Bilişim & Yapay Zekâ Hukuku
Siber Güvenlik İhlallerinde Şirketlerin Hukuki Sorumluluğu
Yayın tarihi 14 Temmuz 2026·5 dk okuma
Av. Mona Hukuk Editör Ekibi - Antalya · Antalya Barosu
Bir siber saldırı yalnızca teknik bir kriz değil, çok katmanlı bir hukuki sorumluluk kaynağıdır. Şirketler genellikle ihlali KVK Kurulu'na bildirmenin ötesindeki sonuçları gözden kaçırır: müşterilere karşı tazminat davaları, faili hedef alan cezai süreçler, idari para cezaları ve yönetim kurulunun sorumluluğu. Bu rehber, KVKK'daki 72 saatlik bildirim yükümlülüğünün ötesine geçerek — bu konuyu ayrı bir rehberde ele aldık — siber güvenlik ihlalinin şirketler için doğurduğu asıl hukuki riskleri Türk Borçlar Kanunu (TBK) ve Türk Ceza Kanunu (TCK) ekseninde açıklamaktadır.
Bildirim Yükümlülüğü Sadece Başlangıçtır
KVKK m.12 kapsamındaki ihlal bildirimi, ihlalin doğurduğu tek sonuç değildir. Bildirim yapılmış olması, şirketi müşterilere karşı doğan tazminat borcundan, faile yönelik cezai süreçten veya idari para cezasından kurtarmaz. Bu sonuçlar birbirinden bağımsız hukuki hatlar üzerinde işler: bildirim bir idare hukuku ödevidir; tazminat bir özel hukuk borcudur; ceza soruşturması ise savcılık tarafından resen yürütülür. Bu nedenle ihlal sonrası strateji, yalnızca bildirim formunu doldurmaktan çok daha kapsamlı olmalıdır.
Müşteri ve İlgili Kişilere Karşı Tazminat Sorumluluğu
Verileri sızan müşteriler, uğradıkları maddi ve manevi zararlar için şirkete karşı tazminat talep edebilir. Bu talebin iki olası hukuki temeli vardır.
Sözleşmesel sorumluluk: Şirket ile müşteri arasında bir hizmet ilişkisi varsa ve sözleşme veri güvenliğine ilişkin açık ya da zımni bir taahhüt içeriyorsa, TBK m.112 devreye girer. Bu hükme göre borç gereği gibi ifa edilmezse, borçlu kendisine hiçbir kusurun yüklenemeyeceğini ispat etmedikçe alacaklının zararını gidermekle yükümlüdür. Kritik nokta, ispat yükünün tersine dönmesidir: müşterinin şirketin kusurunu kanıtlaması gerekmez; şirketin gerekli güvenlik tedbirlerini aldığını ve kusursuz olduğunu kanıtlaması gerekir.
Haksız fiil sorumluluğu: Sözleşmesel bir ilişki yoksa, TBK m.49 uyarınca kusurlu ve hukuka aykırı bir fiille başkasına zarar veren, bu zararı gidermekle yükümlüdür. Yetersiz güvenlik altyapısı, güncellenmemiş sistemler veya ihmal edilen erişim kontrolleri, şirketin kusurunu ortaya koyabilir. Ayrıca TBK m.66 kapsamında "adam çalıştıranın sorumluluğu" gündeme gelebilir: bir çalışanın işini yaparken üçüncü kişilere verdiği zarardan işveren de sorumlu tutulabilir; işveren ancak çalışanı seçerken, denetlerken ve işletmenin çalışma düzenini kurarken gerekli özeni gösterdiğini ispat ederse sorumluluktan kurtulur.
Cezai Boyut: TCK Kapsamındaki Suçlar
Siber güvenlik ihlallerinin ceza hukuku boyutu esas olarak faili hedef alır. TCK'da (5237 sayılı Kanun) üç temel hüküm öne çıkar:
- TCK m.243 — Bilişim sistemine girme: Bir bilişim sisteminin bütününe veya bir kısmına hukuka aykırı olarak giren ya da orada kalmaya devam eden kişiye bir yıla kadar hapis veya adli para cezası verilir. Bu fiil nedeniyle sistemdeki veriler yok olur veya değişirse ceza altı aydan iki yıla kadar hapse yükselir.
- TCK m.244 — Sistemi engelleme, bozma, verileri yok etme veya değiştirme: Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi bir yıldan beş yıla kadar; sistemdeki verileri bozan, yok eden, değiştiren, erişilmez kılan veya başka yere gönderen kişi altı aydan üç yıla kadar hapisle cezalandırılır. Fiil bir banka, kredi kurumu ya da kamu kurumuna ait sistemde işlenirse ceza yarı oranında artırılır.
- TCK m.136 — Verileri hukuka aykırı olarak verme veya ele geçirme: Kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi iki yıldan dört yıla kadar hapisle cezalandırılır.
Bu suçlar öncelikle saldırganı hedeflese de, şirket tamamen dokunulmaz değildir. Bir çalışanın ya da yöneticinin kasten veya ağır ihmalle ihlali kolaylaştırması, verilerin yetkisiz ifşasına iştirak niteliği taşıyabilir; kişisel verilerin bilerek üçüncü kişilere aktarılması m.136 kapsamında şirket görevlileri açısından da soruşturma konusu olabilir.
İdari Para Cezaları ve Siber Sigorta
İdari yaptırım, tazminat ve cezadan ayrı üçüncü bir sonuçtur. KVKK m.18 uyarınca veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri sorumlusuna milyonlarla ifade edilen idari para cezaları uygulanabilir; bu tutarlar her yıl yeniden değerleme oranıyla güncellenir. Bildirim yükümlülüğünün ihlali ile veri güvenliği tedbirlerinin alınmaması ayrı ihlal kategorileridir ve ayrı ayrı cezalandırılabilir.
Bu risk yığınına karşı siber sigorta, giderek yaygınlaşan bir risk yönetimi aracıdır. İyi yapılandırılmış bir poliçe; ihlal müdahale masraflarını, adli bilişim incelemelerini, üçüncü kişi tazminat taleplerini ve kimi durumlarda idari para cezalarına ilişkin savunma giderlerini karşılayabilir. Ancak poliçeler önemli istisnalar içerir; kasıt, ağır ihmal veya beyan edilen güvenlik standartlarına uyulmaması teminat dışı bırakılabilir.
Kurumsal Yönetişim: İhlal Öncesi Hazırlık
Sorumluluğu azaltmanın en etkili yolu, ihlalden önce alınan tedbirlerdir. Şirketlerin bir olay müdahale planı hazırlaması, verileri şifrelemesi, erişim yetkilerini sınırlaması ve düzenli sızma testleri yaptırması hem teknik direnç hem de hukuki savunma açısından belirleyicidir. Yönetim kurulu düzeyinde siber güvenliğin gözetim altında tutulması, alınan kararların ve tedbirlerin belgelenmesi, gerektiğinde şirketin ve yöneticilerin kusursuzluğunu ispatlamada kritik önem taşır. Alınan tedbirlerin yazılı kaydı, hem TBK m.112 hem m.66 kapsamındaki kurtuluş kanıtının temelini oluşturur.
Sıkça Sorulan Sorular
Şirketimiz ihlali KVK Kurulu'na bildirdi; başka bir şey yapmamıza gerek var mı? Evet. Bildirim yalnızca idari bir ödevdir. Müşterilere karşı tazminat riski, olası cezai süreç ve idari para cezası bildirimle sona ermez; ayrı bir hukuki strateji gerektirir.
Saldırıyı dışarıdan bir hacker gerçekleştirdiyse şirket yine de sorumlu olur mu? Olabilir. Failin cezai sorumluluğu, şirketin müşterilere karşı doğan tazminat sorumluluğunu ortadan kaldırmaz. Şirket, gerekli güvenlik tedbirlerini aldığını ve kusursuz olduğunu ispat edemezse tazminatla yükümlü kalabilir.
Çalışanımızın sebep olduğu bir sızıntıdan şirket sorumlu tutulabilir mi? Evet. TBK m.66 uyarınca adam çalıştıran, çalışanının işini yaparken üçüncü kişilere verdiği zarardan sorumludur; ancak seçim, denetim ve işletme düzeninde gerekli özeni gösterdiğini ispat ederse sorumluluktan kurtulabilir.
Siber sigorta tüm zararları karşılar mı? Hayır. Poliçeler kapsam ve istisnalar bakımından değişir. Kasıt, ağır ihmal veya taahhüt edilen güvenlik standartlarına uyulmaması gibi haller teminat dışı kalabilir; poliçe öncesi hukuki inceleme önemlidir.
Mona Hukuk Nasıl Yardımcı Olabilir?
Siber güvenlik ihlalleri, bildirim ile başlayıp tazminat ve ceza hukukuna uzanan çok katmanlı bir sorumluluk yaratır. Mona Hukuk olarak şirketlere olay müdahale planı hazırlığı, ihlal sonrası hukuki risk değerlendirmesi, müşteri tazminat taleplerinde savunma, cezai süreçlerde temsil ve siber sigorta poliçelerinin hukuki incelemesi konularında destek veriyoruz.
Antalya'da danışmanlık için contact@monahukuk.com adresinden yazabilir ya da +90 (242) 606 14 32 numarasını arayabilirsiniz.
Türk Hukuku'ndaki gelişmeleri haftalık özet olarak almak ister misiniz?
Resmî Gazete duyuruları, yargı kararları ve mevzuat değişikliklerini haftalık olarak e-postanıza gönderiyoruz. Ücretsiz; istediğiniz an iptal edebilirsiniz.
İlgili Makaleler
Bilişim & Yapay Zekâ Hukuku
Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi
14 Tem 2026 · 4 dk okuma
Makaleyi okuBilişim & Yapay Zekâ Hukuku
Türkiye'de Veri Sorumlusu ve Veri İşleyen Ayrımı: Sözleşme Yükümlülükleri
14 Tem 2026 · 5 dk okuma
Makaleyi okuBilişim & Yapay Zekâ Hukuku
Türkiye'de Elektronik İmza Hukuken Ne Zaman Geçerlidir?
13 Tem 2026 · 4 dk okuma
Makaleyi oku