Av. Cihat Demirbağ Hukuk ve Arabuluculuk Ofisi | İstanbul

Menü

İletişime Geçin

Blog Yazıları

Şirketiniz Siber Saldırıya Uğradığında Ne Yapmalı? | KVKK ve Hukuki Süreç Rehberi

Av. Aytolu Erce İnal Yazar: Av. Aytolu Erce İnal
|
Paylaş:
KVKK ve Hukuki Süreç Rehberi
Acil Durum Rehberi

Şirketiniz Siber Saldırıya Uğradığında Ne Yapmalı?

Bir sabah ofise geldiğinizde tüm sistemleriniz kilitlenmiş, müşteri verileriniz çalınmış ve ekranınızda bir fidye mesajı belirmiş olabilir. İşte o anda atılacak yanlış bir adım; sadece itibar kaybı değil, milyonlarca liralık cezalara ve yöneticilerin şahsi sorumluluğuna yol açabilir.

Dijitalleşmenin hız kazanmasıyla birlikte şirketlerin en değerli varlıkları artık kasalarındaki nakit değil, sunucularındaki veriler haline geldi. Ancak bu dijital hazine, aynı zamanda siber korsanların da bir numaralı hedefi.

Türkiye'de şirketlerin siber saldırıya uğraması durumunda izlemesi gereken hukuki süreç, yalnızca Kişisel Verilerin Korunması Kanunu (KVKK) ile sınırlı değildir. Süreç; idari, cezai ve ticari olmak üzere üç sacayağı üzerine kuruludur. Bu rehberde, veri sızıntısı yaşayan bir şirketin atması gereken kritik adımları, yargı kararları ve güncel mevzuat ışığında detaylıca inceliyoruz.

Siber Saldırı Sonrası İlk 72 Saat: KVKK Bildirim Zorunluluğu

Bir siber saldırı gerçekleştiğinde şirket yönetimlerinin düştüğü en büyük yanılgı, olayı kendi içlerinde çözmeye çalışarak zaman kaybetmeleridir. Oysa 6698 sayılı KVKK'nın 12. maddesinin 5. fıkrası, veri sorumlusuna çok net bir yükümlülük yükler:

⚠️ Kritik Süre

Kişisel verilerin kanuna aykırı olarak başkaları tarafından elde edildiğini öğrendiğiniz andan itibaren, gecikmeksizin ve en geç 72 saat içinde durumu Kişisel Verileri Koruma Kuruluna bildirmek zorundasınız. Bu süre, teknik incelemenin tamamlanmasını beklemez.

İhlalin boyutunu henüz tam olarak tespit edememiş olsanız bile, „kademeli bildirim" yoluyla süreci başlatmanız şarttır. Aksi takdirde, Kurul tarafından ağır idari para cezaları ile karşı karşıya kalırsınız.

⚖️ KVKK · 23.12.2021 · Karar No: 2021/1324 (Yemeksepeti Vakası)
İhlalin 8 gün gecikmeyle fark edilmesi ve güvenlik alarmlarının kapatılmış olması, veri sorumlusunun kusuru olarak değerlendirilmiştir.
❌ 1.900.000 TL idari para cezası
⚖️ KVKK · 25.02.2021 · Karar No: 2021/154
İhlali 72 saat içinde bildiren sigorta şirketine, bildirim süresi yönünden herhangi bir yaptırım uygulanmamıştır.
✅ Yaptırım yok — doğru süreç yönetimi
💡 Önemli Tespit

Şirket yöneticileri genellikle „Bildirim yaparsak itibarımız zedelenir, müşteri kaybederiz" korkusuyla olayı gizleme eğilimindedir. Oysa hukuki gerçeklik tam tersini söyler: İhlali gizlemek, zararı büyütmekten ve cezayı katlamaktan başka bir işe yaramaz. Şeffaflık, kriz yönetiminin en güçlü kalkanıdır.

📢 İlgili Kişilere (Veri Sahiplerine) Bildirim Nasıl Yapılmalı?

Kurula yapılan bildirimin yanı sıra, ihlalden etkilenen kişilere de makul olan en kısa sürede bilgi verilmesi zorunludur. Bu bildirim; ihlalin kapsamını, olası etkilerini ve şirket tarafından alınan önlemleri açıkça içermelidir.

 
 
Web Sitesi Duyurusu

Web sitesi üzerinden genel duyuru

KVKK'nın 2020/463 sayılı kararında, etkilenen kişilere web sitesi üzerinden yapılan duyuru yeterli görülmüştür. Ancak bu yöntem, yalnızca etkinin sınırlı olduğu durumlarda tercih edilmelidir.

 
Birebir Bilgilendirme

E-posta veya SMS ile doğrudan bilgilendirme

İhlalin boyutu büyükse ve kişilerin doğrudan zarar görme riski varsa, birebir bilgilendirme daha güvenli bir yoldur. KVKK'nın 2020/216 sayılı kararında, 65.993 kişiye e-posta ve telefonla yapılan bilgilendirme olumlu olarak değerlendirilmiştir.

 
Bildirim Yapılmazsa

Ek idari para cezası riski

KVKK'nın 2019/255 sayılı kararında görüldüğü üzere, bildirim yükümlülüğünün yerine getirilmemesi şirkete 100.000 TL ek idari para cezası olarak geri dönmüştür.

🔍 Cumhuriyet Başsavcılığına Suç Duyurusu ve Delil Tespiti

Siber saldırı, Türk Ceza Kanunu'nun (TCK) 243. ve 244. maddeleri kapsamında açıkça suç teşkil eder. Şirketin „basiretli bir tacir" gibi davrandığını ispatlaması ve ileride açılabilecek tazminat davalarında elini güçlendirmesi için derhal Cumhuriyet Başsavcılığına suç duyurusunda bulunması kritik bir adımdır.

Suç duyurusu, sadece faillerin cezalandırılması için değil, aynı zamanda elektronik delillerin usulüne uygun toplanması (forensic inceleme) için de gereklidir. Log kayıtlarının, IP adreslerinin ve sistem imajlarının adli makamlar aracılığıyla mühürlenmesi, ileride „hukuka aykırı delil" tartışmalarının önüne geçer.

🏛️ Ankara BAM 21. HD · 10.05.2023 · 2022/1874 E., 2023/703 K.
Şirketin siber saldırı sonrası savcılığa başvurması, zayi belgesi davasında özen yükümlülüğünün bir parçası olarak kabul edilmiştir. Bu karar, suç duyurusunun yalnızca ceza hukuku alanında değil, ticari dava stratejisinde de kritik önem taşıdığını ortaya koymuştur.
✅ Özen yükümlülüğü karşılanmış

📋 Ticari Defterlerin Zarar Görmesi: 15 Günlük Zayi Belgesi Süresi

Siber saldırıların en yıkıcı sonuçlarından biri de şirketin dijital ortamda tuttuğu ticari defterlerin ve belgelerin şifrelenmesi veya silinmesidir. Türk Ticaret Kanunu'nun (TTK) 82. maddesinin 7. fıkrası uyarınca, böyle bir durumda tacir, durumu öğrendiği tarihten itibaren 15 gün içinde Asliye Ticaret Mahkemesinden zayi belgesi talep etmek zorundadır.

⏳ Hak Düşürücü Süre

Bu 15 günlük süre hak düşürücü bir süredir. Kaçırılması halinde şirketin vergi incelemelerinde defter ibraz edememesi nedeniyle „re'sen tarhiyat" ve „kaçakçılık" suçlamalarıyla karşılaşması işten bile değildir.

🏛️ İstanbul BAM 13. HD · 27.04.2023 · 2023/598 E., 2023/718 K.
İkincil kopyaları (off-site backup) Gelir İdaresi Başkanlığı (GİB) veya özel entegratörde saklamayan şirketin zayi belgesi talebi, „basiretli tacir" özenini göstermediği gerekçesiyle reddedilmiştir.
❌ Zayi belgesi talebi reddedildi
🔑 Kritik Çıkarım

Yargı, siber saldırıyı otomatik olarak bir „mücbir sebep" saymamaktadır. Hukukun korumasından yararlanabilmek için öncelikle teknik tedbirlerinizi (off-site yedekleme, güncel firewall, log yönetimi) eksiksiz almış olmanız gerekir.

💻 GİB ve İlgili İdari Makamlara Bildirim (E-Defter Süreçleri)

Eğer şirketiniz e-defter kullanıcısıysa, siber saldırı nedeniyle e-defterlerin zayi olması durumunda, Elektronik Defter Genel Tebliği uyarınca durumu öğrendiğiniz tarihten itibaren 15 gün içinde Gelir İdaresi Başkanlığına (GİB) bildirim yapmanız gerekmektedir. Bu bildirim, e-defter beratlarının yeniden oluşturulabilmesi için hayati öneme sahiptir.

🏛️ İstanbul 16. Asliye Ticaret Mah. · 12.12.2024 · 2022/302 E., 2024/835 K.
GİB'e yapılan başvuruda şirketin e-defter uygulamasına dahil olmadığının anlaşılması ve beratların yasal sürede oluşturulmaması, davanın reddine yol açmıştır. İdari süreçler ile adli süreçler birbirine sıkı sıkıya bağlıdır ve eşzamanlı yürütülmelidir.
❌ Dava reddedildi

🎯 Siber Saldırılarda Maddi Hukuk Sonuçları ve Risk Alanları

Bir siber saldırının şirketlere faturası sadece teknik onarım maliyetleriyle sınırlı kalmaz. Hukuki riskler üç ana başlıkta toplanır:

💰

İdari Para Cezaları

KVKK m. 18 uyarınca veri güvenliğine ilişkin yükümlülüklerin ihlali

17+ Milyon TL
⚖️

Tazminat Sorumluluğu

Veri sahiplerinin TBK m. 58 ve KVKK m. 14 kapsamında açacağı davalar

Sınırsız
👤

Yönetici Sorumluluğu

Güvenlik bütçesi ayrılmaması = özen yükümlülüğü ihlali = şahsi sorumluluk

Şahsi
🚫 Fidye (Ransomware) Ödemesi Hakkında

Fidye yazılımı saldırılarında hackerlara fidye ödenmesi, hukuken "zararı azaltma çabası" olarak görülmez; aksine suçu finanse etmek olarak değerlendirilir ve şirkete hukuki bir koruma sağlamaz. Fidye ödemeyin, profesyonel destek alın.

Sık Sorulan Sorular

Siber saldırıya uğradığımızda ilk kime haber vermeliyiz?

Öncelikle kendi BT (Bilişim Teknolojileri) ekibinize veya dışarıdan destek aldığınız siber güvenlik firmasına haber vererek sistemleri izole etmelisiniz. Hukuki olarak ise ilk bildirim mercii, 72 saat içinde Kişisel Verileri Koruma Kuruludur (KVKK).

KVKK'ya 72 saat içinde bildirim yapmazsak ne olur?

KVKK'nın 12. maddesindeki bildirim yükümlülüğüne aykırılık halinde, Kurul tarafından şirketinize 2026 yılı itibarıyla 17 milyon TL'ye varan idari para cezaları kesilebilir.

Hackerlar verilerimizi şifreledi ve fidye istiyor. Ödemeli miyiz?

Hukuken fidye ödemek kesinlikle tavsiye edilmez. Bu durum suçu finanse etmek anlamına gelebilir ve verilerinizin geri verileceğinin hiçbir garantisi yoktur. Ayrıca fidye ödemek, sizi KVKK cezalarından veya tazminat davalarından kurtarmaz.

Ticari defterlerimiz siber saldırıda silindi, vergi cezası alır mıyız?

Eğer durumu öğrendiğiniz tarihten itibaren 15 gün içinde Asliye Ticaret Mahkemesinde zayi belgesi davası açmazsanız, vergi incelemelerinde defter ibraz edemeyeceğiniz için re'sen tarhiyat ve vergi ziyaı cezalarıyla karşılaşabilirsiniz.

Siber saldırı mücbir sebep sayılır mı?

Yargıtay ve Bölge Adliye Mahkemeleri kararlarına göre, siber saldırı otomatik olarak mücbir sebep sayılmaz. Şirketin güncel güvenlik duvarı (firewall) kullanması ve verilerini ikincil bir ortamda (off-site backup) yedeklemiş olması gerekir. Bu tedbirleri almayan şirketlerin zayi belgesi talepleri reddedilmektedir.

Müşterilerimiz veri sızıntısı nedeniyle bize tazminat davası açabilir mi?

Evet. Kişisel verileri sızdırılan müşterileriniz veya çalışanlarınız, bu sızıntı nedeniyle uğradıkları maddi veya manevi zararların tazmini için şirketinize karşı dava açabilirler (TBK m. 58 ve KVKK m. 14).

Bulut sisteminde (Cloud) tuttuğumuz veriler sızarsa sorumluluk kimdedir?

Veri sorumlusu siz olduğunuz için KVKK karşısında ilk muhatap şirketinizdir. Ancak bulut hizmeti sağlayan firma (veri işleyen) ile aranızdaki sözleşme hükümlerine göre, ödediğiniz cezayı veya tazminatı daha sonra bu firmaya rücu etme hakkınız bulunabilir.

⚡ Siber Saldırıda Zaman Kaybetmeyin

Saldırı anında doğru hukuki adımlar atmak, milyonlarca liralık cezalardan ve tazminat davalarından korunmanızı sağlar. Acil durumlarda profesyonel destek alın.

💬 WhatsApp ile Acil Destek 📞 0 216 888 14 78

Etiketler:

siber saldırı hukuki süreç KVKK veri ihlali bildirimi 72 saat kuralı veri sızıntısı cezaları zayi belgesi davası ransomware fidye ödeme siber güvenlik hukuku