İki veya daha fazla şirketin kar elde etmek amacıyla bir araya gelerek oluşturduğu yapılara günlük dilde “Grup Şirket ya da Holding” hukuki olarak ise “Şirketler Topluluğu” denilmektedir. Bu şekilde şirketlerin bir araya gelmesi halinde görünüşte ayrı tüzel kişilikler söz konusu olsa dahi pratikte bu şirketler aynı yönetim ve denetim mekanizmasının içerisinde yer almaktadır. Bu durum sebebiyle de şirketler arası çok yoğun veri aktarımı gündeme gelmektedir. Özellikle grup şirket bünyesinde ilgili şirketlerin idari yönetimini tek bir ortak birimin (finans, insan kaynakları vb.) yürütmesi halinde bu husus daha da ön plana çıkmaktadır. Bilindiği üzere 07.04.2016 tarihinde Kişisel Verilerin Korunması Kanunu (“Kanun”) yürürlüğe girerek kişisel verilerinin hukuka aykırı olarak işlenmemesi amaçlanmış ve kişisel verilerin işlenmesi çerçevesinde belirli usul ve esaslar ortaya konmuştur. Bu usul ve esaslara uyulmaması halinde de veri sorumlusu olan gerçek kişiler ve tüzel kişiler açısından çeşitli hukuki yaptırımlar öngörülmüştür. İlgili Kanun aynı zamanda kişisel verilerin aktarımını düzenlemiş olup özellikle şirketler arası veri paylaşımıaktarımına ilişkin usul ve esasları ortaya konmuştur. Dolayısıyla ayrı bir tüzel kişi olan topluluk şirketleri arası veri aktarımı da bu usul ve esaslara tabi durumdadır. Kanun her bir tüzel kişiliği ayrı bir veri sorumlusu olarak tanımlamaktadır. Kanun her ne kadar topluluk şirketleri ile ilgili özel bir düzenleme getirmese de, Kişisel Verilerin Korunması Kurumu’nun (“Kurum”) vermiş olduğu Kişisel Verilerin Korunması Kurulu (“Kurul”) kararları ışığında konuyu detaylandırabilmek mümkün olmaktadır.
02.08.2018 tarihinde Kişisel Verilerin Korunması Kurulu Tarafından Yayımlanan Kararda:
“İş başvurusunda bulunan bir adayın (başvuru bilgisi, adı ve soyadı, eposta adresi vb.) kişisel verilerinin ortak veri tabanı vasıtasıyla grup şirketleri ile paylaşılabilmesi için Kanunun 8. Maddesi kapsamında kişinin açık rızasının temin edilmesi gerektiği tespit edilmiştir. Buna duruma ilişkin olarak ise, bir şirketler topluluğu bünyesinde yer alan birden çok veri sorumlusu şirketler arasında veri aktarımı gerçekleştirilmesinin, üçüncü kişiye veri aktarımı olarak değerlendirilmiş ve bu itibarla aynı şirketler topluluğu bünyesinde yer alan veri sorumluları arasında gerçekleşecek veri aktarımında da Kişisel Verilerin Korunması Kanunu’nun 8. Maddesinde düzenlenen açık rıza hükümlerine tabi olması gerektiği gerekçe gösterilmiştir. Bu sebeple de Kişisel Verilerin Korunması Kanunu’nun 18. Maddesi gereği idari para cezası uygulanmıştır.”
İlgili kararda da görüldüğü üzere aynı veri tabanını kullanan grup şirketler arasındaki veri aktarım hususunu 3. kişilere yapılan veri aktarımı hükümleri kapsamında değerlendirmektedir. Bu durumda Kanun’un 8. Maddesi gündeme gelmektedir. Maddeyi kısaca hatırlatmak gerekirse;
Kişisel Verilerin Korunması Kanunu’nun 8. Maddesi:
1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
2) Kişisel veriler;
a) 5.maddenin 2. Fıkrasında,
b) Yeterli önlemler alınmak kaydıyla, 6. Maddenin 3. Fıkrasında,
Belirtilen şartlardan birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
İlgili hükme göre kişisel veriler kanunen ilgili kişinin yani veri sahibinin açık rızası olmaksızın grup şirket olsun olmasın başka bir veri sorumlusuna aktarılamamaktadır. Kişisel verilerin aktarımı hususunda hukuka aykırılık olması halinde Kurum tarafından idari para cezası kesilebildiği gibi kişisel verilerine ilişkin hakları ihlal edildiği için zarara uğrayan veri sahiplerinin hukuk mahkemeleri önünde tazminat talep etme hakları bulunmaktadır. Ayrıca kişisel verileri hukuka aykırı olarak üçüncü kişilere aktarmanın cezai yaptırımı Türk Ceza Kanunu’nda öngörülmüş olup 2 ile 4 yıl arasında hapis cezası mevcuttur. Ancak yine aynı madde içerisinde açık rıza alınması durumunun istisnaları da belirtilmiştir. Buna göre; kanunlarda açıkça öngörülmesi, ilgili kişinin kendisi tarafından verilerini alenileştirmesi gibi 5. Maddenin 2. fıkrasında sayılan hallerin olması halinde açık rıza aranmaksızın veri aktarılabilecektir. Bu durum grup şirketler içinde geçerlidir.
Avrupa Birliği Mevzuatı
Konuyla alakalı Avrupa Veri Koruma Tüzüğü’nde ise Kişisel Verilerin Korunması Kanunu’na göre farklı olarak bir bakış açısı ve özel bir düzenleme bulunmaktadır.
Avrupa Veri Koruma Tüzüğü’nün (GDPR) 48. Maddesi:
“Bir merkezi yapıya bağlı bir teşebbüs topluluğu veya kurumların bir parçası olan veri sorumluları, müşterilerinin veya çalışanlarının kişisel verilerinin işlenmesi dahil olmak üzere şirket içi idari amaçlar için teşebbüs grubu içerisinde kişisel verilerin aktarılmasında meşru menfaate sahip olabilir. Kişisel verilerin üçüncü bir ülkedeki grup içi teşebbüse aktarılmasına ilişkin genel prensipler saklıdır.”
İlgili hükümde görüldüğü üzere veri aktarımında şirketin meşru menfaati olması halinde şirket içi idari amaçlar dolayısıyla veri aktarılabilecektir. Bu kapsamda her bir olay örgüsü için ayrı değerlendirme yapılmalı, aktarımı gündeme gelen verinin aktarımından şirketin elde edeceği menfaat ile veri sahibinin verilerinin korunması hakkını karşılaştırmak gerekmektedir. Bu durumda hakların yarışması söz konusu olacak, hangi hakkın ön plana çıktığını saptamak gerekecektir. Verinin aktarılması halinde şirketin elde edeceği menfaatin ağır basması halinde ise açık rıza gündeme gelmeksizin veri aktarımı yapılabilecektir.
Sonuç olarak; yukarıda bahsetmiş olduğumuz gibi yeni olan kanunumuz ve Kişisel Verilerin Korunması Kurulu’nun kararları ışığında grup şirketler arasında veri aktarımı söz konusu olması halinde öncelikli olarak açık rıza alınması gerekecektir. Ancak ilgili kanunun 5. Maddesindeki istisnai hallerin var olması durumunda açık rıza alma yükümlülüğü mevcut olmayacaktır. Bahsetmiş olduğumuz meşru menfaat kavramı ise Kanun içerisinde var olmamakla beraber Kişisel Verilerin Korunması Kurulu’nun kararlarında da herhangi bir şekilde mevcut bulunmamaktadır. Dolayısıyla şimdilik bu kavramı pratik açıdan uygulayamasak bile ileride uygulanacağı/uygulanması gerektiği düşüncesindeyiz.