Birleşme ve Devralma İşlemlerine Kişisel Veri Etkisi
Türkiye ve Avrupa Birliği uygulama alanında dikkat çeken, kişisel verilerin korunmasına ilişkin mevzuatların etkileri, gerek ticari hayatta gerek ise gündelik hayatta oldukça yoğun şekilde karşımıza çıkmaktadır. Özellikle perakende, eğlence, sağlık, sigorta, bankacılık ve finans gibi tüketiciyle doğrudan temas eden ve gerçek kişilere ilişkin çok sayıda kişisel veri elde eden sektörlerde faaliyet gösteren şirketler, kişisel verilerin korunması mevzuatları kapsamında uyum sürecini eksiksiz olarak tamamlama çabası içerisine girmişlerdir. Mevzuata tam anlamıyla uyum sağlanmadığı takdirde öngörülen yaptırımlar gözetildiğinde, şirketlerin gerek Avrupa Birliği gerekse ulusal mevzuatta yer alan kişisel verilerin korunması düzenlemelerine tam anlamıyla uyum sağlaması oldukça önemli hale gelmiştir.
Kişisel verilerin korunması konusunu, uygulanabilir mevzuat bakımından iki ana başlık altında değerlendirmek uygun olacaktır;
- Türk Mevzuatı Bakımından;
07.04.2016 tarihli 29677 sayılı Resmi Gazetede yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil mevzuatıyla, kişisel verilerin belli kurallar çerçevesinde işlenmesi ve veri sahiplerinin aydınlatılması sonucunda gerekli hallerde açık rızalarının alınması suretiyle işlenmesi amaçlanmaktadır. Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri olarak tanımlanmış olup telefon numarasından adres bilgisine, hobilerinden sağlık bilgilerine kadar, kişiyi doğrudan ya da dolaylı olarak belirlenebilir kılan her tür bilgi kişisel veri olarak nitelendirilebilmektedir.
KVKK kapsamında veri sorumlusu ve/veya veri işleyen sıfatını haiz tüm gerçek ve tüzel kişiler işbu mevzuata uygun hareket etmek ve mevzuatta öngörülen tüm gereklilikleri yerine getirerek, kişisel verilerin korunması anlamında her türlü teknik veya idari tedbiri almakla yükümlüdür. KVKK ve ikincil mevzuatında yer alan yükümlülüklere aykırı hareket edilmesi, kişisel verilerin hukuka aykırı olarak elde edilmesi ve/veya kişisel verilerin güvenliğinin sağlanamaması halinde ise, Kişisel Verileri Koruma Kurulu (“Kurul”) re’sen ve/veya şikâyet üzerine yapacağı bir denetim sonucu herhangi bir ihlal tespit ettiği takdirde idari para cezası uygulama hakkına sahiptir.
Ayrıca idari para cezasına ek olarak, kişisel verilerin hukuka aykırı olarak işlenmesi, hukuka aykırı olarak elde edilmesi ve imhasının sağlanmaması 5237 sayılı Türk Ceza Kanunu (“TCK”) kapsamında suç olarak düzenlenmiş olup 1-3 yıl arası hapis cezası öngörülmüştür. Her ne kadar tüzel kişiler açısından hapis cezası yerine güvenlik tedbirleri uygulanmaktaysa da, tüzel kişilerin yöneticileri açısından hapis cezası uygulanması söz konusudur.
Kurul’un uygulayacağı idari yaptırım ve cezai sorumluluğa ek olarak kişisel verileri ihlal edilen kişilerin, bu sebepten tazminat talep etme hakkı saklı olduğundan, herhangi bir veri ihlali halinde idari yaptırım ve cezai müeyyidelerin yanı sıra maddi anlamda doğacak olan sonuçlar da azımsanmayacak kadar ağırdır.
Kişisel verilerin yurt dışına aktarılması hususu da KVKK uyarınca belirli kurallara tabi tutulmuştur. Kural olarak kişisel veriler, veri sahibinin açık rızası olmaksızın yurt dışına aktarılamayacaktır. Ancak, veri sorumluları tarafından açık rıza gerektirmeksizin veri işleme şartlarının oluştuğu durumlarda, kişisel veriler Kurul tarafından açıklanacak güvenli ülkeler listesinde yer alan ülkelere Kurul’dan herhangi bir onay almaksızın aktarılabilecektir. Bunun yanı sıra, Kurul tarafından güvenli olarak belirlenmeyen ülkelere kişisel verilerin aktarılabilmesi için, öncelikle aktarım yapılacak yurt dışında mukim veri sahibiyle veri güvenliği taahhütnamesi imzalanmalı, akabinde ise bahse konu taahhütnamenin Kurul’a onaylatılması gerekmektedir. Kurul tarafından onay verilmeyen durumlarda ise aktarım gerçekleştirilmemelidir.
KVKK m.18 kapsamında ihlal halinde uygulanabilecek idari para cezaları düzenlenmiş olup, buna göre; (i) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, (ii) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, (iii) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, (iv) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası öngörülmektedir. Buradan da görülebileceği üzere, herhangi bir ihlal halinde uygulanabilecek yaptırımlar 1.000.000 (bir milyon) Türk Lirasına kadar çıkabilmekte ve maddi risk boyutu azımsanamayacak ölçüdedir. Ayrıca bahse konu idari para cezaları gerçekleştirilen bütün ihlaller açısından toplu olarak verilmemekte, ihlal edilen her bir veri başına ayrı ayrı uygulanmaktadır.
Örnek vermek gerekirse Kurul tarafından “Bir bankanın, ilgili kişinin cep telefonu numarasını bankaya veriliş amacı dışında kullanması” ihlal olarak değerlendirilmiştir. Banka tarafından şikâyetçinin müşterisi olduğu Bankaya kendisine ait iş ve işlemlerde ulaşılması adına vermiş olduğu telefon numarası bilgisinin eşine ulaşılmasında yardımcı olunabilmesi adına kullanılması, Kurul tarafından KVKK’da belirlenen “belirli, açık ve meşru amaçlar için işlenme ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine ve “veri güvenliğinin sağlanabilmesi adına gerekli her türlü teknik ve idari tedbirin alınması” yükümlülüklerine aykırılık olarak değerlendirilmiştir. Bu doğrultuda Kurul tarafından 18/09/2019 Tarihli ve 2019/227 Sayılı Karar ile, Banka hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
- Avrupa Birliği mevzuatı bakımından;
Avrupa Birliği Genel Veri Koruma Tüzüğü (“General Data Protection Regulation” – “GDPR”) 25 Mayıs 2018 tarihinde yürürlüğe girmiş olup GDPR, 95/46/EC sayılı Veri Koruma Direktifi’nin (“Direktif”) yerini almıştır. Bu doğrultuda GDPR ve Direktif arasında esaslı farklılıklar mevcuttur. Özellikle KVKK mevzuatının oluşturulması sırasında Direktif hükümleri esas alınmış olduğundan, bu durum KVKK ve GDPR arasında birçok farklılık doğurmaktadır.
GDPR’ın uygulama alanının değerlendirilmesi açısından inceleme yapılacak olunursa, öncelikle Avrupa Birliği içerisinde bulunan veri sorumluları ve veri işleyenlerin tüm veri işleme faaliyetlerinde (işleme faaliyetinin Avrupa Birliği içerisinde gerçekleşip gerçekleşmediğine bakılmaksınız) GDPR uygulama alanı bulacaktır.
Aynı zamanda, Avrupa Birliği içerisinde bulunmayan veri sorumlusu ve veri işleyenler tarafından (i) veri sahibine bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Avrupa Birliği içerisindeki söz konusu veri sahiplerine mal ya da hizmet sunulması amacıyla veya (ii) veri sahiplerinin davranışlarının Avrupa Birliği içerisinde gerçekleştiği ölçüde, bahse konu davranışların izlenmesi amacıyla veri işlenmesi hallerinde de GDPR uygulama alanı bulacaktır. Bu sebeple, belirtilen amaçlarla veri işleme faaliyetlerinde bulunan Türk şirketleri de GDPR’a tam bir uyum ile hareket etmekle yükümlüdür.
GDPR’a tabi hale gelerek bu mevzuat kapsamında öngörülen yükümlülükleri yerine getirmeyen ve mevzuata aykırı hareket eden gerçek veya tüzel kişi veri sorumluları hakkında GDPR’da düzenlenen yaptırımların, KVKK ile kıyaslandığında çok daha ağır olduğu görülmektedir. GDPR uyarınca, veri sorumluları veya veri işleyenlerin aynı veya bağlantılı işleme faaliyetlerine yönelik olarak kasıtlı veya ihmalkarlık sebebiyle veri işleme kurallarını ihlal etmesi durumunda, uygulanacak olan toplam idari para cezasının en ağır ihlal için belirtilen meblağı aşamayacağı belirtilmiştir. Bu doğrultuda belirtilen meblağların aşılmaması koşuluyla veri sorumluları tarafından gerçekleştirilecek farklı veri ihlalleri açısından aşağıda belirtilen idari yaptırımlar gündeme gelebilecektir;
- 10 milyon Euro veya veri sorumlusunun bir önceki mali yılda dünya çapında toplam cironun %2’si oranında idari para cezası
- 20 milyon Euro veya bir önceki mali yılda dünya çapına toplam cironun %4’ü oranında idari para cezası
Söz konusu yaptırım tutarları dikkate alındığında GDPR’a aykırılık halinde yüksek meblağlarda idari para cezası yaptırımıyla karşı karşıya kalınabilecektir. GDPR’a tabi olan Türk şirketlerinin bahse konu mevzuata aykırı hareket etmeleri halinde, GDPR kapsamında da idari para cezası uygulanması gündeme gelebilecektir. Bu doğrultuda yukarıda yer verilen kapsamda veri işleme faaliyetinde bulunan Türk şirketlerinin GDPR’a uyumunu sağlaması önem arz etmektedir.
GDPR kapsamında Veri Koruma Otoriteleri (“Otorite”) tarafından verilen kararlar incelediğinde, veri ihlallerine yönelik verilmiş en büyük cezalardan birinin Birleşik Krallık Havayolu Şirketine karşı uygulandığını görülmektedir. İdari para cezası yaptırımına konu olayda, söz konusu şirkete ait web sitesine giriş yapan kullanıcıların dolandırıcılık amacıyla başka bir siteye yönlendirilmesi üzerine, 500 binden fazla kullanıcının kişisel verileri internet korsanları tarafından ele geçirilmiştir. Ele geçirilen kişisel veriler arasında müşterilerin isim ve adres bilgilerinin yanı sıra giriş şifreleri, ödeme kartı ve biletleme rezervasyon detayları gibi bilgiler de yer almakta olduğundan, bu durum karşısında Otorite tarafından söz konusu şirkete 204 milyon EURO idari para cezası yaptırımı uygulanmıştır.
- Birleşme ve Devralma İşlemlerinde Kişisel Verilerin Korunması Mevzuatlarının Etkisi
Birleşme ve Devralma işlemlerinde bir tüzel kişiliğin hisselerinin tamamının veya bir kısmının devir alınması söz konusu olduğundan payları devralınan şirketin durum tespiti payları devralınacak şirket nezdinde hukuki inceleme, bir diğer deyişle durum tespiti süreci (Due Diligence Aşaması) başlatılır. Bu hukuki inceleme ile beraber, alımı gerçekleştirilecek şirketin kurumsal, sözleşmeler, iş hukuku, mevzuata uygunluk, rekabet hukuku, gayrimenkul hukuku, fikri mülkiyet hukuku ve benzeri birçok açıdan incelemeye tabi tutularak risk unsurlarının tespit edilmesi amaçlanmaktadır. Şirketlerin KVKK ve GDPR’a uyum sağlayıp sağlamadığı bu aşamada tespit edilerek, Kurul veya Veri Koruma Otoriteleri tarafından uygulanması muhtemel bir yaptırım riskinin ve yine gerçek kişiler tarafından talep edilmesi muhtemel bir tazminat talebi ihtimalinin olup olmadığı değerlendirilerek şirket değerlemesi yapılmaktadır. Şirketler bakımından yatırım yapma/alım fırsatları ile alım stratejisinin ve hedefinin değerlendirilmesi açısından bu aşama oldukça önem teşkil etmektedir.
Tüm bu sebeplerle, mevzuata uyum değerlemesinde alımı gerçekleştirilecek şirkete, tıpkı diğer alanlarda olduğu gibi KVKK ve GDPR yönünden de özellikli ve doğru soruların yöneltilmesi, tam ve doğru bir durum tespiti yapılması açısından oldukça elzemdir. Buna göre, kamuya açık veri ihlali kayıtları, iç raporlama sistemleri, gerekli politikaların oluşturulup oluşturulmadığı, aydınlatma ve açık rıza metinleri, Bilişim Teknolojileri yönetim yapıları, yönetim kurulu tutanakları ve veri korumasına ilişkin yapılan testler durum tespiti aşamasında titizlikle incelenmelidir. Nitekim uygulamada uyumlu olduğuna inanılan ancak inceleme aşamasında belirtilen mevzuatlara uyumunu tam manasıyla sağlayamadığı ortaya çıkan birçok şirket de bulunmaktadır. Bu örneklerde uyumun tamamlanması için danışmanlık hizmeti alma ve/veya bir uzmanın işe alınması gibi süreçler söz konusu olabileceği için, şirketin alım değerinin yapılacak harcama kalemlerine göre değişmesi söz konusu olabilecektir. Bu gibi durumlarda uyumun tamamlanması alım işleminin ön şartı olup, uyumun tamamlanmaması veya uyumun tamamlanmasına rağmen belirtilen yükümlülükler doğrultusunda şirket içerisinde hareket edilmemesi durumunda alım işleminden vazgeçilme ihtimali söz konusu olabilecektir. Bu sebeple devralımı yapılacak şirket bakımından hangi kişisel verilerin elde edildiğinin yanı sıra kişisel verilerin nasıl elde edildiğinin, hangi şartlarda incelendiğinin, veri güvenliğine ilişkin teknik veya idari tedbirlerin alınıp alınmadığının, kişisel verilere ilişkin politikaların oluşturulup oluşturulmadığının, veri aktarım sözleşmelerinin mevcut olup olmadığının da mutlaka kontrolü yapılmalıdır.
Bununla birlikte, durum tespiti sürecinde aktarılan belgeler yönünden de veri güvenliğinin sağlanması, mevzuata aykırı belgelerin projeden çıkartılması ve risklerin minimize edilmeye çalışılması da ayrıca Birleşme ve Devralma projelerinde en önemli hususlardan biri haline gelmiştir. Durum tespiti sürecinde verilerin aktarımının sadece birleşme ve/veya devralma projesinin gerektirdiği amaçla yapılması ve değerlendirme için gerekli olmayan verilerin aktarılmaması ve verilerin amaçla ölçülü şekilde işlenmesi gerektiği unutulmamalıdır.
Yukarıda yer vermiş olduğumuz, mevzuata aykırılık halinde uygulanabilir yaptırımlar düşünüldüğünde, Birleşme ve Devralma süreçlerinde gerek Türk mevzuatı gerek Avrupa Birliği mevzuatının uygulama alanı bulması halinde her iki mevzuat açısından da kişisel verilerin korunması uyum sürecinin tamamlanıp tamamlanmadığının tam olarak tespit edilmesi oldukça önem teşkil etmekte olup, sürecin bu kapsamda yürütülmesi, gelişen mevzuatlar ışığında doğru bir değerleme için kritik bir noktaya gelmiştir. Bu sebeple Birleşme ve Devralma projelerinde, her yeni uygulanabilir mevzuat gelişmesinin titizlikle değerlendirilmesi, riskin doğru bir şekilde ortaya çıkartılarak şirketlerin doğru yönlendirilmesi anlamında oldukça önemlidir.
Aslı Kınsız, Avukat
Melis Menkü, Avukat
Bahar Esentürk, Avukat