*Av. Doğancan Tölek

Kişisel veri kavramı özellikle son üç yıldır birçok gerçek ve tüzel kişinin hayatında önem kazandı. Teknolojik gelişmelere paralel bir şekilde dijitalleşmenin de arttığı son durumda; verilere erişim, bunların aktarımı, depolanması ve işlenmesi kişilere ciddi kolaylıklar sağlamakla birlikte bunların güvenliğinin sağlanması ve bu işlemlerin hukuka uygun bir şekilde yapılması da üzerinde durulması gereken bir konu haline geldi. Kişisel verilerin korunması hakkı Anayasa ile korunan temel hak ve özgürlüklerden birisi olup bu çerçevede hazırlanan 6698 sayılı Kanun, 24 Mart 2016 tarihinde TBMM’de kabul edilmiş ve 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanmıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) temel amacı; kişisel verilerin işlenmesinde, kişilerin temel hak ve özgürlüklerini korumak, verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek ve kişisel veri güvenliğini sağlamaktır.

6102 sayılı Türk Ticaret Kanunu’nda düzenlenen ticaret şirketleri çeşitli amaçlar ve gereksinimler ile yapısal değişiklikler geçirebilmektedir. Bu yapısal değişiklikler; şirketin ekonomik gücünü arttırmak, belirli bir proje kapsamında maliyetleri düşürmek, rekabet edebilirlik koşullarını güçlendirmek, yeni ekonomik stratejiler oluşturmak, küreselleşen duruma uyum sağlamak gibi ve fakat bunlarla sınırlı olmayan birçok amaçla gerçekleştirilebilir. Bu amaçlarla gerçekleştirilen yapısal değişiklikler TTK kapsamında birleşme, bölünme ve/veya devralma olarak kabul edilmektedir. Birleşme ve devralma (“M&A”) işlemlerinin birçoğu oldukça gizli bir şekilde yürütülmekte olan projelerdir. Bu neviden işlemler kapsamında transferi gerçekleştirilen tek husus pay veya malvarlığı unsurları olmayıp şirketler uhdesinde mevcut olan kişisel verin de aktarıldığı bir gerçektir. Normal şartlarda kişisel verinin işlenmesi ve aktarımı zaten kanun tarafından izin verilen uygulamalardır. Burada önemli olan,  işlemin hukuka uygun ve ilgili kişilerin temel hak ve hürriyetlerini zedelemeyecek şekilde gerçekleştirilmesidir.

M&A projeleri kapsamında kişisel veriler Due Diligence (hedef şirketin vergisel, hukuki, finansal, çevresel, insan kaynakları vs. gibi pek çok alan bakımından durumunun net olarak ortaya çıkarılması amacıyla yapılan çalışma) aşamasından kapanış anına kadar herhangi bir safhada karşı tarafa aktarılmış olabilir. Bu işlemler çerçevesinde aktarılan veriler çoğunlukla; çalışan, müşteri, paydaş, tedarikçi ve iş ortaklarına aittir. KVKK’nın 5’nci maddesi kapsamında kişisel veriler, maddede belirtilen hukuka uygunluk sebeplerinden birinin varlığı halinde işlenir veya transfer edilir ise hukuka uygun hali gerçekleşmiş sayılır. Bu maddedeki temel kural kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenememesidir. Hal böyle iken; aynı maddenin ikinci fıkrası; “ ….(c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. …..(f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” şartlardan birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesini mümkün kılabilmektedir.

Açık rıza, KVKK’nın 3’ ncü maddesinde; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. İlgili kişi tarafından verilecek olan açık rıza tereddütte yer vermeyecek bir şekilde ve yeterli aydınlatılmanın yapılmasını takiben gerçekleştirilmelidir. Ancak ülkemizde ve yurtdışında gerçekleşen birçok M&A işlemi başlangıçtan kapanış aşamasına kadar gizli olarak yapılmaktadır. Kaldı ki bazı taraflar bu işlemlere başlamadan hemen önce işlemler ile ilgili de bir gizlilik sözleşmesi imzalarlar. Böyle bir durumda hedef şirket yani devralınan şirketin çalışanlarının, tedarikçilerinin, müşterilerinin veya şirketle başka ilgisi bulunan gerçek/tüzel kişilerin bu neviden bir işlemle alakalı hiçbir malumatı olmayabilir. İlgili kişiden alınan açık rıza belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan bir rıza olmalıdır. İşlemler ile ilgili yeteri bilgisi olmayan kişilerden bu neviden bir açık rıza alınması pratikte pek mümkün görünmemektedir (Jodka, 2018). Açık rıza ile ilgili bir diğer sıkıntı da bu beyanın ilgili kişiye sıkı sıkıya bağlı olması ve her zaman geri alınabilmesidir. Özetle; M&A işlemlerinde açık rızaya dayanmak pek mümkün olmayabilir.

M&A kapsamında açık rızadan ayrı bir dayanak ise; “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması” halidir. Bu şartın sağlanmasındaki en büyük sorun ise kişisel verisi işlenen veya aktarılan tarafın proje kapsamındaki esas sözleşmelerin tarafı olmamasıdır. Birleşme ve devralma işlemleri kapsamında verisi işlenen veya aktarılan muhtemel ilgili kişiler; çalışan, müşteri, tedarikçidir. Bu kişiler M&A kapsamında imzalanan Ortaklık Sözleşmesi, Pay Devri Sözleşmesi, İfşa Mektubu, Beyan ve Tekeffüller gibi sözleşmelerin tarafı değildir. İşbu durum da bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması halinin sağlanmasını pek mümkün kılmamaktadır.

Hukuka uygunluk nedenlerinden biri de m. 5/ 2 (f) ile; “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” şeklindedir. Meşru menfaat kavramı temelde 95/46/EC sayılı Direktif’ in yedinci maddesinde düzenlenmiştir. Meşru menfaat kavramı hem ülkemizde hem de yurtdışındaki yasal otoritelerde hala tartışma konusudur. Önümüze gelen bir birleşme ve devralma işlemi kapsamında meşru menfaatin varlığının tespit edilmesi her zaman çok kolay olmamakla birlikte buna imkân tanıyan bazı uygulamalar vardır. Bu uygulamalardan en önemlisi denge testi olup bu uygulama; bütün veri işleme ilkeleriyle birlikte işleme faaliyetinin kişinin temel hak ve özgürlükleri ile bir teraziye konması ve veri sorumlusunun menfaatinin ağır basması veya dengeli olmasını ifade eder. Veri sorumluları bir hukuka uygunluk nedeni yaratmaya çalıştıklarında bunu ilk meşru menfaat başlığı altında yapmaya çalışmaktadır. Ancak Kişisel Verileri Koruma Kurulu 25 Mart 2019 tarihli ve 2019/78 Sayılı karar ile meşru menfaat hususuna yerinde ve yol gösterici bir cevap vermiştir.

Karara göre; veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hali tespit edilirken veri sorumluları tarafından; “(1) Kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması, (2) Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi, ..(4) İlgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması, (5) Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması,…… (9) .., kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılarak denge testinin yapılması” gerekmektedir.

Veri sorumlusu ulaşmak istediği sonuca kişisel veri işlemeden de ulaşabiliyorsa; veri sorumlusu tarafından ulaşılmak istenen hedefin ne olduğu belirsiz ise; veri işleme faaliyeti ilgili kişinin temel hak ve özgürlüklerine karşı yakın ve ciddi bir tehdit oluşturuyorsa; işleme faaliyetleri kapsamında KVKK’ nin 12’ nci maddesinde düzenlenen veri güvenliği yükümlülükleri sağlanmıyorsa somut olayda veri sorumlusunun meşru menfaatine dayanmak hukuka uygunluk hali yaratmayacaktır.

Sonuç olarak; M&A projesine başlarken gerekli verilerin neler olduğunun tespiti için dikkatli bir veri analizi yapılmak suretiyle fazla veriden kaçınılmalıdır. Veri sorumlusu sıfatıyla meşru menfaat adı altında veri işlenmesi ve transfer edilmesi ancak bu kavramın içinin doldurulması ile mümkün olabilecektir. Hal böyle iken; yukarıda da belirtilen sebeplerle M&A işlemleri kapsamındaki veri işleme ve transfer faaliyetlerine hukuka uygunluk vasfını kazandırabilecek muhtemel dayanak “Meşru Menfaat” halidir. Bu dayanağın gerek proje kapsamındaki sözleşmelere yüksek yaptırımlı yükümlülük maddeleri eklenerek gerekse de KVKK’ nın 12’nci maddesinde düzenlenen teknik ve idari tedbirler alınarak perçinlenmesi gerekir. Tarafların; KVKK çerçevesinde karşılaşabilecekleri sorumlulukları en aza indirmek için M&A kapsamında elde ettikleri verileri, kapanışın başarılı veya başarısız şekilde tamamlanmasını gözetmeden KVKK’ nin “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” başlıklı 7. maddesinde belirtilen usullerde yok edeceklerini, sileceklerini veya anonim hale getireceklerini karşılıklı bir protokol veya sözleşme yoluyla taahhüt etmelerinde büyük fayda vardır.  

*Yavuz&Uyanık&Akalın Hukuk Bürosu, Avukat