Bir veri sorumlusu olan şirketin, KVKK m.12'deki veri güvenliği yükümlülüklerine aykırı davranması nedeniyle, Kurul tarafından KVKK m.18 uyarınca idari para cezası ile cezalandırıldığını varsayalım. Şirket, bu cezayı ödedikten sonra, kusuruyla ihlale neden olan ilgili çalışanına veya veri işleyenine rücu edebilir mi?

Evet, rücu edebilir. KVKK, veri sorumlusuna yönelik idari para cezalarını düzenlemiş olsa da, bu durum veri sorumlusunun, ihlale neden olan gerçek kişilere (çalışanlar) veya diğer tüzel kişilere (veri işleyenler) karşı özel hukuk hükümlerine göre başvurmasını engellemez. 1) Çalışanına Rücu: Eğer veri ihlali, bir çalışanın kasıtlı veya ihmalli bir davranışı (örneğin, güvenlik politikasını bilerek ihlal etmesi) sonucu meydana gelmişse, şirket ödediği idari para cezasını ve diğer zararları, iş hukuku veya borçlar hukuku genel hükümlerine (haksız fiil, sözleşmeye aykırılık) dayanarak bu çalışanına rücu edebilir. 2) Veri İşleyenine Rücu: Eğer ihlal, veri işleyenin (örneğin, sunucu hizmeti alınan şirketin) sözleşmesel yükümlülüklerine veya veri sorumlusunun talimatlarına aykırı davranması sonucu meydana gelmişse, veri sorumlusu (şirket), aralarındaki sözleşme ve KVKK m.12/2'deki müşterek sorumluluk ilkesi gereği, ödediği cezayı ve zararları, kusuru oranında veri işleyenine rücu edebilir. Bu rücu hakkı, genel hukuk prensiplerinin bir gereğidir.