Ankara BAM 22. HD 2021/1777 E. 2024/185 K.

T.C. ANKARA BÖLGE ADLİYE MAHKEMESİ BAM 22. HUKUK DAİRESİ

T.C.

A N K A R A

B Ö L G E A D L İ Y E M A H K E M E S İ

22. H U K U K D A İ R E S İ

ESAS NO : 2021/1777 (ESASTAN RET )

KARAR NO : 2024/185

T Ü R K M İ L L E T İ A D I N A

İ S T İ N A F K A R A R I

BAŞKAN : ... (...)

ÜYE : ... (...)

ÜYE : ... (...)

KATİP : ... (...)

İNCELENEN KARARIN

MAHKEMESİ : ANKARA 11. ASLİYE TİCARET MAHKEMESİ

TARİHİ : 30/09/2021

ESAS-KARAR NO : 2019/519 E - 2021/717 K

DAVACI :

VEKİLLERİ :

VEKİLİ :

DAVALI :

DAVANIN KONUSU : Tazminat

KARAR TARİHİ : 04/03/2024

YAZILDIĞI TARİH : 27/03/2024

Taraflar arasında yukarıda bilgileri belirtilen kararın Dairemizce incelenmesi davacı vekili tarafından istenmiş, 6100 sayılı Hukuk Muhakemeleri Kanunu'nun 352. maddesi uyarınca, yapılan ön inceleme sonucu, istinaf dilekçesinin süresi içinde verildiği ve eksiklik bulunmadığı anlaşıldığından inceleme aşamasına geçilmiştir. İncelemenin dosya üzerinde yapılmasına karar verildi.

GEREĞİ GÖRÜŞÜLDÜ

İDDİANIN ÖZETİ

Davacı vekili; müvekkili firmanın ticari faaliyetleri kapsamında; müşterilerine ait adres, telefon ve kimlik bilgileri; taraflar arasında imzalanan taksitli satış sözleşmeleri uyarınca kararlaştırılan taksitler, taksit tutarları ve ödeme tarihleri; müşterilerinden gelen ödeme ve gecikmelere ilişkin bilgi ve verilerin depolanması, işlenmesi, yedeklenmesi ve tüm bu verilere müvekkili firmanın şubelerinden erişimin sağlanması amacıyla müvekkili firmanın tüm kayıtlarının tutulduğu yazılım ve dijital verilerinin günlük olarak ... sistemine yedeklenerek olası bir sistem arızası yada siber saldırılar sonucu oluşabilecek veri kayıplarının önüne geçilmesi amacı ile ... sistemlerinin davalı ... ... Ltd.Şti.aracılığı ile davalı ... Ticaret Ltd.Şti.tarafından sağlandığını, 19/03/2018 tarihinde ... bulut yedekleme sisteminin satın alındığını, 19/03/2018 tarihinde sistemin müvekkili firmanın bilgisayarlarına kurulduğunu, ... sisteminin satın alınmasından çok kısa bir süre sonra müvekkili firmanın sistemlerinin siber saldırıya uğradığını, şüpheliler tarafından mevcut verilerin ... programı ile sıkıştırıldığını, şifrelenmiş eski verilerin bozulduğunu, müvekkili firmaya mail atılması ve mailde bildirilecek olan hesaba ödeme yapması gerektiğinin söylendiğini, 30/03/2018 tarihinde şüpheliler tarafından gönderilen paraların çekilmiş olmasına rağmen, dosyalara konulan şifrelerin açılmadığını, müvekkili şirketin tüm borç ve alacaklarının bulunduğu sunucu ve dosyalara erişimin sağlanamadığını, müvekkili firma sistemleri üzerinde gerçekleştirilen inceleme ve araştırmalarda söz konusu siber saldırının virus doğrultusunda otomatik şifrelenen veri olmadığı, tamamen manuel şekilde üstelik ... programlarına hakim olma gereksinimleri gerektirecek ölçüde profesyonellikle gerçekleştirildiğinin tespit edildiğini, Hack olayı sonrasında; ... Sistem Mühendisi tarafından yapılan incelemede; bilgisayarda şifreleme için kullanılan ... programının olay günü değil 28/03/2018 tarihinde yüklendiğini, aynı tarihte anti virüs ve koruma programlarının silindiğini, sıkıştırma denemelerinin yapıldığını, aynı yarım saatlik dilim içerisinde ... adlı bulut tabanlı yedekleme sisteminin ayarlarının yapıldığının tespit edildiğini, davalı firma tarafından müvekkili firma sistem verilerinin yedeklerinin verilmemesi nedeniyle sistemde yer alan bilgilere 18 gün boyunca erişim sağlanamadığını, yedeklenen ve depolanan verilerin gönderilmesini talep edildiğinde; depolama ve yedekleme sistemi olan ... 9 sisteminin teknik bir arıza nedeniyle depolama ve yedekleme yapamadığı bu nedenle verilerin yedeklenmediğinin davalılar tarafından ifade edildiğini, davalı firmaların asli edim yükümlülüğü olan yedekleme ve depolama hizmetini yerine getirmediklerini, bahsi geçen bu süreç içerisinde tahsilatlarında telafisi güç zararlar doğduğunu, davalıların, siber saldırı olayından bir gün önce müvekkili firmanın bilgisayarına bağlanarak bir gün sonra gerçekleşecek saldırı olayına zemin hazırladığı, işbu fiillerin haksız fiil niteliğinde olduğu, bununla beraber sözleşmeye aykırı davranarak sistem verilerin yedeklenmesi ve depolanmaması ve hizmet sözleşmesi gereği asli sorumluluklarının yerine getirilmemesi sonucunda müvekkilinin maddi ve manevi zarara uğratıldığını, müvekkilinin üçüncü bir şirket ile sistemini kurtarmak amacıyla sözleşme yapmak zorunda kalması ve bu iş nedeniyle 50.000 TL ödemesi, müvekkilinin sisteme erişemediği süre boyunca herhangi bir tahsilat veya sistem üzerinden ticari faaliyet yürütememesi neticesinde uzman mütalaasında belirtilen maddi zararların oluştuğunu belirterek fazlaya ilişkin hakları saklı kalmak kaydıyla şimdilik 522.897,05 TL maddi ve 15.000,00.-TL manevi tazminatın dava tarihinden itibaren işleyecek ticari faizi ile birlikte davalılardan tahsiline karar verilmesini talep ve dava etmiştir.

SAVUNMANIN ÖZETİ

Davalı ....Ltd.Şti. vekili; davacının talebinin haksız fiile dayalı bir tazminat talebi olduğunu, TBK'nın 49 ve 50 maddelerindeki düzenlemeleri nedeniyle, müvekkili şirkete husumet yöneltilmesinin mümkün olmadığını, müvekkili şirketin ... şirketi tarafından geliştirilen ve satışa sunulan yazılımların Ana Dağıtıcısı (Bölge Dağıtıcısı) olarak faaliyet gösterdiğini, davacı şirketin talebi üzerine ... adlı yedekleme yazılımının satışının ... adına, ana dağıtıcı olan müvekkili şirket tarafından gerçekleştirildiğini, 19.03.2018 tarihinde davacı şirketin bilgisayarına yüklenen ... programının kurulumu ve aktif hale getirilmesinin ... şirketi tarafından yapıldığını, müvekkili şirketin yedekleme yapılan server'leri sağlama yetkisi olmadığı gibi, server'lere ulaşım ve müdahale olanağı da bulunmadığını, dava dilekçesinde; davacı şirket bilgisayarlarının 29.03.2018 tarihinde gerçekleşen bir siber saldırı nedeniyle hacklendiği ileri sürülerek, bu hacklenme nedeniyle uğradıkları zararların davalılardan tazmininin talep edildiğini, ortada bir zarar varsa dahi bu zarardan müvekkili şirketin sorumlu olmasının hukuken mümkün olmadığını, davacı tarafından satın alınan ... programı; online depolama ve yedekleme hizmeti sağladığını, ... tarafından kullanıcıya sunulan ve kullanıcının dosyalarını yedekleyebilmesini, yedeklenen dosyaları depolayabilmesini ve depolanan dosyalara erişimi sağlayan bir program olduğunu, ... programının bir antivirüs programı olmadığını, bu programın siber saldırıları önlemek gibi bir hizmet sunmadığını, davacı şirket ile ... arasında imzalanan sözleşme gereğince; sistemin güvenliğinin sağlanmasının davacı şirketin sorumluluğunda olduğunu, davacı şirket bilgisayarına yapılan siber saldırının haksız fiil niteliğinde bir eylem olduğunu ve eğer var ise ortaya çıkan zarardan haksız fiilin failinin sorumlu olduğunu, müvekkili şirkete yüklenebilecek bir kusur bulunmadığını, kusurun kendi bilgisayar sistemlerinin güvenliğini sağlamayan davacıya ait olduğunu, bildirerek davanın reddini istemiştir.

Davalı ... Grup....Ltd.Şti. Vekili; müvekkil şirketin sorumluluğundan bahsedilemeyeceğini, husumet itirazlarının kabulüne karar verilmesini, ... programının bir antivirüs programı olmadığını, bu programın" Online depolama ve yedekleme hizmeti, ... tarafından kullanıcıya sunulan ve Kullanıcının ... tarafından belirlenen bir ücret karşılığında dosyalarını yedekleyebilmesini, yedeklenen dosyaları depolayabilmesini ve depolanan dosyalara erişimi sağlayan" bir program olduğunu, ... programı bir antivirüs programı olmadığından siber saldırıları engelleme gibi bir hizmet sunmadığı gibi, server sistemlerinin güvenliğini sağlamak ve siber saldırıları engellemek için gerekli önlemleri davacı tarafın alması gerektiğini, taraflar arasındaki sözleşmede; " ... donanım veya işletim sistemi arızasından, network tasarım ve bağlantı hatalarından, virüs ve benzeri kullanıcı hatalarından kaynaklanacak dosya ve bilgi kayıplarından sorumlu tutulamaz." " ... kullanıcı bu talimatlara uymaması sebebi ile ve/veya kullanmakta olduğu yazılım ve donanımlardan kaynaklanan sebeplerle ... yazılımdan herhangi bir talepte bulunmayacağını kabul, beyan ve taahhüt eder" ".... kullanıcı kullanmakta olduğu yazılım/donanımın yetersizliği sebebiyle ... hizmetinde ortaya çıkabilecek sorunlar karşısında ... Yazılımdan herhangi bir talepte bulunmayacağını kabul, beyan ve taahhüt eder" denildiğini, davacı firmanın sözleşmeden kaynaklı yükümlülüklerini yerine getirmediği gibi, yazılım ve donanımlarının da yetersiz olduğunu, davacı tarafın ... Sistem Mühendisinden aldığı ve dosyaya sunmuş olduğu tespit tutanağını kabul etmediklerini, davacı firmanın ... programını 19.03.2018 tarihinde satın aldığını, müvekkili şirketin davacı firmanın ... programını satın aldığı tarihten itibaren her gün davacı firmaya yedeklemeleri yapması hususunda "uyarı maili" gönderdiğini, davacı firmanın 28.03.2018 tarihinde müvekkili firmadan kurulum talebinde bulunduğunu, müvekkili firmanın ilk defa 28.03.2018 tarihinde öğleden sonra kurulum yaptığını, yedek alınacak veri tabanları davacıya sorularak yedekleme işleminin başlayacağı saatin "davacı firmanın talebi doğrultusunda 20:00 olarak ayarlandığını, saldırının meydana geldiğinin iddia edildiği 29.03.2018 tarihinde kullanıcıya müvekkil firma tarafından herhangi bir bağlantı gerçekleştirilmediğini, ileri sürerek davanın reddine karar verilmesini talep etmiştir.

İLK DERECE MAHKEMESİ KARARININ ÖZETİ

Mahkemece benimsenen bilirkişi raporu doğrultusunda; davalı ....Ltd.Şti.nin diğer davalı ... şirketi tarafından geliştirilen ve satışa sunulan yazılımların Ana Dağıtıcısı (Bölge Dağıtıcısı) olarak faaliyet gösterdiği, davacı şirketin talebi üzerine ... adlı yedekleme yazılımını davacı tarafa satışını gerçekleştirdiği, tarafların kabulünde olan sözleşmenin davacı şirket ile davalı ... Limited Şirketi arasında kurulduğu, davacının kullanıcı olarak sözleşmede yer aldığı, sözleşmenin 1.2.maddesinde; ''... online depolama ve yedekleme hizmeti, ... tarafından kullanıcıya sunulan ve kullanıcının ... tarafından belirlenen bir ücret karşılığında dosyalarını yedekleyebilmesini, yedeklenen dosyaları depolayabilmesini ve depolanan dosyalara erişimin sağlamaktır.'' Sözleşmenin 6.3.maddesinde ''KULLANICI ... ilgili olarak temin edilen tüm hizmetleri riskleriyle kabul ederek kullanacağını kabul ettiği, ...'un içeriklerine ilişkin olarak veya kullanımından kaynaklanan veri kaydı veya bilgisayar sistemi hasarları kullanıcının sorumluluğunda olup ... Yazılımın bu hususta herhangi bir sorumluluğu bulunmadığı sözleşme içeriğine göre davalıların davacıya ait bilgisayardaki verileri yedekleme gibi bir yükümlülüğün bulunmadığı, dolayısıyla davacı şirketin yedekleme yapılmaması nedeniyle uğradığını iddia ettiği maddi ve manevi zararlarının tazminini davalılardan talep edemeyeceği, veri hasarının siber saldırı sonucu oluştuğu, bilgisayarda tespit edilen virüs aracılığıyla gerçekleştirildiğinin tespit edildiği, işlemi kimin gerçekleştirdiğinin tespit edilemediği, davacı tarafın hackleme olayını davalıların çalışanları tarafında yapıldığını iddia etmiş ise de, hackleme olayının davalıların çalışanları tarafından yapıldığına ilişkin somut delil bulunmadığı, davacı tarafın sunmuş olduğu deliller ile iddialarını ispatlayamadığı gerekçesiyle davanın reddine karar verilmiş, hükme karşı davacı vekilince istinaf yasa yoluna başvurulmuştur.

İSTİNAF SEBEPLERİ

Davacı vekili; eksik inceleme ve araştırma sonucu karar verildiğini, mahkemece 18.02.2021 tarihinde dosyanın bilirkişiye tevdi ile müvekkil şirkete ait bilgisayarlardaki server kayıtlarının incelenerek;- kurulumunun sözleşmeye uygun olarak yapılıp yapılmadığı,- yedekleme sisteminin doğru kurulup kurulmadığı, - tarafların kusur durumu konusunda taraf iddiaları doğrultusunda ayrıntılı rapor düzenlenmesinin istenilmesine karşın hükme esas alınan raporda bu hususların araştırılmadığını, kurulumunun sözleşmeye uygun olarak yapılıp yapılmadığı, yedekleme sisteminin doğru kurulup kurulmadığı, tarafların kusur durumu konusunda taraf iddiaları doğrultusunda ayrıntılı rapor düzenlenmesi talimatına rağmen bu hususlarda adeta davalı tarafın beyanlarına sadık kalındığını davalı ... Yazılımının üzerine düşen yedekleme hizmetini yerine getirmediğini belirterek ilk derece mahkemesi kararının kaldırılarak davanın kabulüne karar verilmesini istemiştir.

UYUŞMAZLIK KONUSU OLAN HUSUSLAR

Uyuşmazlık ; davaya konu yazılım programı ve yedekleme sisteminin doğru kurulup kurulmadığı tarafların kusur durumunun tayini ve burada varılacak sonuca göre davacının zararının tespiti istemine ilişkindir.

DELİLLERİN DEĞERLENDİRİLMESİ VE GEREKÇE

Dava; satım sözleşmesine konu yazılım programına siber saldırı sonucu uğranılan zararın satıcı ve yazılım hizmeti sunan davalılardan kusur sorumluluğu kapsamında maddi ve manevi zararın tazmini istemine ilişkindir.

İnceleme, 6100 sayılı HMK’nin 355.maddesi uyarınca istinaf dilekçesinde ileri sürülen sebeplerle sınırlı, ancak kamu düzenine ilişkin nedenler resen göz önünde tutularak yapılmıştır.

Mahkemece, yargılamanın HMK'da düzenlenen usul kurallarına uygun olarak yapılmış olmasına, kamu düzenine aykırılık hallerinin bulunmamasına, dosya kapsamındaki bilgi, belge ve toplanan deliller değerlendirilip yasal düzenlemelere uygun isabetli, yeterli gerekçeyle karar verilmiş olmasına, ileri sürülen istinaf sebepleri dikkate alındığında mahkeme kararında usul ve esas yönünden yasaya aykırılığın olmamasına ve özellikle veri hasarının siber saldırı sonucu oluştuğu, işlemin davalılar tarafından gerçekleştirildiğinin kusur durumunun tespit edilemediği, siber suçlar ile yapılan soruşturma sonucu takipsizlik kararı verilmiş bulunmasına göre davacı vekilinin istinaf başvurusunun HMK'nin 353/1.b.1. maddesi uyarınca esastan reddine karar verilmesi gerekmiştir.

HÜKÜM :Gerekçesi yukarıda açıklandığı üzere;

1. Davacı vekilinin istinaf başvurusunun Hukuk Muhakemeleri Kanununun 353/1. b.1.maddesi gereğince ESASTAN REDDİNE,

2. Harçlar Kanunu gereğince alınması gereken 427,60TL istinaf karar ve ilam harcından, peşin alınan 59,30TL harcın mahsubu ile bakiye 368,30 TL harcın istinaf eden davacıdan alınarak Hazineye irat kaydına,

3. İstinaf eden tarafından yapılan istinaf posta giderlerinin üzerinde bırakılmasına,

4. İstinaf incelemesi sırasında duruşma açılmadığından karşı taraf lehine vekalet ücretine hükmedilmesine yer olmadığına,

5. HMK'nin 333.maddesi gereğince gider avansından kalanının karar kesinleştiğinde yatırana iadesine,

6. Kararın tebliğinin Dairemizce yapılmasına,

Dosya üzerinden yapılan inceleme sonucunda 361/1. maddesi gereğince kararın tebliği tarihinden itibaren 2 haftalık süre içerisinde kararı veren Bölge Adliye Mahkemesi ya da buraya gönderilmek üzere temyiz edenin bulunduğu yer Bölge Adliye Mahkemesi Hukuk Dairesi veya İlk Derece Mahkemesine verilecek dilekçe ile Yargıtay temyiz yasa yolu açık olmak üzere 04/03/2024 tarihinde oy birliği ile karar verildi.

Başkan...

e-imzalıdır

Üye...

e-imzalıdır

Üye...

e-imzalıdır

Katip...

e-imzalıdır

NOT: BU BELGE ELEKTRONİK İMZA İLE İMZALANMIŞ OLUP, AYRICA FİZİKİ OLARAK İMZALANMAYACAKTIR.

"5070 sayılı Kanun m. 5 ve 6098 sayılı TBK m. 15. uyarınca elektronik imza ile oluşturulan belgeler elle atılan fiziki imza ile aynı sonucu doğurur."