Makale

Günümüz dijital çağında anonim şirketlerin maruz kaldığı siber saldırılar, kurumsal düzeyde ağır iktisadi zararlara ve itibar kayıplarına yol açmaktadır. Bu bağlamda yaşanan bir veri ihlali durumunda, anonim şirket yönetim kurulu üyelerinin hukuki sorumluluğu gündeme gelmektedir. Türk Ticaret Kanunu uyarınca yönetim kurulu üyeleri, kanundan ve esas sözleşmeden doğan yükümlülüklerini kusurlarıyla ihlal ettikleri takdirde, hem şirkete hem pay sahiplerine hem de şirket alacaklılarına karşı verdikleri zarardan şahsen sorumlu tutulmaktadırlar. Siber güvenliğin tesis edilmesi görevi kanunda sarih bir biçimde belirtilmese dahi, yönetim kurulunun devredilemez yetkileri arasında yer alan şirketin üst düzeyde yönetimi ve finansal planlama için gerekli düzenin kurulması kapsamında değerlendirilmektedir. Kurumsal işleyişte bilgi güvenliği sistemlerinin ihmal edilmesi, yönetim kurulunun asli idare görevlerini yerine getirmediği anlamına gelecek ve ortaya çıkan veri ihlali zararları bakımından üyelerin şahsi sorumluluğunu doğuracaktır.

Hukuki Sorumluluğun Şartları ve Kusur İlkesi

Siber güvenlik ihlalleri sebebiyle yöneticilerin sorumlu tutulabilmesi için öncelikle hukuka aykırı bir fiilin, kusurun, zararın ve bu unsurlar arasında uygun illiyet bağının bulunması şarttır. Yöneticilerin sorumluluğu bir kusur sorumluluğu olup, kanun çerçevesinde yöneticilerin görevlerini tedbirli bir yönetici özeniyle yerine getirmeleri zorunludur. Yönetim kurulu üyeleri, görevlerini ifa ederken hafif ihmallerinden dahi sorumlu tutulabilmektedir. Zira yönetim kurulu, anonim şirketin idari organizasyonunu siber tehditlere karşı hazır hale getirmek, iç denetim mekanizmalarını kurmak ve riskleri yönetmek zorundadır. Meydana gelen bir veri sızıntısında, yönetim kurulunun gerekli teknik veya idari tedbir mekanizmalarının kurulmasını ihmal etmesi, görevlerin kusurlu ihlali anlamına gelecektir. Siber tehditlerin sürekli bir risk barındırması sebebiyle, bu konuda şirketin güncel siber güvenlik stratejilerini uygulamamış olan üyeler, ortaya çıkan doğrudan ve dolaylı maddi zararları tazminle karşı karşıya kalacaklardır.

İş Adamı Kararı İlkesi ve Özen Yükümlülüğünün Sınırları

Yönetim kurulu üyelerinin özen yükümlülüğünün sınırlarını çizen en önemli enstrüman iş adamı kararı ilkesi olarak karşımıza çıkmaktadır. Üyelerin, şirket lehine olduğunu düşünerek makul ölçüde bilgilendirilmiş şekilde, bağımsız ve iyi niyetle aldıkları kararlar sebebiyle sonradan ortaya çıkan zararlardan sorumlu tutulmamaları esastır. Ne var ki siber güvenlik oldukça teknik ve yoğun uzmanlık gerektiren bir alandır. Yöneticilerin bu ilkenin korumasından faydalanabilmeleri için, siber riskler hakkında uygun bilgiye sahip olmaları veya uzmanlardan profesyonel destek alarak kararlarını bu veriler ışığında şekillendirmeleri gerekmektedir. Uzman desteği alınmadan veya gerekli araştırmalar yapılmadan bilgi güvenliği bütçesinin kısıtlanması yahut siber altyapı yatırımlarının reddedilmesi gibi kararlar, anılan ilkenin sağladığı hukuki koruma kalkanını ortadan kaldıracaktır. Bilgisizce alınan böylesi kararlar neticesinde gerçekleşen ihlaller, yöneticilerin kişisel malvarlıklarıyla sorumlu olmalarına yol açar.

Yetki Devri Halinde Yönetim Kurulunun Sorumluluğu

Anonim şirketlerde siber güvenliğin sürekli ve teknik bir yönetim süreci olması sebebiyle, yönetim kurulu bu alandaki bazı görevlerini iç yönerge aracılığıyla icra kurullarına veya siber güvenlik uzmanı olan üst düzey yöneticilere devredebilir. Ancak yetki devri, yönetim kurulu üyelerinin sorumluluğunu tamamen ortadan kaldırmaz. Kanun uyarınca, yetkilerini devreden üyeler; bu görevleri devralan kişilerin seçiminde, onlara talimat verilmesinde ve üst gözetiminde makul derecede özen göstermek mecburiyetindedirler. Yöneticiler, yetki devrettikleri uzmanların oluşturduğu siber güvenlik politikalarının şirket içinde layıkıyla uygulanıp uygulanmadığını denetlemekle mükelleftir. Ancak kanun koyucu, gözetim yükümlülüğünü insan takatinin sınırları içerisine çekmiş ve üyelerin kontrolü dışında kalan kanuna aykırılıklar ve yolsuzluklar sebebiyle sorumlu tutulamayacağını açıkça hüküm altına almıştır. Dolayısıyla usulüne uygun ve ehil kişilere yapılan yetki devri, yöneticilerin siber risk alanını ciddi şekilde daraltmaktadır.

İlliyet Bağını Kesen Haller ve Farklılaştırılmış Teselsül

Yönetim kurulu üyelerinin veri ihlali zararlarından şahsen sorumlu tutulabilmesi için, sergiledikleri kusurlu davranış ile ortaya çıkan siber zarar arasında uygun bir illiyet bağı bulunmalıdır. Şayet uygun illiyet bağı araya giren başka bir etkenle koparsa, yöneticilerin hukuki sorumluluğuna gidilemez. Aynı veri ihlali zararından birden fazla yönetim kurulu üyesinin sorumlu olduğu durumlarda ise mutlak teselsül değil, farklılaştırılmış teselsül ilkesi uygulanır. Bu kural uyarınca, her bir üye meydana gelen toplam zarardan yalnızca kendi kusuru oranında ve durumun gereklerine göre zararın şahsen kendisine yüklenebildiği ölçüde sorumludur. Siber güvenlik alanında yöneticilere yöneltilecek sorumluluk davalarında uygun illiyet bağını kesebilecek spesifik hukuki durumlar aşağıda sıralanmıştır:

• Sistemin en güncel ve makul teknoloji ile korunmasına rağmen henüz literatürde bilinmeyen sıfırıncı gün saldırıları gibi kaçınılmaz ve öngörülemez yapıdaki mücbir sebep halleri.
• Şirket pay sahibinin veya şirketten alacaklı olan kişinin kendi cihazlarındaki zafiyetler aracılığıyla sisteme zararlı yazılım sızdırmasından kaynaklanan zarar görenin kusuru durumu.
• Ağ yöneticilerinin veya dış kaynaklı siber güvenlik tedarikçilerinin şirketin açık güvenlik talimatlarına kasten aykırı şekilde davranmasıyla ortaya çıkan üçüncü kişinin ağır kusuru hali.