Anasayfa/ Makale/ Bulut Bilişimde Veri İhlali ve Sözleşmesel Sorumluluk

Bulut Bilişimde Veri İhlali ve Sözleşmesel Sorumluluk

Bulut bilişim sözleşmelerinde servis sağlayıcıların asli yükümlülüklerinden biri veri güvenliğinin sağlanmasıdır. Bu yükümlülüğün ihlali, Türk Borçlar Kanunu kapsamında sözleşmeye aykırılık oluşturarak servis sağlayıcının kusur ilkesine dayalı maddi ve manevi tazminat sorumluluğunu doğurur. İhlal durumunda ispat külfeti servis sağlayıcıdadır.
search
6 dk okuma Yayınlanma: Güncelleme:
MANEVİ TAZMİNAT KVKK VERİ İHLALİ TAZMİNAT

Bulut bilişim teknolojilerinde kullanıcıların en temel beklentisi, sisteme aktardıkları verilerin güvenliğinin tam anlamıyla sağlanmasıdır. Taraflar arasında kurulan güven ilişkisi ve bulut bilişim sözleşmeleri, servis sağlayıcılara veri güvenliğini tesis etme konusunda özel ve asli bir yükümlülük yüklemektedir. Bu kapsamda, veri güvenliğini sağlama borcu, servis sağlayıcının fiziki ve zihni çabası ile yerine getirdiği bir yapma borcu niteliğindedir. Dolayısıyla bu borcun hiç veya gereği gibi ifa edilmemesi, doğrudan sözleşmeye aykırılık oluşturur ve servis sağlayıcının Türk Borçlar Kanunu (TBK) kapsamında sözleşmeden doğan sorumluluğunu gündeme getirir. Sözleşme sorumluluğunda, zarar gören ile zarar veren arasında ihlalin gerçekleşmesinden önce geçerli bir hukuki ilişkinin, yani sözleşmenin mevcudiyeti aranmaktadır. Veri güvenliğinin sağlanamaması neticesinde ortaya çıkan uyuşmazlıklarda, servis sağlayıcının tazminat yükümlülüğünün doğabilmesi için; sözleşmeyi ihlal niteliğinde bir davranışın bulunması, kullanıcının bu ihlal sebebiyle zarara uğraması, eylem ile zarar arasında uygun illiyet bağının kurulması ve servis sağlayıcının kusurlu olması şartlarının birlikte gerçekleşmesi gerekmektedir.

Veri İhlalinde Sözleşmeye Aykırı Davranış ve Kusur Unsuru

Veri güvenliğinin ihlali, servis sağlayıcının yükümlülüklerini yerine getirirken yapması gereken bir şeyi yapmaması, yapmaması gereken bir şeyi yapması veya yapması gereken şeyi gereği gibi yapmaması şeklinde ortaya çıkar. Örneğin; yetkisiz erişimleri engellemek için gerekli güvenlik standartlarının oluşturulmaması, eski çalışanların şifrelerinin iptal edilmemesi veya verilerin şifrelenmeden saklanması gibi ihmaller, borca aykırı davranış teşkil eder. TBK m. 112 hükmü gereğince borçlu, kendisine hiçbir kusurun yüklenemeyeceğini ispat etmedikçe doğan zararı gidermekle yükümlüdür. Sözleşme sorumluluğunda alacaklı lehine bir kusur karinesi benimsenmiştir. Bu sebeple veri güvenliği ihlal edilen bulut kullanıcısı kusuru ispatla yükümlü tutulmaz; aksine servis sağlayıcı, gerekli tüm teknik ve idari tedbirleri aldığını, basiretli bir iş adamı gibi hareket ettiğini ve zararın doğmasında hiçbir kusuru bulunmadığını kanıtlamak zorundadır. Aksi takdirde, hafif kusuru da dâhil olmak üzere, ihlalden doğan zararları tazmin etmekten kurtulamaz.

İlliyet Bağının Kesilmesi ve Sorumluluktan Kurtuluş

Sorumluluğun doğması için aranan en temel şartlardan biri, sözleşmeye aykırı eylem ile ortaya çıkan zarar arasında uygun illiyet bağının bulunmasıdır. Meydana gelen veri ihlali, hayatın olağan akışına göre söz konusu zararı doğurmaya elverişli değilse veya bu bağ araya giren başka yoğun sebeplerle kesilmişse servis sağlayıcının sorumluluğuna gidilemez. İlliyet bağını kesen ve servis sağlayıcıyı sorumluluktan kurtaran sebepler; mücbir sebep, zarar görenin kusuru ve üçüncü kişinin ağır kusuru olarak sıralanmaktadır. Örneğin; verilerin bulunduğu fiziksel veri merkezinin öngörülemeyen bir doğal afet sonucu yıkılması durumunda illiyet bağı mücbir sebeple kesilir. Aynı şekilde, bulut müşterisinin hesap erişim şifrelerini güvenlik kurallarına aykırı şekilde üçüncü kişilerle paylaşması veya yetkisiz olduğunu bildiği kişilere sisteme giriş imkânı tanıması durumunda, kullanıcının ağır kusuru nedeniyle servis sağlayıcının sorumluluğu ortadan kalkabilecektir.

Yardımcı Kişilerin Fiillerinden Doğan Sorumluluk

Bulut bilişim hizmetleri, genellikle servis sağlayıcının doğrudan kendi personeli dışında bulut aracıları, alt yükleniciler, taşıyıcılar veya denetçiler gibi yardımcı kişiler aracılığıyla da sunulmaktadır. TBK m. 116 hükmü uyarınca borçlu, borcun ifasını kanuna uygun şekilde yardımcılarına bırakmış olsa dahi, onların işi yürüttükleri sırada diğer tarafa verdikleri zararı gidermekle yükümlüdür. Dolayısıyla servis sağlayıcının, alt servis sağlayıcılarının veya sistem bakımı yapan teknik personelin veri güvenliğini ihlal eden eylemleri, doğrudan servis sağlayıcının sözleşme sorumluluğunu doğuracaktır. Yardımcı kişinin fiilinden doğan sorumlulukta, servis sağlayıcı ile yardımcı kişi arasında bir bağımlılık ilişkisinin bulunması zorunlu değildir. Servis sağlayıcı ancak, ilgili işi bizzat kendisi yapmış olsaydı dahi kendisine hiçbir kusur atfedilemeyeceğini ispatlayarak bu sorumluluktan kurtulabilir; aksi halde kullanıcıların uğradığı veri sızıntısı veya kayıp zararlarından tam olarak sorumlu tutulacaktır.

Veri İhlali Sonucu Meydana Gelen Zarar Türleri

Sözleşmeye aykırılık nedeniyle kullanıcının uğrayabileceği zararlar maddi ve manevi olmak üzere iki farklı boyutta değerlendirilir. Maddi zarar, kullanıcının malvarlığında iradesi dışında meydana gelen azalmayı ifade ederken; manevi zarar, şahıs varlığında ve ticari itibarında ortaya çıkan ihlalleri kapsar. Sözleşmeye aykırılıktan doğan zararlar bakımından talep edilebilecek zarar türleri şunlardır:

  • Fiili Zarar: Kullanıcının malvarlığının aktifindeki doğrudan azalma veya pasifindeki artıştır.
  • Yoksun Kalınan Kâr: Sözleşme ihlal edilmeseydi kullanıcının malvarlığında beklenen kesin artışın engellenmesidir.
  • Manevi Zarar: Veri ihlali sonrası gerçek veya tüzel kişilerin ticari itibarı ve pazar saygınlığının zedelenmesi sonucunda talep edilebilen tazminat kalemidir.

Bu bağlamda zarar gören kullanıcı, veri ihlali ile zarar arasındaki bağlantıyı ispatlamak koşuluyla, müspet zarar niteliğindeki tüm bu olumsuzlukların giderilmesini servis sağlayıcıdan mahkeme yoluyla talep etme hakkına sahiptir.

Buluta yüklediğim müşteri verilerim çalındı, şirketi dava edebilir miyim? expand_more
Bulut bilişim hizmeti sunan firmaların asli hukuki yükümlülüklerinden biri, sisteme aktardığınız verilerin güvenliğini tam anlamıyla sağlamaktır. Bu yükümlülüğün yerine getirilmemesi ve yetkisiz erişimlerin engellenmemesi, doğrudan bir borca aykırılık hali teşkil eder. Sözleşme ihlali sebebiyle zarara uğramanız durumunda, Türk Borçlar Kanunu kapsamında servis sağlayıcının sözleşmeden doğan sorumluluğuna dayanarak maddi ve manevi tazminat davası açma hakkınız bulunmaktadır.
Hacklendik ama bulut şirketi suçun kendilerinde olmadığını söylüyor. İspat kime ait? expand_more
Sözleşme hukuku prensiplerine göre bulut bilişim hizmetlerinde alacaklı lehine bir kusur karinesi kabul edilmektedir. Bu nedenle verilerinizin sızması durumunda kusuru sizin ispatlamanıza gerek yoktur. Aksine, hizmeti sunan servis sağlayıcı şirket, gerekli tüm idari ve teknik tedbirleri aldığını, basiretli bir iş adamı gibi hareket ettiğini ve zararın doğmasında hiçbir kusurunun olmadığını ispatlamakla yükümlüdür. Şirket bu durumu ispat edemediği sürece doğan zararlarınızı tazmin etmekten kurtulamaz.
Bulut şirketinin taşeronu verilerimizi sızdırmış, asıl şirketten tazminat alabilir miyim? expand_more
Evet, verilerinizin güvenliğini ihlal eden eylem taşeron veya bakım personeli gibi yardımcı kişilerden kaynaklansa dahi asıl firmadan tazminat talep edebilirsiniz. Türk Borçlar Kanunu'nun ilgili hükümleri gereğince, borçlu işi kanuna uygun olarak yardımcılarına bırakmış olsa bile onların verdikleri zararı gidermekle yükümlüdür. Sistem bakımı yapan personelin veya alt yüklenicinin veri sızıntısına yol açması, doğrudan sözleşme kurduğunuz asıl servis sağlayıcının tazminat sorumluluğunu doğurur. Asıl şirket, ancak kendisi işi yapsaydı dahi hiçbir kusurunun bulunmayacağını kanıtlayarak bu sorumluluktan kurtulabilir.
Doğal afet yüzünden veri merkezi yıkıldı ve verilerim gitti, zararımı kim ödeyecek? expand_more
Hukuki sorumluluğun doğabilmesi için, sözleşmeye aykırı davranış ile meydana gelen zarar arasında uygun bir illiyet (nedensellik) bağının bulunması şarttır. Verilerin barındırıldığı veri merkezinin öngörülemeyen bir doğal afet sonucu yıkılması gibi durumlarda, hukuken "mücbir sebep" gündeme gelir. Mücbir sebepler varlığında zarar ile eylem arasındaki bu illiyet bağı kesileceğinden, ne yazık ki bulut hizmet sağlayıcısının hukuki sorumluluğuna gidilmesi ve zararın tazmini mümkün olmayacaktır.
Verilerimiz sızdığı için şirketin adı lekelendi, manevi tazminat isteyebilir miyiz? expand_more
Evet, veri ihlali sonrası ticari itibarınızın veya pazar saygınlığınızın zedelenmesi halinde manevi tazminat talep etme hakkınız mevcuttur. Veri güvenliği borcunun ihlali durumunda, aktif malvarlığınızdaki doğrudan eksilmelerin ve mahrum kaldığınız kârların dışında, şahıs varlığınızda meydana gelen zararlar da tazminat kalemlerine dâhildir. Gerçekleşen veri sızıntısı ile uğradığınız itibar kaybı arasındaki nedensellik bağını mahkemede ispatlamanız koşuluyla bu zararın servis sağlayıcıdan tazminini isteyebilirsiniz.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir