Anasayfa/ Makale/ Yönetim Kurulunun Veri İhlali Kaynaklı Hukuki Sorumluluğu

Yönetim Kurulunun Veri İhlali Kaynaklı Hukuki Sorumluluğu

Siber saldırılar ve veri ihlalleri sonucunda doğan zararlardan ötürü, anonim şirket yönetim kurulu üyelerinin şahsi ve kusura dayalı hukuki sorumluluğu doğabilmektedir. Üyeler, kanundan ve esas sözleşmeden doğan yükümlülüklerini ihlal etmeleri halinde farklılaştırılmış teselsül ilkesi uyarınca zararı tazmin etmekle yükümlü tutulabilirler.
search
6 dk okuma Yayınlanma: Güncelleme:
VERİ İHLALİ

Günümüz dijital çağında anonim şirketlerin maruz kaldığı siber saldırılar, kurumsal düzeyde ağır iktisadi zararlara ve itibar kayıplarına yol açmaktadır. Bu bağlamda yaşanan bir veri ihlali durumunda, anonim şirket yönetim kurulu üyelerinin hukuki sorumluluğu gündeme gelmektedir. Türk Ticaret Kanunu uyarınca yönetim kurulu üyeleri, kanundan ve esas sözleşmeden doğan yükümlülüklerini kusurlarıyla ihlal ettikleri takdirde, hem şirkete hem pay sahiplerine hem de şirket alacaklılarına karşı verdikleri zarardan şahsen sorumlu tutulmaktadırlar. Siber güvenliğin tesis edilmesi görevi kanunda sarih bir biçimde belirtilmese dahi, yönetim kurulunun devredilemez yetkileri arasında yer alan şirketin üst düzeyde yönetimi ve finansal planlama için gerekli düzenin kurulması kapsamında değerlendirilmektedir. Kurumsal işleyişte bilgi güvenliği sistemlerinin ihmal edilmesi, yönetim kurulunun asli idare görevlerini yerine getirmediği anlamına gelecek ve ortaya çıkan veri ihlali zararları bakımından üyelerin şahsi sorumluluğunu doğuracaktır.

Hukuki Sorumluluğun Şartları ve Kusur İlkesi

Siber güvenlik ihlalleri sebebiyle yöneticilerin sorumlu tutulabilmesi için öncelikle hukuka aykırı bir fiilin, kusurun, zararın ve bu unsurlar arasında uygun illiyet bağının bulunması şarttır. Yöneticilerin sorumluluğu bir kusur sorumluluğu olup, kanun çerçevesinde yöneticilerin görevlerini tedbirli bir yönetici özeniyle yerine getirmeleri zorunludur. Yönetim kurulu üyeleri, görevlerini ifa ederken hafif ihmallerinden dahi sorumlu tutulabilmektedir. Zira yönetim kurulu, anonim şirketin idari organizasyonunu siber tehditlere karşı hazır hale getirmek, iç denetim mekanizmalarını kurmak ve riskleri yönetmek zorundadır. Meydana gelen bir veri sızıntısında, yönetim kurulunun gerekli teknik veya idari tedbir mekanizmalarının kurulmasını ihmal etmesi, görevlerin kusurlu ihlali anlamına gelecektir. Siber tehditlerin sürekli bir risk barındırması sebebiyle, bu konuda şirketin güncel siber güvenlik stratejilerini uygulamamış olan üyeler, ortaya çıkan doğrudan ve dolaylı maddi zararları tazminle karşı karşıya kalacaklardır.

İş Adamı Kararı İlkesi ve Özen Yükümlülüğünün Sınırları

Yönetim kurulu üyelerinin özen yükümlülüğünün sınırlarını çizen en önemli enstrüman iş adamı kararı ilkesi olarak karşımıza çıkmaktadır. Üyelerin, şirket lehine olduğunu düşünerek makul ölçüde bilgilendirilmiş şekilde, bağımsız ve iyi niyetle aldıkları kararlar sebebiyle sonradan ortaya çıkan zararlardan sorumlu tutulmamaları esastır. Ne var ki siber güvenlik oldukça teknik ve yoğun uzmanlık gerektiren bir alandır. Yöneticilerin bu ilkenin korumasından faydalanabilmeleri için, siber riskler hakkında uygun bilgiye sahip olmaları veya uzmanlardan profesyonel destek alarak kararlarını bu veriler ışığında şekillendirmeleri gerekmektedir. Uzman desteği alınmadan veya gerekli araştırmalar yapılmadan bilgi güvenliği bütçesinin kısıtlanması yahut siber altyapı yatırımlarının reddedilmesi gibi kararlar, anılan ilkenin sağladığı hukuki koruma kalkanını ortadan kaldıracaktır. Bilgisizce alınan böylesi kararlar neticesinde gerçekleşen ihlaller, yöneticilerin kişisel malvarlıklarıyla sorumlu olmalarına yol açar.

Yetki Devri Halinde Yönetim Kurulunun Sorumluluğu

Anonim şirketlerde siber güvenliğin sürekli ve teknik bir yönetim süreci olması sebebiyle, yönetim kurulu bu alandaki bazı görevlerini iç yönerge aracılığıyla icra kurullarına veya siber güvenlik uzmanı olan üst düzey yöneticilere devredebilir. Ancak yetki devri, yönetim kurulu üyelerinin sorumluluğunu tamamen ortadan kaldırmaz. Kanun uyarınca, yetkilerini devreden üyeler; bu görevleri devralan kişilerin seçiminde, onlara talimat verilmesinde ve üst gözetiminde makul derecede özen göstermek mecburiyetindedirler. Yöneticiler, yetki devrettikleri uzmanların oluşturduğu siber güvenlik politikalarının şirket içinde layıkıyla uygulanıp uygulanmadığını denetlemekle mükelleftir. Ancak kanun koyucu, gözetim yükümlülüğünü insan takatinin sınırları içerisine çekmiş ve üyelerin kontrolü dışında kalan kanuna aykırılıklar ve yolsuzluklar sebebiyle sorumlu tutulamayacağını açıkça hüküm altına almıştır. Dolayısıyla usulüne uygun ve ehil kişilere yapılan yetki devri, yöneticilerin siber risk alanını ciddi şekilde daraltmaktadır.

İlliyet Bağını Kesen Haller ve Farklılaştırılmış Teselsül

Yönetim kurulu üyelerinin veri ihlali zararlarından şahsen sorumlu tutulabilmesi için, sergiledikleri kusurlu davranış ile ortaya çıkan siber zarar arasında uygun bir illiyet bağı bulunmalıdır. Şayet uygun illiyet bağı araya giren başka bir etkenle koparsa, yöneticilerin hukuki sorumluluğuna gidilemez. Aynı veri ihlali zararından birden fazla yönetim kurulu üyesinin sorumlu olduğu durumlarda ise mutlak teselsül değil, farklılaştırılmış teselsül ilkesi uygulanır. Bu kural uyarınca, her bir üye meydana gelen toplam zarardan yalnızca kendi kusuru oranında ve durumun gereklerine göre zararın şahsen kendisine yüklenebildiği ölçüde sorumludur. Siber güvenlik alanında yöneticilere yöneltilecek sorumluluk davalarında uygun illiyet bağını kesebilecek spesifik hukuki durumlar aşağıda sıralanmıştır:

  • Sistemin en güncel ve makul teknoloji ile korunmasına rağmen henüz literatürde bilinmeyen sıfırıncı gün saldırıları gibi kaçınılmaz ve öngörülemez yapıdaki mücbir sebep halleri.
  • Şirket pay sahibinin veya şirketten alacaklı olan kişinin kendi cihazlarındaki zafiyetler aracılığıyla sisteme zararlı yazılım sızdırmasından kaynaklanan zarar görenin kusuru durumu.
  • Ağ yöneticilerinin veya dış kaynaklı siber güvenlik tedarikçilerinin şirketin açık güvenlik talimatlarına kasten aykırı şekilde davranmasıyla ortaya çıkan üçüncü kişinin ağır kusuru hali.
Hacklendik, müşteri verileri çalındı. Şirket yöneticisi olarak cebimden para çıkar mı? expand_more
Türk Ticaret Kanunu uyarınca, siber güvenlik tedbirlerini ihmal etmeniz durumunda şahsi malvarlığınızla sorumlu tutulma riskiniz bulunmaktadır. Anonim şirketlerde bu tür veri sızıntıları nedeniyle hem şirkete hem pay sahiplerine hem de şirket alacaklılarına karşı kusurunuz oranında sorumluluğunuz doğabilir. Yönetim kurulu üyesi olarak görevinizi tedbirli bir yönetici özeniyle yerine getirmek ve bilgi güvenliği ile ilgili iç denetim mekanizmalarını kurmak zorundasınız. Gerekli teknik veya idari tedbirleri almamanız hafif ihmal olarak dahi değerlendirilse, ortaya çıkan maddi zararları bizzat tazmin etmekle karşı karşıya kalabilirsiniz.
Siber güvenlik işini IT müdürüne devrettim. Veri sızarsa ben yine de suçlu olur muyum? expand_more
Siber güvenlik görevlerini uzman kişilere veya iç kurullara devretmeniz sizi hukuki sorumluluktan tamamen kurtarmaz. Kanun gereği, yetkiyi devrettiğiniz bu kişilerin seçiminde, onlara talimat verilmesinde ve üst gözetiminde makul özeni göstermek mecburiyetindesiniz. Sorumluluğunuz usulüne uygun devir işlemleriyle ciddi ölçüde daralmış olsa da, oluşturulan güvenlik politikalarının şirket içinde uygulanıp uygulanmadığını denetlemekle mükellefsiniz. Üst gözetim yükümlülüğünüzü ihmal etmeniz durumunda meydana gelen veri ihlallerinden dolayı yönetim kurulu üyesi olarak sorumluluğunuz doğmaya devam edecektir.
Bütçe yetersiz diye güvenlik yazılımı almadık, sistem hacklendi. Sorumluluk bana mı patlar? expand_more
Yöneticilerin "iş adamı kararı ilkesi" korumasından faydalanabilmesi için siber riskler hakkında uygun bilgiye sahip olmaları veya uzmanlardan destek almaları şarttır. Uzman görüşü almadan veya gerekli araştırmaları yapmadan güvenlik bütçesini kısıtlamanız yahut altyapı yatırımlarını reddetmeniz bu hukuki koruma kalkanını ortadan kaldırır. Yöneticilerin siber güvenlik gibi teknik konularda makul ölçüde bilgilendirilmiş şekilde ve iyi niyetle hareket etmesi esastır. Bilgisizce aldığınız bu tür bütçe kesintisi kararları neticesinde bir veri ihlali gerçekleşirse, meydana gelen zarardan şahsen sorumlu olursunuz.
Bilinmeyen yepyeni bir virüsle bizi vurdular. Bunda benim ne suçum olabilir ki? expand_more
Yönetim kurulu üyesi olarak sorumlu tutulabilmeniz için eyleminiz veya ihmaliniz ile zarar arasında uygun bir illiyet bağı bulunması zorunludur. Eğer sisteminiz en güncel ve makul teknoloji ile korunuyorsa ve saldırı henüz literatürde bilinmeyen "sıfırıncı gün (zero-day)" saldırısı gibi öngörülemez bir durumsa, bu husus mücbir sebep olarak kabul edilir. Mücbir sebep halleri, sizin yönetimsel çabalarınız ile ortaya çıkan siber zarar arasındaki illiyet bağını kesen hukuki bir etkendir. Bu tür kaçınılmaz ve öngörülemez durumlarda hukuki illiyet bağı koptuğu için şahsi tazminat sorumluluğunuza gidilemeyecektir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir