Bir şirket, veri güvenliği ihlalinin tek bir çalışanın hatasından kaynaklandığını ileri sürerek sorumluluktan kurtulabilir mi? Fransız Veri Koruma Otoritesi'nin (CNIL) Slimpay kararındaki yaklaşımı nasıldır?

Hayır, kurtulamaz. CNIL, SAN-2021-020 sayılı Slimpay kararında bu savunmayı reddetmiştir. CNIL'e göre, veri sorumlusunun sorumluluğu, uygun teknik ve idari güvenlik tedbirlerini almayı kapsar (GDPR Madde 32). Güvenlik açığının bir çalışanın hatasından kaynaklanması, şirketin bu tedbirleri almakta yetersiz kaldığını gösterir. Şirket, çalışanlarının bu tür hatalar yapmasını önleyecek veya hatanın etkisini sınırlayacak prosedürleri ve teknik önlemleri tasarlamakla yükümlüdür. Ayrıca, çalışan, şirketin talimatları altında ve onun adına hareket ettiği için, çalışanın hatası veri sorumlusu olan şirkete atfedilir. Bu nedenle, güvenlik açığının temel nedeninin münferit bir insan hatası değil, şirketin genel güvenlik altyapısındaki ve prosedürlerindeki yetersizlik olduğu kabul edilir ve şirket sorumlu tutulur.