Delaware Yüksek Mahkemesi’nin, gözetim sorumluluğunun (duty of oversight) ihlali için Caremark iddialarını yeniden canlandıran “Marchand v. Barnhill” davasına ilişkin 2019 tarihli kararının[1] hemen ardından bana sorulan bir soru[2], davacıların siber güvenlik ve veri gizliliği sorunları bağlamında gözetim sorumluluğunun ihlali iddialarını ileri sürmeye çalışıp çalışamayacaklarıydı. Davacılar aslında daha sonra “Marriott and SolarWinds” davasındaki dikkat çeken veri ihlalleriyle bağlantılı olarak Caremark iddiaları ortaya attılar, ancak her iki davada da Delaware Şansölye Mahkemesi davalıların davayı reddetme taleplerini kabul etmiş ve siber güvenlik bağlamında gözetim sorumluluğu iddialarının uygulanabilirliği hakkında sorular gündeme gelmiştir[3].
Bu tür iddiaların pek de ümit verici olmayan bir geçmişe sahip olmasına rağmen, yakın tarihli bir makalede, New York University Hukuk Profesörü Jennifer Arlen, gözetim sorumluluğunun ihlali nedeniyle siber güvenlik ile ilgili iddiaların en azından bir dava türünde -yani, siber güvenliğin “kritik bir yasal risk” olduğu ve şirketin yetersiz siber güvenliğe sahip olduğu ve bu durumun işletmelere ve kamu kurumu müşterilerine önemli zarar verme riski taşıdığı (ve daha sonra buna neden olduğu) ve şirketin müşterileri şirketin siber güvenlik sistemlerinin olduğundan önemli ölçüde daha iyi olduğuna inandırmak için tasarlanmış ifadelerle yanılttığı iddia edilen şirketlerle ilgili davalar- Caremark sorumluluğunu desteklemesi gerektiğini savunmaktadır[4].
Birçok okuyucunun bildiği gibi, siber güvenlik şirketler için önemli bir tehdit oluşturmaktadır ve bu tehditler çoğu durumda caydırılabilir. Ancak, Profesör Arlen, “birçok şirket tehdit aktörlerini yeterince caydırmak için gerekli adımları atmadı” diyor. Yazılım şirketlerinde, bulut hizmetleri sağlayıcılarında ve şirketleri, devlet kurumlarını ve finans kuruluşlarını bir siber olaya karşı savunmasız bırakabilecek ürünler üreten veya hizmetler sağlayan diğer şirketlerde bile eksiklikler bulunabilir.
Profesör Arlen, şirketlerin siber güvenlik hazırlık seviyelerini yanlış tanıtmak için dürtülere sahip olabileceğini öne sürmektedir. Örneğin, hızlı büyüme ve kârlılık elde etmek için baskı altında olan hızlı büyüyen şirketler, iyi siber güvenliğin pahalı olması ve sürdürülmesinin yoğun çaba gerektirmesi nedeniyle siber güvenlik önlemlerinden kaçınma teşviklerine sahip olabilir. Şirket yönetiminin, tazminat veya hatta iş güvenliği nedenleriyle şirketlerinin siber hazırlığını yanlış tanıtmak için kendi teşvikleri olabilir.
Bazı şirketler için (ürünlerinin veya hizmetlerinin siber güvenlik etkinliği müşterileri için kritik öneme sahip olanlar için) siber güvenlik, kritik bir yasal risk teşkil eder. Bu şirketler için Delaware yasası, “yöneticilere sistemler kurma ve gözetim sağlama konusunda gelişmiş ve belirli görevler” yükler. Özellikle, yöneticiler riskleri denetlemekten hangi komitenin sorumlu olduğunu belirlemeli; yönetimin mevzuata uyum eksikliklerini bildirmesini gerektiren prosedürler oluşturmalı ve yönetimin eksiklikler hakkında kendilerine rapor vermesini sağlamalıdır. Yöneticiler ayrıca tespit edilen uygunsuz davranışların araştırılması konusunda da birincil sorumluluğu üstlenmelidir.
Bu geliştirilmiş görevler, yönetim kurulunun ve sadece yönetimin değil, uyum eksiklikleri ve tespit edilen uygunsuz davranışlar hakkında bilgilendirilmesini sağlamak için tasarlanmıştır. Bilgi yönlendirme etkisi (information-channeling impact), “kontrolü, uygunsuz davranışlardan özel çıkarlar elde etme veya işten çıkarılma olasılığı daha yüksek olan yöneticilerden, uygunsuz davranışların ifşa edilmesinden kaybedecekleri daha az olan direktörlere kaydırarak ihlalleri caydırmaya yardımcı olmalıdır.”
Profesör Arlen, Delaware mahkemelerinin artırılmış gözetim sorumluluklarını tetikleyen yasal risklerin tam olarak ne olduğu konusunda belirli bir rehberlik sağlamadığını belirtiyor ki; davalardaki kritik faktör, “yasal ihlalin, müşteri kaybı veya düzenleyici eylem yoluyla kaybedilen gelirler yoluyla firmaya uzun vadede büyük zararlar verip vermeyeceğidir”. Bu hususlar, zayıf siber güvenliğin çokuluslu şirketler veya devlet kurumları gibi büyük kuruluşlara önemli zararlar verebileceği şirketler için en büyük endişe kaynağıdır. Bu bağlamda, “kurumsal müşterilere bilerek yanıltıcı ifadelerde bulunmak, şirketin zayıf siber güvenliğinin, saldırının ve yalanların bir araya gelmesi, şirketin dürüst olmaması durumunda kaçmayacak müşterilerin kaçmasına neden olabileceği için kritik bir yasal risk olma olasılığı yüksektir.”
Yukarıda belirtildiği gibi, SolarWinds yönetim kuruluna karşı açılan gözetim sorumluluğunun ihlali iddiası reddedilmiştir. İlginç bir şekilde, Profesör Arlen türev davacıların “iddialarını SolarWinds’in siber güvenliği hakkındaki önemli ölçüde yanıltıcı açıklamalarının, görünürdeki siber güvenlik eksikliklerinin ve maruz kaldığı siber saldırının bir araya gelmesinden kaynaklanan kurumsal travmaya dayandırmış olsalardı muhtemelen işten çıkarılmaktan kurtulacaklarını” iddia etmektedir. Bu konudaki argümanlarının özü, hem SolarWinds’in iddiaya göre önemli ölçüde yanıltıcı açıklamalar yaptığı hem de “müşterilerinin doğası ve SolarWinds ürünlerinden kaynaklanan riskler göz önüne alındığında, SolarWinds’in müşterilerini siber güvenliği konusunda dolandırmaktan kaçınmasının kritik bir görev olduğu” yönündeki önerilerine dayanmaktadır. Bu koşullar altında SolarWinds, artırılmış Caremark görevlerine tabiydi; bunun sonucunda davacıların, sorumluluğu tespit etmek için yalnızca “yöneticilerin, şirketin kamuya açık açıklamalarının önemli ölçüde yanıltıcı olup olmadığı konusunda yönetimden kendilerine rapor vermesini talep etmediklerini ve yönetim kurulunu önemli eksiklikler konusunda bilgilendirecek olan şirketin kendi sistemlerinin denetimini talep etmediklerini” göstermeleri yeterliydi.
Profesör Arlen, bu gibi vakaların, “siber güvenlik kalitesinin şirket ve müşterileri için kritik öneme sahip olduğu şirketlerin yöneticilerini, hem şirketin açıklamalarının doğruluğuna hem de şirketin siber güvenliğine dikkat etmeye, şirketin ve toplumun yararına olacak şekilde, yönelteceğini” belirtmektedir.
Profesör Arlen’in yorumu hem ilginç hem de kayda değerdir çünkü davacıların siber güvenlik bağlamında gözetim sorumluluğunun ihlali iddialarını ileri sürmeye yönelik nispeten zayıf geçmişe rağmen, geçerli bir siber güvenlik ile ilgili Caremark iddiasında bulunmanın hâlâ mümkün olabileceğini öne sürmektedir. Onun yorumu ayrıca, siber güvenliğin kritik bir yasal risk olduğu şirketler için, yönetim kurulunun siber güvenlik gözetim sorumluluklarının yalnızca siber güvenlik işlevi, operasyonu ve performansına değil, aynı zamanda şirketin siber güvenliğinin etkinliği hakkındaki ifşalarının gözetimine de uzandığı önerisi nedeniyle de ilginçtir. Profesör Arlen’in yorumu, gözetim sorumluluğunun siber güvenlik bağlamında, özellikle siber güvenliğin kritik bir görev olduğu şirketler için, kritik derecede önemli olmaya devam ettiğini öne sürmektedir.
[1]<https://law.justia.com/cases/delaware/supreme-court/2019/533-2018.html>.
[2]<https://www.dandodiary.com/2019/08/articles/director-and-officer-liability/recent-delaware-caremark-duty-decision-underscores-board-cyber-and-privacy-liability-risks/>.
[3]<https://www.dandodiary.com/2021/10/articles/shareholders-derivative-litigation/cybersecurity-related-oversight-duty-breach-claim-against-marriott-board-dismissed/>; <https://www.dandodiary.com/2022/09/articles/director-and-officer-liability/del-court-dismisses-cybersecurity-related-oversight-claim-against-solarwinds-board/>.
[4]<https://corpgov.law.harvard.edu/2025/03/18/caremark-liability-for-materially-misleading-cybersecurity-disclosures-solar-winds-reconsidered/>.
Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.