Anasayfa/ Makale/ KVKK İhlallerinin Yaptırımları ve Yöneticilerin Sorumluluğu

KVKK İhlallerinin Yaptırımları ve Yöneticilerin Sorumluluğu

Sermaye şirketlerinde KVKK yükümlülüklerinin ihlali; idari para cezaları, cezai yaptırımlar ve tazminat davalarına yol açar. Şirketlerin bu ihlallerden doğan zararları nedeniyle, kusurlu yönetim kurulu üyeleri ve müdürlerin hukuki sorumluluğuna gidilmesi ve zararın rücu edilmesi mümkündür.
search
6 dk okuma Yayınlanma: Güncelleme:
CEZA HUKUKU MANEVİ TAZMİNAT KVKK TAZMİNAT MADDİ TAZMİNAT

Günümüzde ticari faaliyetlerini sürdüren sermaye şirketleri ve kooperatifler, iş süreçlerinde yoğun bir şekilde kişisel veri işlemektedir. Ancak, Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında getirilen kurallara uyulmaması, şirket tüzel kişiliklerini ciddi hukuki, idari ve cezai yaptırımlarla karşı karşıya bırakmaktadır. Özellikle veri sızıntıları, aydınlatma yükümlülüğünün ihlali veya Kurul kararlarına uyulmaması gibi durumlarda, Kişisel Verileri Koruma Kurulu tarafından yüksek tutarlarda idari para cezaları uygulanabilmektedir. Bunun yanı sıra, hukuka aykırı veri işleme faaliyetleri nedeniyle zarara uğrayan ilgili kişilerin açacağı maddi ve manevi tazminat davaları, şirket malvarlığında önemli eksilmelere yol açmaktadır. Tüzel kişiliğin karşılaştığı bu mali külfetler, süreçte kusuru bulunan yönetim kurulu üyelerinin ve müdürlerin şahsi sorumluluğunu gündeme getirmekte ve şirket tarafından ödenen bedellerin yöneticilere rücu edilmesine zemin hazırlamaktadır. Bu nedenle KVKK uyum süreci sadece şirketi değil, doğrudan şirket yöneticilerini de koruyan kritik bir hukuki kalkan işlevi görmektedir.

KVKK İhlallerinde İdari ve Cezai Yaptırımlar

Şirketlerin KVKK hükümlerine aykırı davranmaları durumunda karşılaşacakları temel yaptırımların başında idare hukuku kapsamındaki idari para cezaları gelmektedir. Kanun'un 18. maddesi uyarınca; aydınlatma yükümlülüğünün yerine getirilmemesi, veri güvenliğine ilişkin gerekli teknik ve idari tedbirlerin alınmaması, Kurul kararlarının uygulanmaması ve VERBİS'e kayıt ile bildirim yükümlülüklerinin ihlali hallerinde tüzel kişilere yüksek miktarlarda idari para cezaları kesilmektedir. Türk kabahatler hukuku prensipleri ve KVKK'nın açık düzenlemesi gereğince, bu kabahatlerin faili işlemi gerçekleştiren gerçek kişiler olsa dahi, idari para cezası doğrudan veri sorumlusu olan özel hukuk tüzel kişisine (şirkete) uygulanmaktadır. Ceza hukuku boyutuyla ise; kişisel verilerin hukuka aykırı kaydedilmesi, ele geçirilmesi, yayılması veya yok edilmemesi eylemleri Türk Ceza Kanunu (TCK) kapsamında hapis cezasını gerektiren suçlar olarak düzenlenmiştir. TCK uyarınca tüzel kişilere hapis cezası verilemese de, şirket yararına işlenen bu suçlar sebebiyle şirket tüzel kişiliği hakkında faaliyet izninin iptali veya müsadere gibi ağır sonuçları olan güvenlik tedbirlerine hükmedilmesi mümkündür.

İlgili Kişilerin Tazminat Hakları ve Şirketin Özel Hukuk Sorumluluğu

KVKK ihlallerinin idari ve cezai yaptırımların ötesinde, şirketler açısından en büyük risklerinden birini özel hukuk kapsamındaki tazminat davaları oluşturmaktadır. Kanun, kişisel verileri hukuka aykırı olarak işlenen ve kişilik hakları ihlal edilen bireylere, genel hükümlere göre zararın giderilmesini talep etme hakkı tanımıştır. İlgili kişiler, şirket ile aralarında bir sözleşme varsa sözleşmeye aykırılık (borca aykırılık), herhangi bir sözleşmesel ilişki yoksa doğrudan haksız fiil sorumluluğu hükümlerine dayanarak maddi ve manevi tazminat davası açabilirler. Mahkemeler nezdinde açılacak bu davalarda muhatap kural olarak veri sorumlusu şirket tüzel kişiliğidir. Hukuka aykırı veri işleme veya veri sızıntısı nedeniyle müşterilerin, çalışanların ya da tedarikçilerin duyduğu elem ve ızdırap için manevi tazminat, malvarlıklarında oluşan eksilmeler için ise maddi tazminat ödenmesi gündeme gelir. Kişisel verilere yönelik bir saldırı tehlikesi mevcutsa, zarar şartı aranmaksızın saldırının önlenmesi veya hukuka aykırılığın tespiti gibi koruyucu davaların açılması da hukuken mümkündür.

Şirket Yöneticilerinin KVKK İhlallerinden Doğan Hukuki Sorumluluğu

Kişisel verilerin korunması mevzuatından kaynaklanan yükümlülüklerin şirkette yerine getirilmesi görevi temelde anonim şirketlerde yönetim kuruluna, limited şirketlerde ise müdürlere aittir. Şirketin, KVKK ihlalleri sebebiyle idari para cezası veya tazminat ödemek zorunda kalması, şirket malvarlığında doğrudan zarara yol açar. Bu noktada Türk Ticaret Kanunu (TTK) madde 553 devreye girmektedir. TTK'ya göre yönetim kurulu üyeleri ve yöneticiler, kanundan doğan yükümlülüklerini kusurlarıyla ihlal ettikleri takdirde, şirkete, pay sahiplerine ve şirket alacaklılarına karşı verdikleri zararlardan şahsen sorumludurlar. Yöneticilerin veri güvenliğini sağlamak için gerekli teknik ve idari tedbirleri almaması veya bu görevi alt birimlere devretse bile üst gözetim yükümlülüğünü (TTK m. 375, m. 625) ihlal etmesi, özen ve sadakat yükümlülüğüne aykırılık teşkil eder. Yönetim organının kusurlu eylemleri ile şirketin uğradığı zarar arasında illiyet bağı kurulduğunda, şirket ödediği idari para cezalarını ve tazminat tutarlarını yönetim kurulu üyelerine ve müdürlere rücu etme hakkına sahiptir. Aynı kural kooperatiflerde de geçerli olup, kooperatife verilen zararlar kusurlu yönetim organına rücu edilebilmektedir.

Yöneticilere Rücu Edilebilmesi İçin Gereken Şartlar

Şirket tüzel kişiliğinin karşılaştığı KVKK kaynaklı cezaların veya ödenen tazminatların ilgili yöneticilerden tahsil edilebilmesi için ticaret hukuku prensipleri gereği belirli şartların birlikte gerçekleşmesi aranmaktadır. Yöneticilerin, şirket alacaklıları ve pay sahipleri karşısında şahsi malvarlıklarıyla sorumlu tutulabilmesi aşağıda belirtilen temel unsurların varlığına bağlıdır:

  • Kanuna veya esas sözleşmeye aykırılık: Yöneticinin, KVKK veya TTK gibi kanunlardan doğan kişisel verileri koruma ve gözetim yükümlülüğünü yerine getirmemiş olması.
  • Zarar unsurunun oluşması: Şirketin idari para cezası veya mahkeme kararıyla tazminat ödeyerek doğrudan malvarlığı kaybı (zarar) yaşaması.
  • Yöneticinin kusuru: Veri güvenliğini sağlamada veya çalışanları denetlemede yöneticinin kastının veya hafif de olsa ihmalinin bulunması.
  • Uygun illiyet bağı: Şirketin uğradığı zararın, doğrudan yöneticinin kanuni yükümlülüklerini ihlal etmesi sonucunda, olayların normal akışına göre meydana gelmiş olması. Bu şartların varlığı halinde, şirket içindeki yönetim kurulu üyeleri veya müdürler, kusurları oranında şirketin uğradığı mali kayıpları şahsen tazmin etmek zorundadır.
Çalışanımız yanlışlıkla müşteri verilerini sızdırdı, cezayı şirket mi öder çalışan mı? expand_more
Kişisel Verilerin Korunması Kanunu (KVKK) kapsamındaki kabahatlerde idari para cezaları işlemi yapan gerçek kişiye değil, doğrudan veri sorumlusu olan şirkete kesilmektedir. Dolayısıyla, çalışanınızın hatasından kaynaklanan bir veri ihlalinde Kurul tarafından verilecek yüksek tutarlı idari para cezasını şirketiniz ödemek zorunda kalacaktır. Ayrıca, ihlal nedeniyle zarara uğrayan müşterilerin açacağı tazminat davalarının kural olarak muhatabı da yine şirketinizin tüzel kişiliğidir.
Şirketimi hackleyip verileri çaldılar, müşteriler bana tazminat davası açabilir mi? expand_more
Evet, veri sızıntısı nedeniyle kişisel verileri hukuka aykırı şekilde ele geçirilen müşterileriniz şirketinize karşı maddi ve manevi tazminat davası açma hakkına sahiptir. Müşterilerinizle aranızda bir sözleşme varsa sözleşmeye aykırılık hükümlerine, yoksa doğrudan haksız fiil sorumluluğuna dayanarak zararlarının giderilmesini talep edebilirler. Şirketinizin veri güvenliğine ilişkin gerekli teknik ve idari tedbirleri almamış olması, malvarlığınızda eksilmelere yol açacak bu tazminat yükümlülüğünün doğmasına zemin hazırlayacaktır.
Şirkete kesilen KVKK cezasını yöneticinin kendi cebinden alabilir miyiz? expand_more
Şirketin ödemek zorunda kaldığı idari para cezaları ve tazminat tutarlarını, süreçte kusuru bulunan yöneticilere rücu etmeniz, yani bu bedelleri onlardan talep etmeniz hukuken mümkündür. Türk Ticaret Kanunu uyarınca, yöneticiler veri güvenliğini sağlama veya alt birimleri denetleme şeklindeki üst gözetim yükümlülüklerini ihlal ederlerse şahsen sorumlu tutulurlar. Ancak bu tahsilatın yapılabilmesi için yöneticinin olayda kastı veya ihmalinin bulunması, şirketin doğrudan bir zarar yaşaması ve oluşan zararla yöneticinin kusuru arasında uygun bir illiyet bağı olması şarttır.
KVKK ihlali yüzünden şirket kapatılır mı veya hapis cezası çıkar mı? expand_more
Türk Ceza Kanunu (TCK) kapsamında kişisel verilerin hukuka aykırı kaydedilmesi, ele geçirilmesi, yayılması veya yok edilmemesi eylemleri hapis cezasını gerektiren suçlar olarak düzenlenmiştir. Ceza hukuku prensipleri uyarınca tüzel kişilere, yani şirketlere hapis cezası verilmesi mümkün değildir. Ancak, şirket yararına işlenen bu suçlar sebebiyle şirket tüzel kişiliği hakkında faaliyet izninin iptali veya müsadere gibi oldukça ağır sonuçları olan güvenlik tedbirlerinin uygulanmasına hükmedilebilir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir