Makale
Dijital çağda şirketler, işledikleri veriler nedeniyle veri sorumlusu sıfatını kazanarak ağır hukuki ve etik siber güvenlik yükümlülükleri altına girmektedir. Bu yazıda, veri sorumlusu şirketlerin siber saldırılara karşı almaları gereken önlemler ve ihlal neticesinde karşılaşacakları idari yaptırımlar hukuki perspektifle incelenmektedir.
Veri Sorumlusu Şirketlerin Siber Güvenlik ve Hukuki Yükü
Gelişen dijital teknolojiler ve internetin yaygınlaşması ile birlikte, günümüz iş dünyasında veri ve bilgi, geleneksel sermaye kadar kritik bir öneme sahip hale gelmiştir. Şirketler, faaliyetlerini sürdürürken müşterilerinden, çalışanlarından ve iş ortaklarından sürekli olarak veri toplamakta, işlemekte ve bu verileri sistemlerinde saklamaktadır. Bu yoğun veri işleme faaliyeti, şirketleri sadece veriyi elinde bulunduran bir taraf olmaktan çıkarıp, aynı zamanda veri sorumlusu sıfatıyla ağır hukuki yükümlülükler altına sokmaktadır. Özellikle Kişisel Verilerin Korunması Kanunu ve GDPR gibi ulusal ve uluslararası regülasyonlar, şirketlere verilerin korunması hususunda çok ciddi idari ve teknik standartlar dayatmaktadır. Şirketlerin ticari sırları, finansal kayıtları ve topladıkları hassas kişisel veriler, artan siber saldırıların birincil hedefi konumundadır. Bu sebeple veri güvenliğini sağlamak, yalnızca teknik bir zorunluluk değil, doğrudan doğruya şirketlerin itibarını ve varlığını korumaya yönelik hukuki bir yükümlülük olarak karşımıza çıkmaktadır. Bir hukuki perspektifle değerlendirildiğinde, şirketlerin siber altyapılarını mevzuat standartlarına uygun şekilde tahkim etmemeleri, telafisi son derece güç idari ve mali zararlar doğurabilmektedir.
Veri Sorumlusu Sıfatıyla Şirketlerin Siber Güvenlik Yükümlülükleri
Bir anonim şirket veya diğer bir tüzel kişi, veri sorumlusu sıfatını haiz olduğunda, kendi bünyesinde işlenen tüm verilerin güvenliğini sağlamak için gerekli olan teknik ve idari tedbirleri almak zorundadır. Günümüz iş dünyasında siber alan, sadece bir destek unsuru değil, doğrudan operasyonel sürecin kendisi haline gelmiştir. Artan bağlantı noktaları ve karmaşıklaşan ağ sistemleri, saldırı yüzeyi olarak adlandırılan güvenlik açıklarının çoğalmasına neden olmaktadır. Dolayısıyla, veri sorumlusu tüzel kişilerin kurumsal çapta kapsamlı siber güvenlik risk analizleri yapması hayati bir hukuki zorunluluktur. Tehditlerin, zafiyetlerin ve risklerin bir bütünlük içinde değerlendirilmesi, olası bir siber saldırı anında oluşabilecek zararların ve hukuki sorumlulukların asgari düzeye indirilmesini sağlar. Unutulmamalıdır ki, siber güvenlik dinamik bir yönetim sürecidir ve yalnızca bir kez alınacak dönemsel önlemlerle değil, şirket yapısına entegre edilen sürekli ve güncel risk yönetim stratejileri ile sürdürülmelidir.
Veri İhlali Durumunda Kurula Bildirim Yükümlülüğü ve İdari Yaptırımlar
Siber saldırganların hedefi olan veri sorumlusu şirketler, alınan tüm önlemlere rağmen bir veri ihlali ile karşılaştıklarında katı hukuki prosedürleri ve bildirimleri işletmek zorundadır. Kanuni düzenlemeler, işlenen verilerin yasa dışı yollarla üçüncü kişilerin eline geçmesi durumunda veri sorumlularına hızlı, dürüst ve şeffaf hareket etme yükümlülüğü getirmiştir. Bu kapsamda, meydana gelen veri güvenliği ihlallerinin en kısa sürede ilgilisine ve yetkili Kurula bildirilmesi kanuni bir emirdir. Bazı şirketler ticari itibar kaybı endişesiyle bu ihlal bildirimlerini geciktirme veya kamuoyundan saklama eğilimi gösterebilmektedir; ancak böyle bir tutum, siber saldırının hukuki maliyetlerini çok daha ağırlaştırmaktadır. Kurul bildirimlerini yapmayan veya gerekli veri güvenliği tedbirlerini almayan şirketler, idari yaptırımlarla karşı karşıya kalmaktadır. İlgili kanun maddelerinde açıkça öngörüldüğü üzere, veri güvenliğine ilişkin yükümlülüklerin ihlali durumunda şirketlere 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası yaptırımı uygulanabilmektedir.
Veri Sorumlusu Şirketlerin Siber Güvenlik Stratejilerinde Öncelikli Adımlar
Veri sorumlusu sıfatı taşıyan kurumsal işletmelerin, siber güvenlik risklerini yönetebilmek ve hukuki yükümlülüklerini eksiksiz yerine getirebilmek adına hayata geçirmesi gereken belirli temel yönetim adımları bulunmaktadır. Mevzuattan doğan idari para cezası risklerini engellemek veya siber saldırılar sonucu oluşabilecek ticari zararları asgari seviyede tutabilmek için şirketlerin aşağıdaki önlemleri kurumsal kültürlerine entegre etmeleri hukuki bir gerekliliktir:
- Kapsamlı risk analizlerinin yapılması ve potansiyel siber tehditlerin önceden tespit edilerek şirket için ölçülebilir hale getirilmesi.
- Mevzuata ve şirketin kendi dijital profiline uygun, dinamik ve güncellenebilir bir siber güvenlik politikasının işletme bünyesinde tesis edilmesi.
- İş süreçlerinde veri ifşasını önlemek için firewall yapılandırmaları ve erişim kontrolleri gibi teknik ve idari güvenlik katmanlarının kurulması.
- Olası siber güvenlik olaylarına karşı gerçek zamanlı tehdit algılama mekanizmalarının ve proaktif nitelikteki anlık müdahale planlarının hazırda tutulması.