GİRİŞ
Kişisel veri kavramı, birçok hukuki düzenlemede yer almasına rağmen bu kavramın ortak bir tanımını bulmak ve kapsamını ortaya koymak oldukça zordur. Ülkemizde kişisel verilerin korunmasına dair ilk düzenleme 5237 sayılı Türk Ceza Kanunu’dur. Nitekim TCK’da özel hayata ve hayatın gizli alanına karşı suçlar düzenlenmiş olup yasanın 135’inci ve 140’ıncı maddeleri arasında kişisel verilerin korunmasına yönelik hükümler yer almaktadır. Kişisel verilerin korunması alanında en önemli düzenlemelerden olan 6698 sayılı Kişisel Verilerin Korunması Kanun’unun 3.maddesinde kişisel veri kavramı, bir kişinin belirli ya da belirlenebilir nitelikteki her türlü bilgisi olarak tanımlanmıştır. Bu kapsamda kişisel veri kavramını, bireyin kimliğini belirlemeyi sağlayan bilgiler olarak tanımlayabiliriz. Kişisel verilerin korunmasının şirketler hukuku yönünden de önemli bir fonksiyonu bulunmaktadır. Bu nedenler şirketlerin, KVKK çerçevesinde bir uyum sürecine girerek kayıtlarındaki kişisel verileri mevzuata uygun şekilde işlemesi gerekmektedir. Şirketlerde uyumun sağlanması konusunda ise, şirketin yönetim organının anonim şirketlerde yönetim kurulunun (TTK.m.369, m.375/1) görevidir. Nitekim TTK gereği anonim ve limited şirketlerde, şirket genel kurulun (ortaklar kurulunun) yetkisine girmeyen her konuda şirket yönetim kurulu (limited şirketlerde müdürler kurulu) yetkili sayılmaktadır. Yine savunma hakkı ve hak arama özgürlüğünün önemli bir unsuru olan avukatlar, 6698 sayılı Kişisel Verilerin Korunması Kanunu ile bağlıdır. İlgili kanun gereği kişisel veri, bunların korunması, işlenmesi veya imhası gibi konular avukatlar bakımından kanuni olarak bağlayıcı niteliktedir. Kişisel Verileri Koruma Kurulunun kararlarında da bu hususlar sıklıkla vurgulanmaktadır. Nitekim avukatlar, mesleklerinin icrası sırasında birtakım kişisel verileri işleyebilmekte, bu çerçevede de aydınlatma yükümlülüğü altına girebilmektedir. Bu çerçevede bağımsız çalışan avukatların mesleklerini icrası sırasında kaydettikleri verilerden ötürü veri sorumlusu niteliği olduğu söylenebilecektir. Aynı baroya kayıtlı birden çok avukatın mesleki faaliyetlerini yürütmek üzere bir araya gelerek bir büroda çalışmaları durumunda ise bu avukatların tamamı veri sorumlusu niteliği taşımaktadır. Bu çalışmamızda genel olarak şirket organlarının faaliyetleri sırasında pay sahipleri ile yönetim kurulu üyelerinin ve şirket avukatların KVKK kapsamında sorumluluklarına değinilecektir.
BİRİNCİ BÖLÜM
KİŞİSEL VERİLERİN KORUNMASINA DAİR TEMEL KAVRAMLAR
1.1. KİŞİSEL VERİ KAVRAMI VE KİŞİSEL VERİNİN TANIMI
Kişisel veri kavramı, birçok hukuki düzenlemede yer almasına rağmen bu kavramın ortak bir tanımını bulmak ve kapsamını ortaya koymak oldukça zordur[1]. Ülkemizde kişisel verilerin korunmasına dair ilk düzenleme 5237 sayılı Türk Ceza Kanunu’dur[2]. Nitekim TCK’da özel hayata ve hayatın gizli alanına karşı suçlar düzenlenmiş olup yasanın 135’inci ve 140’ıncı maddeleri arasında kişisel verilerin korunmasına yönelik hükümler yer almaktadır.
Ülkemizde kişisel verilerin korunması alanında en önemli düzenlemelerden olan 6698 sayılı Kişisel Verilerin Korunması Kanun’unun 3.maddesinde kişisel veri kavramı, bir kişinin belirli ya da belirlenebilir nitelikteki her türlü bilgisi olarak tanımlanmıştır. Avrupa’da bu alanda en güncel metinlerden olan Genel Veri Koruma Tüzüğü’nde ise kişisel verinin tanımı “belirli ya da belirlenebilir gerçek bir kişiye ait herhangi bir bilgi” şeklinde yapılmıştır. Bu kapsamda kişisel veri kavramını, bireyin kimliğini belirlemeyi sağlayan bilgiler olarak tanımlayabiliriz. Yani bir insanı diğer insanlardan ayıran bilgi, bir kişisel veri olarak değerlendirilebilir[3]. Örneğin bireyin ismi, soy ismi, adresi, işi, mesleği, fizyolojik özellikleri, kredi kartı bilgileri ya da sağlık, istihdam, sendikal veya siyasi faaliyetleri, sosyal güvenlik bilgileri ile bir kişiyi tanınabilir veya belirlenebilir kılmaya yarayacak her tür bilgi kişisel veri olarak düşünülebilir[4]. Bunlarla birlikte kişinin etnik köken, öğrenim durumu, banka bilgileri, telefon rehberi, bilgisayarının IP adresi, parmak izi, smsleri, e-mailleri, sosyal paylaşım sitelerindeki aktiviteleri kişisel veri olarak değerlendirilebilir[5]. Kısaca kişisel veri, bir kişinin tanımlanmasını sağlayan en temel özellikleridir.
Yargıtay tarafından da birçok kararında kişisel veri şu şekilde tanımlanmıştır; “Kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı nüfus bilgileri (T.C.kimlik numarası, adı, soy adı, doğum yeri ve tarihi, anne ve baba adı gibi), adli sicil kaydı, yerleşim yeri, eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, elektronik posta adresi, kan grubu, medeni hali, parmak izi, DNA’sı, saç, tükürük, tırnak gibi biyolojik örnekleri, dini görüşü, sendikal bağlantıları gibi kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilgi”[6].
Yukarıdaki açıklamalar kapsamında bir değerlendirmede bulunulduğunda kişisel verilerin gizli bilgiler olmasının şart olmadığı sonucuna varılmaktadır. Yani kişisel veriler, bireylerin inanç anlamında iç dünyasına dair bir husus olabileceği gibi bireyin yukarıda sayılan dışarıdan bakıldığında kolaylıkla anlaşılabilen fiziksel özelliklerine ilişkin de olabilir[7]. Kişisel verinin öznel ya da nesnel bir niteliğe sahip olmasının da bir önemi bulunmamaktadır. Örneğin iş hukuku çerçevesinde işverenin bir işçiyi işe alım sürecinde iş görüşmesine dair değerlendirme notları veya ilgili kişiye ait tapu kayıtları kişisel veri olarak kabul edilebilir[8].
1.1.2. Tüzel Kişilere Ait Veriler
Kişisel veri kavramına tüzel kişiler açısından bakıldığında tüzel kişilere ait veriler, kişisel veri kavramı içerisinde değerlendirilmemekte, yalnızca gerçek kişilere ait veriler kişisel veri olarak kabul edilmektedir. Bu kapsamda bir tüzel kişiye ait verinin korunması için KVKK ve ilgili mevzuatın değil diğer mevzuat hükümlerinin uygulanacağı sonucuna varılabilir[9]. Nitekim tüzel kişiler, 4721 sayılı Türk Medeni Kanunu kapsamında düzenlenmiş olup bu kanun hükümleri tüzel kişileri (m.48 vd), yaradılış gereği insana özgü niteliklere bağlı olanlar dışındaki her türlü hak ve borca ehil kılmaktadır. Nitekim Yargıtay da bu yönde olmak kaydıyla bir tüzel kişi niteliği taşıyan ticaret şirketlerinin kişisel değerlerinin varlığını ve bu değerlerin korunması gerektiğini birçok kararında kabul etmektedir[10]. Örneğin Yargıtay, ticaret şirketlerinin her ne kadar tacir olsalar da ekonomik olarak mahvolmalarına sebep olacak düzeydeki sözleşme şartı olan ceza koşulunu geçersiz saymaktadır[11]. Bu çerçevede tüzel kişiler KVKK’nın 3/1-d hükmü gereği kanun kapsamında kişisel verisi korunması gereken kişiler arasında sayılmasa da TMK ve 6102 sayılı Türk Ticaret Kanunu kapsamındaki korumadan şartları oluştuğu ölçüde yararlanabilmektedir[12].
1.1.3. Ölmüş Kişilere Ait Veriler
Yukarıda belirtildiği üzere ticaret şirketlerinde olduğu gibi ölmüş kişilere ilişkin bilgiler de KVKK kapsamında kişiler veri olarak kabul edilmemektedir. Nitekim kanun kapsamında bu korumanın sağlanacağına dair açık bir düzenleme bulunmamaktadır. Ancak hukuk sistemi ölmüş kişilerle ilgili verileri korumak amacıyla koruyucu başka hukuk kuralları düzenleyebilir[13]. Örneğin ölen bir kişinin ölmeden önce hukuki varlığı olan kişisel verileri, bu kişinin yakınları bakımından kişisel veri niteliği taşıyorsa bu veriler üzerinde hukuki bir korumadan söz edilebilir. Bu kapsamda ölen kişiye ait finansal veriler ile kalıtsal bir hastalığa ilişkin tıbbi istatistikler her somut olayın özelliğine göre ele alınıp KVKK kapsamında korunabilir[14]. Eş söylemle ölen kişiye ait genetik bir hastalığa ait veri, yakınları bakımından da kişisel veri teşkil ediyorsa bu verinin KVKK kapsamında korunacağı düşünülebilir[15].
Sonuç olarak gerçek bir kişinin ölümüyle birlikte KVKK’nın 3/1-d bendi kapsamında artık gerçek kişinin hukuki varlığından söz edilemez. Bu icapla hastalık verisi ölen kişinin verisi olduğu için değil artık yakınlarını ilgilendiren bir veri haline dönüştüğünden ötürü kişisel veri sıfatıyla korunabilir. Dolayısıyla ölen kişinin yakını bakımından kişisel veri teşkil etmeyecek bir başka verisi bu kapsamda değerlendirilemeyecek ve 6698 sayılı yasa çerçevesinde korunmayacaktır.
1.1.4. Cenine Ait Veriler
Ceninin kişisel verilerinin korunup korunmayacağı hususuna değinecek olursak bu hususa KVKK’da ve kişisel verilerin korunmasına ilişkin diğer düzenlemelerde yer verilmemiştir. Bu nedenle konunun hukukun genel hükümleri çerçevesinde değerlendirilmesi gerekecektir. Nitekim ceninin haklarına dair düzenlemeler TMK.m.28 vd maddelerinde yer aldığından cenine ilişkin korumanın bu hükümler çerçevesinde değerlendirilmesi gerekir[16].
1.1.5. Özel Nitelikli (Hassas) Kişisel Veri
Kuşkusuz her türlü kişisel veri önemlidir ve dolayısıyla korunması gereklidir. Ancak bazı veriler vardır ki önemine binaen daha fazla korumaya/korunmaya ihtiyaç duyarlar[17]. Zira bir kısım kişisel veriler veri sahibi kişinin ayrımcılık, dışlanma, hor görülme, haksızlık ve kötülükten korunması için diğer verilerden daha hassas bir nitelik taşır. Bu nedenle gerek KVKK’da gerekse de uluslararası düzenlemelerde özel (hassas) veri tanım ve kapsamları geliştirilmiştir[18].
Önemi gereği tekraren belirtmek gerekir ki özel nitelikli kişisel veriler, genel nitelikli kişisel verilere göre bünyesinde daha fazla risk taşıyan veri olma özelliğine sahiptir. Bu risk, özel nitelikli kişisel verilerin işlenmesi halinde veri sahibine karşı toplumda önyargıyla yaklaşılma, ötekileştirilme tehlikesidir. Söz konusu kişisel verileri başkaları öğrendiğinde veri sahibi gerçek kişi ayrımcılığa ya da mağduriyete uğrayabilir. İşte özel nitelikli kişisel veriler, bünyelerinde taşıdığı bu risk sebebiyle yasal düzenlemelerde daha yüksek seviyede koruma altına alınmıştır. Ayrıca niteliği gereği bu veriler, kesin işlem yasağına da tabi tutulmuştur. Kesin işlem yasağı, özel nitelikli kişisel verilerin kanunda belirtilen istisnalar dışında hiçbir şekilde işlenememesini ifade etmektedir[19].
Kanunda hangi kişisel verilerin özel nitelikli kişisel veri olduğu tek tek sıralanmıştır. Bu kapsamda kanunda özel nitelikli kişisel veri sayılan bu verilerin dışında kalanlar özel nitelikli kişisel veri olarak kabul edilmemektedir. Bu açıdan bakıldığında özel nitelikli kişisel verilerin sınırlı olarak sayıldığı ifade edilebilir[20]. Bu kapsamda KVKK’nın 6/1’inci maddesinde kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğu hükme bağlanmıştır. Dolayısıyla özel nitelikli kişisel veriler dışındaki tüm kişisel veriler, genel nitelikli kişisel verilerdir[21]. Başka bir ifadeyle bir veriye özel nitelikli kişisel veri denilemiyorsa, ortada genel nitelikli bir kişisel verinin bulunduğu kabul edilecektir[22].
Bir verinin özel nitelikli kişisel veri olup olmadığını değerlendirilmesi özel bir öneme sahiptir. Örneğin bir gerçek kişinin gözlüklü fotoğrafı sağlık durumuna ilişkin bilgi içermektedir ya da kişinin adının dini inancını yansıtır nitelikte olması yer aldığı her metnin özel nitelikli kişisel veri içeren bir metin niteliği taşımasına yeterli olmamalıdır. Zira böylesi bir durumda bazı insanların fotoğraflarının ya da adlarının özel nitelikli kişisel veri sayılması, bazılarının ise bu şekilde değerlendirilmemesi sonucuna yol açabilir. Bu sebeple somut olayın tüm özellikleri göz önünde bulundurularak bir değerlendirme yapılmalıdır. Örneğin görme bozukluğu olan kişiye ya da kişinin dini inancına yönelik bir değerlendirme yapılması söz konusuysa özel nitelikli kişisel veri olarak nitelendirilebilir. Böyle bir değerlendirmeyle kişinin dini inancını yansıtan adı, bu niteliği dikkate alınarak kullanıldığında özel nitelikli kişisel veri teşkil ederken, sadece bir veri tabanında yer alması özel nitelikli kişisel veri olarak nitelendirilmesine sebep olmayacaktır[23].
Yine örneklendirmek gerekirse şirket çalışanlarının sendika üyeliği kaydı, bir uçak yolcusunun dini inancına uygun yemek tercihini gösteren bilgi, kişinin tekerlekli sandalye ihtiyacı olduğunu gösteren otel rezervasyon kaydı, bir personelin apandist ameliyatı için hastanede olduğunu gösteren kayıt, bir kişinin uyuşturucu madde bağımlısı olduğunu gösteren hastane kaydı, bir kişinin cinayet işlediğini gösteren sabıka kaydı gibi bilgiler özel nitelikli kişisel veri olarak gösterilebilir[24].
Sonuç olarak her ne kadar bir verinin özel nitelikli kişisel veri kategorilerinden birisinin kapsamına girip girmediği yukarıda belirtildiği şekilde yorum yoluyla belirlenebilecekse de özel nitelikli kişisel veriler KVKK’da sayılanlarla sınırlıdır. Bu nedenle yorum yoluyla özel nitelikli kişisel veri kategorilerinin genişletilmesi hukuken mümkün değildir. Başka bir ifadeyle KVKK’da sayılan kişisel veri kategorileri dışında bir veri kategorisi özel nitelikli kişisel veri olarak değerlendirilemeyecektir. Örneğin, yabancı uyruklu bir şirketteki ortaklık yapısı bilgisi, yurt dışındaki malvarlığı bilgisi, bir kişinin borcunu ödeyememesinden dolayı bankaların kara listesinde olduğu bilgisi her ne kadar kişiyi ekonomik ve kişisel yönden etkilese ve hakkında olumsuz yorumlar yapılmasına neden olsa dahi bu tür veriler özel nitelikli kişisel veri kategorilerinin hiçbirisine dahil olmadığından, bu nitelikte değerlendirilemeyecek ve KVKK’daki özel nitelikli korumadan yararlanamayacaktır[25].
1.1.6. Anonim Veri
6698 sayılı KVKK’da anonim veri kavramının tanımı yapılmamıştır. Ancak yasanın 3/b bendinde anonim hale getirme işlemi tanımlanmıştır[26]. Bu çerçevede anonim veri, verinin belirli veya kimliği belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek veya kaynağı belirlenemeyecek hale getirilmesi sonucu ortaya çıkan veridir[27]. KVKK’nın 3’üncü maddesinde yer alan tanım da bu doğrultudadır. Bu çerçevede örneklendirmek gerekirse; istatistik, araştırma, planlama amacıyla belirli bir kişiye endekslenmeden bilgi yığını şeklinde tutulan veriler, belirli bir kişiyle ilişkilendirilemediği sürece anonim veri olarak değerlendirilebilecek, kişisel veri sayılmayacaktır. O halde anonim veriyi, elde kalan veri üzerinden bu verinin kime ait olduğunun anlaşılamaması şeklinde de tanımlayabiliriz[28].
Yukarıdaki açıklamalar ışığında tekrar bakıldığında kişisel veri kavramının tanımında adı geçen “kimliği belirli veya belirlenebilir gerçek kişiden” kastedilen husus, kişinin soyut olarak belirli veya belirlenebilir olması değil somut olayda elimizde mevcut verilerle o kişinin kimliğini belirleyip belirleyemeyeceğimizdir. Şayet mevcut veri bir gerçek kişiyle ilişkilendirilebilir konumdaysa ve o veriyle ilgili kişinin kim olduğuna ulaşılabiliyorsa o veri kişisel veri sayılır. Ancak bir veri hiç kimseyle ilişkilendirilemezse o veri anonim veri olarak değerlendirilir ve KVKK kapsamında korunmaz[29].
1.2. KİŞİSEL VERİLERİN UNSURLARI
Kişisel verilere ilişkin yukarıda belirtilen tanım dikkatlice incelendiğinde tanımda iki ana unsurun yer aldığı görülmektedir. Bunlar “Bilgi” ve “Kimliği Belirli Bir Kişi”dir. Aşağıda bu unsurları açıklayacak olursak;
Bilgi kavramının terimsel karşılığı doktrinde “işlemde kullanılan uzlaşımsal kurallardan yararlanarak kişinin veriye yönelttiği anlam” olarak tanımlanmaktadır. Tanımda geçen veri kavramı ise “olgu, kavram ya da konuların, iletişim, yorum ve işlem için elverişli biçimsel ve uzlaşımsal bir gösterimi” şeklinde tanımlanmaktadır. Bu çerçevede veri kavramının, bilginin temel dayanağı olduğu söylenebilir. Yani veri, işlenmemiş bilgi niteliğine haiz olup bilgi, verinin işlenerek alıcısının anlamasının sağladığı haline veya veri ile anlamın birleşmesine denir[30].
Yukarıdaki kişisel veri tanımında ifade edilen “Kimliği Belirli Bir Kişi” ifadesiyle ise; gerçek bir kişinin diğer kişilerden ayrılması, kişinin bir başkasından ayrı olarak değerlendirilebilmesi anlatılmak istenmektedir. Bu çerçevede kişisel veri kavramının söz konusu olabilmesi için kişinin kimliğinin belirli veya belirlenebilir olması gerekir. Kişinin belirli olmasından kasıt ise, veriler sayesinde bir gerçek kişinin, başka bir bilgiye ihtiyaç duyulmaksızın doğrudan tespit edilerek belirlenebilmesidir. Bu icapla bakılacak olursa bir kişinin adı, kimlik numarası ya da sosyal güvenlik numarası o kişinin doğrudan doğruya kimliğinin belirlenmesinde etkendir ve tanımlayıcıdır. Yine gerçek kişinin doğum tarihi, doğum yeri, anne ve babasını adı, adresi, yüzünün bir fotoğrafı ya da diğer biyometrik verileri kişinin doğrudan doğruya belirlenmesine hizmet eden faktörlerdendir[31].
Tüm bu hususlarla birlikte bir kişinin takma ad kullanılan verileri, o kişinin belirlenmesine yardım sağlayan yardımcı verilerle kişiye ulaşmayı sağlıyor ise KVKK kapsamındaki korumadan yaralanabilir. Fakat anonimleştirilmiş verilerin bu koruma kapsamına alınması mümkün değildir[32].
1.3. KİŞİSEL VERİLERİN İŞLENMESİ
6698 sayılı Kanun’un 3/1-e maddesinde kişisel verilerin işlenmesi; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi” olarak tanımlanmıştır. Doktrinde kanunda sayılan kişisel verilerin işlenmesi yöntemlerine, verilerin birleştirilmesi ya da ilişkilendirilmesi, bloke edilmesi, silinmesi ya da yok edilmesi maksadıyla gerçekleştirilen her türlü işlemler bütününün de dahil edilebileceği ifade edilmektedir[33].
6698 sayılı yasanın 28/1’inci maddesinde anonim veriler üzerinde gerçekleştirilen işlemlerin, kişisel verilerin işlenmesi kapsamına alınmadığı belirtilmiştir. Zira verinin sahibi ile veri arasındaki bağı kopmuş olduğundan, bu tür veriler üzerinde yapılan herhangi bir işlem kişi hak ve hürriyetlerinin ihlali sonucunu doğurmamaktadır[34]. Son olarak aynı madde kapsamında kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi durumunda da kanun hükümlerinin uygulanmayacağı vurgulanmaktadır.
Özel nitelikli kişisel verilerin işlenmesine ilişkin olarak ise, 6698 sayılı Kanun’da hassas verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu açık bir şekilde ifade edilmekle birlikte, özel nitelikli kişisel verilerin rıza aranmaksızın işlenebileceği istisnai durumlar ayrıca düzenlenmiştir. Bu kapsamda sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilmekte, sağlık ve cinsel hayata ilişkin kişisel veriler ise yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi planlanması gibi amaçlar doğrultusunda sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilmektedir(m.6). Hassas verilerin işlenmesinde, ayrıca kurul tarafından belirlenen önlemlerin alınması şartı da mevcuttur[35].
1.4. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN İLKELER
Kişisel verilerin korunmasına ilişkin düzenlemelerde, verilerle ilgili yapılan işlemlerin insan onuru ve değerlerine uygun yapılması maksadıyla ortak bazı ilkeler mevcuttur[36]. Bu ilkeler 6698 sayılı Kanun’un 4’üncü maddesinde yer almaktadır. Bu ilkeler sırasıyla; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklindedir. İşte verilerin toplanması ve kullanılması dahil işlenmesi sürecine dair ilkelerin benimsenmesi, kişisel verilerin korunması açısından oldukça önem taşımaktadır. Bu ilkeler genel itibariyle birbirini tamamlar nitelikte olup ilkelerin birinden vazgeçilmesi veri korumanın yeterince uygulanmadığı anlamına gelecektir.
1.5. AÇIK RIZA
Açık rıza kavramı, KVKK’nın yürürlüğe girmesiyle birlikte yaygın olarak kullanılmaya başlanmış bir kavramdır. Bu çerçevede açık rıza, ilgili kişinin yani veri sahibinin kendisiyle ilgili verinin işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır[37]. KVKK’da da benzer şekilde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır.
Dolayısıyla açık rıza, ilgili kişinin veri işleme sürecine katılmasını ve veriler üzerinde denetimini sağlayan, verilerin işlenmesine meşruluk katan önemli unsurlardan birisidir. Bu çerçevede rıza beyanı, verilerin işlenmesi durumunda bu işlemlerin hukuka uygunluğunu sağlamaktadır[38].
1.6. VERİ KAYIT SİSTEMİ
6698 sayılı KVKK’da tanımlar başlığı altında 3’üncü maddede Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi olarak tanımlanmaktadır. Veri kayıt sistemleri, elektronik veya fiziki ortamlarda oluşturulabilmektedir[39].
1.7. VERİSİ İŞLENEN İLGİLİ KİŞİ
6698 sayılı KVKK’da verisi korunacak kişi, ilgili kişi kavramıyla ifade edilmiştir. Kanundaki tanımlardan anlaşıldığı üzere verisi korunacak kişi yalnızca gerçek kişilerdir[40].
Verisi işlenen kişi, veri işleme sürecinin en önemli unsurudur. Verisi işlenen kişi, Genel Veri Koruma Tüzüğü’nde doğrudan tanımlanmamıştır. 6698 sayılı KVKK’da ise hem kişisel veri hem de verisi işlenen kişinin tanımı yapılmıştır[41]. Bu kapsamda verisi işlenen kişinin, veri işleme sürecinin hukuka uygunluğunu denetlemeye yönelik bazı hakları bulunmaktadır[42]. Bu hakların kullanılması, hukuka uygun yürütülmeyen veri işleme sürecinin hukuka uygun hale getirilmesine ve yasal şartları oluştuğu takdirde ilgili kişinin zararının tazminine olanak sağlamaktadır. Bu haklar GVKT’de bilgi elde etme hakkı, bilgiye ulaşma hakkı, düzeltme hakkı, itiraz etme hakkı, unutulma hakkı, veri işlemenin sınırlandırılması hakkı, tazminat hakkı olarak sıralanmıştır. 6698 sayılı KVKK’da ise bu haklar kişisel verinin işlenip işlenmediğini öğrenme, veri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, kişisel verilerin silinmesini veya yok edilmesini isteme, tazminat talep etme şeklinde düzenlenmiştir[43].
Bu haklardan unutulma hakkı Türk Hukuk açısından da önem arz etmekte olup Yargıtay tarafından da kabul edilen bir haktır. Nitekim Yargıtay bir kararında unutulma hakkının kullanılmasıyla kişinin geçmişte yaşadığı bir olayın toplum hafızasından silinmesini talep ettiğini, mağdurun isminin kişisel veri olduğunu, ismin rumuzlanarak dahi paylaşılmasının kişisel veri ihlali sayılacağını, bu suretle unutulma hakkının ihlali niteliği taşıyacağını ve manevi tazminat ödenmesini gerektireceğini vurgulamıştır[44]. Zira unutulma hakkı köken itibariyle af edilme hakkına dayanır. Esas anlamıyla geçmişin geçmişte kalması ve şimdiki zamanda ortaya çıkmasıdır. Özellikle kriminal geçmişin insanın bugününe zarar vermemesi ve insanlar tarafından bu yüzden dışlanmamasını amaçlar[45].
1.8. VERİ SORUMLUSU VE VERİ İŞLEYEN
6698 sayılı Kanun’da tanımlar başlığı altında 3’üncü maddede Veri sorumlusu; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır. Ayrıca Kanun’a göre bu kişiler gerçek veya tüzel kişi de olabilmektedir[46]. Yani verisi işlenen kişi yasa kapsamında yalnızca gerçek kişi olabilirken, veri sorumlusu olan kişiler hem gerçek kişi hem de tüzel kişilerden oluşabilmektedir.
Veri işleyen ise aynı madde kapsamında; “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlanmaktadır. Kanun’un lafzına göre veri işleyen, veri sorumlusu adına ve hesabına hareket ederek verileri işleyen gerçek ve tüzel kişilerdir[47].
Veri sorumlusu, kişisel verilere hukuka aykırı olarak erişimin engellenmesi, verilerin muhafazasının sağlanması amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bu çerçevede veri işleme sürecinin veri koruma mevzuatıyla uyumlu olarak gerçekleştirilip gerçekleştirilmediği hususu, veri sorumlusunun denetimi ve sorumluluğu altındadır[48].
Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri hukuka aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülükleri görevleri bittikten sonra da devam etmektedir[49].
1.9. KİŞİSEL VERİLERİN HUKUKİ NİTELİĞİ
Kişisel verilerin hukuki niteliğine ilişkin doktrinde birkaç görüşe yer verilmekle birlikte bu verilerin niteliğinin ağır bastığı görüşün kişilik hakkı görüşü olduğu ifade edilebilir. Nitekim kişisel veriler hukuk sistemimizde kişilik hakkının bir uzantısı olarak karşımıza çıkmakta olup KVKK’da yer alan koruma türü, kişilik haklarının genel hükümlere göre koruma türüne benzerlik gösterebilmektedir. Zira kişilik hakkı mutlak haktır. Mutlak haklar ise herkese karşı ileri sürülebilir. Bu nedenle kişilik hakkı özü itibariyle kişisel verilerin hukuki niteliğine uygundur.
1.10. KİŞİSEL VERİLERİN TÜRK CEZA KANUNU KAPSAMINDA KORUNMASI
Kişisel verilerini kontrol altında tutmak isteyen bir kişi maddi ve manevi varlığını korumayı amaçlarken etkili başvuru hakkından faydalanmak suretiyle bu haklarını Türk Ceza Kanunu hükümlerine aykırı olarak ihlal eden kişilere karşı yasal süreç başlatma imkanına sahiptir. Bu çerçevede TCK’nın “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” başlıklı dokuzuncu bölümünde yer alan 135’inci madde ile 139’uncu maddeler arasındaki kanun hükümleri kişisel verilerin korunmasına yöneliktir. TCK bakımından kişisel verilerin korunmasını sağlayan bu hükümler, suçta ve cezada kanunilik ilkesi gereği doğrudan ve kıyasa gerek kalmaksızın uygulanabilir durumdadır. 6698 sayılı Kanunda bu maddelere atıf yapılarak cezai sorumluluk bağlamında uygulanacak kanun hükümleri gösterilmiştir. Bu kanun hükümlerinde suç teşkil eden eylemler, yaptırımları, nitelikli halleri, şikayete bağlı olup olmadıkları ile tüzel kişiler hakkında uygulanacak güvenlik tedbirleri belirtilmiştir[50]. Bu kapsamda TCK’nın 135’inci maddesinde düzenlenen “Kişisel Verilerin Kaydedilmesi” suçunun oluşabilmesi için öncelikle açık rızanın bulunmaması gerektiği, devamında da 6698 sayılı Kanunun 5/2’nci maddesine göre rıza aranmayan hallerden biri kapsamında kaydedilmemiş olması gerektiğini belirtebiliriz[51]. Bu suç tipinde kişisel verilerin hukuka aykırı biçimde kaydedilmesindeki hareket; gerektiğinde kullanılmak üzere veriyi yazmak, depolamak, sesi veya resmi manyetik bant üzerine geçirmek şeklinde yorumlanabilir[52]. İlaveten bu suç tipinin oluşması için mağdurun bir zarara uğrayıp uğramadığının bir önemi bulunmamaktadır. Zira suç bir tehlike suçu olarak kabul edilmektedir[53].
Hukuka aykırı olarak kişisel verilerin kaydedilmesinin suç teşkil etmesi ile birlikte bu kişisel verilerin özel nitelikli kişisel verilerden de olması da TCK.m.135/2’de cezayı ağırlaştıran bir sebep olarak düzenlenmiştir. Bu kanun hükmüne göre verilecek cezanın yarı oranında artırılması gerekmektedir[54].
Yine TCK’nın 136’ncı maddesinde “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlığı altında ise kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağı hükme bağlanmıştır. Bu madde kapsamında düzenlenen suç, seçimlik hareketli bir suçtur. Yani verme, yayma ve ele geçirme şeklindeki hareketlerden herhangi birisinin bir kişisel veri üzerinde hukuka aykırı olarak icra edilmesi ile suç doğmuş sayılacaktır[55]. Bu çerçevede kişisel verileri başkasına verme, yayma ve ele geçirme hareketlerinin hukuka aykırı olarak gerçekleştirilmesi gerekmektedir[56].
Yine TCK’nın 138’inci maddesinde “Verileri Yok Etmeme” başlığı altında kanunların belirlediği sürelerin geçmiş olmasına rağmen verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verileceği düzenlenmiştir. Bu suç tipi yalnızca verileri sistem içinde yok etmekle yükümlü olan kimseler tarafından işlenebilecek olup özgü suç karakteri taşımaktadır.
İKİNCİ BÖLÜM
ANONİM ŞİRKETLERDE ŞİRKET GENEL KURULLARINDA KİŞİSEL VERİLERİN KORUNMASI
2.1. GENEL KURUL KARARLARININ TANIMI VE OLUŞUMU
6102 sayılı Türk Ticaret Kanunu’nda öngörüldüğü üzere anonim ortaklıklarda iki zorunlu organ mevcuttur. Bunlardan biri genel kurul diğeri ise yönetim kuruludur[57]. Bu organlardan birinin eksikliği ortaklık tüzel kişiliğinin feshi sonucunu doğurur[58]. Genel kurul pay sahipleri veya temsilcilerinin usulüne uygun çağrı üzerine daha önceden belirlenmiş olan gündem maddelerini görüşüp karara bağlamak üzere oluşturulan organdır. Genel kurulda, kanundan ya da ortaklık sözleşmesinden kaynaklanan yetkilerini kendisini oluşturan pay sahipleri ya da bunların yetkili temsilcilerinin oyları ile meydana gelen kararlarıyla kullanır[59]. Genel kurul bir iç organ olup yönetim kurulunun aksine daimi bir organ değildir[60]. Genel kurul kural olarak etkisi dış ilişkiye yansıyan kararlar alamaz ve şirketi yönetim kurulu gibi temsil edemez. Zira genel kurulun ortaklığın yönetimine ilişkin görev ve yetkisi olmayıp yönetim kuruluyla ilişkisi eşitlik esasına dayanır[61].
Ortaklığın karar ve irade organı[62] olarak genel kurulun alacağı kararlar, hukuki sonuç doğuran bir irade beyanı niteliği taşır. Bu yönüyle alınacak kararlar hukuki işlem niteliği taşımakta[63] olup işlemlerin oluşumu ve geçerlilik şartlarına 6098 sayılı Türk Borçlar Kanunu’nun 27’nci maddesi hükümleri uygulanabilir[64].
Genel kurul, karar organı olarak ortaklık iradesini açıkladığından[65] genel kurulda alınan kararlar bütün pay sahiplerini ve şirketin diğer organlarını bağlar. Bunun için şirket ortaklarının toplantıda hazır bulunup bulunmamasının bir önemi yoktur[66]. Ancak genel kurulun ortaklıktan ayrı bir tüzel kişiliği yoktur[67]. Genel kurul, her pay sahibinin aslen veya bir temsilci aracılığı ile katılabildiği tek organdır[68]. Genel kurul, yılda bir defa olağan ya da gerektiğinde olağanüstü toplanan bir organ olduğundan devamlılık unsuruna sahip değildir[69].
2.2. TÜRK TİCARET KANUNU KAPSAMINDA ANONİM ŞİRKET GENEL KURULLARINDA AZLIK PAY SAHİPLERİNİN HAKLARI İLE BU HAKLARIN KULLANIMI SIRASINDA KİŞİSEL VERİLERİN KORUNMASI
Yukarıdaki tüm bu açıklamalar ışığında bakıldığında kişisel verilerin korunmasının şirketler hukuku yönünden de önemli bir fonksiyonu bulunmaktadır. Bu nedenler şirketlerin, KVKK çerçevesinde bir uyum sürecine girerek kayıtlarındaki kişisel verileri mevzuata uygun şekilde işlemesi gerekmektedir. Nitekim şirketler hukukunda uyum, şirketlerin organlarının, organ üyelerinin ve tüm çalışanlarının kişisel verilerin korunması kapsamında hukuka uygunluğunun sağlanması ve hukuka uygunluğun sağlanması için alınan önlemlerin tümü şeklinde tanımlanmaktadır. Şirketlerde uyumun sağlanması konusunda ise, şirketin yönetim organı, anonim şirketlerde ise yönetim kurulu (TTK.m.369, m.375/1) görevlidir[70]. Nitekim TTK gereği anonim ve limited şirketlerde, şirket genel kurulun (ortaklar kurulunun) yetkisine girmeyen her konuda şirket yönetim kurulu (limited şirketlerde müdürler kurulu) yetkili sayılmaktadır.
Kişisel verilerin korunmasına ilişkin bu uyum programı, bir başka ifadeyle veri koruma uyum programı, şirketlerin, organlarının, organ üyelerinin ve çalışanlarının tümünün “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini” ihlal etmelerini (KVKK.m.1) ve yürürlükte bulunan kişisel verilerin korunması ile ilgili mevzuata ve kurul kararlarına uygun iş ve işlemlerde bulunmalarını sağlamaya yönelik şirket içinde alınan tüm önlemler şeklinde tanımlanabilir. Bu kapsamda anonim şirketlerde uyumun ve bununla birlikte veri koruma uyumunun sağlanması görevi, yönetim kurulunda olup yönetim kurulu bu yetkisini başka bir organa ya da 3.bir kişiye devredemez[71].
Bu durum Türk Hukukunda sözleşmeler hukukunda da karşımıza çıkmaktadır. Nitekim doktrinde ifade edildiği üzere sözleşmeler hukuku ile kişisel verilerin korunması hukuku her ne kadar birbirinden farklı alanlar olmasına rağmen bu iki alan arasında özellikle kişisel verinin karşı edim olarak üstlenildiği sözleşmeler bakımından bağlantı bulunabilmektedir[72]. Bu bağlantılardan birisi de bir sözleşme metnine yazılan maddenin, KVKK düzenlemelerine aykırılık teşkil etmesidir. Nitekim Türk Hukukunda KVKK ile getirilen düzenlemeler emredici hüküm niteliği taşımaktadır. Bu sonuca yasa maddelerinin düzenleniş amacı ve lafzından ulaşılmaktadır. Özellikle 6698 sayılı KVKK’nın yukarıda belirtildiği üzere TCK hükümlerine yaptığı atıf ve ilgili suç tiplerinin koruduğu hukuki değer dikkate alındığında yine bu sonuca ulaşılmaktadır. Bu çerçevede kişisel veri koruma hukukundan doğan yükümlülükler, bir sözleşme kapsamında iki taraf arasındaki anlaşmayla bertaraf edilemez. Zira hukuki niteliği kişilik hakkı olan kişisel verilerden TMK’nın 23’üncü maddesi gereğince vazgeçilmesi mümkün değildir. Çünkü bu düzenleme kimsenin, hak ve fiil ehliyetlerinden kısmen de olsa vazgeçemeyeceğini, kimsenin özgürlüklerinden vazgeçemeyeceğini veya onları hukuka ya da ahlaka aykırı olarak sınırlayamayacağını ifade etmektedir. Bu çerçevede 6698 sayılı KVKK’nın emredici hükümlerine aykırı bir sözleşme hükmünün akıbeti kesin hükümsüzlük olacaktır. Örneğin ilgili kişinin rızasını geri çekme hakkını veya veri işlemeye itiraz hakkını kısıtlayan sözleşme hükümleri geçersiz kabul edilecektir[73].
KVKK’da sayılan ve yukarıda açıklanan tüm bu kurallar şüphesiz şirketlerin genel kurul ve yönetim kurulu toplantısı sırasında organ üyelerini ve özellikle pay sahiplerini de bağlamakta, bu kişiler şirket işleyişi sırasında ilgili kişilerin kişisel verilerinin korunmasına dikkat etme ve dürüstlük kuralına uygun davranma yükümlülüğü altına girmektedir. Zira KVKK’da her ne kadar tüzel kişilikler kanun kapsamına alınmasa da şirket organlarının gerçek kişi üyelerinin kapsam dışı olduğuna dair bir düzenlemeye yer verilmemektedir. Tüm bu nedenlerle örneğin şirket genel kurul toplantıları sırasında şirket pay sahiplerince TTK’nın 437’nci[74] vd maddeleri gereği bilgi edinme ve inceleme hakkının kullanımı sırasında şirket yönetim kurulundan, kurul üyeleri ya da şirketle ilgili kişilerin kişisel verilerini içerir şekilde talepte bulunulmaması gerekmektedir. Nitekim şirket yönetim kurulunun yukarıda sayılan ilkeler gereği bağlı bulunduğu KVKK kapsamında kişisel verileri pay sahipleriyle paylaşma şeklinde bir yükümlülüğü bulunduğu düşünülemez. Yine konuya şirketler hukuku açısından tekrar bakıldığında şirket pay sahipleri TTK’nın 438’inci[75] vd maddeleri kapsamında şirket genel kurulundan, yönetim kurulu üyeleri ya da şirketle ilgili kişilerin kişisel veri içeren faaliyetlerinin araştırılması için özel denetçi atanması talebinde bulunamaz. Zira KVKK’nın kişisel verilerin hukuka aykırı şekilde paylaşılmasını yasakladığı bir ortamda yasanın arkasını dolanmak suretiyle bu verilerin özel denetçi yoluyla araştırılması hukuken mümkün değildir. Konuya TTK’nın 392’nci[76] maddesi kapsamında bakıldığında da yönetim kurulu üyelerinin bilgi edinme ve inceleme hakkı çerçevesinde de aynı sonuca varmak mümkündür. Nitekim anonim şirketlerde veri sorumlusu ve veri işleyen sıfatının şirket yönetim kuruluna ait olduğu varsayımında yönetim kurulu başkanının korumakla yükümlü olduğu bilgileri şirketin dış ilişkilerinde olduğu gibi iç ilişkilerinde de yönetim faaliyeti için gerekli olmadığı halde paylaşması hukuken mümkün değildir. Son olarak aynı hususu şirket genel kurullarında pay sahiplerinin ilgili gündem maddelerine karşı koyacakları muhalefet şerhleri için de söyleyebiliriz. Nitekim TTK’nın 446/1-a[77] bendinde belirtildiği üzere şirket genel kurullarında toplantıda hazır bulunup da karara olumsuz oy veren ve bu muhalefetini tutanağa geçirten pay sahiplerinin genel kurul iptal davası açabileceği hükme bağlanmıştır. İşte pay sahipleri için dava şartı niteliği taşıyan muhalefet şerhinde, pay sahipleri karara neden olumsuz oy kullandığını belirtirken kullanacakları ifadelerde aleyhe oy kullanmalarına neden olan olaylara ve olayla ilgili kişilere dair kişisel veri paylaşımında bulunmamalıdır. Örneğin bir pay sahibi, şirket olağan genel kurulunda yönetim kurulu faaliyet raporuna olumsuz oy kullandıktan sonra ekleyeceği muhalefet şerhinde olumsuz oy kullanma gerekçesinde yönetim kurulu üyesinin şirketi zarara uğratma gerekçesinde üyenin otel, konaklama, seyahat vb verilerini muhalefet şerhi gerekçesine yansıtamamalıdır. Zira KVKK ile yasaklanan bir durumun şirket genel kurullarında hukuka uygun sayılacağı düşünülemez. Nitekim muhalefet şerhinin kendisinin henüz yargıya yansımış bir olayla ilişkisi bulunmadığından KVKK kapsamındaki muafiyetten yararlanması mümkün değildir. Yargıtay uygulamasında da vurgulandığı üzere anonim şirket genel kurul kararlarına karşı iptal davası açmak isteyen bir pay sahibi, bu karara olumsuz oy kullandıktan sonra herhangi bir gerekçe belirtmeksizin karara muhalif kaldığını tutanağa yazdırarak 3 aylık hak düşürücü süre içerisinde ticaret mahkemelerinde iptal davası açabilmektedir. Pay sahibinin ilgili genel kurul kararının butlan ya da yokluk yaptırımına tabi olduğunun tespiti istemiyle açacağı davada ise muhalefet şerhine dahi gerek bulunmamaktadır. O halde ilk kez mahkeme aşamasında bildirilebilecek muhalefetin gerekçesinin, ilana tabi olacak bir genel kurul tutanağında açıklanarak kişisel veri ihlali gerçekleştirilmesini hukuk düzeninin korumaması gerekmektedir. Burada özellikle genel kurul tutanaklarının ilanı hususu gündeme gelecektir. Herşeyden önce anonim şirketlerde genel kurul tutanakları, yönetim kurulu seçimi vb durumlarda ilgili ticaret sicil müdürlükleri gibi kurumlarda görevli memura ibraz dahil birçok kişinin erişebileceği bir konumdadır. Bu durum genel kurul tutanağında yazılı bir kişisel verinin de erişime açık hale geleceği sonucunu ortaya çıkarmaktadır.
Yine Anonim Şirketlerin Genel Kurul Toplantılarının Usul ve Esasları ile Bu Toplantılarda Bulunacak Bakanlık Temsilcileri Hakkında Yönetmeliğin “Toplantı sonunda yapılacak işlemler” başlıklı 14’üncü maddesinde; “(1) Toplantı başkanı, toplantı sonunda tutanağının bir nüshasını ve genel kurulla ilgili diğer tüm evrakı toplantıda hazır bulunan yönetim kurulu üyelerinden birine teslim eder. Taraflar arasında düzenlenecek ayrı bir tutanakla bu durum tespit edilir. (2) Yönetim Kurulu, toplantı tarihinden itibaren en geç on beş gün içerisinde, tutanağın noterce onaylanmış bir suretini ticaret sicili müdürlüğüne vermek ve bu tutanakta yer alan tescil ve ilana tabi hususları tescil ve ilan ettirmekle yükümlüdür. (3) Tutanak, internet sitesi açmakla yükümlü olan şirketlerce genel kurul tarihinden itibaren en geç beş gün içerisinde internet sitesine de konulur.” şeklinde düzenleme mevcuttur. Düzenlemeden anlaşılacağı üzere genel kurul tutanaklarının, internet sitesi açmakla yükümlü şirketlerce internet sitesinde yayınlanması gerektiğini hükme bağlamıştır. Bu kapsamda kişisel veri içeren bir genel kurul tutanağının şirket internet sitesinde yayınlanması halinde yasa koyucunun 6698 sayılı KVKK ile korumak istediği hukuki menfaat ihlal edilmiş sayılacak ve kanuna aykırılık ortaya çıkacaktır. İşte tüm bu nedenlerle azlık pay sahiplerince şirket genel kurullarında gerekli olmadığı halde kişisel veri paylaşılmasının hukuken korunmaması gerekmektedir.
Burada muhalefet şerhine kısaca değinecek olursak; dava şartı niteliğindeki muhalefet şerhi, bazı zorunlu unsurları taşımaktadır. Doktrinde oylama öncesi yapılan görüşmeler sırasında yapılan muhalefetin geçerli sayılmayacağına dair görüş mevuttur[78]. Zira karara peşinen muhalefet olmaz[79]. Kararın alınmasından önce peşinen verilen muhalefet kayıtları geçerli değildir[80] ve ortağın iptal davası açmasına imkan vermez[81]. Muhalefetten söz edebilmek için öncelikle kararın alınmış olması şarttır[82]. Yargıtay da bir kararında iptali istenen gündem görüşülürken, henüz oylamaya geçilmeden önce muhalefetin bildirilerek tutanağa derc edilmesi fakat karar sonrasında herhangi bir muhalefet şerhi konulmaması halinde genel kurul kararı ile ilgili dava şartlarının bulunmadığından bahisle davanın reddi gerektiğini vurgulamıştır[83].
Özetle muhalefet şerhinin kararın alınmasından sonra toplantı tutanağına yazdırılması gerekir. Ancak her bir kararın altına muhalefet şerhi işlendikten sonra toplantı tutanağının en altına yeniden muhalif kalındığının yazılması gerekmez[84].
Kişisel Verileri Koruma Kurulunun şirket organlarını ilgilendiren olaylarda verdiği kararların yorumundan da yukarıdaki değerlendirmemizle aynı sonuca ulaşabilmekteyiz. Nitekim Kişisel Verileri Koruma Kurulunun 19/01/2023 tarihli ve 2023/78 sayılı Kararında; İlgili kişinin (borçlunun) borç bilgisinin ortağı olduğu şirketin kurumsal numaralarına kısa mesaj olarak gönderilmesi olayında; avukatlık ortaklığı tarafından ilgili kişiye ilişkin kişisel verileri içeren kısa mesajların şirkete ait iletişim numaralarına gönderilmesi neticesinde, borca konu işlemle ilgisi olmayan üçüncü kişi şirket çalışanları ile ilgili kişiye ilişkin kişisel veri olan borç bilgisinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartı bulunmaksızın paylaşıldığı gözetilerek Kanun’un 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülüklerini yerine getirmediği kanaatine varılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 85.000 TL idari para cezası uygulanmasına karar verilmiştir.
Ancak Kişisel Verileri Koruma Kurulunun 07/07/2022 tarihli ve 2022/655 sayılı Kararında; Tasfiye edilmiş şirketin yönetim kurulu üyeleri olan ilgili kişilerin kişisel verilerinin, şirket borcu kapsamında kısa mesaj gönderme ve arama suretiyle veri sorumlusu avukat tarafından hukuka aykırı olarak işlenmesi iddiası hakkında; İlgili kişilerin borcun doğduğu/icra takibinin başlatıldığı dönemde münfesih şirketin yönetim kurulunda yer aldığı, bu hususun da Ticaret Sicil Gazetesi’nde aleni bir şekilde paylaşıldığı, veri sorumlusu avukatın Avukatlık Kanunu ve sair mevzuat çerçevesinde vekâlet ilişkisi içerisinde bulunulan müvekkile ait alacağın tahsili amacıyla ilgili kişilerin ad, soyadı, T.C. kimlik numarası, adresi, telefon numarası gibi verilerini UHAP/bilinmeyen numara servisleri vb. mevzuata uygun faaliyet yürüten yasal platformlar üzerinden edinmesinin ve işlemesinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi gereğince veri sorumlusunun vekâlet ilişkisinden doğan hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması şartına ve (e) bendi gereğince alacaklının hak arama hürriyetinin tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması şartına dayandığı dikkate alınarak bu iddia açısından Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir. Bu karardan anlaşıldığı üzere Kurul, anonimleştirilmiş bir veriyi kişisel veri kabul etmediğinden bahsi geçen kararı vermiştir. Ancak verinin anonim veri niteliğine sahip olmaması ihtimalinde verilecek karar değişiklik gösterme ihtimaline sahip olabilir.
2.2. AVUKATIN KİŞİSEL VERİ KORUMA HUKUKUNDAKİ YERİ
Savunma hakkı ve hak arama özgürlüğünün önemli bir unsuru olan avukatlar, 6698 sayılı Kişisel Verilerin Korunması Kanunu ile bağlıdır. İlgili kanun gereği kişisel veri, bunların korunması, işlenmesi veya imhası gibi konular avukatlar bakımından kanuni olarak bağlayıcı niteliktedir. Kişisel Verileri Koruma Kurulunun aşağıda bahsi geçen kararlarında da bu hususlar sıklıkla vurgulanmıştır. Nitekim avukatlar, mesleklerinin icrası sırasında birtakım kişisel verileri işleyebilmekte, bu çerçevede de aydınlatma yükümlülüğü altına girebilmektedir. KVKK kapsamındaki aydınlatma yükümlülüğü ise, ilgili kişinin kişisel verilerinin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplama yöntemi ve hukuki sebebine yöneliktir[85].
6698 sayılı Kanun’da veri sorumlusu (m.3/1-ı) ve veri işleyen (m.3/1-g) kavramları açıkça düzenlenmiştir. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri ifade etmektedir. Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi ise, veri işleyen olarak tanımlanmıştır. Bu çerçevede bağımsız çalışan avukatların mesleklerini icrası sırasında kaydettikleri verilerden ötürü veri sorumlusu niteliği olduğu söylenebilecektir. Aynı baroya kayıtlı birden çok avukatın mesleki faaliyetlerini yürütmek üzere bir araya gelerek bir büroda çalışmaları durumunda ise bu avukatların tamamı veri sorumlusu niteliği taşımaktadır[86]. Bu kapsamda avukat ya da avukat ortaklığı, mesleki faaliyetleri sırasında sadece müvekkile ait kişisel verileri işlememekte, bu kapsama avukat veya avukat ortaklığının yanında çalışan avukatlar, stajyerler veya büro personeline ait kişisel veriler de girmektedir. Avukatlık hizmetinin niteliği gereği, avukat veya avukat ortaklığı kişisel verileri; ortaklarına, avukatlarına ve yetkili mahkeme, icra daireleri, kamu kurum ve kuruluşlarına, arabulucu, hakem veya uzlaştırmacı, banka gibi gerçek veya tüzel kişilere aktarabilecektir. Kişisel verilerin üçüncü kişilere aktarımındaki amaç, kişisel verilerin işlenmesindeki amaç ile paralel niteliktedir[87].
Avukatlık mesleğinin ifası sırasında işlenen kişisel veriler haricinde arabuluculuk sürecinde de tarafların kişisel verilerin işlenmesi söz konusu olabilmektedir. Zira süreç ister taraflarca ihtiyari olarak yürütülsün isterse dava şartı arabuluculuğa ilişkin başvuru yöntemiyle yürütülsün, arabulucunun görevi tebliğinden itibaren kişisel verileri elde etmesi söz konusu olabilmektedir. Bu aşamada arabulucu bu veriler bakımından veri sorumlusudur ve 6698 sayılı KVKK’nın 4’üncü maddesinde belirtilen genel ilkelere uygun davranmakla yükümlüdür. Bu kapsamda arabulucu tarafların kişisel verilerini işlerken mevzuata uymalıdır. Bu noktada Arabuluculuk Daire Başkanlığı’nın örnek olarak paylaşmış olduğu belgeler yol göstericidir.
Kişisel Verileri Koruma Kurulu’nun da bu hususta çok sayıda kararı bulunmakta olup bu kararları kısaca özetleyecek olursak;
2.3. KİŞİSEL VERİLERİ KORUMA KURULU KARAR ÖRNEKLERİ
2.3.1. Karar Örneği-1
Kişisel Verileri Koruma Kurulunun 14.01.2020 Tarihli ve 2020/26 Sayılı Kararında özetle; Kişisel verilerin, veri sorumlusu bir AVUKAT TARAFINDAN KISA MESAJ YOLUYLA ÜÇÜNCÜ KİŞİLERE İFŞA EDİLMESİ halinde ilgili kişiye ait olup olmadığı bilinmeyen bir numaranın yine kimliği bilinmeyen üçüncü bir kişi vasıtasıyla edinilmesi ve “İlgili Kişiye” ait verinin bu numaranın sahibi üçüncü kişi ile paylaşılması nedeniyle KVKK’nın 12’nci maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklere aykırı hareket edildiğine, bu nedenle de veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
Bu kararda “İlgili Kişi”nin şikayet dilekçesinde özetle şu iddialarda bulunulmuştur;
- Bankaya olan borcundan dolayı veri sorumlusu avukat tarafından İcra Dairesinde icra takibi başlatıldığı,
- İcra takibi başlatılmasından itibaren söz konusu avukatlık bürosu çalışanları tarafından münferit zamanlarda haciz işlemlerinin başladığına ilişkin arandığı ve mesajlar aldığı,
- AYNI İÇERİKTEKİ MESAJIN YILLARDIR GÖRÜŞMEDİĞİ KARDEŞİNE DE GÖNDERİLMESİ ÜZERİNE kardeşinin aldığı ekran görüntüsünü kendisine yolladığı,
- Bunun üzerine kişisel verilerinin üçüncü kişilerle paylaşılıp paylaşılmadığını öğrenmek adına kendisine ait mail adresinden veri sorumlusu avukata e-posta gönderdiği şeklindedir.
Konuya ilişkin Kurulca yapılan inceleme neticesinde ise şu sonuca varılmıştır;
- Bankaya borçlu olan ve bu borca ilişkin işlemlerin yürütülmesini teminen kişisel verileri Banka tarafından avukata aktarılan ve avukat tarafından kişisel verileri işlenen kişinin (BORÇLUNUN) “İLGİLİ KİŞİ” OLDUĞU,
- Banka adına icra işlemlerini yürüten ve bu işlemle ilgili olmak üzere ilgili kişinin kişisel verilerini işleyen AVUKATIN “VERİ SORUMLUSU” OLDUĞU,
- İlgili kişinin bankaya olan borcunu tahsil edebilmek için avukat tarafından ilgili kişiye ait iletişim bilgileri ve diğer ilgili bilgilerinin işlenmesi eyleminin ise VERİ İŞLEME FAALİYETİ OLDUĞUNU,
- Kanunda, kişisel verilerin sınırlı sayma yöntemi ile belirlenmediğini, bir verinin kişisel veri olması için belirli ya da belirlenebilir gerçek kişiye ilişkin olma kriteri getirildiğini, bu bağlamda, ilgili kişinin kardeşine gönderilen mesajın içeriği incelendiğinde, İLGİLİ KİŞİNİN AÇIK ADINI, BORÇLU OLDUĞU BANKAYI VE İCRA DOSYASI BORCUNA İLİŞKİN BİLGİLERİ İHTİVA EDEN KISA MESAJ İÇERİĞİNİN İLGİLİ KİŞİYE AİT KİŞİSEL VERİ NİTELİĞİNDEKİ BİLGİLERİ İÇERDİĞİNİ,
- Somut olayda, veri sorumlusu bir avukat olup, vekili olduğu Banka adına, Bankanın haklarını ve menfaatlerini korumak amacıyla hareket ettiğini, bu anlamda AVUKATLIK KANUNUNDAN KAYNAKLANAN YÜKÜMLÜLÜKLERİ VE YÜRÜTMEKTE OLDUĞU İCRA İŞLEMLERİ BAKIMINDAN İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla BORÇLUYA AİT BİLGİLERİ, KANUNA UYGUN OLARAK İŞLEME VE İLGİLİ BİRİM/MERCİLERE BİLDİRME YETKİSİ OLDUĞUNU ve bu bağlamda işlediği kişisel verilerin Kanunun 5 inci maddesinin 2 numaralı fıkrası çerçevesinde İLGİLİ KİŞİNİN AÇIK RIZASI OLMAKSIZIN İŞLEMESİNİN KANUNA UYGUN OLACAĞINI,
- ANCAK Kanun hükümleri gereğince açık rıza aranmaksızın işlenecek kişisel verilerin borçluya ait olması gerektiğini, bu kapsamda ne banka ile ne de avukat ile bağı olan ve herhangi bir hukuksal işleme konu kişisel verisi bulunmayan ilgili kişinin kardeşinin telefon numarasının kanuna aykırı olarak ele geçirilmesinin akabinde ilgili kişiye ait kişisel verilerin üçüncü bir kişiye ifşasının Kanunun 5’inci maddesi hükümleri kapsamında değerlendirilemeyeceğini,
- Avukat tarafından yapılan savunmada, Avukatlık Kanununun 1 inci maddesi gereği, avukatların yargının kurucu unsuru olduğu ve bu bağlamda mesleki faaliyetleri gereği elde edilen bilgilerin kişisel verilerin işlenmesi olarak tanımlanmasının hukuken mümkün olmaması gerektiği yönünde ifadelere yer verildiği, ANCAK KANUNUN 28’İNCİ MADDESİ KAPSAMINDA BİR İSTİSNADAN SÖZ EDEBİLMEK İÇİN, VERİ İŞLEMENİN SORUŞTURMA, KOVUŞTURMA, YARGILAMA VEYA İNFAZ İŞLEMLERİNE İLİŞKİN OLMASI; AYRICA VERİ İŞLEMENİN YARGI MAKAMLARI VEYA İNFAZ MERCİLERİNCE İŞLENMESİ GEREKTİĞİ, maddede belirtilen yargı makamlarının tanımlaması yapılmamış olsa da, Devletin yasama ve yürütme faaliyetleri dışında kalan yargı organlarının bu kapsama girdiği, ayrıca, şikayete konu olayda, KİŞİNİN BORCUNA DAİR BİLGİLERİN KARDEŞİNİN TELEFONUNA KISA MESAJ OLARAK İLETİLMESİ; YANİ BORCUNU ÖDEMEYE İKNA ETMEK AMACIYLA CAYDIRICI BİR UNSUR OLUŞTURMAK NİYETİYLE BİR YAKINIYLA PAYLAŞILMASININ, KANUNUN 28’İNCİ MADDESİNDE SAYILAN SORUŞTURMA, KOVUŞTURMA, YARGILAMA VE İNFAZ İŞLEMLERİNE İLİŞKİN BİR İŞLEM OLARAK KABUL EDİLMESİNİN MÜMKÜN OLMADIĞINI,
- Tüm bu nedenlerle ilgili kişiye ait olup olmadığı bilinmeyen bir numaranın yine kimliği bilinmeyen üçüncü bir kişi vasıtasıyla edinilmesi ve ilgili kişiye ait verinin bu numaranın sahibi üçüncü kişi ile paylaşılması nedeniyle Kanunun 12’nci maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklere aykırı hareket eden veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına karar verildiği belirtilmiştir.
2.3.2. Karar Örneği-2
Kişisel Verileri Koruma Kurulunun 20/05/2021 tarihli ve 2021/511-512-513 sayılı Kararlarında ise özetle: alacaklı vekili avukatların icra tevzi bürolarına başvuruda bulunup borçluların alacaklı olduğu icra takip dosyalarının bilgilerini haksız bir şekilde elde ettiği, bu durumun kişisel verilerin haksız olarak ele geçirilmesi niteliği taşıdığı ihbarı üzerine yapılan incelemede;
Avukatlık Kanununun 46’ncı maddesinin 2’nci fıkrasında yer alan “Avukat veya stajyer, vekaletname olmaksızın dava ve takip dosyalarını inceleyebilir. Bu inceleme isteğinin ilgililerce yerine getirilmesi zorunludur.” hükmü, 2004 sayılı İcra ve İflas Kanununun 85’inci maddesi çerçevesinde borçlunun kendi veya üçüncü kişi nezdindeki alacaklarına haciz konulabileceği hükmü, 2004 sayılı Kanunun 8/a ve 78’inci maddeleri uyarınca Ulusal Yargı Ağı Bilişim Sistemi vasıtasıyla alacaklı tarafından borçluların mal, hak veya alacaklarının sorgulanabileceği hükmü, avukatların müvekkillerinin alacağını tahsil etmek amacıyla 1136 sayılı Avukatlık Kanununun 46’ncı maddesi uyarınca dava ve icra takibi dosyalarını vekâletname sunmaksızın inceleyebileceği hükmü birlikte değerlendirilmiş ve bu kapsamda 6698 sayılı Kanunun 5’inci maddesinin ikinci fıkrasının (a) bendinde düzenlenmiş işlemenin “kanunlarda açıkça öngörülmesi” şartına dayanılarak ALACAKLI VEKİLİ AVUKATLAR TARAFINDAN BORÇLUNUN ALACAKLI OLDUĞU İCRA DOSYALARINA İLİŞKİN OLARAK KİŞİSEL VERİ İŞLEME FAALİYETİ YÜRÜTEBİLECEĞİNDEN avukatların vekâletname olmaksızın icra takip dosyalarındaki kişisel verilere hukuka aykırı olarak erişim sağladığı iddiası bakımından 6698 sayılı Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
Kurul kararın devamında 1136 sayılı Avukatlık Kanununun 2’nci maddesinde ilgili makamların avukatların görevlerini yapmak üzere ihtiyaç duyduğu bilgi ve belgeleri avukatların incelemesine sunmakla yükümlü olduğunun düzenleme altına alındığını ve bu kapsamda 6698 sayılı Kanunun 8’inci maddesinin üçüncü fıkrasında düzenlenmiş “Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” düzenlemesi uyarınca Adalet Bakanlığı tarafından icra tevzi bürosunda görevli personel eliyle borçlunun alacaklı olduğu İCRA DOSYALARI HAKKINDA BİLGİ VE BELGE SAĞLAMA AMACIYLA AVUKATLARA GÖREVLERİNİ YERİNE GETİREBİLMELERİ İÇİN KİŞİSEL VERİ AKTARIMI YAPILABİLECEĞİNİ, bu kapsamda Adalet Bakanlığı tarafından alacaklı vekili avukatlara borçluların alacaklı olduğu icra takip dosyalarında bulunan kişisel verilerin hukuka aykırı olarak aktarılması iddiası bakımından 6698 sayılı Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
2.3.3. Karar Örneği-3
Kişisel Verileri Koruma Kurulu’nun 22/03/2023 Tarihli ve 2023/437 Sayılı Kararında ise; bir avukatlık ortaklığı tarafından borçlu ilgili kişiye kısa mesaj gönderilmesi suretiyle gerçekleşen olayda, veri sorumlusu tarafından ilgili kişinin telefon numarasının işlenmesi suretiyle gerçekleşen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin ikinci fıkrasının (e) bendinde yer alan bir hakkın tesisi, korunması veya kullanılması için veri işlemenin zorunlu olması hükmü kapsamında hukuka uygun olduğunu, söz konusu şikâyet kapsamında yapılacak bir işlem bulunmadığını vurgulamıştır.
2.3.4. Karar Örneği-4
Kişisel Verileri Koruma Kurulunun 01/12/2022 tarihli ve 2022/1281 sayılı Kararında ise; İcra takibi dolayısıyla veri sorumlusu avukat tarafından borçlunun borç bilgisinin oğlu ile paylaşılması ve kendisi ile borç bilgisi paylaşılan borçlunun oğlunun telefon numarasının bu suretle hukuka aykırı olarak işlenmesi olayında somut olayı da dikkate almak kaydıyla karar vermiş olup;
- BORÇLUNUN OĞLUNUN HACİZ ESNASINDA HACİZ MAHALLİNDE OLDUĞU ve haczedilen malların YEDİEMİN SIFATIYLA KENDİSİNE BIRAKILMIŞ OLDUĞU da dikkate alındığında, eldeki mevcut bilgi ve belgelerden veri sorumlusunun borçlunun oğlunun telefon numarasını hukuka aykırı işlediğinin tevsik edilemediği anlaşıldığından söz konusu iddia hakkında Kanun kapsamında yapılacak bir işlem olmadığına,
- Veri sorumlusunun Kuruma ilettiği belgelerden, borçlunun oğlunun da söz konusu borcun hacizle tahsili sırasında haciz mahallinde bulunduğu ve Haciz Tutanağını imzaladığı, dolayısıyla babasının borcu hakkında hâlihazırda bilgi sahibi olduğu, şikâyet konusu aramalara dair kayıtların ise anılan Haciz Tutanağının tanzim edildiği tarihin ertesi gününe ait olduğu, bu nedenlerle borçlunun “aynı zamanda da kişisel verisi olan, kendisinin borçlu olduğuna dair bilginin veri sorumlusu tarafından oğluna iletilmesi” şeklindeki şikâyetine ilişkin olarak Kanun kapsamında tesis edilebilecek bir işlem olmadığına karar verilmiştir.
2.3.5. Karar Örneği-5
Kişisel Verileri Koruma Kurulunun 07/04/2022 tarih ve 2022/328 sayılı Kararında ise; veri sorumlusu tarafından ilgili kişinin ve diğer yedi çalışanın bilgilerine (avukat aracılığıyla gönderilen) noterden gönderilen aynı ihtarnamede yer verilmesi halinde, her birinin kişisel verilerinin birbirleriyle paylaşılmış sayılacağına, bu durumun KVKK’nın 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” işleme şartı kapsamında değerlendirilemeyeceğine, söz konusu çalışanların kimlik ve iletişim verisinin aynı ihtarnamede yer alması ve söz konusu ihtarname keşide edilirken herhangi bir şekilde karartma, muhataplara ayrı ayrı keşide etme vb. gibi bir işlem yapılmaması sebebiyle ilgili kişinin kişisel verilerinin diğer çalışanlarla paylaşıldığı ve bu suretle gerçekleşen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmadığına, bu nedenle gerçekleşen kişisel veri işleme faaliyetinin Kanun’un 12’nci maddesinin (1) numaralı fıkrası hükmüne aykırı olduğuna ve veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
2.3.6. Karar Örneği-6
Kişisel Verileri Koruma Kurulunun 21/10/2021 tarihli ve 2021/1069 sayılı Kararında ise; Bankanın avukatı tarafından borçlu yakını olan ilgili kişiye haciz ihbarnamesi gönderilmesi suretiyle kişisel verilerinin işlenmesi iddiasına ilişkin;
Avukat tarafından vekili olduğu bankanın alacağını tahsil etmek amacı ile yürütmekle yükümlü olduğu işlemlerin tesisi için üçüncü kişilere İcra ve İflas Kanunu’nun 89’uncu maddesinin (1) numaralı fıkrası kapsamında haciz ihbarnamesi gönderilmesi amacıyla ilgili kişinin adı, soyadı, kimlik numarası ve adres bilgisinin işlenmesi Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması hükmü” kapsamında Kanuna uygun olduğu değerlendirildiğinden söz konusu şikâyet ile ilgili olarak veri sorumlusu Avukat hakkında Kanun kapsamında tesis edilecek bir işlem olmadığına karar vermiştir.
2.3.7. Karar Örneği-7
Kişisel Verileri Koruma Kurulunun 02/11/2021 tarihli ve 2021/1111 sayılı Kararında ise;
İlgili kişinin ceza mahkûmiyeti bilgisinin avukat olan veri sorumlusu tarafından hukuka aykırı olarak elde edilmesi ve mahkeme dosyasına sunulması olayına ilişkin;
Mevcut tüm bilgi ve belgeler itibarıyla; ilgili kişinin adli sicil bilgisi kişisel verisinin işlenmesi faaliyetinde veri sorumlusu tarafından 6698 sayılı Kanun’un 6’ncı maddesinde düzenlenen hukuki sebeplerden herhangi birine dayanılmadığı, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 6698 sayılı Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne aykırılık teşkil ettiği dikkate alındığında 6698 sayılı Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına karar verilmiştir.
2.3.8. Karar Örneği-8
Kişisel Verileri Koruma Kurulunun 09/09/2021 tarihli ve 2021/909 sayılı Kararında ise; (Kendisine 89/1 haciz ihbarnamesi gönderilen) ilgili kişinin kardeşine ait borca dair yürütülen icra takibi kapsamında, veri sorumlusu avukat tarafından ilgili kişinin kişisel verilerinin İcra Müdürlüğüne iletilmesi olayında (İlgili kişinin kişisel verilerinin veri sorumlusu avukat tarafından icra dairesiyle izinsiz paylaşılması iddiasına/şikayetine ilişkin olarak);
İcra ve İflas Kanununun 89 uncu maddesi kapsamında borçlunun üçüncü kişilerdeki alacağının tahsili amacıyla alacaklı tarafından bildirilen gerçek veya tüzel kişilere İcra Müdürlüklerince birinci haciz ihbarnamesi gönderilmesi suretiyle alacaklı ve vekili arasındaki vekâlet ilişkisi gereğince alacaklı adına İcra Müdürlükleri nezdinde ilgili kişinin kişisel verilerinin işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (a) ve (e) bentlerinde yer alan ‘Kanunlarda açıkça öngörülme’ ve ‘Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması’ şartına dayanarak gerçekleştirildiği, bu çerçevede ilgili şikayete ilişkin olarak Kanun kapsamında tesis edilebilecek bir işlem bulunmadığına karar verilmiştir.
2.3.9. Karar Örneği-9
Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/228 sayılı Kararında ise;
Kuruma intikal eden şikayette özetle ilgili kişinin şahsına ait telefon numaralarına çeşitli tarihlerde, muhatabı ve tarafı olmadığı icra dosyası ile ilgili (alacaklı telekomünikasyon şirketi adına hareket eden) hukuk bürosu tarafından mesajlar gönderildiği, söz konusu mesajlarla ilgili herhangi bir muhataplık sıfatının, mesajda bahsi geçen icra dosyasında ise alacaklı ya da borçluluk sıfatının bulunmadığı, bunun üzerine gerek alacaklı telekomünikasyon şirketi gerek avukat-hukuk bürosuna yaptığı başvuruya yasal süre içerisinde yanıt alamaması nedeniyle Kişisel Verileri Koruma Kuruluna şikâyette bulunulduğu belirtilmiş,
Kurul tarafından yapılan değerlendirmede; Veri sorumlusu sıfatını haiz olduğu değerlendirilen avukat tarafından halihazırda herhangi bir ilgisinin bulunmadığı borçlu şirketin icra takibine ilişkin mesajlar gönderilmesi suretiyle ilgili kişinin kişisel verisi olan telefon numaralarının işlenmesinin Kanunun 5 inci maddesinde sayılan işleme şartlarından herhangi birine dayanmadığı değerlendirildiğinden Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu avukat hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.
2.3.10. Karar Örneği-10
Kişisel Verileri Koruma Kurulunun 27/04/2021 tarihli ve 2021/424 sayılı Kararında ise;
Bir bankanın, varlık yönetim şirketinin ve üç farklı avukatın borçlu olmayan ilgili kişinin kişisel verisini işleyerek icra takibi başlattıkları iddiası” hakkında;
İlgili kişinin kişisel verilerinin Banka tarafından Kanun yürürlüğe girmeden önce işlendiği, akdedilen alacak temlik sözleşmesine dayanarak hukuka uygun olarak Varlık Yönetim Şirketine aktardığı, öte yandan ilgili kişinin 2017 yılında yaptığı başvuruya istinaden ilgili kişinin kişisel verilerinin Banka tarafından düzeltildiği dikkate alındığında Veri sorumlusu Banka hakkında Kanun kapsamında yapılacak bir işlem olmadığına,
Şikâyet edilen diğer taraflar olan avukatların ise veri sorumlusu sıfatını haiz olmadıkları dikkate alındığında haklarında Kanun kapsamında tesis edilecek idarî bir işlemin bulunmadığına karar verilmiştir.
2.3.11. Karar Örneği-11
Kişisel Verileri Koruma Kurulunun 18/05/2022 tarihli ve 2022/489 sayılı Kararında ise;
İlgili kişinin şikâyetlerinde özetle;
- Kendisinin avukatlık mesleğini icra ettiği, kamu tüzel kişiliğini haiz Birlik ile arasındaki hukuki danışmanlık ve avukatlık sözleşmesinin fesih görüşmeleri sırasında kendisini Birlik vekili olarak tanıtan bir avukatın ilgili kişiyi aradığı ve sözleşmeyi feshetmesini istediği,
- Bunun üzerine Birlik ile konu hakkındaki görüşmeleri devam ederken kendisini Birlik vekili gibi tanıttığı ve avukatlık meslek etiğine uygun olmayacak şekilde konuşması nedeniyle hakkında disiplin soruşturması yapılmasını teminen ilgili kişinin söz konusu avukatı Baroya şikâyet ettiği,
- Avukatın Baro Başkanlığına sunduğu savunması ile ilgisi olmayan, sadece Birlikte asılları bulunan ve danışmanlık sözleşmesi kapsamında Birliğe kesilen serbest meslek makbuzu ve stopaj ödeme listesinin fotokopilerine savunma dilekçesi ekinde yer verdiği, bunun üzerine ilgili kişinin söz konusu avukata ve Birliğe başvuruda bulunduğu ancak yanıt alamadığı belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin yapılması talep edilmiştir.
Kurul tarafından yapılan değerlendirme neticesinde ise;
- Birlik Başkanlığının ilgili kişinin kişisel verilerini içeren belgeleri Birliğin vekili tayin edilen avukat ile paylaşması ile ilgili olarak; Birliğin kamu tüzel kişiliğini haiz bir kurum olarak taraflarına hasredilen görevleri yerine getirmeleri sürecinde dışarıdan avukatlık hizmeti aldıkları ve bu durumda söz konusu avukat ile ilgili kişiye ait kişisel verileri içeren belgeleri paylaşmalarının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendi çerçevesinde değerlendirilebileceği kanaatine varıldığından ilgili kişinin Birlik hakkındaki şikâyeti ile ilgili olarak Kanun kapsamında yapılacak herhangi bir işlem bulunmadığına,
- Veri sorumlusu sıfatını haiz avukatın ilgili kişinin kişisel verilerini içeren belgeleri yürütülen soruşturma kapsamında Baroya aktarmasının Kanun’un 8’inci maddesine uygun olarak KANUN’UN 5’İNCİ MADDESİNİN (2) NUMARALI FIKRASININ (E) BENDİ ÇERÇEVESİNDE GERÇEKLEŞTİRİLDİĞİ KANAATİNE VARILDIĞINDAN ilgili kişinin söz konusu avukat hakkındaki şikâyeti ile ilgili olarak Kanun kapsamında yapılacak herhangi bir işlem bulunmadığına karar verilmiştir
II. SONUÇ
Kişisel veri kavramı, birçok hukuki düzenlemede yer almasına rağmen bu kavramın ortak bir tanımını bulmak ve kapsamını ortaya koymak oldukça zordur. Ülkemizde kişisel verilerin korunmasına dair ilk düzenleme 5237 sayılı Türk Ceza Kanunu’dur. Nitekim TCK’da özel hayata ve hayatın gizli alanına karşı suçlar düzenlenmiş olup yasanın 135’inci ve 140’ıncı maddeleri arasında kişisel verilerin korunmasına yönelik hükümler yer almaktadır. Kişisel verilerin korunması alanında en önemli düzenlemelerden olan 6698 sayılı Kişisel Verilerin Korunması Kanun’unun 3.maddesinde kişisel veri kavramı, bir kişinin belirli ya da belirlenebilir nitelikteki her türlü bilgisi olarak tanımlanmıştır. Bu kapsamda kişisel veri kavramını, bireyin kimliğini belirlemeyi sağlayan bilgiler olarak tanımlayabiliriz. Kişisel verilerin korunmasının şirketler hukuku yönünden de önemli bir fonksiyonu bulunmaktadır. Bu nedenle şirketlerin, KVKK çerçevesinde bir uyum sürecine girerek kayıtlarındaki kişisel verileri mevzuata uygun şekilde işlemesi gerekmektedir. Şirketlerde uyumun sağlanması konusunda ise, şirketin yönetim organının anonim şirketlerde yönetim kurulunun (TTK.m.369, m.375/1) görevidir. Nitekim TTK gereği anonim ve limited şirketlerde, şirket genel kurulun (ortaklar kurulunun) yetkisine girmeyen her konuda şirket yönetim kurulu (limited şirketlerde müdürler kurulu) yetkili sayılmaktadır. Yine savunma hakkı ve hak arama özgürlüğünün önemli bir unsuru olan avukatlar, 6698 sayılı Kişisel Verilerin Korunması Kanunu ile bağlıdır. İlgili kanun gereği kişisel veri, bunların korunması, işlenmesi veya imhası gibi konular avukatlar bakımından kanuni olarak bağlayıcı niteliktedir. Kişisel Verileri Koruma Kurulunun kararlarında da bu hususlar sıklıkla vurgulanmaktadır. Nitekim avukatlar, mesleklerinin icrası sırasında birtakım kişisel verileri işleyebilmekte, bu çerçevede de aydınlatma yükümlülüğü altına girebilmektedir. Bu çerçevede bağımsız çalışan avukatların mesleklerini icrası sırasında kaydettikleri verilerden ötürü veri sorumlusu niteliği olduğu söylenebilecektir. Aynı baroya kayıtlı birden çok avukatın mesleki faaliyetlerini yürütmek üzere bir araya gelerek bir büroda çalışmaları durumunda ise bu avukatların tamamı veri sorumlusu niteliği taşımaktadır. Bu kapsamda KVKK’da sayılan ve yukarıda detaylarıyla açıklanan kurallar açısından şirketlerin genel kurul ve yönetim kurulu toplantısı sırasında organ üyeleri ve özellikle pay sahipleri, şirket işleyişine dair ilgili kişilerin kişisel verilerinin korunmasına dikkat etmeli, şirket genel kurul toplantıları sırasında şirket pay sahiplerince TTK’nın 437’nci vd maddeleri gereği bilgi edinme ve inceleme hakkının kullanımı sırasında şirket yönetim kurulundan, kurul üyeleri ya da şirketle ilgili kişilerin kişisel verilerini içerir şekilde talepte bulunulmamalı, yine şirket pay sahipleri TTK’nın 438’inci vd maddeleri kapsamında şirket genel kurulundan, yönetim kurulu üyeleri ya da şirketle ilgili kişilerin kişisel veri içeren faaliyetlerinin araştırılması için özel denetçi atanması talebinde bulunmamalı, şirket genel kurullarında pay sahiplerince ilgili gündem maddelerine karşı konulacak muhalefet şerhlerinde de bu hususlara dikkate edilmelidir. Bu kurallar Kurul kararları gereği veri sorumlusu ve veri işleyen sıfatına sahip avukatlar tarafından da dikkate alınmalıdır.
III. KAYNAKÇA
Aksoy, Hüseyin Can: Kişisel Verilerin Korunması Çalışma Kitabı, 1.Baskı, Seçkin Yayınevi, Ankara 2023.
Ayözger, A.Çiğdem: Kişisel Verilerin Korunması, Beta Yayınevi, 1.Baskı, İstanbul 2016.
Aydın, Buket: Kişisel Verilerin Hukuka Aykırı Kullanılması Nedeniyle Hukuki Sorumluluk, 1.Baskı, Seçkin Yayınevi, Ankara 2023.
Boran Güneysu, Nilüfer: Muhtelif Yönleriyle Kişisel Verilerin Korunması Hukuku, 1.Baskı, Yetkin Yayınevi, Ankara 2022
Doğan, Bayram: Kişisel Verilerin Korunması Hakkı, Adalet Yayınevi, 1.Baskı, Ankara 2022.
Çelikel, Serdar: Veri Sorumlusu ve Veri Sorumlusunun Yükümlülükleri, Seçkin Yayınevi, 1.Baskı, Ankara 2022.
Havan, Muhammet Emirhan: Kişisel Verilerin Sözleşmeye Konu Olması, 1.Baskı, Seçkin Yayınevi, Ankara 2023.
Koçer, Seçkin: Ceza Muhakemesinde Kişisel Verilerin Korunması, 1.Baskı, Adalet Yayınevi, Ankara 2021.
Köse Aysun, Melike: Kişisel Verilerin Kaydedilmesi Suçu, 2.Baskı, Seçkin Yayınevi, Ankara 2021.
Yeniocak, Erkan Cem: Kişisel Verilerin Kaydedilmesi Suçu, 1.Baskı, Yetkin Yayınevi, Ankara 2022.
PULAŞLI, Hasan: Yeni Şirketler Hukuku Genel Esaslar, Adalet Yayınevi, Ankara 2012.
ŞENER, Oruç Hami: Ortaklıklar Hukuku, Seçkin Yayıncılık, 2. Baskı, Ankara 2019.
YAŞAR, Tuğçe Nimet: Muhtelif Yönleriyle Kişisel Verilerin Korunması Hukuku – Anonim Şirketlerde Kişisel Verilerin Korunmasına İlişkin Uyum Programı, 1.Baskı, Yetkin Yayınevi, Ankara 2022.
YILMAZ, Tuba: Kişisel Verilerin Aktarımına İlişkin Sözleşmeler, 1.Baskı, Seçkin Yayınevi, Ankara 2023.
https://www.kvkk.gov.tr/
---------------
[1] Seçkin Koçer, Ceza Muhakemesinde Kişisel Verilerin Korunması, 1.Baskı, Adalet Yayınevi, Ankara 2021, s.25.
[2] Nilüfer Boran Güneysu, Muhtelif Yönleriyle Kişisel Verilerin Korunması Hukuku, 1.Baskı, Yetkin Yayınevi, Ankara 2022, s.1199 (Editör: ŞENOCAK, Kemal).
[3] Tuba Yılmaz, Kişisel Verilerin Aktarımına İlişkin Sözleşmeler, 1.Baskı, Seçkin Yayınevi, Ankara 2023, s.17.
[4] Bayram Doğan, Kişisel Verilerin Korunması Hakkı, Adalet Yayınevi, 1.Baskı, Ankara 2022, s.48 ; Benzer yönde Serdar Çelikel, Veri Sorumlusu ve Veri Sorumlusunun Yükümlülükleri, Seçkin Yayınevi, 1.Baskı, Ankara 2022, s.52.
[5] A.Çiğdem Ayözger, Kişisel Verilerin Korunması, Beta Yayınevi, 1.Baskı, İstanbul 2016, s.6.
[6] Y.12.CD. 10.07.2019 T. 2019/5491 E. 2019/8319 K. ; Y.12.CD. 10.07.2019 T. 2018/8144 E. 2019/8317 K. (Koçer, s.26).
[7] Koçer, s.27.
[8] Koçer, s.27.
[9] Koçer, s.27.
[10] Y.11.HD. 16.02.2015 T. 2015/1252 E. 2015/2024 K. ; Y.11.HD. 29.09.2016 T. 2015/13180 E. 2016/7629 K. ; Y.11.HD. 07.02.2019 T. 2017/1940 E. 2019/960 K.
[11] Y.19.HD. 25.06.2013 T. 2013/4781 E. 2013/11859 K. ; Y.13.HD. 05.12.2011 T. 2011/10558 E. 2011/18209 K. ; Y.11.HD. 17.11.2015 T. 2015/6073 E. 2015/12131 K.
[12] Buket Aydın, Kişisel Verilerin Hukuka Aykırı Kullanılması Nedeniyle Hukuki Sorumluluk, 1.Baskı, Seçkin Yayınevi, Ankara 2023, s.25.
[13] Koçer, s.29.
[14] Aydın, s.32.
[15] Çelikel, s.66.
[16] Çelikel, s.67.
[17] Ayözger, s.17.
[18] Doğan, s.58.
[19] Aydın, s.40 ; Çelikel, s.72.
[20] Doğan, s.58.
[21] Aydın, s.54.
[22] Çelikel, s.77.
[23] Aydın, s.41.
[24] Ayözger, s.20.
[25] Çelikel, s.77.
[26] Çelikel, s.78.
[27] Doğan, s.51.
[28] Doğan, s.52.
[29] Çelikel, s.69.
[30] Ayözger, s.8 ; Çelikel, s.55.
[31] Aydın, s.25.
[32] Ayözger, s.12.
[33] Doğan, s.52.
[34] Doğan, s.53.
[35] Doğan, s.53.
[36] Doğan, s.53.
[37] Doğan, s.54 ; Yılmaz, s.103.
[38] Doğan, s.54.
[39] Doğan, s.54.
[40] Çelikel, s.60 ; Yılmaz, s.27.
[41] Aksoy, Hüseyin Can: Kişisel Verilerin Korunması Çalışma Kitabı, 1.Baskı, Seçkin Yayınevi, Ankara 2023, s.160.
[42] Koçer, s.68.
[43] Koçer, s.69.
[44] YHGK. 17.06.2015 T. 2014/4-56 E. 2015/1679 K. ; Benzer yönde Kişisel Verileri Koruma Kurumu’nun 23.06.2020 T. 2020/481 sayılı Kararı; “…bireyin geçmişte hukuka uygun olarak yayınlanmış ve doğru nitelikteki bilgilerinin zamanın geçmesine bağlı olarak erişimden kaldırılmasını ya da gündeme getirilmemesini talep hakkı” (Aksoy, s.161).
[45] Ayözger, s.39.
[46] Doğan, s.55.
[47] Doğan, s.55 ; Çelikel, s.80 ; Aksoy, s.160.
[48] Koçer, s.72.
[49] Doğan, s.55.
[50] Doğan, s.96.
[51] Doğan, s.97.
[52] Melike Köse Aysun, Kişisel Verilerin Kaydedilmesi Suçu, 2.Baskı, Seçkin Yayınevi, Ankara 2021, s.118 ; Erkan Cem Yeniocak: Kişisel Verilerin Kaydedilmesi Suçu, 1.Baskı, Yetkin Yayınevi, Ankara 2022, s.68.
[53] Köse Aysun, s.119.
[54] Doğan, s.98.
[55] Doğan, s.99.
[56] Doğan, s.99.
[57] Oruç Hami Şener, Ortaklıklar Hukuku, 2. Baskı, Seçkin Yayıncılık, Ankara 2019, s.460.
[58] Y.11.HD. 12.02.2001, E.2000/10084, K.2001/1146. (Kazancı İçtihat Programı).
[59] Erdoğan Moroğlu, Anonim Ortaklıkta Genel Kurul Kararlarının Hükümsüzlüğü, 8.Baskı, Onikilevha Yayıncılık, İstanbul 2017, s.9.
[60] Şener, s.460.
[61] Şener, s.460.
[62] Hasan Pulaşlı, Yeni Şirketler Hukuku Genel Esaslar, Adalet Yayınevi, Ankara 2012, s.348.
[63] Moroğlu, s.11.
[64] Pulaşlı, s.348.
[65] Ayhan (Çağlar/Özdamar): Şirketler Hukuku Genel Esaslar, Seçkin Yayıncılık, Ankara 202, s.340.
[66] Ayhan, s.340.
[67] Hasan Karslıoğlu, Anonim şirketlerde Genel Kurul, Adalet Yayınevi, Ankara 2019, s.28.
[68] Karslıoğlu, s.28.
[69] Pulaşlı, s.348.
[70] Tuğçe Nimet Yaşar, Muhtelif Yönleriyle Kişisel Verilerin Korunması Hukuku – Anonim Şirketlerde Kişisel Verilerin Korunmasına İlişkin Uyum Programı, 1.Baskı, Yetkin Yayınevi, Ankara 2022, s.1199.
[71] Yaşar, s.1073-1075.
[72] Muhammet Emirhan Havan, Kişisel Verilerin Sözleşmeye Konu Olması, 1.Baskı, Seçkin Yayınevi, Ankara 2023, s.175.
[73] Havan, s.175.
[74] TTK.m.437; “(1) Finansal tablolar, konsolide finansal tablolar, yönetim kurulunun yıllık faaliyet raporu, denetleme raporları ve yönetim kurulunun kâr dağıtım önerisi, genel kurulun toplantısından en az onbeş gün önce, şirketin merkez ve şubelerinde, pay sahiplerinin incelemesine hazır bulundurulur. Bunlardan finansal tablolar ve konsolide tablolar bir yıl süre ile merkezde ve şubelerde pay sahiplerinin bilgi edinmelerine açık tutulur. Her pay sahibi, gideri şirkete ait olmak üzere gelir tablosuyla bilançonun bir suretini isteyebilir. (2) Pay sahibi genel kurulda, yönetim kurulundan, şirketin işleri; denetçilerden denetimin yapılma şekli ve sonuçları hakkında bilgi isteyebilir. Bilgi verme yükümü, 200 üncü madde çerçevesinde şirketin bağlı şirketlerini de kapsar. Verilecek bilgiler, hesap verme ve dürüstlük ilkeleri bakımından özenli ve gerçeğe uygun olmalıdır. Pay sahiplerinden herhangi birine bu sıfatı dolayısıyla genel kurul dışında bir konuda bilgi verilmişse, diğer bir pay sahibinin istemde bulunması üzerine, aynı bilgi, gündemle ilgili olmasa da aynı kapsam ve ayrıntıda verilir. Bu hâlde yönetim kurulu bu maddenin üçüncü fıkrasına dayanamaz.”
[75] TTK.m.438; “(1) Her pay sahibi, pay sahipliği haklarının kullanılabilmesi için gerekli olduğu takdirde ve bilgi alma veya inceleme hakkı daha önce kullanılmışsa, belirli olayların özel bir denetimle açıklığa kavuşturulmasını, gündemde yer almasa bile genel kuruldan isteyebilir. (2) Genel kurul istemi onaylarsa, şirket veya her bir pay sahibi otuz gün içinde, şirket merkezinin bulunduğu yerdeki asliye ticaret mahkemesinden bir özel denetçi atanmasını isteyebilir.”
[76] TTK.m.392; “(1) Her yönetim kurulu üyesi şirketin tüm iş ve işlemleri hakkında bilgi isteyebilir, soru sorabilir, inceleme yapabilir. Bir üyenin istediği, herhangi bir defter, defter kaydı, sözleşme, yazışma veya belgenin yönetim kuruluna getirtilmesi, kurulca veya üyeler tarafından incelenmesi ve tartışılması ya da herhangi bir konu ile ilgili yöneticiden veya çalışandan bilgi alınması reddedilemez. Reddedilmişse dördüncü fıkra hükmü uygulanır. (2) Yönetim kurulu toplantılarında, yönetim kurulunun bütün üyeleri gibi, şirket yönetimiyle görevlendirilen kişiler ve komiteler de bilgi vermekle yükümlüdür. Bir üyenin bu konudaki istemi de reddedilemez; soruları cevapsız bırakılamaz.”
[77] TTK.m.446; “İptal davası açabilecek kişiler” “(1) a) Toplantıda hazır bulunup da karara olumsuz oy veren ve bu muhalefetini tutanağa geçirten, b) Toplantıda hazır bulunsun veya bulunmasın, olumsuz oy kullanmış olsun ya da olmasın; çağrının usulüne göre yapılmadığını, gündemin gereği gibi ilan edilmediğini, genel kurula katılma yetkisi bulunmayan kişilerin veya temsilcilerinin toplantıya katılıp oy kullandıklarını, genel kurula katılmasına ve oy kullanmasına haksız olarak izin verilmediğini ve yukarıda sayılan aykırılıkların genel kurul kararının alınmasında etkili olduğunu ileri süren pay sahipleri, c) Yönetim kurulu, d) Kararların yerine getirilmesi, kişisel sorumluluğuna sebep olacaksa yönetim kurulu üyelerinden her biri, iptal davası açabilir.”
[78] Hasan Pulaşlı, Yeni Şirketler Hukuku Genel Esaslar, Adalet Yayınevi, Ankara 2012, s.400.
[79] Y.11.HD. 12.3.2002 E.10518/K.2269.
[80] Y.11.HD. 6.2.2014 T., E.2014/818, 2014/2043 K.; “…Anonim şirketlerde genel kurul kararlarının yasa, ana sözleşme ve afaki iyi niyet kurallarına aykırılık halleri ileri sürülerek iptalleri isteminde bulunabilmek için, toplantıya katılan üyenin karara ret oyu kullanarak muhalif kalması ve bu keyfiyeti zapta geçirmesi gerekmektedir. Oylama öncesi yapılan görüşme sırasında, bir öneriye karşı olunduğunun belirtilmesi veya ret oyu kullanılması, alınan karara muhalif olunduğu anlamını taşımaz.” (ALTAŞ, s.191).
[81] Y.11.HD. 15.4.2004 E.9088 K.4044; “…Davacı vekili henüz kararlar görüşülmeden toplantının başında 3,4,5,8 ve 9’uncu maddelere muhalif olduğu yönünde dilekçe vermiş ise de, gündem maddesi görüşülmeden verilen peşin muhalefet kayıtlarının TTK’nun 381’inci maddesi (yeni TTK 446) anlamında geçerli muhalefet sayılmayacağı ve dolayısıyla anılan davacının dava açma hakkı bulunmadığından, bu davacı yönünden davanın reddine karar vermek gerekirken, yazılı şekilde kabulü yönünde karar verilmesi doğru görülmemiş…”
[82] Oruç Hami Şener, Ortaklıklar Hukuku, Seçkin Yayıncılık, 2. Baskı, Ankara 2019, s.538.
[83] Y.11.HD. E.2018/2156 K.2019/4580; “…6102 sayılı TTK'nın 446. maddesi genel kurul kararlarının iptalinin şartlarını ve usulünü düzenlemiş olup, anılan maddede toplantıda hazır bulunup karara muhalif kalarak keyfiyeti zapta geçirten pay sahibinin iptal davası açabileceği belirtilmiş olup, bu husus dava şartıdır. Ayrıca bir karara muhalefet olunması ve muhalefetin tutanağa geçirilmesi yolundaki dava şartının gerçekleşebilmesi için muhalefetin alınan karardan sonra tutanağa geçirilmesi gerekmedir. Bu görüş, karara peşinen muhalefet olmaz şeklinde açıklanabilir.
Somut uyuşmazlıkta ise davalı şirketin 27.04.2015 tarihli genel kuruluna davacıyı temsilen katılan vekili ..., gündemin 6. maddesi görüşülürken, henüz oylamaya geçilmeden önce muhalefetini bildirerek tutanağa derc ettirmiştir. Bu durumda açıklanan hususlar göz önünde tutularak, iptaline karar verilen genel kurul kararı ile ilgili dava şartlarının bulunmadığı nazara alınarak davanın reddine karar verilmesi gerekirken, yazılı şekilde karar verilmesi doğru görülmemiş, hükmün bozulmasına karara vermek gerekmiştir.” https://karararama.yargitay.gov.tr/YargitayBilgiBankasiIstemciWeb/ ; Aynı yönde Yargıtay 11. HD. 2019/2293 E. 2021/275 K.; “…Anonim şirketlerde genel kurul kararlarının yasa, ana sözleşme ve afaki iyi niyet kurallarına aykırılık halleri ileri sürülerek iptali isteminde bulunabilmek için, 6102 sayılı TTK'nın 446. maddesi gereğince toplantıya katılan üyenin karara ret oyu kullanarak muhalif kalması ve bu keyfiyeti zapta geçirmesi gerekmektedir. Oylama öncesi yapılan görüşme sırasında bir öneriye karşı olunduğunun belirtilmesi veya ret oyu kullanılması alınan karara muhalif olunduğu anlamını taşımamaktadır. Dairemizin yerleşmiş kararlarında da oylama öncesi peşin muhalefetin olmayacağı istikrarlı bir şekilde kabul edilmiştir. Somut olayda, davacı dava konusu genel kurul kararlarına, gerekçelerini de açıklayarak karşı olduğunu ifade etmiş ve oylama öncesinde ''….'ın muhalefetiyle'' ibaresi tutanağa yazılmış ise de, oylamadan sonra alınan kararın veya toplantı tutanağının altına karara muhalefetini yazdırtmamıştır. Bu durumda, dava şartı sayılan muhalefet şerhinin şekle uygun olarak sunulmadığı, davacının kararlara olumsuz oy vermesine rağmen karara muhalefetini tutanağa geçirtmediği ve bu haliyle kanunun aradığı toplantıya katılan üyenin karara ret oyu kullanarak muhalif kalması ve bu keyfiyeti zapta geçirmesi şartının sağlanmadığı hususu gözetilerek davanın reddine karar verilmesi gerekirken, yazılı şekilde hüküm tesisi doğru olmamış, hükmün resen bozulması gerekmiştir. 2-Bozma sebep ve şekline göre taraf vekillerinin temyiz itirazlarının şimdilik incelenmesine gerek görülmemiştir.” https://karararama.yargitay.gov.tr/YargitayBilgiBankasiIstemciWeb/ ; Y.11. HD. 2018/3433 E. 2020/468 K.; “…Dava, anonim şirket genel kurul toplantısında alınan kararın iptali istemine ilişkindir. Yukarıda yapılan özetten de anlaşılacağı üzere davacı vekili, davalı şirketin 20.06.2013 tarihli genel kurul toplantısında anasözleşme değişikliğine dair gündem maddesi kapsamında “Kar Tespiti ve Dağıtılması” başlıklı 17. maddenin iptaline karar verilmesini talep etmiştir. Mahkemece, iptal koşullarının oluşmadığı gerekçesiyle davanın esastan reddine karar verilmiş ve davacı vekilinin temyizi üzerine karar Dairemizin 06.03.2018 tarih 2016/8115 E. 2018/1689 K. sayılı ilamı ile dava konusu iptali istenen genel kurul kararında kâr dağıtımı yanında sermaye arttırımına ilişkin düzenlemeler de bulunduğu ve sermaye artırımının anasözleşme değişikliği gerektirdiği nazara alınarak, dava konusu iptali istenen genel kurul kararının sermaye artırımına ilişkin yasal düzenlemelere aykırı olup olmadığı hususları da tartışılıp sonucuna göre karar verilmesi gerektiği gerekçesiyle davacı yararına bozulmuş ise de dava konusu genel kurul kararı 6102 sayılı TTK’nın 446. maddesinde düzenlenen iptal davasının koşullarına tabi olmakla söz konusu karar yönünden iptal koşullarının bulunup bulunmadığının incelenmesi gerekmektedir. Kararların iptalini düzenleyen anılan madde hükmüne göre toplantıda hazır bulunup da alınan karara muhalif kalan ve bu durumu toplantı tutanağına geçiren ortağın söz konusu kararlara karşı iptal davası açma hakkının olduğu belirtilmiştir. Somut olayda, davacı ortağın genel kurulda kendisini vekili aracılığıyla temsil ettirdiği, vekilin iptali istenen maddeye yönelik olarak daha karar alınmadan önce karşı çıktığı, bu şekilde muhalefet durumunun öneriye karşı olup, kararın alınmasından sonra yapılmış bir karşı çıkmanın (muhalefet) bulunmadığı, bu durumda iptal davası açabilmek için kanunun aradığı “alınan kararlara muhalif kalma” koşulunun yerine getirilmediği anlaşıldığından, dava konusu genel kurul kararı bakımından yapılan iptal isteminin dava koşulu yerine getirilmediğinden reddine karar verilmesi gerekirken, mahkemece yazılı gerekçeyle reddine karar verilmesi doğru değilse de bu konudaki ret kararı sonucu itibariyle doğru olduğundan davalı vekilinin karar düzeltme isteminin kabulü ile Dairemizin 06.03.2018 tarih 2016/8115 E. 2018/1689 K. sayılı bozma ilamının kaldırılarak hükmün yukarıda açıklanan değişik gerekçe ile onanmasına karar vermek gerekmiştir.”
[84] Y.11.HD. 10.2.2014 T., E.2013/12250, K.2014/2149; “…Genel kurul kararı aleyhine iptal davası açan pay sahibi her bir gündem maddesinin oylamasından sonra muhalif kaldığını belirttiğinden ayrıca toplantı sonunda da yeniden muhalefet şerhi yazması gerekmez.” (Altaş, s.190).
[85] Nilüfer Boran Güneysu, Muhtelif Yönleriyle Kişisel Verilerin Korunması Hukuku – Kişisel Verilerin Korunması Kanunu Kapsamında Avukatın Aydınlatma Yükümlülüğü, 1.Baskı, Yetkin Yayınevi, Ankara 2022, s.1202.
[86] Boran Güneysu, s.1203.
[87] Boran Güneysu, s.1215.