-
Pzt-Cum 09.00 - 18.30
Giriş: Çalışan Kaynaklı Dijital Risklerin Şirketler Açısından Hukuki Boyutu
Günümüzün dijitalleşen dünyasında şirketler, siber saldırıların yanı sıra iç tehditler olarak adlandırılan çalışan kaynaklı risklerle de yüzleşmektedir. Yapılan araştırmalar, veri güvenliğinin en zayıf halkasının genellikle insan faktörü olduğunu göstermektedir; kurum içi veri sızıntılarının büyük çoğunluğunun çalışan hatası veya kötü niyetiyle gerçekleştiği sabittir. Örneğin, 2025 yılına ilişkin bir ankette şirketlerin %21’inin o yıl içinde en az bir çalışan hatası veya kasıtlı eylemi sonucu veri sızıntısı yaşadığı görülmüştür. Bu vakalarda sızıntıların çoğu anlık mesajlaşma uygulamaları (%33) veya taşınabilir bellekler (%14) üzerinden cereyan etmektedir. Dahası, veri sızıntısı yaşayan şirketlerin büyük bir kısmında (yaklaşık %68) hem güvenlik çözümleri hem de uzman ekip bulunmasına rağmen halen ciddi ihlaller yaşanmaktadır. Bu bulgular teknolojik önlemlere rağmen çalışan farkındalığı ve organizasyonel denetim eksikliklerinin tehlikeli sonuçlar doğurabildiğine işaret etmektedir. Dolayısıyla şirketlerin risk yönetimi stratejilerinde çalışandan kaynaklı dijital tehditler göz ardı edilmemeli, teknik önlemler ve eğitimlerle birlikte kurumsal sorumluluk sınırları da titizlikle belirlenmelidir.
Bilişim Suçları Kavramı ve Çalışan Fiilleriyle Hukuki Kesişim Noktaları
Bilişim suçu, bilgisayar, cep telefonu, tablet gibi teknolojik araçlar veya elektronik ortamlar kullanılarak işlenen suçları ifade eder. TCK 243–246. maddeleri arasında düzenlenen “bilişim alanında suçlar”, örneğin bilişim sistemine izinsiz girme (TCK 243), sistemi bozma veya veriyi değiştirme (TCK 244) gibi suça konu fiilleri kapsar. Örneğin TCK m.243’e göre bir sistemin bütününe veya bir kısmına hukuka aykırı olarak giren kişi suç işlemiş kabul edilir. Öte yandan bir şirket çalışanı, kendi şirketinin ağına yasal izniyle girmişse bu fiil hukuka aykırı sayılmaz; fakat işten ayrıldıktan sonra eski şirketin sistemine girme veya yetki aşımı şeklindeki eylemler TCK 243 kapsamında suç oluşturabilir. TCK 244’te ise sisteme müdahale eden eylemler; örneğin bir çalışan bilgisayar virüsü yayarak şirket sistemini işlevsiz bırakırsa, “sistemi engelleme veya bozma” suçunu işlemiş olur. Bu fiillerin banka, kamu kurumu gibi özel sistemlerde işlenmesi halinde ceza artırılır.
Bilişim suçları arasında kişisel veri ve gizlilik ihlalleri de vardır. TCK 135–138 maddeleri, kişisel verileri korumaya yöneliktir. Örneğin TCK 135, “kişisel verileri hukuka aykırı olarak kaydetme” suçunu tanımlar; bu fiili işleyenlere 1–3 yıl hapis cezası öngörülmüştür. TCK 136 ise “kişisel verileri hukuka aykırı olarak başkasına verme, yayma veya ele geçirme” eylemlerini, 2–4 yıl hapis ile cezalandırır. TCK 138 ise bir yükümlü veriyi silmediğinde 1–2 yıl ceza öngörür. Örneğin bir çalışan, işverenden elde ettiği müşteri bilgilerini rızası olmaksızın kaydeder, başka birine verir veya silmeyi ihmal ederse bu maddeler devreye girer. Ayrıca, bir çalışanın görevi veya mesleki konumu gereği edindiği ticari sır ve özel nitelikli bilgiler yasalarca korunmaktadır; TCK 239’da “ticari sır niteliğindeki bilgi veya belgeleri yetkisiz kişilere ifşa eden” kişi 1–3 yıl hapis cezasıyla karşı karşıya kalacaktır. Dolayısıyla çalışanın işyeri sırlarını kötü niyetle ifşa etmesi halinde cezai sorumluluğu doğacaktır.
Sonuç olarak, bilişim suçları tanımına giren birçok fiil kurum içinden yapılırsa da cezai yaptırımlara tabidir. Bir çalışanın bir bilişim sistemine izinsiz girmesi TCK 243’ü ihlal etse de (örgüt içinden erişilse bile yetki dışıysa), eğer aynı çalışan veri değiştirir ya da silerse TCK 244’e, kişisel veriyi uygunsuz şekilde işler veya silmiyorsa TCK 135–138’e; ticari sır niteliğinde veri sızdırırsa TCK 239’a muhatap olur. Bu hükümler çalışan fiilleriyle bilişim suçları arasındaki kesişim noktalarını teşkil etmekte, şirketlerin iç güvenlik açığına karşı hukuki zeminde koruma sağlamaktadır.
Çalışan Kaynaklı Bilişim Suçlarında Şirketlerin Cezai ve Hukuki Sorumluluğu
Türk Ceza Kanunu m.20’ye göre ceza sorumluluğu şahsidir; kimse başkasının fiilinden dolayı sorumlu tutulamaz. Aynı kanunun devamında tüzel kişilerin aleyhine doğrudan ceza yaptırımı uygulanamayacağı ancak suç dolayısıyla yasada öngörülen güvenlik tedbirlerinin saklı olduğu ifade edilmektedir. TCK 60’da düzenlenen tedbirler, şirketlere sadece özel koşullarda uygulanır. Örneğin, faaliyet izni gerektiren bir iş kolunda şirket yetkililerinin iştirakiyle işlenen kasıtlı bir suç halinde, izne iptal kararı verilebilir. Ayrıca şirkete yarar sağladığı belirlenen suç gelirlerine ilişkin taşınır ve taşınmazların müsaderesi de şirketler hakkında uygulanabilir. Örneğin bir şirketin faaliyeti çerçevesinde işlenen uyuşturucu veya rüşvet gibi suçlarda şirket özel düzenlemelerde öngörülen yaptırımlarla karşılaşabilir. Ancak bu tedbirler yalnızca kanunda belirtilen suçlar ve koşullar gerçekleştiğinde söz konusudur ve hakimin takdir yetkisi bulunmaktadır.
Bu çerçevede ifade etmek gerekir ki şirketler doğrudan hapisle cezalandırılmaz. Bir bilişim suçu işlendiğinde sorumlu olan öncelikle fiili gerçekleştiren gerçek kişidir. Yani bir çalışan veya yönetici kendi eylemi nedeniyle ceza görür; şirket ise ancak yukarıdaki güvenlik tedbirleri kapsamında yaptırımla karşılaşır. Örneğin bir şirkette veri hırsızlığı suçu işlendiğinde fail çalışan hakkında TCK’ye göre ceza davası açılır, şirket ise suçtan elde edilen gelirlerin müsaderesine veya gerekirse faaliyet izinlerinin iptaline konu olabilir. Dolayısıyla kurumsal cezai sorumluluk, esasen “kendi adına işlenen suçlardan dolayı şirket lehine uygulanacak önlemler” kapsamında şekillenir.
Çalışan kaynaklı ihlallerin hukuki sonuçları da önemlidir. Öncelikle işçi-işveren ilişkisi çerçevesinde işçinin özen ve sadakat borcu vardır. TBK 396’da düzenlenen bu yükümlülüğe göre “işçi, yüklendiği işi özenle yapmak ve işverenin haklı menfaatinin korunmasında sadakatle davranmak zorundadır”. İşçinin bu borca aykırı davranışları nedeniyle işverene verdiği zararı, TBK 397 uyarınca tazmin etmesi gerekir. Nitekim TBK 400/1’e göre “işçi, işverene kusuruyla verdiği her türlü zarardan sorumludur”; dolayısıyla ihmal veya kast sonucu zarar doğuran işçi, ortaya çıkan maddi ve manevi zararı ödemekle yükümlüdür.
İş Kanunu m.25/II’de ise iş akdinin haklı nedenle derhal fesih halleri sayılmıştır. Bu hüküm çerçevesinde, işçinin işverenin güvenini sarsıcı davranışlar (örneğin hırsızlık, dolandırıcılık, silahlı tehdit, cinsel taciz, gizli ek iş yapma vb.) işveren tarafından görülürse işveren derhal fesih yapabilir. Özellikle 25/II-ı bendi, “işçinin kendi isteği veya savsamasıyla işin güvenliğini tehlikeye düşürmesi, işyerinin malına veya kendine emanet edilen eşyalara hasar ve kayıp vermesi” halinde, zararın işçinin 30 günlük ücretini aşması durumunda derhal fesih hakkı tanır. Bu durumda işçi kıdem ve ihbar tazminatı hakkını kaybeder. Örneğin işyerindeki bir makineyi kasten bozarak büyük zarar veren çalışan hakkında bu madde uygulanır. İşveren ayrıca bu zararı TBK kapsamında rücu yoluyla talep edebilir.
Bir çalışan aynı zamanda ticari sır niteliğindeki bilgileri kötüye kullandıysa, TBK 419/2’ye göre bu fiilden dolayı şirket rızası ile veya sözleşme ile suçlu duruma düşmese de sözleşme öncesinde imzalanan gizlilik yükümlülüğü (örneğin gizlilik sözleşmesi, rekabet yasağı taahhütnamesi vb.) varsa bu bağlamda tazminat talep edilebilir. Ayrıca, işçinin sözleşme süresi içinde rakip bir teşebbüs için çalışması veya gizli bilgileri bu şekilde kullanması, TBK’nın rekabet yasağı hükümlerini ihlal edecektir. Buna benzer şekilde, iş sözleşmesi sırasında elde edilen üretim ve iş sırlarını sözleşme sona erse bile açıklamama yükümlülüğü mevcuttur.
Örnek uygulama: Diyelim bir muhasebe elemanı, işyerinin müşteri veritabanını izinsiz kopyalayıp rakip bir firmaya sattı. Bu durumda işveren, önce iş Kanunu uyarınca derhal fesih hakkına sahip olur (gizlilik yükümlülüğüne ve şirketin çıkarlarına zarar veren davranış). Ardından çalışan hakkında TCK 239 (ticari sırların açıklanması) veya KVKK hükümleri kapsamında suç duyurusunda bulunulabilir. Öte yandan işveren, TBK 396, 400 çerçevesinde çalışandan uğradığı zararın tazminini talep eder.
Dolayısıyla Türk Borçlar Kanunu ve İş Kanunu, işçinin işverene karşı sadakat ve sır saklama borcunu açık şekilde düzenlemekte; bu borçların ihlali halinde doğacak hukuki sonuçları somutlaştırmaktadır. İşçinin, görevini ifa ederken veya görevinden kaynaklanan imkanları kullanarak işverene ait ticari sırları, müşteri bilgilerini veya bilişim sistemlerine ilişkin verileri izinsiz şekilde kullanması ya da üçüncü kişilere aktarması, işveren açısından haklı nedenle derhal fesih sebebi oluşturur. Bu tür ihlallerde işçi, kıdem ve ihbar tazminatı talep edemeyeceği gibi, işverenin uğradığı doğrudan ve dolaylı zararları tazmin etmekle de yükümlü hale gelir. Bununla birlikte, çalışanın hukuka aykırı fiili rakip bir teşebbüs lehine gerçekleşmişse veya işverenin piyasa konumunu zayıflatıcı nitelik taşıyorsa, haksız rekabet hükümleri devreye girer ve ayrıca tazminat talepleri gündeme gelir. Benzer şekilde, yazılım, veri tabanı veya diğer fikri ürünlerin izinsiz kullanımı yahut paylaşımı halinde fikri mülkiyet mevzuatı uyarınca ayrı hukuki sorumluluklar doğar. Bu çerçevede çalışan kaynaklı hukuka aykırı fiiller, yalnızca iş sözleşmesinin sona ermesiyle sınırlı kalmamakta; maddi ve manevi tazminat yükümlülükleri, rekabet yasağına aykırılık yaptırımları ve fiilin niteliğine göre ceza soruşturmasına konu olabilecek sonuçlar doğurmaktadır.
Son olarak, çalışan kaynaklı bilişim suçlarında şirketler her zaman yalnızca sorumluluk tartışmasının konusu değildir; birçok durumda suçtan doğrudan zarar gören taraf olarak ceza soruşturmasında yer alırlar. Her ne kadar tüzel kişiler ceza yargılamasında sanık sıfatı taşıyamasa da, şirketler bilişim sistemlerine izinsiz erişim, veri silme, ticari sırların sızdırılması veya müşteri bilgilerinin hukuka aykırı şekilde ele geçirilmesi gibi fiillerde mağdur veya şikayetçi sıfatıyla ceza soruşturmasına dahil olabilir. Bu sıfatla şirketler, soruşturmanın başlatılmasını talep etme, delil sunma, dijital inceleme ve el koyma süreçlerine katılma gibi usuli haklara sahiptir. Uygulamada ise şirketlerin yalnızca iç disiplin ve tazminat yollarına odaklanarak ceza soruşturmasındaki bu konumlarını pasif bırakmaları, delillerin geç toplanmasına ve soruşturmanın etkin yürütülememesine yol açabilmektedir. Bu nedenle çalışan kaynaklı bilişim suçlarında şirketlerin, ceza soruşturmasındaki mağdur veya şikayetçi konumlarını bilinçli ve stratejik biçimde değerlendirmeleri, hukuki korumanın etkinliği açısından önem taşımaktadır.
KVKK ve Özel Mevzuat Kapsamında Şirketlerin Veri Güvenliği Sorumluluğu
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), şirketlere veri güvenliği yükümlülükleri getirmektedir. Kanunun 12. maddesi, veri sorumlularını; kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamakla yükümlü kılmaktadır. Bu bağlamda KVKK, şirketlerin çalışan kaynaklı veri ihlallerine karşı da önlem almasını öngörür. KVKK 12/3 uyarınca şirketler bu yükümlülükleri yerine getirmek için “uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri” almak zorundadır. Buna göre güçlü şifreleme, erişim kontrolü, ağ güvenliği, izleme-sayma sistemleri, yedekleme politikaları ve sızma testleri gibi tedbirler alınmalıdır. Örneğin şirket içindeki sunuculara ve veri tabanlarına erişim ayrıcalıklarına dikkat edilmeli, çalışanlara rol bazlı erişim verilmeli, bilinmeyen USB aygıtlarının kullanımına izin verilmemelidir. Gerekirse bu hususta uzman bir avukattan KVKK’ya uyum hususunda destek alınmalıdır.
Kişisel Verilerin Korunması Kanunu’nun 12/5. maddesi uyarınca, kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde veri sorumlusu, bu durumu en kısa sürede Kişisel Verileri Koruma Kurumu’na ve ihlalden etkilenen ilgili kişilere bildirmekle yükümlüdür. Bu yükümlülük, ihlalin bir çalışan, yönetici veya IT personeli tarafından gerçekleştirilmiş olması halinde dahi ortadan kalkmaz ve doğrudan veri sorumlusu sıfatını taşıyan şirketi bağlar. Bildirim yükümlülüğünün yerine getirilmemesi veya gecikmeli şekilde yerine getirilmesi halinde, Kanun’un 18. maddesi uyarınca veri güvenliğine ilişkin yükümlülüklerin ihlali nedeniyle veri sorumlusu hakkında idari para cezası uygulanır. Ayrıca, kişisel verilerin hukuka aykırı olarak ele geçirilmesi, paylaşılması veya ifşa edilmesi fiilleri Türk Ceza Kanunu’nun 135 ve devamı maddeleri kapsamında suç teşkil ettiğinden, fiili gerçekleştiren gerçek kişiler hakkında ceza soruşturması yürütülmesi de mümkündür.
Kişisel verilerin korunmasına ilişkin yükümlülükler yalnızca KVKK ile sınırlı değildir; faaliyet gösterilen sektöre göre özel düzenlemeler de şirketler bakımından bağlayıcıdır. Bankacılık ve finans sektöründe 5411 sayılı Bankacılık Kanunu, sağlık alanında ise 3359 sayılı Sağlık Hizmetleri Temel Kanunu ve ilgili ikincil mevzuat, kişisel ve özel nitelikli verilerin gizliliğine ilişkin özel yükümlülükler öngörmektedir. Bunun yanında 5809 sayılı Elektronik Haberleşme Kanunu haberleşmenin gizliliği ve işletme sırlarının korunmasına ilişkin hükümler içerirken, 6102 sayılı Türk Ticaret Kanunu da ticari sırların korunmasını ve haksız rekabet yasağını düzenlemektedir. Bu düzenlemeler uyarınca şirketler yalnızca genel veri güvenliği önlemleri almakla yetinemez; faaliyet alanlarına özgü yükümlülükleri de yerine getirmek zorundadır. Ayrıca Kişisel Verileri Koruma Kurulu tarafından yayımlanan veri güvenliğine ilişkin rehberler ve ilke kararları, KVKK’nın 12. maddesinde öngörülen yükümlülüklerin somutlaştırılması niteliğinde olup, kurul denetimlerinde teknik ve idari tedbirlerin yeterliliği bu metinler esas alınarak değerlendirilmektedir.
KVKK ve ilgili mevzuat uyarınca şirketler, kişisel verilerin güvenliğini sağlamak için proaktif teknik ve idari tedbirler almakla yükümlüdür; bu yükümlülüklerin ihlali, şirketin hukuki ve idari sorumluluğunu doğrudan artırır. Yeterli güvenlik altyapısını kurmayan veya çalışanlara gerekli veri güvenliği eğitimlerini vermeyen kurumlar, veri ihlali halinde hem KVKK kapsamında idari para cezalarıyla hem de veri sahiplerinin tazminat talepleriyle karşı karşıya kalabilir. Bu nedenle şirketlerin, çalışan kaynaklı siber riskleri dikkate alan KVKK uyumlu politikaları hayata geçirmesi ve Kanun’un öngördüğü yükümlülükleri eksiksiz yerine getirmesi zorunludur.
Son olarak ifade edelim ki çalışan kaynaklı bilişim riskleri bakımından şirketlerin sorumluluğu yalnızca ihlal anına indirgenemez; ihlal öncesinde kurulan iç denetim ve organizasyonel yapılar da hukuki değerlendirmede belirleyici rol oynar. Mevzuatta açıkça “uyum programı” veya “compliance” kavramı her zaman isimlendirilmiş olmasa da, şirketlerden beklenen davranış standardı fiilen bu çerçevede şekillenmektedir. Erişim yetkilerinin sınırlandırılması, görev tanımlarının netliği, denetim zincirinin işletilmesi ve raporlama mekanizmalarının kurulması, hem KVKK hem de siber güvenlik mevzuatı bakımından makul özenin göstergesi olarak kabul edilir. Bu yapıların hiç kurulmaması veya kağıt üzerinde bırakılması halinde, çalışan tarafından işlenen fiil bireysel görünse dahi şirketin organizasyonel ihmali gündeme gelebilir. Dolayısıyla iç denetim ve uyum mekanizmaları, yalnızca teknik bir tercih değil, doğrudan hukuki sorumluluğu etkileyen yapısal unsurlardır.
12/03/2025 Tarihli 7545 Sayılı Siber Güvenlik Kanunu Kapsamında Şirketlerin İdari ve Cezai Yükümlülükleri
Mart 2025’te yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu, Türkiye’de kritik altyapı işletmecileri ile kamu dışı özel sektör kuruluşları bakımından doğrudan bağlayıcı yeni idari ve cezai yükümlülükler getirmiştir. Kanun’un amacı, özellikle iletişim, enerji, finans, sağlık ve savunma sanayi gibi kritik sektörlerde faaliyet gösteren kuruluşların siber dayanıklılığını artırmak ve siber riskleri önleyici bir güvenlik rejimi oluşturmaktır. Bu kapsamda kurulan Siber Güvenlik Başkanlığı; siber güvenlik standartlarını belirleme, denetleme ve siber olaylara müdahale süreçlerini koordine etme yetkisiyle donatılmıştır. Kanun, şirketleri yalnızca gerçekleşmiş saldırılar bakımından değil, henüz gerçekleşmemiş risklere karşı da önlem alma yükümlülüğü altına sokmaktadır.
Kanun uyarınca şirketler, milli güvenlik, kamu düzeni ve kamu hizmetlerinin sürekliliği amacıyla mevzuatta öngörülen siber güvenlik tedbirlerini almak, faaliyet alanlarında tespit ettikleri zafiyetleri ve siber olayları gecikmeksizin Siber Güvenlik Başkanlığı’na bildirmekle yükümlüdür. Ayrıca kritik altyapılarda ve kamu kurumlarıyla ilişkili sistemlerde kullanılacak siber güvenlik ürün ve hizmetlerinin, Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş kişi veya kuruluşlardan temin edilmesi zorunludur. Bu yükümlülüklerin ihlali halinde, kişisel veya kurumsal verilerin hukuka aykırı şekilde sızdırılması ya da gerekli idari ve teknik tedbirlerin alınmaması durumunda şirketler hakkında 100 milyon TL’ye kadar idari para cezası uygulanabilmektedir. Bununla da sınırlı olmaksızın, denetime tabi şirketlerin denetim sırasında gerekli önlemleri almaması halinde, yıllık brüt satış hasılatının yüzde beşine kadar idari para cezası öngörülmüştür.
Kanun, idari sorumluluğu yalnızca sonuç odaklı olarak değil, denetim sürecine ilişkin davranışlar bakımından da düzenlemiştir. Denetim süreçlerini kasten engelleyen, gerekli bilgi ve belgeleri sunmayan veya Siber Güvenlik Başkanlığı ile iş birliği yapmayan şirketler hakkında ayrıca yaptırım uygulanır. Siber olaylara müdahale incelemeleri sırasında log kayıtlarının paylaşılmaması veya teknik iş birliğinden kaçınılması, doğrudan kanuna aykırılık teşkil eder. Bunun yanında, Kanun bazı ağır ihlaller bakımından 15 yıla kadar hapis cezası öngörerek, siber güvenliği yalnızca idari bir uyum alanı olmaktan çıkarmış ve ceza hukuku ile doğrudan ilişkilendirmiştir.
Sonuç itibarıyla, Siber Güvenlik Kanunu kapsamında şirketlerin sorumluluğu, somut olayda makul teknik ve idari tedbirlerin alınıp alınmadığı üzerinden değerlendirilir. Olağanüstü nitelikte bir siber saldırı karşısında dahi, güncel güvenlik önlemlerinin mevcut olması ve denetim belgelerinin eksiksiz sunulması halinde şirket yöneticilerinin sorumluluğu sınırlanabilir. Buna karşılık, ihlal sonrası yapılan denetimlerde güvenlik açıkları ve organizasyonel eksiklikler tespit edilirse idari para cezaları ve cezai yaptırımlar kaçınılmaz hale gelir. Bu nedenle özellikle kritik sektörlerde faaliyet gösteren şirketler bakımından, Siber Güvenlik Kanunu’na uyum artık tercihe bağlı bir güvenlik politikası değil, doğrudan hukuki sorumluluk alanıdır. Bu hususta gerekirse hukuki destek alınmalıdır.
Şirket Yöneticileri ve Temsilcilerin Kişisel Sorumluluğu
Tüm yukarıdaki düzenlemeler çerçevesinde, şirketin beyin takımı olarak yöneticiler ve temsilciler de kendi şahsi sorumluluklarına dikkat etmelidir. TCK m.20’nin 2. fıkrası gereğince tüzel kişiler ceza yaptırımı altına alınamazken, gerçek kişiler (yani yöneticiler) bu düzlemin dışındadır. Bu demektir ki bir şirket adına işlenen bilişim suçlarından fiili gerçekleştirenlere ek olarak, suça karışan yönetim kademesindeki gerçek kişiler de kendi kusur ve kastlarıyla sorumlu tutulur. Örneğin şirketin IT müdürü, yetkisi olmadan sistem kayıtlarına müdahale ederse TCK 243 ve 244 açısından fail sayılır. Daha ziyade ihmal riski açısından, şirketin güvenlik standartlarını uygulamamasından veya mevzuat denetimlerinde işbirliği yapmamasından dolayı sorumlu tutulma durumu gündeme gelir.
Yöneticilerin şahsi sorumluluğunun hangi noktada doğacağı, ceza hukuku genel hükümleri çerçevesinde değerlendirilir. Türk Ceza Kanunu’nun 22 ve 23. maddeleri uyarınca, bir yöneticinin cezai sorumluluğu ancak kast veya taksirle hareket etmesi halinde söz konusu olur. Bu çerçevede, yöneticinin bizzat bilişim suçunu işlemesi halinde doğrudan fail olarak sorumluluğu tartışmasızdır. Ancak uygulamada daha sık karşılaşılan durum, yöneticinin fiili gerçekleştirmemiş olmakla birlikte, denetim ve gözetim yükümlülüğünü ihmal etmesi nedeniyle suçun meydana gelmesine zemin hazırlamasıdır. Özellikle KVKK ve siber güvenlik mevzuatı kapsamında alınması zorunlu tedbirlerin bilerek veya öngörülebilir bir risk olmasına rağmen ihmal edilmesi halinde gerçekleşen ihlal ile yöneticinin davranışı arasında nedensellik bağı kurulabilirse, taksirle işlenen suçtan dolayı cezai sorumluluk gündeme gelebilir.
Bu bağlamda, bir yöneticinin yalnızca talimat vermemiş veya doğrudan müdahale etmemiş olması, ceza sorumluluğunu otomatik olarak ortadan kaldırmaz. Şirket bünyesinde veri güvenliği süreçlerinin kurulmasından, denetim mekanizmalarının işletilmesinden ve mevzuata uyumun sağlanmasından sorumlu olan yöneticilerin bu hususlardaki açık ihmal ve kayıtsızlıkları, ceza hukuku bakımından korunmaz. Özellikle açık ve bilinen siber risklere rağmen denetim yaptırılmaması, güvenlik açıklarının raporlanmasına rağmen gerekli önlemlerin alınmaması veya denetim mercileriyle işbirliğinden kaçınılması, yöneticinin taksirle sorumluluğuna dayanak oluşturabilir.
Öte yandan, yöneticilerin sorumluluğu yalnızca ceza hukuku ile sınırlı değildir. Türk Borçlar Kanunu uyarınca yöneticiler, görevlerini yerine getirirken şirkete karşı özen borcu altındadır ve şirketin malvarlığını, ticari itibarını ve hukuki güvenliğini korumakla yükümlüdür. Bu özen borcunun ihlali halinde, şirketin uğradığı zararların yöneticilere rücu edilmesi mümkündür. Çalışan kaynaklı bilişim suçlarının, yöneticinin denetim eksikliği veya organizasyonel ihmali sonucu gerçekleştiğinin tespiti halinde, şirketin üçüncü kişilere ödediği tazminatların yöneticilere yansıtılması da hukuken gündeme gelebilir. Bu yönüyle yöneticiler bakımından siber güvenlik ve veri koruma yükümlülükleri, soyut bir uyum meselesi olmaktan çıkmış; doğrudan şahsi malvarlığını ve özgürlük alanını etkileyen somut bir hukuki risk alanına dönüşmüştür.
Uygulamada Karşılaşılan Durumlar
Pratikte şirketler, çok sayıda iç kaynaklı dijital risk ile karşı karşıya kalmaktadır. Bu risklerin başında, yüksek maliyetli teknolojik yatırımlara rağmen yeterince izlenmeyen ve yönetilemeyen insan kaynaklı hatalar gelmektedir. Aralık 2025 itibarıyla paylaşılan sektörel verilere göre, mesajlaşma uygulamaları (WhatsApp, Telegram ve benzeri platformlar) veri sızıntılarının yaklaşık üçte birinden sorumludur; taşınabilir depolama aygıtları, özellikle USB bellekler ise önemli bir diğer risk alanını oluşturmaktadır. Bu veriler, çalışanların günlük ve çoğu zaman “zararsız” görülen iletişim alışkanlıkları veya harici belleklere yapılan kontrolsüz kopyalamalar yoluyla, farkında olmadan büyük ölçekli veri ihlallerine neden olabildiklerini ortaya koymaktadır. Nitekim güvenlik çözümleri ve uzman ekipleri bulunan kurumların dahi önemli bir bölümünün veri sızıntısı yaşadığı; buna rağmen alınan tedbirlerin uygulamada yeterince etkin işletilemediği görülmektedir. Bu durum teknik araçlara sahip olmanın tek başına yeterli olmadığını, asıl meselenin bu araçların doğru yapılandırılması, sürekli izlenmesi ve insan faktörüyle uyumlu şekilde yönetilmesi olduğunu açıkça göstermektedir.
Öte yandan iç tehditler çoğu zaman tekil ve izole olaylar olarak ortaya çıkmamaktadır. Yapılan araştırmalar, siber güvenlik ihlali yaşayan şirketlerin önemli bir kısmının eş zamanlı olarak ekipman hırsızlığı, gizli yan işler, rakip firmalarla çıkar ilişkileri veya yetkisiz bilgi paylaşımı gibi başka iç risklerle de karşılaştığını ortaya koymaktadır. Bu tür vakalar, bir ihlalin genellikle başka ihlallerin de habercisi olduğunu ve iç tehditlerin çok katmanlı bir yapı sergilediğini göstermektedir. Örneğin muhasebe biriminde çalışan bir kişinin kasıtlı olarak güvenlik duvarını devre dışı bırakıp banka bilgilerini ele geçirmesi halinde, aynı çalışanın şirket ekipmanlarını izinsiz kullandığı veya başka bir işverene bilgi sağladığının da sonradan ortaya çıkması sık rastlanan bir durumdur. Bu nedenle dijital ihlaller değerlendirilirken, fiziksel güvenlik açıkları, çalışan davranışları ve işyeri disiplinine ilişkin risklerin de birlikte ele alınması gerekir.
Genel risk haritasında, çalışan hataları ve farkındalık eksikliği belirleyici bir yer tutmaktadır. Kimlik avı e-postaları yoluyla çalışanın farkında olmadan zararlı yazılım indirmesi, kısa sürede fidye yazılımı saldırısına dönüşebilmektedir. Yeterli eğitim almamış bir çalışanın sosyal mühendislik saldırısına maruz kalması halinde ise, şirketin müşterilerine veya iş ortaklarına ait kişisel veriler kolaylıkla ifşa edilebilmektedir. Yetkilendirme ve erişim kontrollerinin doğru şekilde yapılmadığı sistemlerde, basit bir USB bağlantısının dahi tüm ağa yayılan zararlı yazılımlara yol açabildiği görülmektedir. Bu tür senaryolarda ihlalin temel nedeni çoğu zaman teknik yetersizlikten ziyade, denetim eksikliği ve insan faktörünün göz ardı edilmesi olmaktadır.
Bu çerçevede şirketlerin, “güvenlik yazılımına veya birime sahip olmanın her zaman yeterli olmadığı” gerçeğini kabul etmeleri gerekir. Yüksek teknoloji, tek başına ihlalleri önlemeye yeterli olmamakta; iletişim kanallarının izlenmesi, erişimlerin sürekli kontrol altında tutulması ve insan hatasını azaltmaya yönelik düzenli eğitimlerin verilmesi zorunlu hale gelmektedir. Bunun yanında bulut hizmetleri veya dış tedarikçilerle yürütülen iş birlikleri de ilave riskler doğurabileceğinden, güvenlik politikalarının yalnızca teknik önlemlerle sınırlı kalmaması; organizasyonel ve kurumsal kültüre ilişkin tedbirleri de kapsaması gerekir.
Şirket yönetimlerinin, bu riskleri soyut başlıklar halinde değil, somut ve ölçülebilir biçimde ele alması gerekir. Bu amaçla oluşturulacak bir risk haritası potansiyel tehditlerin sınıflandırılmasını, önceliklendirilmesini ve her bir risk için ayrı tedbir planları geliştirilmesini sağlar. Veri sınıflandırması yapılarak hangi bilgilerin ticari sır veya kişisel veri niteliğinde olduğunun belirlenmesi, bu verilere erişim süreçlerinin sıkılaştırılması ve yetki sınırlarının açıkça tanımlanması riskleri önemli ölçüde azaltır. Aynı şekilde çalışanlara düzenli siber güvenlik eğitimleri verilmesi ve oltalama ile sosyal mühendislik saldırılarına karşı farkındalık oluşturulması, uygulamada en etkili önleyici araçlar arasında yer almaktadır.
Son olarak, çalışan kaynaklı bilişim suçlarında hukuki ve cezai süreçlerin kritik aşamalarından biri, delillerin doğru şekilde tespiti ve korunmasıdır. Dijital log kayıtları, erişim geçmişleri, e-posta ve mesajlaşma verileri gibi teknik unsurlar, hem ceza soruşturmasında hem de tazminat davalarında belirleyici nitelik taşır. Ancak bu tür delillerin usule aykırı şekilde elde edilmesi veya geç müdahale nedeniyle kaybolması, şirketin hak arama imkanını ciddi biçimde zayıflatabilir. Uygulamada sıkça karşılaşılan sorunlardan biri, şirketlerin iç inceleme ile adli süreç arasındaki sınırı doğru kuramaması ve delil bütünlüğünü bozacak müdahalelerde bulunmasıdır. Bu nedenle çalışan kaynaklı bilişim ihlallerinde, teknik inceleme, iç soruşturma ve hukuki başvuruların eşgüdüm içinde yürütülmesi; delil yönetiminin baştan itibaren hukuki sonuçları gözetilerek planlanması gerekir.
Sonuç: Kurumsal Sorumluluk, Önleyici ve Sürdürülebilir Güvenlik Yaklaşımı
Sonuç olarak şirketlerin, çalışan kaynaklı dijital suç ve ihlallerden korunabilmesi için çok katmanlı ve bütüncül bir strateji geliştirmesi zorunludur. Bu kapsamda teknik önlemler ile idari önlemler birbirinden bağımsız değil, birlikte ve uyumlu şekilde uygulanmalıdır. Güçlü şifre politikaları, zararlı yazılımlara karşı koruma sistemleri, veri kaybını önleme çözümleri, ağ segmentasyonu ve düzenli yedekleme gibi teknik tedbirler; açık ve uygulanabilir güvenlik politikaları, erişim yetkilendirmelerinin sınırlandırılması ve sürekli iç denetim mekanizmalarıyla desteklenmelidir. Bununla birlikte çalışanların yalnızca teknik riskler konusunda değil, ihlal halinde doğabilecek disiplin süreçleri ve tazminat sorumluluğu hakkında da düzenli olarak bilgilendirilmesi gerekir. Ayrıca iş sözleşmelerinde işçi sırrı, gizlilik ve rekabet yasağı hükümlerinin şirket lehine açık ve tereddüde yer vermeyecek şekilde düzenlenmesi, önleyici hukuki korumanın önemli bir parçasını oluşturur.
Öte yandan şirketlerin güvenlik yatırımlarını ve risk yönetimi politikalarını mevzuatın öngördüğü makul özen sınırları içinde tutması da önemlidir. Güncel mevzuatla belirlenen asgari standartlara uyum zorunlu olmakla birlikte, bu sınırların ölçüsüz şekilde aşılması her zaman etkin bir koruma sağlamayabilir ve kaynak israfına yol açabilir. Ceza hukuku bakımından Türk Ceza Kanunu’nun 20. maddesi uyarınca cezai sorumluluğun gerçek kişilere ait olduğu dikkate alındığında, şirketler açısından asıl risk alanı; yönetimin bilinçli ihmali, denetim eksikliği veya sistematik tedbirsizlik nedeniyle ortaya çıkabilecek idari yaptırımlar ve güvenlik tedbirleridir. Bu çerçevede kurumsal sorumluluk, şirket adına ceza ödemekten ziyade, hukuka uygun ve önleyici bir organizasyon yapısı kurmak anlamına gelmektedir.
Bu noktada unutulmaması gereken temel ilke şudur: Çalışan kaynaklı bilişim suçlarıyla karşılaşılması halinde, suçu işleyen çalışan bireysel olarak cezai sorumluluk altına girer. Şirket ise ancak kendi ihmal ve tedbirsizliği ölçüsünde idari yaptırımlarla veya tazminat talepleriyle muhatap olur. İş Kanunu ve Türk Borçlar Kanunu kapsamındaki haksız fiil hükümleri, işverene uğradığı zararı talep etme imkanı tanırken; veri ihlali gibi durumlarda üçüncü kişilerin de şirket aleyhine taleplerde bulunabilmesi mümkündür. Bu nedenle şirket üst yönetimlerinin, risk haritalarında en yüksek tehdit alanlarını belirlemesi, bu haritaları düzenli olarak güncellemesi ve çalışanları sürece aktif biçimde dahil ederek kurumsal bir güvenlik kültürü oluşturması gerekir. Gerektiğinde profesyonel destek alınması da bu sürecin doğal bir parçasıdır. Ancak bu tedbirlerin etkinliği, yalnızca bir güvenlik çözümüne sahip olmaktan değil, bu çözümlerin doğru şekilde konumlandırılması ve süreklilik içinde işletilmesinden kaynaklanır.
Son kertede, şirketlerin güvenlik önlemleri ile hukuki yükümlülüklerini birbirinden kopuk değil, uyumlu ve eş zamanlı biçimde yürütmesi esastır. İyi yapılandırılmış bir güvenlik altyapısı ile bilinçli ve eğitilmiş bir insan kaynağı, hem iş sürekliliğini güvence altına alır hem de bilişim suçlarının caydırılmasına katkı sağlar. Kanunların belirlediği sınırlar içinde önlem almak ve ihmalden kaçınmak, şirketler açısından artık bir tercih değil zorunluluktur. Aksi halde şirket, hem çalışanının işlediği bilişim suçundan kaynaklanan tazminat talepleriyle hem de düzenleyici kurumlar tarafından uygulanabilecek ağır idari yaptırımlarla karşı karşıya kalabilir. Bu nedenle tüm organizasyonun, siber risklere karşı ortak bir bilinçle hareket etmesi ve kurumsal sorumluluğun sınırlarını açık biçimde kavraması gerekmektedir.
Bu makale ve içeriğindeki tüm yazılanlar, yazarın telif hakkı koruması altındadır ve yazarın yazılı izni olmaksızın bu makalenin herhangi bir bölümü, elektronik, mekanik, fotokopi, kayıt veya başka herhangi bir yöntemle kopyalanamaz, çoğaltılamaz, dağıtılamaz veya saklanamaz. İzin alınmadan yapılacak her türlü kullanım, telif hakkı ihlali sayılacak ve yasal işlem başlatılacaktır. İçerik yalnızca genel bilgilendirme amaçlıdır, hukuki danışmanlık yerine geçmez ve doğabilecek zararlardan yazar sorumlu tutulamaz.
Tüm hakları saklıdır. © 2026, Av. Buğra Topaktaş