Makale
Bu makale, anonim şirketlerin tüzel kişilikleri kapsamında üstlendikleri veri sorumlusu sıfatını, yönetim kurulunun sorumluluklarını, veri işleyen ile kurulan sözleşmesel ilişkileri ve şirket içi yetki devri mekanizmalarını KVKK ve Türk Ticaret Kanunu hükümleri ışığında hukuki bir perspektifle incelemektedir.
Anonim Şirketlerde Veri Sorumluluğu ve Sözleşme Uygulamaları
6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında anonim şirketler, faaliyetlerini yürütürken müşterilerinden veya çalışanlarından elde ettikleri veriler bakımından veri sorumlusu sıfatını haizdir. Bu hukuki sıfat, şirketin tüzel kişiliğine ait olup, şirketin yasal temsilcisi konumundaki yönetim kurulu üyeleri bizzat veri sorumlusu kabul edilemez. Bir anonim şirket, verilerin işlenme amaçlarını ve vasıtalarını belirlediği andan itibaren, KVKK’dan doğan hukuki ve idari yükümlülüklerin doğrudan muhatabı haline gelir. Türk Ticaret Kanunu (TTK) uyarınca şirketin yönetimi kural olarak yönetim kuruluna ait olmakla birlikte, veri koruma hukukundan doğan organizasyonel tedbirlerin alınması, oluşturulacak bir iç yönerge ile profesyonel uyum departmanlarına devredilebilmektedir. Şirketler topluluğu gibi daha karmaşık ekonomik yapılarda ise her bir iştirak ayrı bir tüzel kişiliğe sahip olduğundan bağımsız birer veri sorumlusu kabul edilmektedir; ancak ana şirketin veri işleme süreçlerini tek başına belirlemesi halinde ortak veri sorumluluğu veya doğrudan hâkim şirketin sorumluluğu gündeme gelmektedir.
Şirketlerde Veri Sorumlusu Sıfatı ve Yönetim Kurulunun Yetki Devri
Anonim şirketlerde veri sorumlusu sıfatı, şirketin bağımsız tüzel kişiliği üzerinde doğmakta ve meydana gelebilecek ihlallerde idari yaptırımlar doğrudan şirket tüzel kişiliğine yöneltilmektedir. KVKK madde 3 uyarınca, veri kayıt sistemini yöneten ve işleme amacını belirleyen ana aktör şirkettir. Bu noktada, şirketi temsile yetkili yönetim kurulu üyeleri bizzat veri sorumlusu sayılmamakla birlikte, şirketin KVKK uyum süreçlerini tesis etmekle yasal olarak mükelleftir. TTK madde 367 hükümleri uyarınca yönetim kurulu, düzenleyeceği bir iç yönerge aracılığıyla, veri güvenliğinin sağlanmasına yönelik operasyonel yetkilerini şirket içindeki profesyonel yöneticilere veya veri koruma görevlilerine devredebilir. Ancak, yetki devri yapılması şirketin ana veri sorumlusu olma vasfını ortadan kaldırmaz. Yönetim kurulu, yetkiyi devrettiği kişilerin gözetiminde gerekli özeni göstermediği takdirde, olası bir veri ihlali sonucunda KVKK yaptırımlarının yanı sıra TTK madde 553 kapsamında şahsen ve müteselsilen hukuki sorumluluk riski ile karşı karşıya kalabilecektir.
Veri İşleyen ile İlişkiler ve Sözleşmesel Yükümlülükler
Şirketler, iş süreçlerini optimize etmek amacıyla bulut bilişim, muhasebe veya personel yönetimi gibi alanlarda üçüncü taraf hizmet sağlayıcılarından destek almaktadır. Bu hizmet sağlayıcılar, anonim şirket adına ve onun katı talimatları doğrultusunda hareket ettiklerinde veri işleyen sıfatını kazanırlar. Hukuki uygulamalar ışığında, veri sorumlusu şirket ile veri işleyen arasında kişisel verilerin güvenliğini temin edecek sözleşmesel güvencelerin detaylıca kurulması yasal bir zorunluluktur. Taraflar arasında akdedilecek veri işleme sözleşmelerinde, veri işleyenin yalnızca kendisine verilen görevler çerçevesinde veriyi kullanacağı, uygun teknik ve idari tedbirleri alacağı net bir şekilde düzenlenmelidir. Ayrıca, veri işleyenin sürece alt yükleniciler dahil etmesi durumunda doğabilecek güvenlik açıklarının ve idari cezaların, taraflar arasında akdedilen sözleşmeye eklenecek rücu hükümleri ile güvence altına alınması, şirketlerin mali risklerini sınırlandırması açısından çok büyük bir öneme sahiptir.
| Aktör | Tanım ve Konum | Hukuki Sorumluluk ve Yükümlülük Çerçevesi |
|---|---|---|
| Veri Sorumlusu (Şirket) | Veri işleme amaç ve vasıtalarını belirleyen tüzel kişilik. | KVKK yaptırımlarının (idari para cezası vb.) doğrudan ve asli muhatabıdır. VERBİS kaydı ve aydınlatma ile yükümlüdür. |
| Yönetim Kurulu | Şirketi temsil ve ilzama yetkili karar organı. | Bizzat veri sorumlusu değildir. Ancak gerekli özen ve denetim yükümlülüğünü ihlal ederse şahsen sorumlu tutulabilir. |
| Veri İşleyen | Veri sorumlusunun talimatlarıyla onun adına veri işleyen gerçek/tüzel kişi. | Veri güvenliğini sağlamakla yükümlüdür. Sözleşmeye aykırılık halinde veri sorumlusu tarafından kendisine rücu edilebilir. |
Sözleşmelerin Şekil Şartları ve Dil Kullanımı
Kişisel verilerin işlenmesine ilişkin taraflar arasında akdedilen sözleşmelerde aranan imza ve şekil şartları, şirketlerin hassasiyetle yaklaşması gereken hukuki detaylar barındırır. Uygulamada sıkça gündeme gelen, sözleşmelerin tüm sayfalarının imzalanması hususunda mevzuatta katı bir yasal zorunluluk bulunmamaktadır. Yargıtay içtihatları uyarınca, sözleşme metninin bütünlük arz etmesi ve mantıksal devamlılığının bulunması halinde, son sayfada yer alan geçerli bir imza sözleşmeyi hukuken bağlayıcı kılmaktadır. Öte yandan, sözleşmenin tarafı olan yabancı menşeli şirketlerle yürütülen operasyonlarda 805 sayılı Kanun devreye girmektedir; bu kapsamda uyuşmazlıkların Türk Mahkemelerinde ispatlanabilmesi için metinlerin Türkçe dilinde düzenlenmesi veya çift kolonlu metinlerin tercih edilmesi gerekir. İmza süreçlerinde yetkili kişilerin durumunu gösterir geçerli bir vekâletname veya yetki belgesinin sözleşme ekinde zorunlu olarak sunulması, ileride doğabilecek yetki itirazlarını ve geçersizlik iddialarını bertaraf etmek adına vazgeçilmez bir yasal önlemdir.