info@ferhatkule.av.tr
+90 212 579 79 85

Single Blog Title

This is a single blog caption

Veri Sızdırma ve KVKK İhlalleri: Siber Saldırıdan Kim Sorumludur?

07 Tem 2025
0

I. GİRİŞ

Dijitalleşen dünyada her ölçekten şirket, kurum ve hatta kamu otoriteleri yoğun biçimde kişisel veri işlemektedir. Ancak siber saldırılar, fidye yazılımlar, sistem açıkları veya çalışan ihmali nedeniyle bu veriler zaman zaman yetkisiz kişilerce ele geçirilmektedir.

Peki bu durumda:
Veri ihlali mağduru sadece veri sahibi midir? Yoksa şirket veya kurum da sorumlu tutulur mu?

Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türk Borçlar Kanunu, Türk Ceza Kanunu ve ilgili ikincil düzenlemeler bu sorulara cevap sunmaktadır.

II. VERİ İHLALİ NEDİR?

 Tanım:

KVKK’ya göre veri ihlali:

Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi, paylaşılması veya erişilebilir hale gelmesi durumudur.

Örneğin:

  • Banka müşteri bilgilerinin bir hacker tarafından ele geçirilmesi
  • Hastane sistemlerinden randevu, teşhis, kimlik bilgilerinin ifşa edilmesi
  • E-ticaret sitesinden kullanıcıların kredi kartı bilgilerinin sızdırılması

hepsi “veri ihlali” sayılır.

III. VERİ SIZMASI VE SORUMLULUK: SALDIRIYI YAPAN MI, ÖNLEMEYEN Mİ?

 KVKK m.12’ye göre veri sorumlusu:

“Veri güvenliğini sağlamakla yükümlüdür. Gerekli teknik ve idari tedbirleri almak, yetkisiz erişimleri engellemek zorundadır.”

Yani, saldırı dışarıdan da gelse;
 Veri sorumlusunun koruma yükümlülüğü devam eder.
“Hacklendik” mazereti çoğu zaman sorumluluğu ortadan kaldırmaz.

IV. KİMLER VERİ SORUMLUSU SAYILIR?

  • Özel şirketler (e-ticaret, finans, sağlık, eğitim, yazılım firmaları)
  • Kamu kurumları (üniversiteler, belediyeler, nüfus müdürlükleri)
  • Dernekler, vakıflar
  • Gerçek kişiler (doktor, avukat, danışman vb. kendi ofisi varsa)

Bu kişiler, kendi faaliyetleri kapsamında veri işliyorlarsa veri sorumlusu sayılır.

V. VERİ İHLALİNİN SONUÇLARI

1. İdari Para Cezaları (KVK Kurulu Tarafından)

KVK Kurulu, KVKK m.18’e dayanarak:

  • Yeterli güvenlik tedbiri almayan kurumlara 2024 yılı itibariyle
           500.000 TL’ye kadar idari para cezası verebilmektedir.
    Bu ceza miktarı ihlalin kapsamı ve etkilenen kişi sayısına göre artabilir.

2. Veri Sahiplerine Tazminat Sorumluluğu

Türk Borçlar Kanunu m.49 ve m.58 uyarınca:

  • Manevi tazminat (mahremiyet ihlali)
  • Maddi tazminat (verinin kötüye kullanımı sonucu zarar)

açısından veri sorumlusu davalı olabilir.

3. Kamuya Bildirim Zorunluluğu

Veri ihlali öğrenildiğinde:

  • En geç 72 saat içinde KVK Kurumu’na bildirim zorunludur.
  • Ayrıca, verisi ihlal edilen kişilere de bireysel bildirim yapılmalıdır.

Yapılmazsa ayrıca idari para cezası söz konusudur.

VI. KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI

 Örnek Karar 1: (Karar No: 2023/132)

Bir otel zinciri sistemine yapılan siber saldırıda 12.000 müşterinin adı, soyadı, e-posta adresi sızdırıldı. Sistem güncel değil, yedekleme eksikti.
   400.000 TL idari para cezası verildi.
Ayrıca, bireylere bildirim yapılmaması nedeniyle ayrıca 100.000 TL ceza uygulandı.

 Örnek Karar 2: (Karar No: 2024/015)

Bir özel hastanede eski çalışanın parolaları kullanarak sisteme erişmesiyle veri sızması oldu.
Hastane, eski personelin şifrelerini silmediği için ihmali bulundu.
    300.000 TL idari ceza verildi.

VII. CEZA HUKUKU BOYUTU

Türk Ceza Kanunu m.136:

“Kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılır.”

Yani:

  • Hacker için ceza davası
  • Veri sorumlusunun ağır ihmali varsa, ceza sorumluluğu gündeme gelebilir.

VIII. BTK’NIN (BİLGİ TEKNOLOJİLERİ KURUMU) ROLÜ

  • İnternet servis sağlayıcıları, barındırma hizmeti veren firmalar ve veri merkezi sağlayıcıları BTK’nın denetimindedir.
  • Kritik altyapıya sahip kurumlar (bankalar, telekom şirketleri, enerji firmaları) BTK’ya da veri ihlali bildirimi yapmakla yükümlüdür.

IX. NE YAPMALI? – ÖNLEYİCİ TEDBİRLER

Veri sorumluları açısından alınması gereken idari ve teknik önlemler:

 Teknik Önlemler:

  • Antivirüs, firewall, SSL sertifikaları
  • Şifreleme sistemleri
  • Sızma testi ve güvenlik denetimleri
  • Gelişmiş kullanıcı erişim kontrolü

 İdari Önlemler:

  • Personel eğitimi
  • KVKK politika ve prosedürlerinin hazırlanması
  • Açık rıza metinlerinin arşivlenmesi
  • İrtibat kişisi ve veri sorumlusu siciline kayıt

X. SONUÇ:

Siber saldırılar engellenemeyebilir; ancak hukuk düzeni, “önleyici tedbir alınmamışsa” bu saldırının sonuçlarını veri sorumlusuna yükler.

KVK Kurulu, saldırıya uğramış olmasına rağmen gerekli önlemleri almamış bir veri sorumlusunu, çoğu zaman affetmez. Aynı şekilde mağdur tüketiciler de tazminat davası açarak zararlarını talep edebilir.

 Sonuç olarak: “Sorumluluk, saldırıyı kimin yaptığı kadar, kimin engelleyemediğiyle de ilgilidir.”

Stj.Öğr. Esmanur AKTAŞ

, , , , , , , , ,

About Post Author

Leave a Reply

Open chat
Avukata İhtiyacım var
Powered by Joinchat
Merhaba
Hukuki Sorunuz nedir ?
Call Now Button