Makale

Günümüzde ticari faaliyetlerini sürdüren sermaye şirketleri ve kooperatifler, iş süreçlerinde yoğun bir şekilde kişisel veri işlemektedir. Ancak, Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında getirilen kurallara uyulmaması, şirket tüzel kişiliklerini ciddi hukuki, idari ve cezai yaptırımlarla karşı karşıya bırakmaktadır. Özellikle veri sızıntıları, aydınlatma yükümlülüğünün ihlali veya Kurul kararlarına uyulmaması gibi durumlarda, Kişisel Verileri Koruma Kurulu tarafından yüksek tutarlarda idari para cezaları uygulanabilmektedir. Bunun yanı sıra, hukuka aykırı veri işleme faaliyetleri nedeniyle zarara uğrayan ilgili kişilerin açacağı maddi ve manevi tazminat davaları, şirket malvarlığında önemli eksilmelere yol açmaktadır. Tüzel kişiliğin karşılaştığı bu mali külfetler, süreçte kusuru bulunan yönetim kurulu üyelerinin ve müdürlerin şahsi sorumluluğunu gündeme getirmekte ve şirket tarafından ödenen bedellerin yöneticilere rücu edilmesine zemin hazırlamaktadır. Bu nedenle KVKK uyum süreci sadece şirketi değil, doğrudan şirket yöneticilerini de koruyan kritik bir hukuki kalkan işlevi görmektedir.

KVKK İhlallerinde İdari ve Cezai Yaptırımlar

Şirketlerin KVKK hükümlerine aykırı davranmaları durumunda karşılaşacakları temel yaptırımların başında idare hukuku kapsamındaki idari para cezaları gelmektedir. Kanun'un 18. maddesi uyarınca; aydınlatma yükümlülüğünün yerine getirilmemesi, veri güvenliğine ilişkin gerekli teknik ve idari tedbirlerin alınmaması, Kurul kararlarının uygulanmaması ve VERBİS'e kayıt ile bildirim yükümlülüklerinin ihlali hallerinde tüzel kişilere yüksek miktarlarda idari para cezaları kesilmektedir. Türk kabahatler hukuku prensipleri ve KVKK'nın açık düzenlemesi gereğince, bu kabahatlerin faili işlemi gerçekleştiren gerçek kişiler olsa dahi, idari para cezası doğrudan veri sorumlusu olan özel hukuk tüzel kişisine (şirkete) uygulanmaktadır. Ceza hukuku boyutuyla ise; kişisel verilerin hukuka aykırı kaydedilmesi, ele geçirilmesi, yayılması veya yok edilmemesi eylemleri Türk Ceza Kanunu (TCK) kapsamında hapis cezasını gerektiren suçlar olarak düzenlenmiştir. TCK uyarınca tüzel kişilere hapis cezası verilemese de, şirket yararına işlenen bu suçlar sebebiyle şirket tüzel kişiliği hakkında faaliyet izninin iptali veya müsadere gibi ağır sonuçları olan güvenlik tedbirlerine hükmedilmesi mümkündür.

İlgili Kişilerin Tazminat Hakları ve Şirketin Özel Hukuk Sorumluluğu

KVKK ihlallerinin idari ve cezai yaptırımların ötesinde, şirketler açısından en büyük risklerinden birini özel hukuk kapsamındaki tazminat davaları oluşturmaktadır. Kanun, kişisel verileri hukuka aykırı olarak işlenen ve kişilik hakları ihlal edilen bireylere, genel hükümlere göre zararın giderilmesini talep etme hakkı tanımıştır. İlgili kişiler, şirket ile aralarında bir sözleşme varsa sözleşmeye aykırılık (borca aykırılık), herhangi bir sözleşmesel ilişki yoksa doğrudan haksız fiil sorumluluğu hükümlerine dayanarak maddi ve manevi tazminat davası açabilirler. Mahkemeler nezdinde açılacak bu davalarda muhatap kural olarak veri sorumlusu şirket tüzel kişiliğidir. Hukuka aykırı veri işleme veya veri sızıntısı nedeniyle müşterilerin, çalışanların ya da tedarikçilerin duyduğu elem ve ızdırap için manevi tazminat, malvarlıklarında oluşan eksilmeler için ise maddi tazminat ödenmesi gündeme gelir. Kişisel verilere yönelik bir saldırı tehlikesi mevcutsa, zarar şartı aranmaksızın saldırının önlenmesi veya hukuka aykırılığın tespiti gibi koruyucu davaların açılması da hukuken mümkündür.

Şirket Yöneticilerinin KVKK İhlallerinden Doğan Hukuki Sorumluluğu

Kişisel verilerin korunması mevzuatından kaynaklanan yükümlülüklerin şirkette yerine getirilmesi görevi temelde anonim şirketlerde yönetim kuruluna, limited şirketlerde ise müdürlere aittir. Şirketin, KVKK ihlalleri sebebiyle idari para cezası veya tazminat ödemek zorunda kalması, şirket malvarlığında doğrudan zarara yol açar. Bu noktada Türk Ticaret Kanunu (TTK) madde 553 devreye girmektedir. TTK'ya göre yönetim kurulu üyeleri ve yöneticiler, kanundan doğan yükümlülüklerini kusurlarıyla ihlal ettikleri takdirde, şirkete, pay sahiplerine ve şirket alacaklılarına karşı verdikleri zararlardan şahsen sorumludurlar. Yöneticilerin veri güvenliğini sağlamak için gerekli teknik ve idari tedbirleri almaması veya bu görevi alt birimlere devretse bile üst gözetim yükümlülüğünü (TTK m. 375, m. 625) ihlal etmesi, özen ve sadakat yükümlülüğüne aykırılık teşkil eder. Yönetim organının kusurlu eylemleri ile şirketin uğradığı zarar arasında illiyet bağı kurulduğunda, şirket ödediği idari para cezalarını ve tazminat tutarlarını yönetim kurulu üyelerine ve müdürlere rücu etme hakkına sahiptir. Aynı kural kooperatiflerde de geçerli olup, kooperatife verilen zararlar kusurlu yönetim organına rücu edilebilmektedir.

Yöneticilere Rücu Edilebilmesi İçin Gereken Şartlar

Şirket tüzel kişiliğinin karşılaştığı KVKK kaynaklı cezaların veya ödenen tazminatların ilgili yöneticilerden tahsil edilebilmesi için ticaret hukuku prensipleri gereği belirli şartların birlikte gerçekleşmesi aranmaktadır. Yöneticilerin, şirket alacaklıları ve pay sahipleri karşısında şahsi malvarlıklarıyla sorumlu tutulabilmesi aşağıda belirtilen temel unsurların varlığına bağlıdır:

• Kanuna veya esas sözleşmeye aykırılık: Yöneticinin, KVKK veya TTK gibi kanunlardan doğan kişisel verileri koruma ve gözetim yükümlülüğünü yerine getirmemiş olması.
• Zarar unsurunun oluşması: Şirketin idari para cezası veya mahkeme kararıyla tazminat ödeyerek doğrudan malvarlığı kaybı (zarar) yaşaması.
• Yöneticinin kusuru: Veri güvenliğini sağlamada veya çalışanları denetlemede yöneticinin kastının veya hafif de olsa ihmalinin bulunması.
• Uygun illiyet bağı: Şirketin uğradığı zararın, doğrudan yöneticinin kanuni yükümlülüklerini ihlal etmesi sonucunda, olayların normal akışına göre meydana gelmiş olması. Bu şartların varlığı halinde, şirket içindeki yönetim kurulu üyeleri veya müdürler, kusurları oranında şirketin uğradığı mali kayıpları şahsen tazmin etmek zorundadır.