Kurul üyelerinin sır saklama yükümlülüğü nedir?

Kurul üyeleri, görevleri sırasında edindikleri ticari sır, müşteri verisi, finansal bilgi ve diğer hassas içerikleri üçüncü kişilerle paylaşamaz ve kendi yararlarına kullanamaz. Bu yükümlülük, görevden ayrıldıktan sonra da devam eder.

Sır saklama yükümlülüğü hangi tür bilgileri kapsar?

Ticari sırlar, stratejik planlar, finansal veriler, müşteri ve çalışan bilgileri, kişisel veriler, toplantı notları ve kamuya açık olmayan diğer tüm hassas bilgiler sır saklama yükümlülüğü kapsamındadır.

Sır saklama yükümlülüğü KVKK ile nasıl ilişkilidir?

KVKK kapsamında kişisel verilerin hukuka uygun işlenmesi ve korunması zorunludur. Kurul üyeleri, veri güvenliği, erişim kontrolü, gizlilik politikaları ve ihlal bildirim süreçlerinde stratejik sorumluluk taşır ve sır saklama yükümlülüğünü KVKK ilkeleri çerçevesinde yerine getirir.

Sır saklama ihlali durumunda ne tür yaptırımlar uygulanabilir?

İhlalin niteliğine göre disiplin cezaları, iş akdinin feshi, tazminat sorumluluğu, KVKK kapsamında idari para cezaları ve gerekli hallerde ceza hukuku yaptırımları gündeme gelebilir.

Sır saklama yükümlülüğünü güçlendirmek için hangi tedbirler alınmalıdır?

Güncel gizlilik ve bilgi güvenliği politikaları, yazılı sır saklama anlaşmaları (NDA), rol bazlı erişim yetkileri, teknik güvenlik çözümleri, düzenli eğitimler ve etkin iç denetim mekanizmaları ile sır saklama yükümlülüğü güçlendirilebilir.

Kurul Üyelerinin Sır Saklama Yükümlülüğü Rehberi: Kurumsal Gizlilik, Etik ve KVKK

Kurumsal Gizlilik · KVKK · Yönetim Kurulları

Kurul Üyelerinin Sır Saklama Yükümlülüğü Rehberi

Kurul üyeleri, görevleri sırasında edindikleri ticari sırları, müşteri verilerini, finansal bilgileri ve diğer hassas içerikleri yalnızca hukuken yetkili mercilerle paylaşabilir; üçüncü kişilere açıklayamaz ve kendi yararına kullanamaz. Bu yükümlülük, görev süresi sona erdikten sonra dahi devam eder ve kurumsal güvenin temel unsurudur.

Bu rehber; Türkiye’de faaliyet gösteren şirketlerde kurul üyeleri için sır saklama, gizlilik, siber güvenlik ve KVKK uyumunu bütüncül bir bakış açısıyla ele alır.

Özet: Sır saklama yükümlülüğü yalnızca etik bir ilke değil, aynı zamanda KVKK, ticari sırlar ve sözleşmesel sorumluluklar açısından doğrudan hukuki sonuçlar doğuran bir yükümlülüktür. Kurul üyelerinin bu yükümlülüğü, görevi ifa ederken ve görevden ayrıldıktan sonra kesintisiz devam eder.

1. Temel Çerçeve: Kurul Üyelerinin Sır Saklama Yükümlülüğü

Kurul üyeleri; görevleri kapsamında ilgililere ve üçüncü kişilere ait öğrendikleri her türlü gizli bilgi, ticari sır ve kişisel veriyi, hukuken yetkili kılınan başvuru mercileri dışında hiç kimseyle paylaşamaz, doğrudan veya dolaylı biçimde kendi yararına kullanamaz.

Bu yükümlülük;

Görev süresi boyunca,
Görevden ayrılma, istifa veya görevden alma sonrası,
Kurumsal belgeler, elektronik yazışmalar, toplantı notları ve kişisel veriler dahil tüm bilgiler üzerinde

devamlılık arz eden bir sorumluluk olarak değerlendirilir.

1.1 Kurumsal İklim Açısından Önemi

Güvenilir bir yönetim ve denetim ortamı oluşturur,
Yatırımcı, ortak, çalışan ve iş ortaklarının kuruma duyduğu güveni artırır,
Veri ihlali, itibari kayıp ve haksız rekabet risklerini azaltır,
KVKK, Türk Ticaret Kanunu ve Borçlar Kanunu kapsamındaki yükümlülüklerin icrasını destekler.

Sır saklama yükümlülüğü, yalnızca “bilgi paylaşmama” değil; aynı zamanda bilgiyi koruma, yetkisiz erişime karşı önlem alma ve gerekli durumlarda ihlal bildiriminde bulunma sorumluluğunu da içerir.

2. Gizlilik İlkeleri ve Etik Değerler

Dijitalleşme ve uzaktan çalışma modelleriyle birlikte, kurul düzeyinde gizlilik ilkeleri ve etik standartların kurumsal kültüre entegre edilmesi kritik bir ihtiyaç haline gelmiştir. Kurul üyeleri, aşağıdaki gizlilik ve etik prensiplerine uyumla hareket etmelidir:

2.1 Temel Gizlilik İlkeleri

Bilgilendirme: Kişisel veriler işlenmeden önce ilgili kişilerin, işleme amaçları, hukuki sebepler, aktarım ve saklama süreçleri hakkında açık ve anlaşılır şekilde bilgilendirilmesi.
Amaç sınırlaması: Toplanan verilerin, yalnızca belirlenen ve meşru iş amaçları çerçevesinde kullanılması; farklı bir amaç için kullanılması gerekiyorsa ayrıca hukuki dayanak tesis edilmesi.
Açıklık ve şeffaflık: Veri işleme süreçlerinin, paydaşlara karşı şeffaf olarak yürütülmesi; politika ve prosedürlerin erişilebilir kılınması.
Güvenlik: Kişisel verilerin ve ticari sırların bütünlüğünü, gizliliğini ve erişilebilirliğini korumaya yönelik idari ve teknik tedbirlerin alınması.
İlgili kişi haklarına saygı: Kişisel verilere ilişkin erişim, düzeltme, silme, itiraz ve benzeri hakların kullanılmasına yönelik süreçlerin işletilmesi.

2.2 Etik Değerler

Şeffaflık: Karar alma süreçlerinde paydaşlara karşı açık, tutarlı ve hesap verebilir bir tutum benimsenmesi.
Adil kullanım: Teknoloji ve verinin, çalışanlar, müşteriler ve iş ortakları arasında haksız ayrımcılık yaratmayacak şekilde kullanılması.
Veri sorumluluğu: Toplanan tüm verilerin, yalnızca kurumsal amaçlar doğrultusunda ve hukuka uygun şekilde işlenmesi, ticari veya kişisel çıkar için kötüye kullanılmaması.
Katılımcı karar alma: Gizlilik ve güvenlik politikalarının belirlenmesinde ilgili iş birimlerinin, bilgi güvenliği ekiplerinin ve gerektiğinde çalışan temsilcilerinin sürece dahil edilmesi.

3. Sır Saklama Anlaşmaları (NDA)

Kurul üyeleri, göreve başlamadan önce çoğunlukla Sır Saklama Anlaşması (NDA – Non-Disclosure Agreement) imzalar. Bu anlaşmalar, sözlü veya yazılı olarak paylaşılan gizli bilgilerin korunmasına ilişkin çerçeveyi netleştirir.

3.1 NDA’ların Temel Unsurları

Tanımlar ve kapsam: “Gizli bilgi”nin neyi ifade ettiği, hangi belge ve kayıtların bu kapsamda olduğu açıkça tanımlanmalıdır.
Taahhüt ve sorumluluklar: Tarafların gizli bilgiyi koruma, üçüncü kişilerle paylaşmama ve yalnızca belirlenen amaçlar için kullanma yükümlülükleri düzenlenir.
Süre ve geçerlilik: Anlaşmanın, görev süresi boyunca ve görevden ayrıldıktan sonra hangi sürelerle geçerli olacağı belirtilir.
İstisnalar: Hukuken zorunlu bildirimler, mahkeme kararları veya kamu otoritelerine yapılacak yasal bildirimler gibi istisnai haller tanımlanır.
İhlal ve tazminat: Yükümlülüklerin ihlali halinde doğacak maddi/manevi zararlar, tazmin sorumluluğu ve diğer hukuki sonuçlar hükme bağlanır.
Güvenlik önlemleri: Fiziksel ve dijital güvenlik tedbirleri, yetkilendirme, erişim kontrolleri ve loglama süreçleri tarif edilir.

İyi kurgulanmış bir NDA, hem kurul üyelerini hem de şirketi korur; olası uyuşmazlıklarda ispat kolaylığı ve hukuki öngörülebilirlik sağlar.

4. İç İletişim ve Bilgi Paylaşımı

Kurul düzeyinde yürütülen yazışmalar, toplantı gündemleri, karar metinleri ve değerlendirme notları; kurumsal hafıza ve stratejik yönetim açısından kritik öneme sahiptir. Bu nedenle iç iletişimde “ihtiyaç kadar bil” prensibi geçerli olmalıdır.

4.1 Etkili İç İletişim İlkeleri

Açıklık ve şeffaflık: Kurul üyeleri arasında, karar alma süreçlerini destekleyecek ölçüde açık iletişim sağlanmalı; ancak gizlilik derecesi korunmalıdır.
İki yönlü iletişim: Üyelere, görüş ve itirazlarını rahatça ifade edebilecekleri güvenli bir iletişim ortamı sunulmalıdır.
Toplantı yönetimi: Toplantı notları, karar özetleri ve ek dokümanlar gizlilik seviyesine uygun biçimde sınıflandırılmalı ve erişim kontrolüne tabi olmalıdır.

4.2 Bilgi Paylaşımı ve Teknolojik Altyapı

Güvenli doküman paylaşım platformları, kurum içi portal veya DMS (Document Management System) kullanılması.
Erişim yetkilerinin rol bazlı (role-based) olarak tanımlanması ve periyodik gözden geçirilmesi.
Çalışanlara bilgi paylaşımı ve gizlilik kültürü konusunda düzenli eğitimler verilmesi.

5. Siber Güvenlik ve Veri Koruma

Kurul üyeleri; finansal raporlar, birleşme & satın alma dosyaları, stratejik planlar ve kişisel veriler gibi yüksek değerli bilgilere eriştiği için siber saldırıların öncelikli hedef grubudur. Bu nedenle siber güvenlik ve veri koruma tedbirleri, sır saklama yükümlülüğünün ayrılmaz parçasıdır.

5.1 Siber Güvenlik Tedbirleri

Ağ güvenliği: Güçlü firewall, IDS/IPS, WAF ve uç nokta güvenlik çözümlerinin konumlandırılması.
Bilgi güvenliği: Hassas dosyaların şifrelenmiş ortamlarda saklanması, erişim loglarının tutulması.
Personel eğitimi: Sosyal mühendislik, phishing, spear-phishing senaryolarına karşı düzenli farkındalık eğitimleri.
Güvenlik politikaları: Temiz masa/ekran, mobil cihaz kullanımı, uzaktan erişim ve e-posta güvenliği politikalarının yazılı hale getirilmesi.

5.2 Veri Koruma ve KVKK Uyum

Gizlilik politikaları: Müşteri, çalışan, tedarikçi ve ziyaretçi verilerine ilişkin gizlilik ve aydınlatma metinlerinin güncel tutulması.
Yedekleme ve iş sürekliliği: Kritik sistemler için yedekleme ve felaket kurtarma (DRP) planlarının uygulanması.
Uyumluluk: KVKK, ikincil mevzuat ve Kurul kararları ile global standartlara (örneğin ISO 27001, ISO 27701) uyumun sağlanması.
Güvenli veri iletimi: E-posta, dosya transferi ve uzaktan bağlantılarda şifreli iletişim (VPN, TLS vb.) kullanılması.

6. Disiplin ve Sır Saklama İhlallerine Karşı Tedbirler

Sır saklama yükümlülüğüne aykırı davranışlar; kurumun itibarı, finansal durumu ve hukuki pozisyonu üzerinde doğrudan etkiler doğurur. Bu nedenle disiplin ve ihlal yönetimi süreçlerinin yazılı hale getirilmesi gerekir.

6.1 Disiplin İhlalleri İçin Kurumsal Çerçeve

Net kurallar: İç düzenleyici dokümanlarda (yönerge, yönetmelik, politika) disiplin ihlalleri ve yaptırımların açıkça tanımlanması.
Eğitim ve bilgilendirme: Kurul üyeleri ve yöneticilere, disiplin süreçleri ve olası hukuki sonuçlara ilişkin bilgilendirme yapılması.
Tutarlılık: Benzer ihlallerde benzer yaptırımlar uygulanarak kurum içi adalet duygusunun korunması.
İş hukuku uyumu: Disiplin süreçlerinin, İş Kanunu ve ilgili mevzuata tam uyumlu yürütülmesi.

6.2 Sır Saklama İhlallerine Özgü Tedbirler

Sır saklama politikası: Hangi bilgilerin gizli olduğu, hangi çevrede ve nasıl paylaşılabileceği yazılı olarak belirlenmelidir.
Erişim kontrolleri: Yalnızca görev gereği erişmesi gereken kişilere yetki verilmesi, rol bazlı erişim yönetimi.
Güvenlik teknolojileri: Veri şifreleme, DLP (Data Loss Prevention), güvenli e-posta ve log yönetimi çözümleri.
İhlal müdahale planı: İhlalin tespiti, kapsamının belirlenmesi, etkilerin sınırlandırılması, ilgili kişilere ve gerekli hallerde KVKK Kurumu’na bildirim süreçlerinin tanımlanması.

Sır saklama ihlali, çoğu durumda yalnızca iç disiplin yaptırımıyla sınırlı kalmaz; tazminat, ceza hukuku sorumluluğu ve KVKK kapsamında idari para cezaları gündeme gelebilir.

7. KVKK, Kurul Üyeleri ve Kurumsal Uyum

Kurul üyelerinin sır saklama yükümlülüğü, KVKK’nın öngördüğü veri güvenliği, gizlilik ve hesap verebilirlik ilkeleri ile doğrudan bağlantılıdır. Yönetim organı seviyesinde benimsenen bu yaklaşım, kurumun genel uyum kültürünü şekillendirir.

Kurumsal politikalar, prosedürler ve rehberler yönetim düzeyinde onaylanmalı ve sahiplenilmelidir.
Veri sorumlusu sıfatıyla hareket eden şirketlerde, kurul; KVKK uyum projelerini stratejik gündemine almalıdır.
Veri ihlali senaryoları, risk yönetimi ve iç denetim planlarıyla entegre şekilde ele alınmalıdır.

Cerezgo ile çerez ve rıza yönetimini KVKK’ya uygun yönetin

Sık Sorulan Sorular: Kurul Üyelerinin Sır Saklama Yükümlülüğü

Sır saklama yükümlülüğü ne zaman başlar, ne zaman sona erer?

Yükümlülük, kurul üyesinin göreve fiilen başlamasıyla yürürlüğe girer; görevden ayrılma, istifa veya görevden alma sonrasında da süreklilik arz eder. Çoğu durumda NDA ve iç düzenlemelerle bu süre ayrıca pekiştirilir.

Hangi bilgiler “gizli bilgi” sayılır?

Ticari sırlar, finansal veriler, müşteri ve çalışan verileri, stratejik planlar, fiyatlandırma yapıları, Ar-Ge çıktıları, toplantı notları ve kişisel veriler başta olmak üzere, kamuya açık olmayan tüm hassas bilgiler gizli kabul edilir.

KVKK ile sır saklama yükümlülüğü arasındaki ilişki nedir?

KVKK, kişisel verilerin hukuka uygun işlenmesi ve korunması için veri sorumlularına bir dizi teknik ve idari tedbir yükümlülüğü getirir. Kurul üyeleri, bu tedbirlerin stratejik sahipleri olup aynı zamanda sır saklama yükümlülüklerini KVKK perspektifiyle icra etmekle sorumludur.

Sır saklama ihlali tespit edildiğinde ne yapılmalıdır?

Öncelikle ihlalin kapsamı ve etkisi tespit edilmeli, veriye erişimi olan hesaplar gözden geçirilmeli, gerekli teknik önlemler alınmalı, iç disiplin süreçleri çalıştırılmalı ve gerekiyorsa KVKK Kurumu’na ve ilgili kişilere bildirim yapılmalıdır.

Sır saklama yükümlülüğünü güçlendirmek için neler yapılabilir?

Güncel politikalar, düzenli eğitimler, rol bazlı erişim yetkileri, güçlü siber güvenlik kontrolleri, NDA güncellemeleri ve etkin iç denetim mekanizmaları ile yükümlülük hem farkındalık hem de uygulama düzeyinde güçlendirilebilir.