Dijitalleşen küresel ekonomide verinin en değerli varlık haline gelmesi, siber saldırıları sadece teknik bir sorun olmaktan çıkarıp doğrudan bir yönetim kurulu riski haline getirmiştir. Günümüzde bir şirketin uğradığı veri ihlali, sadece bilgi işlem departmanının değil, doğrudan karar verici mekanizmaların hukuki ve cezai sorumluluğunu doğurmaktadır. Türk Ticaret Kanunu ve Kişisel Verilerin Korunması Kanunu çerçevesinde şekillenen bu sorumluluk ağı, yöneticilerin siber güvenlik süreçlerindeki gözetim yükümlülüklerini her geçen gün daha da ağırlaştırmaktadır.
Siber Güvenliğin Kurumsal Yönetişimdeki Yeri
Siber güvenlik, artık sadece firewall veya antivirüs yazılımlarıyla sınırlı bir savunma hattı değildir. Kurumsal yönetişim ilkeleri uyarınca, bir şirketin varlığını tehdit eden her türlü riskin yönetilmesi yönetim kurulunun asli görevleri arasındadır. Şirketin ticari sırlarının çalınması, müşteri verilerinin sızdırılması veya fidye yazılımları (ransomware) nedeniyle operasyonların durması, “basiretli tacir” gibi hareket etme yükümlülüğüne aykırılık teşkil eder.
Yönetim kurulu üyeleri, şirketin siber dayanıklılığını sağlamak adına gerekli bütçeyi ayırmak, politikaları belirlemek ve bu politikaların uygulanmasını denetlemekle yükümlüdür. Bu süreçte yaşanan bir ihmal, pay sahiplerine ve üçüncü kişilere karşı kişisel sorumluluğu beraberinde getirebilir.
Türk Ticaret Kanunu Uyarınca Yöneticilerin Sorumluluğu
Türk Ticaret Kanunu (TTK) Madde 369, yönetim kurulu üyelerine “özen ve bağlılık yükümlülüğü” yükler. Yöneticiler, şirketin çıkarlarını dürüstlük kuralına uygun şekilde korumalı ve işlerini basiretli bir yöneticinin özeniyle yürütmelidir.
Özen Yükümlülüğünün Siber Güvenlik Boyutu
Siber güvenlik ihlalleri bağlamında özen yükümlülüğü şu üç ana eksende değerlendirilir:
-
Bilgi Edinme Yükümlülüğü: Yöneticiler, şirketin maruz kaldığı siber risklerin farkında olmalı ve bu konuda düzenli raporlar almalıdır. “Haberim yoktu” savunması, modern ticaret hukukunda geçerli bir mazeret kabul edilmemektedir.
-
Gözetim Ve Denetim: Siber güvenlik politikalarının kağıt üzerinde kalmaması, bu sistemlerin bağımsız kuruluşlarca düzenli olarak sızma testlerine (pentest) tabi tutulması gerekir.
-
Kriz Yönetimi: Bir ihlal gerçekleştiğinde, zararın büyümesini engelleyecek acil eylem planlarının (BCP – İş Sürekliliği Planı) varlığı, yöneticilerin sorumluluğunu azaltan veya ortadan kaldıran bir unsurdur.
KVKK Kapsamında Veri Sorumlusunun Hukuki Statüsü
6698 Sayılı Kişisel Verilerin Korunması Kanunu, veriyi işleyen tüzel kişiliği “Veri Sorumlusu” olarak tanımlar. Ancak bu sorumluluğun pratikteki yürütücüsü yönetim kuruludur. Veri ihlallerinde Kişisel Verileri Koruma Kurulu (KVKK) tarafından kesilen milyonlarca liralık idari para cezaları, doğrudan şirketin mal varlığını etkiler.
Rücu Hakkı Ve Yöneticilere Yönelik Davalar
Şirket, ödediği ağır idari para cezalarını veya mağdurlara ödediği tazminatları, gerekli önlemleri almayan yönetim kurulu üyelerine rücu edebilir. Bu durum, yöneticilerin şahsi mal varlıklarının siber güvenlik hataları nedeniyle haczedilmesi riskini doğurur. Özellikle “Business Judgment Rule” (İşletme Kararı İlkesi) kapsamında, yöneticinin rasyonel ve yeterli bilgiye dayalı bir karar alıp almadığı incelenir. Siber güvenliği bütçe kısıtlaması nedeniyle tamamen göz ardı eden bir yönetim kurulu, bu ilkenin korumasından yararlanamaz.
Siber İhlallerde İdari Ve Cezai Yaptırımlar
Siber saldırı sonucunda verilerin ele geçirilmesi durumunda, yöneticiler sadece tazminat davalarıyla değil, bazı durumlarda Türk Ceza Kanunu hükümleriyle de karşı karşıya kalabilir.
-
Verileri Hukuka Aykırı Verme Veya Ele Geçirme: Eğer ihlal, şirket içindeki bir ihmal veya kasıtlı bir sızdırma nedeniyle gerçekleşmişse, ilgili yöneticilerin denetim eksikliği TCK 136 kapsamında tartışılabilir.
-
Sermaye Piyasası Kanunu Boyutu: Halka açık şirketlerde, siber saldırının hisse değerlerini etkilemesi ve bu durumun kamuoyuna geç açıklanması, piyasa dolandırıcılığı veya güveni kötüye kullanma suçlamalarına yol açabilir.
Siber Güvenlik Sigortası Ve Hukuki Korumadaki Rolü
Yönetim kurullarının siber riskleri transfer etme yöntemlerinden biri de “Siber Güvenlik Sigortası” (Cyber Insurance) yaptırmaktır. Bu sigortalar; veri kurtarma maliyetleri, kriz yönetimi danışmanlığı, yasal savunma giderleri ve tazminat ödemelerini kapsayabilir. Ancak sigorta poliçesinin varlığı, yöneticinin kanuni sorumluluğunu tamamen ortadan kaldırmaz. Sigorta şirketleri, ihlalin “ağır kusur” veya “kasti ihmal” sonucu oluştuğunu saptarsa ödeme yapmaktan kaçınabilir.
Siber Olay Müdahale Planlarının Hukuki Niteliği
Hukuki açıdan bir siber saldırı sonrası atılan adımlar, “iyiniyetli yaklaşımın” kanıtıdır. KVKK, veri ihlallerinin en geç 72 saat içinde bildirilmesini zorunlu kılar. Bu sürenin aşılması, yönetim kurulunun sorumluluğunu doğrudan artıran bir kusur olarak kabul edilir.
-
İhlal Bildirim Süreci: Kuruluşun saldırıyı fark ettiği andan itibaren başlayan hukuki süreçte, bildirim metninin içeriği büyük önem taşır. Yanlış veya eksik bilgi verilmesi, ek idari yaptırımlara neden olur.
-
Adli Bilişim Kanıtları: Saldırı sonrası sistemlerin formatlanması yerine, adli bilişim standartlarına uygun “imaj” alınması gerekir. Bu kanıtlar, ileride açılacak sorumluluk davalarında yöneticilerin “gerekli teknik önlemleri almıştık ancak saldırı öngörülemez bir boyuttaydı” savunmasını destekler.
Sıkça Sorulan Sorular
Siber saldırı nedeniyle şirket zarara uğrarsa hissedarlar yöneticiye dava açabilir mi? Evet, TTK uyarınca yönetim kurulunun özen yükümlülüğünü ihlal etmesi nedeniyle şirket mal varlığında meydana gelen azalma için “sorumluluk davası” açılabilir. Azınlık haklarına sahip pay sahipleri bu konuda oldukça yetkilidir.
IT müdürünün hatası yönetim kurulunu bağlar mı? Hukukumuzda “adam çalıştıranın sorumluluğu” ve “organizasyon kusuru” kavramları vardır. Yönetim kurulu, uzman bir bilişim personeli istihdam etmiş olsa bile, o personeli denetleme ve gerekli altyapıyı sağlama yükümlülüğünden kurtulamaz.
Kişisel veri sızıntısında hapis cezası var mı? Doğrudan veri sızıntısı için hapis cezası öngörülmemiştir; ancak sızıntının gerçekleşmesine neden olan eylem bir suç teşkil ediyorsa (örn: verileri satmak) hapis cezası gündeme gelir. İdari para cezaları ise asıl yaptırımdır.
Yönetim kurulu üyesi siber güvenlikten anlamıyorsa ne yapmalı? Yöneticilerin her konuda uzman olması beklenmez; ancak uzmanlardan görüş alma ve riskleri anlama yükümlülükleri vardır. Eğer kurulda bu yetkinlik yoksa, dışarıdan bağımsız siber güvenlik danışmanlığı alınması hukuki sorumluluğu azaltan bir adımdır.
Şirket iflas ederse siber güvenlik cezaları ne olur? İdari para cezaları amme alacağı niteliğindedir. Şirketin iflası durumunda bu borçlar rücu yoluyla, kusuru saptanan yönetim kurulu üyelerinin şahsi mal varlığından tahsil edilebilir.
Sonuç Ve Yönetim Stratejisi
Şirketlerde siber güvenlik ihlalleri ve yönetim kurulunun hukuki sorumluluğu, dijital çağın kaçınılmaz bir gerçeğidir. Siber güvenlik artık bir maliyet kalemi değil, şirketin sürekliliğini sağlayan bir yatırım ve hukuki güvencedir. Yöneticilerin “bilmiyorum” veya “teknik ekip ilgileniyor” deme lüksünün kalmadığı bu yeni dönemde, teknik önlemlerin hukuk disipliniyle harmanlanması şarttır.
Siber risk haritalarının çıkarılması, KVKK uyum süreçlerinin güncellenmesi ve siber olay anında uygulanacak hukuki protokollerin hazırlanması için uzman bir bilişim hukuku desteği almak, hem şirketin geleceğini hem de yöneticilerin şahsi itibarını koruyacaktır.
Kurumsal risklerinizi yönetmek ve siber güvenlik altyapınızı hukuki zırhla güçlendirmek için Ata Hukuk uzmanlığına başvurabilirsiniz.
