Birleşme ve Devralma İşlemlerinde Kişisel Verilerin Korunması


Birleşme ve devralmalarda bugünlerde işlem taraflarınca dikkat edilmesi gereken konulara kişisel verilerin korunması hususu da eklenmiştir.

Kişisel verilerin korunması birleşme ve devralma işlemlerinde taraflarca dikkate alınan en önemli hususların başında yer almayarak kişisel verilerin korunmasına ilişkin riskler genelde göz ardı edilirdi. Ancak, günümüzde, tarafların birbirlerinden gizlilik ve kişisel verilerin korunması ile ilgili beyan ve taahhütler istemesinin yanı sıra, şirketin kişisel verilerin korunması hakkındaki uygulamalarına ilişkin inceleme (due diligence) yürütülmesi ve hedef şirketin kişisel verilerin gizliliği ile ilgili sorumluluklarından kaynaklanan risklerin mümkün olduğunca azaltılması birleşme ve devralma işlemlerinde yaygın olarak görülmektedir. Birleşme ve devralma işlemlerinde bu bilincin artmasındaki en önemli etken, Türkiye’de 7 Nisan 2016 yılında yürürlüğe girmiş olan Kişisel Verilerin Korunması Kanunu ve sonrasında Kişisel Verileri Koruma Kurumu tarafından çıkarılan ikincil mevzuat ve bu konuda farkındalığın artırılması denilebilir. Diğer yandan AB nezdinde de kişisel verilerin korunması hususundaki düzenleme ve yaptırımların, tarafların bu konudaki dikkatini artırır etkisi yadsınamaz.

Birleşme ve devralma süreçlerinde kişisel veriler bakımından öne çıkan diğer önemli sorun ise hedef şirketin alıcılara (ve alıcının danışmanlarına) gerekli kişisel verileri nasıl aktarabileceği ve alıcının bu veriyi işlemin sona ereceği tarihe (kapanış) kadar nasıl işleyebileceğidir.

Bununu yanında, alıcıların günümüzde, işlemin gerçekleştiği yargı yerine göre, kapanış sonrası meseleler kapsamında verilerin korunması hakkında da düşünmeleri gerekmektedir.

Bu yazı ile birleşme devralma işleminin değişik safhalarında kişisel verilerin korunması sorunlarını, tarafların işlem sırasında kişisel veri aktarımını ve işlenmesini nasıl planlaması ve gizlilikle ilgili kapanış-sonrası sorunlara nasıl hazırlanması gerektiği incelenmektedir.

Birleşme ve Devralmalarda Kişisel Verilerin Korunması

Kişisel Verilerin Alıcıya Transferi/Açıklanması

Birleşme ve devralma işlemleri, kişisel verilerin açıklanmasını veya bunların hedef şirketten hem işlem öncesinde gerçekleştirilen due diligence aşamasında hem de işlem kapanışında alıcıya aktarımını da gerektirmekte ve içermektedir. Transfer edilen veriler genellikle, çalışanların, müşterilerin, kullanıcıların, tedarikçilerin ve diğer iş ortaklarının kişisel verileridir.

Her ne kadar kişisel verilerin çoğu tam ve bütün olarak kapanışta transfer edilse de, bazı açıklamalar ve aktarımlar, due diligence safhasında veya imzayla kapanış arasındaki herhangi bir safhada gerçekleşmektedir. Birleşme devralma işleminin her iki tarafı da, kişisel verilerin açıklanmasının/alıcıya transferinin ilgili veri koruma kurallarını ihlal etmediğine emin olmalıdır.

Türk Hukukunda Kişisel Verilerin Hedef Şirketten Alıcıya Transferi/Açıklanması

Türk Hukukunda, kişisel verilerin işlenmesinin 7 Nisan 2016’da yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“Kanun”) uygun olması gerekir. Kanun, kişisel veriyi kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlamaktadır. Bu anlamda, kişisel veri sadece gerçek kişilere ilişkin olabilir.

Kişisel veriler Kanun’da düzenlenen hukuki nedenlere dayanılarak işlenir. Kişisel veriler aşağıdaki hukuki nedenlerden birinin varlığı halinde işlenebilir ve/ veya üçüncü bir kişiye transfer edilebilir:

  • Veri sahibinin açık rızası ile
  • Verinin işlenmesi açıkça kanunlarda öngörülmüşse,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde,
  • Veri işlenmesinin, veri sahibinin taraf olduğu bir sözleşmenin kurulması ya da ifasıyla doğrudan ilgili olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İşlenecek verinin, ilgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

 

Verilerin korunması kurallarının ihlali halinde, zarar gören kişiler mahkemeler nezdinde zararlarının tazminini isteyebilirler. Buna ek olarak, hukuka aykırı veri işlenmesi halinde, veri güvenliği yükümlülüklerinin ihlali ve hukuka aykırı veri işleme sebebiyle veri sorumluları hakkında idari para cezaları uygulanabilir. Verilerin korunması kurallarının ihlali bazı koşullar altında cezai sorumlulukla (hapis cezası) sonuçlanabilir. Cezai sorumluluk tüzel kişilere esasen uygulanmaz (tüzel kişilere güvenlik tedbirleri uygulanmaktadır), ancak bu suçu işleyen gerçek kişiler sorumlu tutulabilirler.

Kişisel Verilerin Hedef Şirket Tarafından Alıcı Şirkete Aktarılması

Birleşme devralma işlemi sürecinde, satıcı şirket tarafından alıcı şirkete çeşitli kişisel veriler aktarılabilir. Örneğin çalışan verilerinin birleşme devralma işlemi kapsamında işlem gerçekleşmeden işverenleri (hedef şirket) tarafından alıcı şirkete aktarılması gerektiğinde, bu aktarımın hukuka uygun olarak yapılması önem taşır. Aktarımın hukuka uygun gerçekleşebilmesi için çalışanların bu hususta veri sorumlularının aydınlatma yükümlülüğü kapsamında önceden bilgilendirilmiş olmaları gerekir.

Açık Rıza Kişisel Verilerin Aktarımı İçin Uygun Bir Hukuki Neden Sayılabilir mi?

Yukarıdaki açıklamaların ışığında, birleşme ve devralma işlemi bağlamında, planlanan işlemin kapanışı gerçekleşene kadar gizli kalması ihtimali bulunduğundan, veri sahibinin (ilgili kişinin) rızasına dayanmak pratik olmayabilir. Bir rıza prosedürünün izlenmesi ki bu prosedür, veri sahibine rızasının alınmasından önce yeterli bilginin sağlanmasını da kapsamaktadır, uygulamada imkansız olabilir ve ayrıca rızanın her an geri alınabilmesi riski de mevcuttur. Sonuç olarak, rıza pratikte sadece çok az kişinin katıldığı ve bu kişilerin planlanan işlemden haberdar olduğu durumlarda kullanılabilir. Ayrıca, rıza açık, özgürce verilmiş ve geçerli olmasını sağlayacak yeterli bilgiye dayalı olmalıdır.

Ancak, özel nitelikli kişisel verilerin transferinde, veri sahibinin verilerinin transferi için rızası aranmakta ve Kanun tarafından belirlenen yeterli önlemlerin veri sorumluları tarafından alınması gerekmektedir.

Veri Sorumlusu/ Alıcının Meşru Menfaati Geçerli Bir Hukuki Neden Sayılabilir mi?

Meşru menfaat veri işlemenin hukuki nedenleri arasında sayılmakta ancak uygulaması sınırlı olup, bu hukuki nedene dayalı kişisel veri işleme faaliyetleri denge testine tabi tutulmalı ve veri sahibinin temel hak ve özgürlüklerinin korunması gerekmektedir. Bir birleşme ve devralma işleminde, “meşru menfaat” hukuki nedeni kişisel verilerin hedef şirket tarafından işlenmesi için geçerli bir hukuki neden sayılabilir. Ancak işlemin doğrudan tarafı esasen kişisel verileri işlenen ilgili kişiler olmadığından bu kapsamda soru işaretlerini de beraberinde getirir. İlgili kişisel verinin hedef şirketin değerlendirmesinin yapılabilmesi için alıcı şirket tarafından alınması ve doğru bir değerlendirmenin yapılabilmesi için hedef şirket tarafından sağlanması, esasen şarttır. Fakat bu gerekçenin, verilerin kullanılmasının amaçla orantılı olması ve kapanış öncesinde böyle bir değerlendirme için gerekli olmayan verinin transfer edilmemesi gerektiğinden bazı sınırları bulunduğu unutulmamalıdır. Her zaman verilerin amaç ile ölçülü şekilde işlenmesi gerekmektedir.

Alternatif olarak, kişisel verinin gizli tutulması veya gizli tutulamayacaksa belirli koşullar altında dikkatli ve gereğinden fazla olmayacak şekilde transfer edilebilmesi için diğer birtakım önlemler alınabilir. Bu sebeple, bu gerekçeye dayanarak kişisel verilerin transferinden önce işlemin kapanış koşullarının tamamı ya da çoğunluğunun sağlanmasının beklenmesi daha uygundur.

Bir Sözleşmenin Kurulması ya da İfası Uygun Bir Hukuki Neden Sayılabilir mi?

Bir sözleşmenin kurulması ya da ifası, işlem sözleşmeye taraf olan veri sahibinin verilerinin işlenmesini içerdiğinde ve sözleşmenin kurulması ya da ifası için kişisel veri transferinin gerekli olduğu durumda geçerli bir hukuki neden sayılabilir. Ancak burada da sözleşmenin tarafı (hisse devir örneğin) doğruda kişisel verileri aktarılan ilgili kişi esasen değildir. Dolayısıyla Kanun kapsamında sayılan hukuki nedenlerin tam anlamı ile birleşme devralma işlemlerinde uygulama bulması zordur.

Bu gerekçelere dayanarak kişisel verinin transfer edildiği durumda bile, transfer veri işlenmesi amacıyla sınırlı olmalı ve gereğinden fazla olmamalıdır. Örneğin, çalışan verilerinin transferinde, kişisel verilerin bir kısmı silinmeli, anonimleştirilmeli ve transfer, alıcının geçerli ve doğru bir değerlendirme yapması için yeterli kişisel veriyle sınırlandırılmalıdır.

Kapanıştaki Transferden Kaynaklanan Riskler

Kapanışta devralınan işletmeyle ilgili tüm bilgiler, kişisel veriler de dahil olmak üzere, alıcının uhdesine geçecektir. Bu halde, veri sahibinin transferden haberdar edilmesi gerekmektedir.

Yurt Dışına Veri Transferi

Kapanış işleminin Türkiye dışına veri transferi gerektirmesi halinde (alıcı şirketin sunucularının yurt dışında bulunduğu durumları düşünelim) yurt dışına veri transferi için ek adımlar atılması gerekmektedir.

Ayrıca, kapanış öncesinde de due diligence aşamasında gerekli doküman incelemelerinin yapılması için tahsis edilen veri odaları (data room) günümüzde çoğunlukla sanal veri odaları şeklinde kurulmaktadır.  Çevrimiçi platformun sunucusunun (yeterli bir koruma seviyesine sahip olan ya da olmayan) yabancı bir ülkede kurulu olması mümkündür.

Kişisel verinin yurtdışına transfer edilmesi için veri sahibinin açık rızası hukuki bir gerekçe olabilir. Yukarıda sayılan hukuki gerekçeler de eğer yabancı ülke kişisel verilerin korunması için yeterli korumaya sahipse kullanılabilir.  Eğer söz konusu yeterli korumaya sahip değilse, yabancı ülkedeki veri sorumlusu Kişisel Verileri Koruma Kurumu’na (Kurum) yeterli bir korumayı sağlayacağını yazılı olarak taahhüt etmesi ve Kurum’un iznini alması gerekmektedir. Yeterli korumaya sahip ülkeler Kurum tarafından belirlenecektir. Şu ana kadar, güvenli ülkeler listesi ilan edilmemiştir.

Bu nedenle, mevcut durumda Türk hukukunda veri sahibinin rızası verilerin yurt dışında transferini hukuka uygun hale getirecektir ancak bu uygulama açısından ve gizlilik endişeleri ile zor olabilir.

Kurum tarafından çıkarılacak olan güvenli ülke listesinin ya da veri sahibinden alınmış olan kişisel rızanın yokluğunda, bir birleşme ve devralmayla ilgili veri transferi sadece yurt dışındaki veri sorumlusunun Kurum’a yeterli koruma sağlayacağına yönelik yazılı taahhüdü ve Kurum’un buna izin vermesi yoluyla gerçekleştirilmelidir. Önceden planlama, eğer iznin alınması uzun sürebileceğinden önemlidir.

Veri Sorumluları Siciline Bildirim: Kapanış Sonrası

Türk hukukunda, veri sorumlularının Veri Sorumluları Siciline kayıt olması yükümlülüğü bulunmaktadır. Veri Sicili, veri sorumlularının kendileri hakkında bilgi verdikleri ve işledikleri veri kategorilerini kaydettikleri herkese açık bir platformdur.

Kurum yakın zamanda Veri Sorumluları Sicili’ne kaydolma yükümlülüğünden muaf tutulan veri sorumlularını ilan etmiştir. Ayrıca Veri Sorumluları Sicili’ne kayıt şartlarını da belirlemiştir. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar veri siciline kayıttan muaftır.

Ek olarak, Veri Sorumluları Siciline kaydolması gereken veri sorumlularının, kişisel veri işleme envanteri hazırlaması gerekmektedir. Bu envanter:

  • Kişisel veri işleme amaçları,
  • Veri kategorisi,
  • Aktarılan alıcı grubu,
  • Kişisel verilen işlendikleri amaçlar için gerekli olan azami süreyi,
  • Yabancı ülkelere aktarılacak kişisel verileri,
  • Veri güvenliğine ilişkin alınan tedbirleri içerecektir.

Türkiye’de yerleşik olan şirketler Kurumla olan iletişimden sorumlu olan bir irtibat kişisi atamak zorundadır. Türkiye’de yerleşik olmayan şirketler ise Türk vatandaşlığına sahip bir gerçek kişi ya da tüzel kişi olan ve Kurum’la iletişim kuracak, veri sorumlusuna yöneltilen taleplere cevap verecek ve Veri Sorumluları Siciliyle ilgili işleri veri sorumlusu adına yapacak bir veri sorumlusu temsilcisi atamak zorundadır. Tüm şirketler, bir veri saklama ve imha politikası hazırlamak zorundadır.

Yukarıdakilerin ışığı altında, kapanıştan sonra, hedef şirket Veri Sorumluları Sicili’ne bildirimde bulunmak veya daha önceden verilmiş olan bilgiyi (eğer daha önce tescil edilmişse)  güncellemek durumunda kalabilir. Değişiklikler Veri Sorumluları Sicili’ne alıcının yeni bir kapanış-sonrası işlemi gerçekleştirmesi gerekeceğinden yedi gün içerisinde bildirilmelidir. Eğer hedef şirketin kişisel verilerin korunması hukukuna uyum çalışması henüz yapılmamış ise, kanuna uyum konusunda riskler barındırmakta ise, bu risklerin ilgili hisse devir anlaşmalarında bazı taahhütnameler ile bertaraf edilmesi düşünülebilir ancak her halde uyum çalışmaları kapanış sonrasına kalacak çalışmalardır. Due diligence sürecinde önemli olan bu gibi eksikliklerin fark edilmesi ve kapanış sonrası için acil bir eylem planı yapılmasıdır. Kapanışın gerçekleşme takvimine göre uyum çalışmalarının kapanış öncesi satıcı tarafından yerine getirilmesi gereken bir şart olarak belirlenmesi de taraflar arasındaki anlaşma uyarınca mümkündür.

Kapanış sonrası

Kapanıştan sonra alıcı, hedef şirketten alınan kişisel bilgilerin ve hedef şirketin bilişim sisteminin kendi verileri ve sistemlerine nasıl entegre edeceğini değerlendirmek zorundadır. Hedef ve alıcı şirketlerin gizlilik politikalarının benzer olup olmadığı ya da alıcının gizlilik politikasının hedef şirketinkinden daha az koruyucu olup olmadığını belirlemek önemlidir.

Ayrıca, alıcı veri sahiplerini kapanıştan, işlemin sonuçlarından ve yeni veri işleme usulünden Kanunda düzenlenen bilgilendirme yükümlülüğü kapsamında haberdar etmelidir. Veri sahiplerinden verinin transferi için rızanın alınması değerlendirilebilir veya alıcının sınır ötesi veri transferinin hukuka uygun olduğundan emin olmak adına gerekli adımları atması gerekebilir.

Sonuç

Birleşme devralma işleminin tamamlanmasından önce, alıcının yapacağı due diligence çalışması, hedef şirketin kişisel verilerin korunması ilgili yükümlülüklerinden kaynaklanan potansiyel riskleri ana hatlarıyla belirlemelidir ve birleşme ve devralma anlaşmasında ilgili beyan ve taahhütlere mutlaka yer verilmelidir.

Birleşme devralma işleminin tamamlanması süreçlerinde (anlaşmanın imzalanması ve işlem kapanışı (hisselerin devri) arasında) veri transferinin işleme amacıyla sınırlı olmasından ve gereğinden fazla olmamasından emin olmak için hem satıcı hem alıcı kişisel verinin açıklanmasında dikkatli olmalı ve açıklama sürecini yönetmelidir. Ek olarak, veri odasına erişim sınırlı bir biçimde sadece o belgeleri gerçekten bilmesi ve değerlendirmesi gereken kişilere açık olmalı ve bu kişiler ile gizlilik anlaşması yapılması unutulmamalıdır.

İşlemin kapanışının ardından, alıcının elde edilen verilerin hukuka uygun bir şekilde kullanılması için hangi adımların atılması gerektiğini dikkatli bir şekilde değerlendirmesi gerekir.

Müzakerelerin başarısız olması ve birleşme devralma işleminin gerçekleşmemesi halinde, verilere erişimine izin verilen kişilerin inceleme sonuçları dahil olmak üzere, elde ettikleri tüm verileri imha etmeyi kabul etmeleri gerekir. Pratikte, verilere erişim ve veri odasına erişiminden önce katılımcının, gizlilik ve veri koruma kurallarını kabul etmesi sağlanmaktadır.

Birleşme ve devralma işlemleri bazı hallerde birden fazla yargı yetkisi çevresini ilgilendirebilmektedir. Veri gizliliğiyle ilgili riskler ve yükümlülüklerle muhatap olmamak için çeşitli yargı çevrelerindeki uygulanacak farklı veri gizliliği kurallarını önceden öngörebilmek oldukça önemlidir.

First published by Practical Law, 15.01.2019