Y
Giriş: Veri İhlali Sadece Bir IT Sorunu Değildir
Dijital çağda şirketlerin en değerli varlıklarından biri, ellerinde tuttukları veridir. Ancak bu değer, beraberinde büyük bir sorumluluk getirir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bu sorumluluğun çerçevesini net bir şekilde çizmektedir. Birçok yönetici, KVKK uyumunu ve veri güvenliğini yalnızca bilgi işlem (IT) departmanının bir görevi olarak görme hatasına düşmektedir. Oysa bir veri güvenliği ihlali yaşandığında, ortaya çıkan milyonlarca liralık idari para cezaları, tazminat davaları ve hatta hapis cezası riski, doğrudan şirket yönetimini hedef almaktadır. Bu nedenle, KVKK uyumu stratejik bir yönetim meselesidir.
KVKK Kapsamında "Veri Sorumlusu" Kimdir?
Kanun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi "veri sorumlusu" olarak tanımlar. Bu tanıma göre, veri sorumlusu şirketin kendisidir. Ancak, bir tüzel kişilik olan şirketi temsil eden, onun adına karar alan ve eylemlerini yürüten organ, yönetim kuruludur. Dolayısıyla, KVKK kapsamındaki tüm yükümlülüklerin yerine getirilmesinden ve gerekli önlemlerin alınmasından nihai olarak şirket yönetimi sorumludur.
Not: Yönetimin bu sorumluluğu devretmesi mümkün değildir. Bir "Veri Koruma Görevlisi" atamak veya dışarıdan danışmanlık almak, yönetimin denetim ve gözetim yükümlülüğünü ortadan kaldırmaz.Yönetimin Alması Gereken Teknik ve İdari Tedbirler
KVKK, veri sorumlusu olan şirket yönetiminden, veri güvenliğini sağlamak için "gerekli her türlü teknik ve idari tedbiri almakla yükümlüdür" diyerek geniş bir sorumluluk alanı tanımlar. Bu tedbirler sadece yazılım veya donanım yatırımı yapmakla sınırlı değildir:
- İdari Tedbirler: Şirket içinde KVKK farkındalık eğitimleri düzenlemek, veri işleme envanteri çıkarmak, kişisel veri saklama ve imha politikası oluşturmak, çalışanlarla gizlilik sözleşmeleri imzalamak, tedarikçilerle veri işleme sözleşmeleri yapmak ve düzenli risk analizleri gerçekleştirmek gibi yönetimsel kararları içerir.
- Teknik Tedbirler: Siber güvenlik önlemleri, yetki matrisi oluşturma, erişim loglarının tutulması, veri şifreleme, sızma testleri ve güvenli yedekleme sistemleri gibi teknolojik altyapı yatırımlarını kapsar.
Veri İhlali Anında Yönetimin Kritik Görevleri
Tüm önlemlere rağmen bir veri ihlali gerçekleştiğinde, yönetimin sorumluluğu daha da kritik hale gelir. Kanun, bu durumda yönetime net görevler yüklemiştir:
UYARI Veri sorumlusu, bir ihlal tespit ettiğinde durumu en kısa sürede ve en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirmek zorundadır. Ayrıca, ihlalden etkilenen kişilere de makul olan en kısa sürede doğrudan bildirimde bulunmalıdır. Bu bildirimlerin yapılıp yapılmaması, zamanlaması ve içeriği tamamen bir yönetim kararıdır ve yapılmaması halinde çok ağır idari para cezaları uygulanmaktadır.
Yaptırımlar: Yönetimi Bekleyen Hukuki, Cezai ve İdari Riskler
KVKK'ya aykırılık ve veri ihlali durumunda şirket ve yönetim üç temel yaptırımla karşı karşıya kalır:
| Sorumluluk Türü | Muhatap | Yaptırım |
|---|---|---|
| İdari Sorumluluk | Şirket (Tüzel Kişilik) | Kişisel Verileri Koruma Kurulu tarafından verilen ve 2026 yılı itibarıyla yaklaşık 10 Milyon TL'ye varabilen idari para cezaları. |
| Hukuki Sorumluluk (Tazminat) | Şirket (Tüzel Kişilik) | Veri ihlali nedeniyle zarara uğrayan kişilerin açacağı maddi ve manevi tazminat davaları. Bu davalar toplu halde açıldığında şirket için yıkıcı olabilir. |
| Cezai Sorumluluk | Yönetim Kurulu Üyeleri ve İlgili Yöneticiler (Gerçek Kişiler) | Türk Ceza Kanunu'na göre, kişisel verileri hukuka aykırı olarak kaydeden, veren veya ele geçiren kişiler için 1 yıldan 4 yıla kadar hapis cezası öngörülmektedir. Bu suçların bir tüzel kişilik faaliyeti çerçevesinde işlenmesi, yöneticilerin şahsi cezai sorumluluğunu doğurabilir. |
Sonuç: Proaktif Uyum, Tek Korunma Yöntemidir
Görüldüğü üzere, KVKK ve veri güvenliği, şirket yönetimlerinin en önemli gündem maddelerinden biri olmak zorundadır. Bir veri ihlalinin maliyeti, sadece idari para cezalarıyla sınırlı kalmayıp, itibar kaybı, müşteri güveninin sarsılması, tazminat davaları ve en önemlisi yöneticiler için kişisel hürriyeti bağlayıcı cezalar gibi çok daha ağır sonuçlar doğurabilir. Bu riskleri yönetmenin tek yolu, reaktif değil, proaktif bir yaklaşımla hareket etmektir. KVKK uyumunu bir defalık bir proje olarak değil, sürekli denetim ve iyileştirme gerektiren canlı bir süreç olarak benimsemek ve bu süreçte profesyonel hukuki destek almak, şirket yönetiminin en basiretli kararı olacaktır.