Emin Çelik & Partners Emin ÇelikTeknoloji Hukuku
EN Bize Ulaşın

Ana Sayfa / Görüşler

Ransomware (Fidye Yazılımı) Saldırısında Şirketlerin Hukuki Sorumluluğu

Hukuki Makaleler3 Haziran 20267 dk okumaAv. Emin Çelik
Ransomware (Fidye Yazılımı) Saldırısında Şirketlerin Hukuki Sorumluluğu

Kısa cevap: Fidye yazılımı saldırısında şirketiniz yalnızca mağdur değil, aynı zamanda yükümlülük altındaki taraftır. Saldırıyı öğrendiğiniz andan itibaren KVKK'ya 72 saat içinde veri ihlali bildirimi, Siber Güvenlik Başkanlığı'na gecikmeksizin siber olay bildirimi yapmanız; etkilenen kişileri bilgilendirmeniz ve saldırı öncesinde gerekli güvenlik tedbirlerini aldığınızı belgeleyebilmeniz gerekir. Bunların her birinin ihmali ayrı bir yaptırım kalemidir ve cezalar milyonlarca lirayı bulabilir.

Mağdur şirket neden ceza alır?

İlk bakışta çelişkili görünen bir durum bu: saldırıya uğrayan, verileri şifrelenen, faaliyeti duran şirket bir de üstüne ceza ödüyor. Ancak hukukun baktığı yer saldırının kendisi değil, şirketin saldırı öncesindeki ve sonrasındaki yükümlülükleridir. Veri sorumlusu, kişisel verilere hukuka aykırı erişilmesini önlemek için gerekli her türlü teknik ve idari tedbiri almakla yükümlüdür (KVKK m. 12/1). Saldırının başarılı olması, çoğu zaman bu tedbirlerin eksikliğine dair bir karine gibi değerlendirilir ve Kurul incelemelerinde şirketten tedbir envanterini belgelemesi istenir.

Kurul'un yerleşik uygulamasında sızma testlerinin yapılmamış olması, erişim loglarının tutulmaması, güncel olmayan yazılımların kullanılması, ağ segmentasyonunun bulunmaması gibi eksiklikler idari para cezasının gerekçesi olarak karşımıza çıkıyor. Yani ceza, saldırıya uğradığınız için değil, saldırıya açık kapı bıraktığınız ve sonrasında yükümlülüklerinizi yerine getirmediğiniz için kesiliyor.

Saldırı sonrası ilk 72 saat: hukuki yol haritası

Fidye yazılımı vakalarında teknik ekip sistemleri kurtarmaya odaklanırken hukuki saatin işlediği genellikle unutulur. Oysa süreç şöyle işlemek zorunda:

1. Olayın tespiti ve kayıt altına alınması. İhlalin öğrenildiği an, tüm sürelerin başlangıcıdır. Bu anın ve sonrasındaki her adımın zaman damgalı olarak belgelenmesi, hem Kurul hem de Başkanlık nezdindeki savunmanın temelini oluşturur.

2. KVKK bildirimi (72 saat). Şifrelenen veya sızdırılan veriler arasında kişisel veri varsa (müşteri kayıtları, çalışan özlük dosyaları, hasta bilgileri) Kurul'a 72 saat içinde bildirim zorunludur. Fidye yazılımı saldırılarında verilerin yalnızca şifrelenmesi hâlinde dahi, verilere hukuka aykırı erişim gerçekleştiğinden bildirim yükümlülüğünün doğduğu kabul edilmektedir.

3. Siber Güvenlik Başkanlığı bildirimi (gecikmeksizin). 7545 sayılı Kanun m. 7/1-b uyarınca siber olayın Başkanlığa gecikmeksizin bildirilmesi gerekir. Bu yükümlülük, olayda kişisel veri bulunup bulunmadığından bağımsızdır.

4. İlgili kişilerin bilgilendirilmesi. Verileri etkilenen kişilere makul en kısa sürede, Kurul'un belirlediği asgari unsurları içerecek şekilde bildirim yapılmalıdır.

Bu dört adımın ikisi ihmal edilirse ne olur? Hem KVKK m. 18/1-b kapsamında (2025 itibarıyla 204.285 TL - 13.620.402 TL) hem de Siber Güvenlik Kanunu m. 16/10 kapsamında (1.000.000 TL - 10.000.000 TL) ayrı ayrı ceza kesilir. Güncel doktrin, bildirim yükümlülüklerinin içerik ve muhatap farklılığı nedeniyle burada gerçek içtimanın uygulanacağını, yani cezaların toplanacağını kabul ediyor.¹ Hastane sistemlerinin şifrelendiği ve hiçbir bildirimin yapılmadığı bir senaryo, literatürde bu çifte yaptırımın ders kitabı örneği olarak işleniyor.

Fidye ödemek hukuka uygun mu?

Müvekkillerin en hassas sorusu bu. Türk hukukunda fidye ödemeyi açıkça yasaklayan bir norm bulunmuyor; ancak mesele bu kadar basit değil. Ödemenin muhatabı yaptırım listelerindeki bir gruba çıkarsa (özellikle ABD OFAC ve AB yaptırım rejimleri uluslararası ödeme kanallarını doğrudan etkiler) ödeme ciddi riskler doğurabilir. Ayrıca ödeme, verilerin geri geleceğini veya sızdırılmayacağını garanti etmediği gibi, Kurul nezdindeki süreçlerde tedbir eksikliğinin örtülü kabulü gibi de okunabilir. Şirket yönetimi açısından ise gerekçesi belgelenmemiş bir fidye ödemesi, ileride sorumluluk tartışmalarına konu olabilir. Bu kararın mutlaka hukuki görüş eşliğinde, yönetim kurulu düzeyinde ve gerekçeli olarak alınması gerekir.

Cezalar dışındaki sorumluluk kalemleri

İdari para cezaları buzdağının görünen kısmı. Fidye yazılımı saldırısının ardından şirketleri bekleyen diğer hukuki riskler şunlar:

  • Tazminat davaları: Verileri sızdırılan kişiler, manevi tazminat talebiyle veri sorumlusuna yönelebilir. Etkilenen kişi sayısının yüz binleri bulduğu vakalarda bu kalem, idari cezayı aşan bir maliyete dönüşebilir.
  • Sözleşmesel sorumluluk: Müşterilerle ve iş ortaklarıyla imzalanan veri işleme sözleşmelerindeki güvenlik taahhütlerinin ihlali, cezai şart ve fesih sonuçları doğurabilir.
  • Yöneticilerin sorumluluğu: Gerekli yatırımların yapılmaması yönündeki kararların belgelendiği hâllerde, yönetim kurulu üyelerinin şirkete karşı sorumluluğu gündeme gelebilir.
  • Ceza hukuku boyutu: Saldırganlar hakkında TCK m. 243 vd. (bilişim sistemine girme) ve m. 135-136 (kişisel verilere ilişkin suçlar) kapsamında suç duyurusunda bulunulması, hem hak kaybını önler hem de şirketin mağdur konumunu kayıt altına alır.

Saldırı öncesi yapılması gerekenler

Fidye yazılımına karşı hukuki hazırlık, teknik hazırlıktan ayrı düşünülemez. Asgari olarak: güncel ve test edilmiş bir olay müdahale planı; bildirim şablonlarının ve yetkili kişilerin önceden belirlenmesi; tedbir envanterinin (penetrasyon testi raporları, log politikaları, yedekleme prosedürleri) düzenli olarak belgelenmesi; veri işleme sözleşmelerinde ihlal bildirimi sürelerinin veri işleyenler için netleştirilmesi; ve siber sigorta poliçesinin bildirim yükümlülükleriyle uyumunun kontrol edilmesi.

Saldırı geldiğinde hazırlıklı olan şirketle olmayan şirket arasındaki fark, çoğu zaman yedi haneli bir ceza tutarı kadardır.

Kaynaklar

  1. Akgün, Mustafa / Akıncı, Muhammed Furkan, "Kişisel Verilerin Korunması Kanunu'nda Düzenlenen Kabahatler ile Siber Güvenlik Kanunu'nda Düzenlenen Kabahatler Arasında İçtima İlişkisi", Ankara Hacı Bayram Veli Üniversitesi Hukuk Fakültesi Dergisi, 2026, C. 30, S. 3, s. 1399-1455.
  2. 6698 sayılı KVKK m. 12, 18; 7545 sayılı Siber Güvenlik Kanunu m. 7, 16; 5237 sayılı TCK m. 135-136, 243.
  3. Kişisel Verileri Koruma Kurumu, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler).
  4. Dülger, Murat Volkan, Kişisel Verilerin Korunması Hukuku, İstanbul.

Bu konuda hukuki desteğe mi ihtiyacınız var?

Şirketinizin durumuna özel değerlendirme için iletişime geçin.

Görüşme Planla

← Tüm yazılar