Anayasa Mahkemesi'nin Son Kararı, Birleşme ve Satın Alma İşlemlerinde Veri Korumanın Önemini Yansıtıyor

I. Türkiye’deki Veri Koruma Mevzuatı ve Kuralları

Türkiye’de veri koruma mevzuatının temel taşı, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK)Kişisel verilerin işlenmesi için kapsamlı bir çerçeve oluşturan. LPDP, Türk yasalarını uluslararası veri koruma standartlarıyla, özellikle de Avrupa Birliği'nin Genel Veri Koruma Yönetmeliği (GDPR) ile uyumlu hale getirme yönünde önemli bir adımdı. KVKK'nın temel hükümleri, veri işleme için açık rıza gerekliliğini, veri sahibi haklarını ve veri denetleyicileri ve işleyicilerinin yükümlülüklerini içerir.

KVKK kapsamında hem yurt içi hem de sınır ötesi veri aktarımları genellikle veri sahibinin önceden açık rızasını gerektirmektedir. Bununla birlikte KVKK, kişisel veriler ve özel nitelikli kişisel veriler için sırasıyla 5/2 ve 6/3 maddelerinde belirtilen bu gerekliliğe istisnalar getirmektedir. Kişisel verilerin 5/2 maddesi, aşağıdaki hallerde açık rıza olmaksızın işlenmesine ve üçüncü kişilere aktarılmasına izin vermektedir:

• Yasaların zorunlu kıldığı veya zorunlu kıldığı,
• Rıza veremeyecek durumda olan kişinin hayatının veya beden bütünlüğünün korunması için gerekli olması,
• Bir sözleşmede belirtilen hizmetlerin yerine getirilmesi için gerekli olan,
• Veri sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için gerekli olması,
• Veri sahibi tarafından kamuya açıklanmış olması,
• Hakların tesisi, kullanılması veya korunması için zorunlu görülen veya
• Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için gerekli olması.

Veri koruma uyumluluğu durum tespiti sürecinin kritik bir bileşeni haline geldiğinden, bu kuralları anlamak, birleşme ve satın alma işlemlerine dahil olan kuruluşlar için hayati öneme sahiptir. LPDP'ye uyulmaması, önemli hukuki ve mali sonuçlara yol açabilir; bu, kişisel verileri içeren tüm ticari faaliyetlerde bu ilkelerin kapsamlı bir şekilde anlaşılmasının ve uygulanmasının önemini vurgulamaktadır.

KVKK ve hukuka uygun veri işleme ilkeleri hakkında daha detaylı bilgi için ASY Legal’in şu adresteki makalelerine bakabilirsiniz: Türkiye'de Kişisel Verilerin Korunması ve Hukuka Uygun Kişisel Veri İşlemenin 8 İlkesi.

2. Birleşme ve Satın Alma İşlemlerinde Veri Korumanın Önemi

Birleşme ve satın alma işlemlerindeki kritik zorluklardan biri, durum tespiti süreçleri için gerekli olan veri odalarındaki verilerin güvenliğinin sağlanmasıdır. Hassas kurumsal bilgilerin saklandığı ve paylaşıldığı bu sanal alanlara genellikle potansiyel alıcılar ve hukuk danışmanları gibi üçüncü şahıslar tarafından erişilmektedir. Bu erişilebilirlik, veri ihlalleri açısından önemli bir risk teşkil etmekte ve bu veri odalarının güvenliğini en üst düzeyde tutmaktadır.

Durum tespiti aşamasındaki risklere ek olarak, şirketlerin mülkiyetinin ve kontrolünün devrini içeren birleşme ve satın alma işlemlerinin doğası, doğası gereği veri aktarımını da beraberinde getirir. Bu aktarım, bir kuruluş (hedef şirket) tarafından toplanan ve kontrol edilen veriler diğerine (satın alan şirket) aktarıldığı için veri gizliliği konusunda önemli endişeler doğurmaktadır. Bu geçişin, özellikle kişisel verilerle uğraşırken, veri koruma yasalarına uygun olmasını sağlamak, işlemin karmaşık ve hayati bir yönüdür.

Ek olarak, birleşme ve satın alma sonrası entegrasyon aşamasında, birleşen kuruluşların veri koruma politikalarının uyumlu hale getirilmesi çok önemlidir. Satın alan şirket, yalnızca hedef şirketin veri koruma uygulamalarını anlamakla kalmamalı, aynı zamanda bu uygulamaları mevcut çerçevesine sorunsuz bir şekilde entegre etmelidir. Bu entegrasyon, veri işleme, depolama ve işleme protokollerindeki farklılıkların uzlaştırılmasını ve LPDP ve diğer ilgili veri koruma düzenlemeleriyle sürekli uyumun sağlanmasını içerir.

Sınır ötesi birleşmeler başka bir karmaşıklık katmanı daha ekliyor. Türkiye'deki KVKK, belirli koşullar haricinde açık rıza gerektirerek sınır ötesi veri aktarımlarını ele almaktadır. Ancak, Veri Koruma Kurulu'nun (DPB) yeterli veri koruma önlemlerine sahip olduğu kabul edilen ülkelerin kesin bir listesinin bulunmaması ciddi bir zorluk teşkil etmektedir.

Bu yokluk, KVKK'nın 9/2. Maddesi kapsamında genellikle izin verilen muafiyetlerin, bu düzenlemeye tabi ülkeler de dahil olmak üzere, uygulanamayacağı anlamına gelir. Genel Veri Koruma Yönetmeliği (GDPR), sınır ötesi veri aktarımlarını karmaşık hale getiriyor. Daha fazla bilgi için lütfen bu konuyla ilgili önceki makalelerimize bakın. buradan ulaşabilirsiniz.

3. Son Anayasa Mahkemesi Davası Durum Tespiti'nin Önemini Vurguluyor

Birleşme ve satın almalar alanında, özellikle hedef şirketin yüksek riskli bir veri grubuna ait olması durumunda, ayrıntılı durum tespitinin önemi göz ardı edilemez. Oteller, turizm acenteleri ve hastaneler gibi bu şirketler büyük miktarda kişisel veri işler ve veri ihlallerine ve yasal ihlallere karşı hassastır. Bu tür ihlallerin sonuçları, daha önce Veri Koruma Kurulu tarafından tespit edilmemiş olabileceğinden birleşme ve satın alma işlemlerinde özellikle kritik hale geliyor. Bu gözetim, satın alma sonrasında, yeni sahibin selefinin eylemleri nedeniyle idari para cezalarıyla karşı karşıya kalabileceği önemli zorluklara yol açabilir.

Bu riskleri gösteren uygun bir örnek, küresel bir otel zincirinin Türkiye'deki deneyimidir. Türkiye Anayasa Mahkemesi tarafından karara bağlanan dava, bu tür senaryolardaki karmaşıklıkları ve hukuki sonuçları ortaya koyuyor.

A. Vakaya Genel Bakış & Arka plan

Anayasa Mahkemesi karar12.10.2023 tarihli Resmi Gazete'de yayımlanan 2020 tarih ve 7518/15.12.2023 sayılı karar, Veri Koruma Kurumu (DPA) tarafından küresel bir otel zincirine uygulanan idari para cezasına ilişkindir. DPA, veri güvenliğini sağlayamadığı ve dolayısıyla şirketin mülkiyet haklarını ihlal ettiği için zinciri cezalandırdı.

Sorun, 08.09.2018 tarihinde, 2016 yılında satın alınan bir şirketin misafir rezervasyon veritabanında veri ihlali tespit edilmesiyle ortaya çıktı. 500 milyon müşterinin kişisel verilerini etkileyen bu ihlal, izinsiz erişimin başladığı Temmuz 2014'ten bu yana tespit edilememişti. Otel zincirinin yeni sahibi, ihlalin Türk vatandaşlarını da etkilemesi nedeniyle 2019 yılında DPA'ya bildirmişti.

B. DPA Kararı ve Ceza

Dikkatli bir incelemenin ardından DPA, otel zincirine toplam 1,450,000 TL tutarında para cezası verilmesine karar verdi. Bunun 1,100,000 TL'si Kişisel Verilerin Korunması Kanunu (KVKK) 12/1 maddesi gereğince veri güvenliğinin sağlanamaması nedeniyle, 350,000 TL'si ise ihlalin gecikmiş bildirimi (KVKK 12/5) nedeniyle oluşmuştur. DPA, otel zincirinin ihlalin satın alma işleminden önce gerçekleştiği yönündeki iddiasını göz ardı etti ve dolayısıyla satın alınan şirketi veri kontrolörü olarak değerlendirmedi.

C. Yasal Zorluklar ve Mahkeme Kararları

Otel zinciri, KVKK'nın yanlış uygulanması, DPA kararının yetersiz bildirilmesi ve cezanın maksimum eşik seviyesinde uygulanması gibi çeşitli noktaları savunarak bu cezaya itiraz etti. Ancak asıl iddiaları, ihlallerin satın alma işleminden önce ve önceki sahibinin görev süresi sırasında meydana geldiği yönündeydi.

Sonuç olarak cezaların bireyselliği ilkesi gereği bu tür cezaların ihlal anında sorumlu olan tarafa verilmesi gerektiğini savunmuşlardır. Otel zinciri ayrıca, LPDP'de belirtilen bu tür raporlama ve beyanlar için tanımlanmış süreler veya zaman sınırlamaları bulunmadığından, ihlali DPA'ya bildirmekte gecikmediklerini savundu.

İstanbul Anadolu 1. Sulh Ceza Mahkemesi ve ardından İstanbul Anadolu 2. Sulh Ceza Mahkemesi, itirazı inceleyerek itirazları reddederek DPA'nın kararını onadı. Ancak Mahkemeler kararları için yeterli gerekçe sunmamış ve temyiz başvurusunun neden reddedildiğine ilişkin herhangi bir gerekçe bile sunmamıştır.

D. Anayasa Mahkemesi Kararı

Dava daha sonra oteller zinciri tarafından Anayasa Mahkemesi'ne taşındı. Anayasa Mahkemesi yaptığı incelemede mülkiyet hakkına, bu haklara orantılı müdahalelerin gerekliliğine ve ilgili mahkemeler tarafından neden belirli bir karar verildiğine ilişkin gerekçeli ayrıntılı kararlara ihtiyaç duyulduğunun altını çizdi. Dolayısıyla Anayasa Mahkemesi, zincirin DPA'nın kararına ilişkin iddialarının yeterince değerlendirilmemesini bu hakkın ihlali olarak değerlendirdi. Mahkeme, DPA'nın kararlarının etkili bir adli incelemeye tabi tutulması gerektiğini vurgulayarak yargılamanın yeniden yapılması çağrısında bulundu.

e. Birleşme ve Satın Alma İşlemlerinde Veri Korumaya İlişkin Gelecekteki Etkiler

Bu dava, veri korumaya ilişkin idari para cezası kararlarında etkili adli incelemenin hayati rolünü vurgulamaktadır. Karar, sulh ceza mahkemelerinin bu tür konuları ele alma konusunda yetersiz olduğu yönünde uzun süredir devam eden eleştirileri destekliyor ve bunun yerine idari mahkemelerin müdahalesini savunuyor.

Ancak burada şunu belirtmekte fayda var ki, Anayasa Mahkemesi'nin kararı, DPA tarafından verilen idari para cezasının hukuka aykırı olduğu anlamına gelmiyor; zira Mahkeme aslında cezanın kanun parametreleri dahilinde olduğunu tespit ediyor. Bunun yerine Mahkeme, ilk derece mahkemelerinin yetersiz gerekçe ve kararlarına dayanarak başvuruyu kabul etti.

Bu kararın birleşme ve satın alma işlemleri üzerindeki etkileri derin ve geniş kapsamlıdır. Anayasa Mahkemesi aslında DPA tarafından verilen para cezalarının kanun sınırları dahilinde olduğunu tespit ettiğinden, karar, hedef şirketlerin veri koruma uygulamalarının değerlendirilmesinde titiz bir durum tespitinin kritik önemini vurgulamaktadır. Bu, özellikle potansiyel ihlallerin önemli hukuki ve mali sonuçlara yol açabileceği yüksek riskli veri gruplarındaki şirketler için hayati öneme sahiptir.

Bu davada verilen yüklü miktardaki para cezaları, ortaya çıkabilecek sonuçların açık bir hatırlatıcısıdır. Bu nedenle, alıcılar potansiyel satın alma hedeflerinin veri güvenliği önlemlerini titizlikle değerlendirmek zorunda kalıyor. Bu yalnızca risklerin azaltılmasına yardımcı olmakla kalmaz, aynı zamanda veri koruma yasalarına sıkı bir şekilde uyulmasını sağlayarak alıcıyı olası yükümlülüklerden ve para cezalarından korur.

4. Veri Koruma İhlallerinden Dolayı İdari Para Cezaları

Son Anayasa Mahkemesi davası, veri koruma ihlallerinde, ihlalin niteliğine göre 10.000.000 TL'ye kadar çıkabilen idari para cezalarının ne kadar önemli bir rol oynadığını ortaya koyuyor. Veri Koruma Kurumu, her bir vakanın özellikleri, ihlalin niteliği ve failin ekonomik durumu gibi faktörleri dikkate alarak, bu cezaların kesin miktarını belirleme konusunda takdir yetkisine sahiptir ve bu durum, itirazı son derece zorlaştırır ve geri çekmek.

Birleşme ve Devralma işlemleri için, veri koruma düzenlemelerine uyulmamasının ağır para cezalarıyla sonuçlanabileceğinin farkında olmak kritik öneme sahiptir. Bazı durumlarda bu cezalar ihlal veya uyumsuzluk başına 3 milyon TL'yi aşabilmektedir. Bu, hedef şirketin bu tür cezalardan kaçınmak için veri koruma yasalarına sıkı sıkıya uymasını sağlamanın öneminin altını çiziyor.

İdari para cezaları yasal zorluklara tabidir ve son mahkeme kararları, DPA tarafından uygulanan bazı para cezalarının ihlallerin niteliğini veya veri sorumluları/işleyicilerinin ekonomik koşullarını yeterince dikkate almayabileceğini öne sürmektedir. Sonuç olarak, para cezalarının her davanın özelliklerini yansıtmasını sağlayacak şekilde adil ve orantılı bir şekilde uygulanmasının gerekliliği giderek daha fazla vurgulanmaktadır. Önceki vaka incelemesinde vurgulandığı gibi, bu cezalara itiraz etmek uzun bir süreç olabilir. Bir para cezasına mahkemede itiraz edilse bile, cezaya çarptırılan tarafın başlangıçta ödeme yapması ve herhangi bir olası geri ödeme için mahkemenin kararını beklemesi gerekir; bu da ciddi zorluklara yol açar.

5. Birleşme ve Satın Alma İşlemleri Sırasında ve Sonrasında Uyumluluğun Sağlanması

İçerdiği riskler nedeniyle, birleşme ve satın almalar (M&A) sırasında ve sonrasında veri koruma yasalarına uygunluğun sağlanması, olası idari para cezaları ve hukuki sorunların önlenmesi açısından büyük önem taşımaktadır. Bu, birkaç temel stratejiyi içerir:

1. Titiz Durum Tespiti: Hedef şirketin veri koruma politikaları ve uygulamaları hakkında kapsamlı kontroller yapın. Bu, uyumluluk geçmişlerinin, veri işleme prosedürlerinin ve geçmiş veri ihlallerinin veya veri korumayla ilgili yasal sorunların incelenmesini içerir.
2. Kapsamlı Veri Denetimleri: Herhangi bir hassas veya düzenlemeye tabi veriyi belirlemek için birleşme ve satın alma süreci sırasında aktarılan verileri değerlendirin ve bunların yasal gerekliliklere uygun olarak kullanılmasını sağlayın.
3. Çalışan Eğitimi ve Eğitimi: Hassas verilere erişimi olacak tüm bireyleri, uygun veri işleme ve uyumluluk prosedürleri konusunda eğitin ve eğitin. Bu adım, kazara ihlalleri veya uyumsuzlukları önlemek için hayati öneme sahiptir.
4. Sağlam Veri Koruma Politikalarının Uygulanması: Mevcut yasal standartlarla uyumlu, sağlam veri koruma politikaları geliştirin ve uygulayın. Bu politikalar birleştirilmiş kuruluş genelinde açıkça iletilmeli ve uygulanmalıdır.
5. Düzenli Uyumluluk İncelemeleri: Birleşme sonrasında, uyumluluğun devam etmesini sağlamak için veri koruma uygulamalarını düzenli olarak gözden geçirin ve güncelleyin. Buna, veri koruma yasalarındaki değişikliklerin izlenmesi ve politikaların buna göre ayarlanması da dahildir.
6. Veri Koruma Uzmanlarıyla Etkileşim: Uyumluluğun sürdürülmesinde sürekli rehberlik ve destek sağlamak için hukuk uzmanlarıyla veya veri koruma görevlileriyle iletişim kurun.

Bu adımlar, veri koruma uyumsuzluğuyla ilişkili risklerin en aza indirilmesine yardımcı olur ve birleşme ve satın alma süreci sırasında ve sonrasında sorunsuz bir geçiş sağlar.