Giriş
Günümüzde dijitalleşmenin hız kazanmasıyla birlikte şirketlerin en değerli varlıklarından biri "veri" haline gelmiştir. Müşteri bilgileri, ticari sırlar, finansal tablolar ve personel verileri gibi kritik bilgilerin korunması, hem ticari itibar hem de yasal zorunluluklar açısından hayati önem taşır. Ancak istatistikler, veri sızıntılarının büyük bir kısmının dışarıdan gelen siber saldırılardan ziyade, şirket içi personelin ihmali veya kasıtlı eylemleri sonucunda gerçekleştiğini göstermektedir.
Bu makalemizde, şirket içi veri sızıntılarında çalışanın İş Hukuku, Kişisel Verilerin Korunması Kanunu (KVKK) ve Türk Ceza Kanunu (TCK) kapsamındaki sorumluluklarını detaylıca inceleyeceğiz.
Veri Sızıntısı Nedir ve Nasıl Gerçekleşir?
Veri sızıntısı, yetkisiz kişilerin korunan, gizli veya hassas bilgilere erişmesi, bu bilgileri kopyalaması, iletmesi veya ifşa etmesi durumudur. Çalışan kaynaklı veri sızıntıları genellikle iki şekilde ortaya çıkar:
- Kasıtlı Sızıntılar: Çalışanın haksız kazanç elde etmek, rakip firmaya avantaj sağlamak veya işverene zarar vermek amacıyla verileri bilerek dışarı aktarmasıdır.
- İhmal Kaynaklı Sızıntılar: Çalışanın dikkatsizliği (örn: yanlış kişiye e-posta gönderme, şifreleri güvensiz ortamlarda saklama, oltalama saldırılarına kanma) sonucu verilerin yetkisiz ellere geçmesidir.
İş Kanunu Kapsamında Çalışanın Sorumluluğu
İşçi ile işveren arasındaki ilişkinin temelinde "güven" yatar. İş sözleşmesi, işçiye sadece iş görme borcu değil, aynı zamanda işverenin çıkarlarını koruma ve ona zarar verecek davranışlardan kaçınma yükümlülüğü getirir.
Sadakat Borcuna Aykırılık ve Haklı Fesih
Çalışanın şirket verilerini sızdırması, 4857 sayılı İş Kanunu kapsamında işçinin sadakat borcuna açık bir aykırılık teşkil eder. İş Kanunu Madde 25/II-(e) bendi uyarınca; "İşçinin, işverenin güvenini kötüye kullanmak, hırsızlık yapmak, işverenin meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan davranışlarda bulunması" işverene sözleşmeyi DERHAL VE TAZMİNATSIZ feshetme hakkı verir.
Çalışanın eylemi ihmalden kaynaklansa dahi, ortaya çıkan zararın büyüklüğüne göre işveren geçerli veya haklı nedenle fesih yoluna gidebilir. Ayrıca işveren, sızıntı nedeniyle uğradığı maddi ve manevi zararların tazminini genel hükümlere (Borçlar Kanunu) göre çalışandan talep edebilir.
KVKK Kapsamında İdari ve Hukuki Boyut
6698 sayılı Kişisel Verilerin Korunması Kanunu'na göre şirket (işveren), "Veri Sorumlusu" sıfatını taşır. Kanun'un 12. maddesi, veri sorumlusuna kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etme yükümlülüğü getirir.
Bir çalışanın kişisel verileri sızdırması durumunda, Kişisel Verileri Koruma Kurulu (KVKK) tarafından işverene yüksek miktarlarda idari para cezası kesilebilir. İşveren, bu cezayı ödedikten sonra, kusuru oranında ilgili çalışana rücu etme (yansıtma) hakkına sahiptir.
Türk Ceza Kanunu (TCK) Kapsamında Cezai Sorumluluk
Veri sızıntısı sadece tazminat ve işten çıkarılma ile sonuçlanmaz; aynı zamanda ciddi hapis cezalarını da beraberinde getirebilir.
TCK Madde 136: Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme
Eğer sızdırılan veri, kişisel veri niteliğindeyse (müşterilerin ad-soyadı, TC kimlik numarası, iletişim bilgileri vb.), TCK Madde 136 devreye girer. Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılır.
TCK Madde 239: Ticari Sır, Bankacılık Sırrı veya Müşteri Sırrı Niteliğindeki Bilgi veya Belgelerin Açıklanması
Sızdırılan bilgi şirketin ticari sırrı, müşteri portföyü veya finansal verileriyse, TCK Madde 239 uyarınca işlem yapılır. Sıfat veya görevi, meslek veya sanatı gereği vakıf olduğu ticari sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgeleri yetkisiz kişilere veren veya ifşa eden kişi, şikayet üzerine 1 yıldan 3 yıla kadar hapis ve beş bin güne kadar adlî para cezası ile cezalandırılır.
| Hukuki Boyut | İlgili Kanun / Madde | Çalışan Açısından Yaptırım / Sonuç |
|---|---|---|
| İş Hukuku | 4857 Sayılı İş Kanunu (Madde 25/II) | Kıdem ve ihbar tazminatı ödenmeksizin derhal işten çıkarma (Haklı Fesih). |
| Tazminat Hukuku | Türk Borçlar Kanunu | İşverenin uğradığı maddi/manevi zararın ve KVKK cezalarının çalışana rücu edilmesi. |
| Ceza Hukuku (Kişisel Veri) | TCK Madde 136 | 2 yıldan 4 yıla kadar hapis cezası. |
| Ceza Hukuku (Ticari Sır) | TCK Madde 239 | 1 yıldan 3 yıla kadar hapis ve adli para cezası. |
İşverenin Alması Gereken Önlemler
İşverenlerin, çalışan kaynaklı veri sızıntılarını önlemek ve hukuki süreçlerde haklılıklarını ispatlayabilmek için şu adımları atması elzemdir:
- Çalışanlarla kapsamlı Gizlilik Sözleşmeleri (NDA) imzalanmalıdır.
- İş sözleşmelerine veri güvenliği ve sadakat borcu ile ilgili detaylı maddeler eklenmelidir.
- Çalışanlara düzenli olarak KVKK ve bilgi güvenliği eğitimleri verilmelidir.
- Şirket içi yetkilendirme matrisleri oluşturulmalı, her çalışan sadece işini yapması için gereken veriye erişebilmelidir (Need-to-know prensibi).
- Bilgi işlem altyapısında DLP (Veri Sızıntısı Önleme) yazılımları ve loglama sistemleri kullanılmalıdır.
Sonuç olarak, şirket içi veri sızıntıları hem işçi hem de işveren açısından ağır sonuçlar doğuran karmaşık hukuki süreçlerdir. Bu tür durumlarla karşılaşıldığında, sürecin İş Hukuku, KVKK ve Ceza Hukuku boyutlarının eşzamanlı olarak ve uzman bir avukat eşliğinde yürütülmesi büyük önem taşımaktadır.
Y