KVKK Veri İhlali Süreçlerinde Tazminat Davaları ve Şirket Sorumluluğu

Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca ticari sicile veya VERBİS'e kayıtlı olarak siber ve fiili idari ve teknik tüm tedbirleri azami özenle almakla yükümlü olan "veri sorumlusu" statüsündeki kurumsal şirketler, herhangi bir dijital ağ saldırısı veya dış/iç sistemsel sızıntı sonucu veri ihlali gerçekleştiğinde çok keskin yükümlülüklerle karşılaşmaktadır. Kanun, veri sorumlusuna ihlal anından itibaren söz konusu verisi dökülen tüm bireysel ilgili kişilere ve doğrudan derhal Kişisel Verileri Koruma Kurulu'na yasal ve çok kısa süreli bir periyot içinde bildirim yapma iradesini zorunlu koşmuştur. Verisi izinsiz ifşa edilen, sızdırılan ilgili kişiler (tüketiciler veya personel çalışanları), veri ihlali nedeniyle maruz kaldıkları kimlik riski veya onur zedelenmesi gibi zararlarının doğurduğu sarsıntı oranı nispetinde genel adliye mahkemelerinde manevi veya doğmuş zararları ispat kapsamında maddi tazminat davası açma hakkını güvence altında tutarlar.

Sızıntının Doğurduğu KVKK Veri İhlali ve Manevi Tazminat Hakkı

KVKK ekseninde şahıslar arası hukuki zedelenmeden yayılan ve doğrudan zarar gören birey tarafından ikame edilecek olan KVKK manevi tazminat talepli davalar, temel hukuki niteliği itibarıyla açıkça şirketlerin haksız fiil kusur sorumluluğuna ve kanun ile çizilen tedbir yükümlülüğünün ağır biçimde ihmaline dayanır. Yargıtay Hukuk Genel Kurulu ve ilgili Dairelerinin içtihatlarında, özellikle ifşaya düşen verilerin mahremiyet yoğunluğu ve niteliği belirleyici faktör olarak addedilir (örneğin salt iletişim bilgisinden ziyade; kişinin politik/sendikal görüşü, son derece kritik biyometrik/sağlık verileri, mahrem cinsel hayat algıları veya doğrudan parasal risk doğuracak banka ya da kredi kartı finansal bilgileri). Bu bilgilerin sızması, ihlalin kendiliğinden somut ve kesin bir manevi zarar doğurduğuna, mağdurun kişilik şeref ve sosyal itibarına saldırdığına yönelik son derece güçlü biçimde bir sarsılmaz karine teşkil etmektedir. Kurumun siber sızmayı ön görememesinde ya da personelin veriyi taşımasına mâni olamamasında yatan ağır teknik denetimsizliği veya kurumsal idari eksikliği, bu bağımsız tazminatın hükmedilmesindeki tek kusur belirleyicisidir.

Borçlar Kanunu Temelinde Kusursuzluk İddiası ve Meblağ Tespiti

Kişilik haklarının bilişim sistemlerindeki siber açıklıklar sebebiyle üçüncü parti aktörlerce hukuka aykırı biçimde ele geçirilerek zedelenmesi, Anayasal güvence altındadır. Bireyin sosyal şerefi zarar gördüğünde, 6098 sayılı Türk Borçlar Kanunu Madde 58 çerçevesinde veri kayıtlı şirket veya kuruluş aleyhine son derece caydırıcı oranlarda hesaplanan ve zararı dengeleyen adil bir tazminata hükmedilebilmektedir. Mağdurların zarara uğradığı veya ihlalden kamuoyu baskısıyla haberdar olduğu andan itibaren KVKK hak ispat mecburiyetini eksiksiz yerine getirerek taleplerini yasal yetkili mahkemeler ve bağımsız yargılama yollarından tahsil ve tecziye ettirmeleri mümkündür.