Makale
Endüstri 4.0 ile hayatımıza giren akıllı fabrikalarda siber güvenlik ihlalleri, yeni nesil iş kazalarına yol açabilmektedir. Bu makalede, siber saldırılar neticesinde meydana gelen iş kazalarında işverenin hukuki sorumluluğunun kusur esasına dayandığı ve alınması gereken güncel teknolojik tedbirler hukuki bir perspektifle incelenmektedir.
Siber Saldırı Kaynaklı İş Kazalarında İşverenin Sorumluluğu
Günümüzde Endüstri 4.0 devrimi ile birlikte üretim sistemleri köklü bir dijital dönüşümden geçmektedir. Fabrikalarda nesnelerin interneti ve siber-fiziksel sistemler kullanılarak akıllı robotların üretim sürecine tam entegre edilmesi, beraberinde siber güvenlik ihtiyacını zorunlu kılmıştır. Üretim sürecindeki her türlü donanım, yazılım ve ağ sisteminin dışarıdan gelebilecek siber saldırılara karşı korunması, sadece ticari sırların muhafazası için değil, aynı zamanda iş sağlığı ve güvenliği tedbirlerinin ayrılmaz bir parçasıdır. Giderek daha savunmasız hale gelen endüstriyel kontrol sistemlerine yönelik olası siber saldırılar, akıllı makinelerin ve robotların kontrolünün ele geçirilmesiyle sonuçlanabilmekte ve bu durum ne yazık ki geleneksel kazalardan çok daha yıkıcı iş kazalarına sebebiyet verebilmektedir. İş hukukumuz bağlamında, bu tür teknoloji ve bilişim odaklı kazaların hukuki boyutunun ve işverenin sorumluluğunun doğru bir şekilde analiz edilmesi, işletmelerin gelecekte karşılaşabileceği hukuki, idari ve cezai yaptırımların önlenmesi açısından hayati bir öneme sahiptir.
İş Kazalarında Kusur Sorumluluğu İlkesi
Hukuk sistemimizde iş yerinde meydana gelen iş kazalarından dolayı işverenin hukuki sorumluluğuna gidilebilmesi için kural olarak işverenin kusurlu olması aranmaktadır. Özel bir istisnai kanun hükmü bulunmadığı müddetçe, iş kazalarındaki hukuki sorumluluk tamamen kusura dayalı bir sorumluluktur. Yargıtay kararlarında da istikrarla vurgulandığı üzere, iş sözleşmesine dayanan işçiyi gözetme borcuna aykırılık bu kusurun temelini oluşturur. Siber saldırı kaynaklı bir kaza durumunda işçi, işverenin yükümlülüklerini ihlal ettiğini ileri sürerek tazminat talebinde bulunabilir. Bu noktada işveren, sorumluluktan kurtulabilmek adına kanundan ve sözleşmeden doğan tüm güvenlik önlemlerini aldığını ispat etmekle mükelleftir. Yargıtay, işverenin kusursuz olduğu durumlarda meydana gelen zararlardan sorumlu tutulmasının adalet ve hakkaniyet duygularını zedeleyeceğini açıkça belirtmektedir. Dolayısıyla, siber saldırı gibi dışarıdan gelen ve öngörülemeyen müdahaleler neticesinde gerçekleşen kazalarda da genel kusur sorumluluğu ilkeleri uygulanacak ve işverenin siber güvenliğe dair gerekli önlemleri alıp almadığı hususu yargılamada belirleyici olacaktır.
Siber Güvenlik Tedbirleri ve İşverenin Yükümlülükleri
Siber saldırılar karşısında işverenin kusurunun tespitinde yalnızca yazılı kanun kuralları değil, aynı zamanda güncel teknolojik gelişmelerin gerekli kıldığı önlemlerin alınıp alınmadığı da değerlendirilir. Teknolojik tedbirlerin maliyet gözetilmeksizin alınmaması, doğrudan taksirli ihmal ve kusurlu davranış olarak nitelendirilmektedir. İşverenlerin siber saldırı kaynaklı iş kazalarında hukuki sorumluluktan kurtulabilmesi için dikkat etmesi gereken temel unsurlar şunlardır:
- Güncel gelişmeleri anlık olarak takip etmek ve sistemleri modern güvenlik standartlarına uyarlamak.
- Sistem yazılımlarını ve donanımlarını, maliyetlerden kaçınmadan en üst düzey koruma sağlayacak şekilde sürekli güncellemek.
- Akıllı robotlar ve otomasyon sistemleri için dış müdahaleleri engelleyen güvenli arayüzler ve şifreleme yöntemleri kullanmak.
- Endüstri 4.0'ın getirdiği yeni tehlikelere özgü, siber riskleri de kapsayan özel bir potansiyel risk analizi ve acil durum planı hazırlamak.
Belirtilen bu teknolojik ve sistemsel önlemlerin eksiksiz şekilde yerine getirilmesi durumunda, kaza siber saldırı sonucunda gerçekleşmişse, işverenin kusuru ortadan kalkabilecek ve yasal sorumluluğu doğmayacaktır.
Üçüncü Kişilerin (Hacker) Sorumluluğu ve Rücu Hakkı
Tüm siber güvenlik standartlarının ve teknolojik altyapı güncellemelerinin işveren tarafından eksiksiz bir biçimde yerine getirilmesine rağmen, sistemin dışarıdan bir müdahale ile hacklenmesi neticesinde iş kazası yaşanması ihtimal dahilindedir. Hukuki açıdan böyle bir senaryoda, donanım ve yazılımlarını maliyet gözetmeksizin en güncel sürümlerle koruyan işverenin, kazanın meydana gelmesinde herhangi bir kusuru bulunmadığı kabul edilmelidir. Zira işverenin yükümlülüğü, öngörülebilir teknolojik tedbirleri tam anlamıyla almaktır. Bu aşamada, kazanın asıl sorumlusu olarak, sisteme yetkisiz erişim sağlayan ve siber saldırıyı gerçekleştiren üçüncü kişi konumundaki bilgisayar korsanının hukuki ve cezai sorumluluğuna gidilebilecektir. İşverenin kusursuz olduğu böyle bir kazada, denetleyici kurumlar dahi işverene ancak kusuru oranında rücu edebilmektedir. İşveren kusursuz ise, iş kazası neticesinde doğan zararların tazmini hususunda asıl fail olan üçüncü kişilere karşı hukuki süreç başlatılarak mağduriyetlerin giderilmesi talep edilmelidir.