IT-право и право в сфере ИИ
Юридическая ответственность компаний за нарушения кибербезопасности в Турции
Опубликовано 14 июля 2026 г.·5 мин. чтения
Адв. Редакция Mona Hukuk - Анталья · Коллегия адвокатов Анталии
Кибератака — это никогда не просто технический кризис, а источник многоуровневой юридической ответственности. Компании часто упускают из виду последствия, выходящие за рамки уведомления Совета по защите данных: требования о возмещении ущерба со стороны клиентов, уголовное преследование злоумышленника, административные штрафы и ответственность совета директоров. Это руководство выходит за пределы 72-часовой обязанности уведомления по Закону о защите персональных данных Турции (KVKK) — которую мы рассматриваем в отдельном руководстве — и разъясняет реальные правовые риски, создаваемые нарушением кибербезопасности для компаний, на основе Обязательственного кодекса Турции (TBK) и Уголовного кодекса Турции (TCK).
Уведомление — это только начало
Уведомление о нарушении, требуемое статьёй 12 KVKK, не является единственным последствием инцидента. Поданное уведомление не освобождает компанию ни от возмещения ущерба клиентам, ни от уголовного преследования нарушителя, ни от административного штрафа. Эти последствия развиваются по независимым правовым линиям: уведомление — это административная обязанность; возмещение ущерба — обязательство частного права; а уголовное расследование ведётся прокурором в силу должностных полномочий. Поэтому стратегия после инцидента должна быть гораздо шире, чем заполнение формы уведомления.
Ответственность за возмещение ущерба клиентам и субъектам данных
Клиенты, чьи данные были раскрыты, могут требовать от компании возмещения понесённого материального и морального вреда. У такого требования есть два возможных правовых основания.
Договорная ответственность: Если между компанией и клиентом существуют отношения по оказанию услуг и договор содержит явное или подразумеваемое обязательство по безопасности данных, применяется статья 112 TBK. Согласно этой норме, если обязательство не исполнено надлежащим образом, должник обязан возместить убытки кредитора, если только не докажет, что вина не может быть ему вменена. Ключевой момент — перераспределение бремени доказывания: клиент не обязан доказывать вину компании; компания должна доказать, что приняла необходимые меры безопасности и была невиновна.
Деликтная ответственность: При отсутствии договорных отношений статья 49 TBK устанавливает, что тот, кто причиняет вред другому виновным и противоправным действием, обязан возместить этот вред. Недостаточная инфраструктура безопасности, необновлённые системы или пренебрежение контролем доступа могут установить вину компании. Кроме того, может возникнуть «ответственность работодателя» по статье 66 TBK: работодатель может нести ответственность за вред, причинённый его работником третьим лицам при выполнении работы, и освобождается от ответственности только доказав, что проявил должную осмотрительность при выборе и надзоре за работником и при организации рабочего процесса предприятия.
Уголовный аспект: составы преступлений по УК Турции
Уголовно-правовой аспект нарушения кибербезопасности направлен прежде всего против нарушителя. Выделяются три ключевые нормы TCK (Закон № 5237):
- Статья 243 TCK — Проникновение в информационную систему: Тот, кто противоправно проникает в информационную систему целиком или частично либо продолжает в ней находиться, наказывается лишением свободы на срок до одного года или судебным штрафом. Если в результате данные в системе уничтожаются или изменяются, наказание повышается до срока от шести месяцев до двух лет.
- Статья 244 TCK — Воспрепятствование или нарушение работы системы, уничтожение или изменение данных: Тот, кто препятствует или нарушает работу информационной системы, наказывается сроком от одного до пяти лет; тот, кто повреждает, уничтожает, изменяет, делает недоступными данные или передаёт их в другое место, — сроком от шести месяцев до трёх лет. Если деяние совершено в отношении системы банка, кредитного учреждения или государственного органа, наказание увеличивается наполовину.
- Статья 136 TCK — Противоправная передача или получение данных: Тот, кто противоправно передаёт, распространяет или получает персональные данные, наказывается лишением свободы на срок от двух до четырёх лет.
Хотя эти составы направлены прежде всего против злоумышленника, компания не полностью неприкосновенна. Работник или руководитель, умышленно или по грубой неосторожности способствующий нарушению, может рассматриваться как соучастник противоправного раскрытия данных; умышленная передача персональных данных третьим лицам может стать предметом расследования по статье 136 и в отношении должностных лиц компании.
Административные штрафы и киберстрахование
Административная санкция — это третье последствие, отдельное от возмещения ущерба и уголовного наказания. Согласно статье 18 KVKK, на контролёра данных, не выполнившего обязанности по безопасности данных, может быть наложен административный штраф, исчисляемый миллионами, который ежегодно пересматривается по установленному коэффициенту переоценки. Нарушение обязанности уведомления и непринятие мер безопасности данных являются самостоятельными категориями нарушений и могут наказываться раздельно.
Против этого нагромождения рисков киберстрахование становится всё более распространённым инструментом управления рисками. Хорошо структурированный полис может покрывать расходы на реагирование на инцидент, компьютерно-техническую экспертизу, требования третьих лиц о возмещении ущерба, а в некоторых случаях — расходы на защиту в связи с административными штрафами. Однако полисы содержат существенные исключения; умысел, грубая неосторожность или несоблюдение заявленных стандартов безопасности могут быть исключены из покрытия.
Корпоративное управление: подготовка до нарушения
Наиболее эффективный способ снизить ответственность — меры, принятые до нарушения. Подготовка плана реагирования на инциденты, шифрование данных, ограничение прав доступа и проведение регулярных тестов на проникновение имеют решающее значение как для технической устойчивости, так и для правовой защиты. Надзор за кибербезопасностью на уровне совета директоров и документирование принятых решений и мер критически важны для того, чтобы при необходимости доказать невиновность компании и её руководителей. Письменная фиксация принятых мер образует основу оправдательного доказательства как по статье 112, так и по статье 66 TBK.
Часто задаваемые вопросы
Наша компания уведомила Совет по защите данных; нужно ли делать что-то ещё? Да. Уведомление — это лишь административная обязанность. Риск возмещения ущерба клиентам, возможное уголовное преследование и административные штрафы не прекращаются с уведомлением; они требуют отдельной правовой стратегии.
Если атаку совершил внешний хакер, несёт ли компания ответственность? Возможно. Уголовная ответственность нарушителя не отменяет ответственности компании за возмещение ущерба клиентам. Если компания не сможет доказать, что приняла необходимые меры безопасности и была невиновна, она может остаться обязанной возместить убытки.
Может ли компания нести ответственность за утечку, вызванную работником? Да. Согласно статье 66 TBK, работодатель отвечает за вред, причинённый его работником третьим лицам при выполнении работы; он может освободиться от ответственности, только доказав должную осмотрительность при выборе, надзоре и организации работы.
Покрывает ли киберстрахование все убытки? Нет. Полисы различаются по объёму и исключениям. Умысел, грубая неосторожность или несоблюдение обещанных стандартов безопасности могут быть исключены из покрытия; юридическая проверка до заключения полиса важна.
Чем может помочь Mona Hukuk
Нарушения кибербезопасности порождают многоуровневую ответственность, которая начинается с уведомления и распространяется на возмещение ущерба и уголовное право. Как Mona Hukuk, мы помогаем компаниям с подготовкой планов реагирования на инциденты, оценкой правовых рисков после нарушения, защитой от требований клиентов о возмещении ущерба, представительством в уголовных процессах и юридической проверкой полисов киберстрахования.
Для консультации в Анталье вы можете написать на contact@monahukuk.com или позвонить по номеру +90 (242) 606 14 32.
Хотите еженедельный обзор изменений в турецком праве?
Уведомления Официальной газеты, судебные решения и изменения в законодательстве — еженедельно. Бесплатно, отписка в любое время.
Связанные статьи
IT-право и право в сфере ИИ
Споры о доменах .tr в Турции: руководство для иностранных брендов
2 июл. 2026 г. · 5 мин. чтения
Читать статьюIT-право и право в сфере ИИ
Соглашения об эскроу программного обеспечения в Турции
22 июн. 2026 г. · 6 мин. чтения
Читать статьюIT-право и право в сфере ИИ
VERBİS: Реестр операторов персональных данных в Турции
9 июн. 2026 г. · 4 мин. чтения
Читать статью