri güvenliği eğitimi verilmemesi, veri işleme envanterinin güncel olmaması ve ihlalin öğrenilmesinden itibaren 72 saat içinde Kurul’a bildirim yapılmaması.

  • Yaptırım: 2026 yılı güncel limitleri uyarınca, gerekli özeni göstermeyen veri sorumlularına milyonlarca lirayı bulan idari para cezaları uygulanmaktadır.

2. Hukuki Sorumluluk: Tazminat Davaları ve Zararın Giderilmesi

Veri sızıntısından etkilenen ilgili kişiler (müşteriler, çalışanlar vb.), işletmeye karşı Borçlar Kanunu ve KVKK hükümleri uyarınca tazminat davası açma hakkına sahiptir.

  • Manevi Tazminat: Kişisel verilerin ifşası nedeniyle duyulan endişe, itibar kaybı ve mahremiyet ihlali gerekçesiyle talep edilir. Toplu veri ihlallerinde bu taleplerin toplam tutarı işletmenin finansal sürdürülebilirliğini tehlikeye atabilir.

  • Maddi Tazminat: çalınan veriler kullanılarak gerçekleştirilen finansal dolandırıcılıklar veya kimlik hırsızlığı vakalarında, somut zarar doğrudan veri sorumlusu işletmeden tahsil edilebilir.

3. Yönetim Kurulu ve Yöneticilerin Şahsi Sorumluluğu

Veri güvenliğinin sağlanması, Türk Ticaret Kanunu uyarınca yönetim kurulunun "devredilemez görev ve yetkileri" (Gözetim yükümlülüğü) kapsamında değerlendirilmektedir.

  • Basiretli Tacir İlkesi (TTK m. 18): Yöneticiler, siber güvenlik bütçelerini rasyonel kullanmak ve risk analizlerini yaptırmak zorundadır. İhmal durumunda, şirketin ödediği cezalar kusurlu yöneticiye rücu edilebilir.

  • Kamu Alacaklarının Tahsili: Şirketin idari para cezalarını ödeme kabiliyetini yitirmesi durumunda, bazı şartlar altında bu borçlar yönetim kurulu üyelerinin şahsi mal varlığından tahsil edilebilir.

4. Şirketler Sorumluluktan Nasıl Kurtulur? (Kurtuluş Kanıtı)

Hukukta "Kurtuluş Beyyinesi" olarak adlandırılan bu aşamada, işletme saldırıya rağmen kusursuz olduğunu şu belgelerle ispatlamalıdır:

  1. Teknik Kanıtlar: Güncel güvenlik sertifikaları, zaman damgalı log kayıtları ve siber güvenlik denetim raporları.

  2. İdari Kanıtlar: Personel eğitim tutanakları, gizlilik sözleşmeleri (NDA) ve veri imha politikaları.

  3. Sertifikasyon: ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasına sahip olmak, yargılama sürecinde "makul özenin" gösterildiğine dair karine teşkil eder.

Sıkça Sorulan Sorular

Siber güvenlik sigortası KVKK idari para cezalarını kapsar mı? Poliçe şartlarına göre değişkenlik göstermekle birlikte, sigorta şirketleri genellikle üçüncü şahıs tazminatlarını ve kriz yönetimi masraflarını karşılar; ancak kamu kurumları tarafından kesilen "idari para cezaları" çoğu durumda poliçe teminatı dışında kalmaktadır.

Veriler şifreli (kriptolu) saklanıyorsa sorumluluk kalkar mı? Verilerin güçlü bir şifreleme algoritması ile saklanması ve hackerların sadece "okunamaz/anlamsız" veriye ulaşması, veri sorumlusunun sorumluluğunu ortadan kaldırabilir veya cezayı alt sınıra indirebilir. Teknik tedbir, hukuki korumanın temelidir.

IT hizmeti alınan dış firmanın (Outsource) hatası durumunda kim sorumludur? KVKK nezdinde muhatap her zaman "Veri Sorumlusu" olan şirkettir. İşletme cezayı ödedikten sonra, aralarındaki hizmet sözleşmesi ve kusur oranına dayanarak ilgili IT firmasına rücu davası açabilir.

Yasal Uyarı (Disclaimer): Bu içerik, verilerin çalınması durumunda şirketlerin hukuki sorumlulukları ve yasal süreçler hakkında genel bilgilendirme amacıyla hazırlanmıştır. Veri Koruma Hukuku, Bilişim Mevzuatı ve Ticaret Hukuku; teknik bilirkişi raporlarının analizi, illiyet bağının tespiti ve karmaşık idari yargılama usullerini içeren teknik detaylar içeren bir alandır. Eksik teknik altyapı veya bildirim sürelerinin (72 saat) kaçırılması, işletmenin ticari varlığını tehlikeye atacak yaptırımlara yol açabilir. Bu nedenle, veri güvenliği süreçlerinin denetimi ve ihlal sonrası kriz yönetimi için bir hukukçu rehberliğinde yürütülen süreçlerle hukuki destek alınması tavsiye edilir.

Yasal Uyarı: Bu içerik, teknolojik imkanlar desteğiyle hazırlanmış bir bilgilendirme metnidir. Sitede yer alan veriler genel bilgilendirme amaçlı olup, hukuki tavsiye veya mütalaa teşkil etmez. Mevzuat ve yargı kararları zamanla değişkenlik gösterebileceğinden, buradaki bilgilerin doğruluğu ve güncelliği noktasında kesinlik arz etmeyebilir. Olası hak kayıplarının önlenmesi adına, sürecin takibi için bir avukattan hukuki yardım alınması önem arz etmektedir. Sitedeki bilgilere dayanarak gerçekleştirilen işlemlerden doğabilecek sorumluluk kullanıcıya aittir.

İçindekiler

Bilişim Hukuku Avukatı Kartal Bilişim Avukatı


← Yasa Dışı Yazılım Kullanımı ve Cezai Yaptırımlar Önceden Bilgilendirme Yapılmadan Kesilen Ücretlere Karşı Dava →

İletişim Bilgilerimiz

Sabit

0

Mobil

0

Email

0

Çalışma Alanlarımız

Menü

Tümü

Haber & Duyurular

Torba yasa maddeleri neler ve hangi borçları kapsıyor?

11.04.2023

Adres

Ofis

0
Tümü

Dökümanlar

  1. Ana Sayfa
  2. Bilgiler
  3. Verilerin Çalınması Suçunda Şirket Sorumluluğu
logo

Web Sayfamız Düzenlenme ve Yapım Aşamasındadır!!!!
Bilgilendirme ve Yasal Uyarı: Bu internet sitesinde yer alan tüm içerikler, Türkiye Barolar Birliği’nin ilgili mevzuatına uygun olarak yalnızca kamuyu bilgilendirme amacıyla hazırlanmıştır. Sitede sunulan bilgiler hukuki mütalaa veya tavsiye niteliği taşımamakta olup, bu veriler üzerinden bir avukat-müvekkil ilişkisi kurulamaz. Mevzuatın ve yargı kararlarının dinamik yapısı gereği, hak kaybına uğramamak adına hukuki süreçlerin bir avukat vasıtasıyla takip edilmesi önem arz etmektedir.

Sitemiz henüz hazırlık aşamasındadır. Paylaşılan metinlerde yer alan bilgiler tamamen genel bilgilendirme amaçlı olup bu içerik bir hukuki tavsiye niteliği taşımamaktadır ve bu bilgiler üzerinden doğrudan bir avukat-müvekkil ilişkisi kurulamaz. Hukuki sorunlarınız için mutlaka bir hukukçuya danışmanız önerilir.

Web Sitemiz üzerinde yer alan içerikler genel bilgilendirme amaçlıdır ve spesifik hukuki tavsiye niteliği taşımamaktadır. Ziyaretçiler, web sitemiz üzerinden edindikleri bilgileri hukuki tavsiye olarak kabul etmemeli ve bu bilgilere dayanarak hukuki işlem başlatmamalıdır. Bu doğrultuda avukatkartal.com.tr , web sitesinde ki içeriklerden ve bilgilerden doğabilecek herhangi bir zarar veya kayıptan sorumlu tutulamaz.

Hukuki yardım veya danışmanlık hizmeti almak isteyen ziyaretçilerin, direkt bir avukat ile iletişime geçmeleri önerilir.