Anonim Şirket Yönetim Kurulu Üyeleri ve Diğer Yöneticilerinin Organizasyon ve Uyum Yükümlülüğünden Kaynaklanan Sorumluluğunun KVKK Açısından Değerlendirilmesi. (Konuk Yazar Hakan Eriş)
Not: Makaleler yazarın kişisel görüşünü ifade etmekte olup kaleme alındığı tarihteki mevzuat düzenlemeleri açısından geçerlidir. Daha sonra meydana gelecek değişimler uygulamada farklılık yaratabilir. Bu nedenle makale tarihini göz önünde bulundurunuz.
03.12.2020
Konu: Anonim Şirket Yönetim Kurulu Üyeleri ve Diğer Yöneticilerinin Organizasyon ve Uyum Yükümlülüğünden Kaynaklanan Sorumluluğunun KVKK Açısından Değerlendirilmesi. (Konuk Yazar Hakan Eriş)
M.Hakan ERİŞ1
Giriş
Türk Ticaret Kanunumuzun (TTK) anonim şirketlere ilişkin hükümleri gereğince yönetim kurulu, anonim şirketin yürütme ve temsil organıdır (m.365). Yönetim kurulu ve kendisine bırakılan alanda anonim şirket yönetimi, kanun ve esas sözleşme uyarınca genel kurulun yetkisinde bırakılmış bulunanlar dışında, şirketin işletme konusunun gerçekleştirilmesi için gerekli olan her çeşit iş ve işlemler hakkında karar almaya yetkilidir (m. 374).
Yönetim kurulu, anonim şirket yönetimine ilişkin yetkilerin bir kısmını yönetim kurulu üyesi olmayan kişilere bırakılabilirken; bir kısım görevlerin üçüncü kişilere devri mümkün olmadığı gibi, bunlardan feragat edilmesi veya yönetim kurulundan alınması da söz konusu değildir. Bu nitelikteki görevlerin neler olduğu ve genel çerçevesi, TTK m. 375.1’de bentler hâlinde sayılmıştır.
Yönetim kurulunun bu konumu, görev ve yetkileri, beraberinde sorumluluğu da doğurmaktadır. TTK hükümleri gereğince yönetim kurulu üyelerinin sorumluluğunun koşulu, kusurdur. Kusurun genel ölçüsünün ise, yönetim kurulunun özen yükümlülüğü olduğu söylenebilir2. Yönetim kurulu üyelerinin görevlerini yaparken ne denli özen gösterdikleri ise, tutum ve davranışları yanında tercihlerine göre belirlenecektir.
Bu yazıda, anonim şirket yönetim kurulu üyelerinin sorumluluklarının bir kısmı TTK, Türk Borçlar Kanunu (TBK) ve Kişisel Verilerin Korunması Kanunu (KVKK) hükümlerinin kesiştiği noktalar açısından, kısaca değerlendirilmiştir. (Özünde bu kısa değerlendirmeye konu kavramların her biri, ciltler dolusu incelemeyi gerektirecek derinliktedir.)
(1) Avukat, İzmir Barosu; Öğretim Görevlisi, Yaşar Üniversitesi Hukuk Fakültesi. (Bu çalışma 18.11.2020 günü itibariyle yürürlükteki mevzuat hükümleri dikkate alınarak hazırlanmıştır)
(2) Yönetim kurulu üyelerinin özen yükümü bulunsa ve sorumlulukları bundan kaynaklanabilse dahi, TTK m. 553.2 gereğince devredilecek kişinin seçiminde özen gösterilerek yapılan görev devrinin aynı zamanda sorumluluk devri ve 553.3 hükmü gereğince de yönetim kurulunun kontrolü dışında kalan, kanuna veya esas sözleşmeye aykırılıklar veya yolsuzluklar sebebiyle sorumlu tutulamayacağı; bu sorumlu olmama durumunun gözetim ve özen yükümü gerekçe gösterilerek geçersiz kılınamayacağı gözardı edilmemelidir.
I. Tüzel Kişiliklerin Yönetim ve Temsiline İlişkin Temel Hususlar
1. Hukukumuzda tüzel kişilikler “cins, yaş, hısımlık gibi yaradılış3 gereği insana özgü niteliklere bağlı olanlar dışındaki bütün haklara ve borçlara ehildirler” [Türk Medeni Kanunu (TMK) m. 48].
2. TMK m. 50 gereğince: Tüzel kişinin iradesi, organları aracılığıyla açıklanır (f.1), Organlar, hukukî işlemleri ve diğer bütün fiilleriyle tüzel kişiyi borç altına sokarlar (f.2), Organlar, kusurlarından dolayı ayrıca kişisel olarak sorumludurlar (f.3). Bu nedenle tüzel kişilerin organlarının tüm iş ve işlemleri, tüzel kişiyi bağlarken; kusurlu davranmaları hâlinde, organı oluşturan kişiler yönünden de (şahsi) sorumluluk doğurabilmektedir.
Tüzel kişinin organlarının işlem veya fiillerinden doğan sorumluluğunun art etkisi kendini, tüzel kişinin uğradığı zarar var ise bunu organlarını oluşturan kişilere yansıtıp yansıtamayacağı (rücu edip edemeyeceği) noktasında da göstermektedir. Bu nedenle, organları oluşturanlardan, belli davranış şekilleri ile hareket etmeleri beklenmektedir.
II. Anonim Şirketlerin Yönetim ve Temsili İle Bunların Devrine İlişkin Temel Hususlar
1. TMK m. 50 hükmüne paralel ve özel düzenlemeler içeren Türk Ticaret Kanunu hükümlerine göre anonim şirket, yönetim kurulu tarafından yönetilir ve temsil olunur. (m. 365). Yönetim içe, temsil ise dışa (üçüncü kişiler ile olan ilişkilere) ilişkindir.
2. Türk Ticaret Kanunu ayrıca temsil yetkisinin kısıtlanmasına kısmen de olsa imkân verdiği gibi (m. 371.3); “Yönetim kurulunun esas sözleşmeye konulacak bir hükümle, düzenleyeceği bir iç yönergeye göre, yönetimi, kısmen veya tamamen bir veya birkaç yönetim kurulu üyesine veya üçüncü kişiye devretmeye yetkili kılınabileceğini” de düzenlemektedir (m. 367).
3. Uygulamada yönetim kurullarının görevlerini kendi içlerinden bir veya birkaç üyeye veya yönetim kurulu üyesi olmayan yöneticilere devretmesine sıkça rastlanmaktadır. Bahsedilen devrin en tipik sonucu, sorumluluğun da devridir. Nitekim TTK m. 553.2 gereğince “Kanundan veya esas sözleşmeden doğan bir görevi veya yetkiyi, kanuna dayanarak, başkasına devreden organlar veya kişiler, bu görev ve yetkileri devralan kişilerin seçiminde makul derecede özen göstermediklerinin ispat edilmesi hâli hariç, bu kişilerin fiil ve kararlarından sorumlu olmazlar”.
4. Türk Ticaret Kanunu, hukuka uygun şekilde gerçekleştirilen devrin bahsedilen sonucunun bertaraf edilmemesi için tedbir de almıştır. Nitekim “hiç kimse kontrolü dışında kalan, kanuna veya esas sözleşmeye aykırılıklar veya yolsuzluklar sebebiyle sorumlu tutulamaz; bu sorumlu olmama durumu gözetim ve özen yükümü gerekçe gösterilerek geçersiz kılınamaz” (TTK m. 553.3).
(3) Yaradılışın insana özgü niteliği, TMK m. 48 hükmünden aktarılmıştır.
5. Türk Ticaret Kanununun anonim şirketlere ilişkin yaklaşımındaki temel değişikliklerin sonucu olarak, yönetim kurulunun bir kısım görev ve yetkilerinden vazgeçemeyeceği, devredemeyeceği ve ondan alınamayacağı da açıkça düzenlenmiştir (m. 375).
6. Kanunun bahsedilen hükümleri itibariyle yapılacak değerlendirmenin doğal sonucu olarak, yönetim kurulları “devredemeyecekleri, vazgeçemeyecekleri veya onlardan alınamayacak nitelikteki” görevlerinin gereklerini usulünce yerine getirmemelerinin olası sonuç veya risklerini, kişisel olarak da taşımaya devam edecektir.
7. Bu çalışmanın konu sınırı itibariyle üzerinde durulan “Şirketin üst düzeyde yönetimi ve bunlarla ilgili talimatların verilmesi” (m.375.1.a), “Şirket yönetim teşkilâtının belirlenmesi” (m.375.1.b) ve “Yönetimle görevli kişilerin, özellikle kanunlara, esas sözleşmeye, iç yönergelere ve yönetim kurulunun yazılı talimatlarına uygun hareket edip etmediklerinin üst gözetimi” (m.375.1.e), şeklindeki hükümleri, anonim şirketlerin “dar anlamda kanunlara veya geniş anlamda mevzuata uyum” yükümlülüklerinin yerine getirilmesine ilişkin görevin ve bundan kaynaklanan sorumluluğun da yönetim kuruluna ait olduğunu ortaya koymaktadır.
III. Türk Borçlar Kanununa Eklenen Organizasyon Sorumluluğuna İlişkin Temel Hususlar
1. Sorumluluk hukukumuzun temel yaklaşımı, kusur sorumluluğudur. Ancak çeşitli kanunlarda, çeşitli görünüm şekilleri ile kusursuz sorumluluğa ilişkin hükümlere de yer verilmiştir. Nitekim yürürlükten kaldırılan 818 sayılı Kanundan farklı olarak TBK m. 66.3’de, yeni bir sorumluluk tipi/türü olarak “organizasyon sorumluluğu” da düzenlenmiştir.
2. Özünde adam çalıştıranın işletmesindeki4 çalışma düzeninin, çalışanlar ve 3. kişiler nezdinde maddi veya manevi her türlü zararın doğmasını önlemeye elverişli şekilde organizasyonunu gerektirdiğine ilişkin hususları düzenleyen bu sorumluluk türü, sorumlunun “belirli kişi/ler veya şey/eşya üzerindeki hâkimiyetinden” kaynaklanmaktadır.
3. Bahsedilen hâkimiyet, hâkim olana denetim ve gözetim görevi de yüklemektedir. Objektif nitelikteki bu görevlerin ihmâli ise kusursuz sorumluluğun bir türü olarak “özen sorumluluğunu” doğurmaktadır. Bu sorumluluk nedeniyle adam çalıştıranın (şirket vs. fark etmeksizin):
a. İşletmesini, faaliyet amaçlarına uygun şekilde örgütlemesi ve düzenlemesi5,
(4) TTK gereğince anonim şirketlerin bir “ticari işletme işletmesi” zorunlu değildir. TTK’nın her bir şirket türüne ilişkin tanımlarından hareket edildiğinde, şirketlere ilişkin nitelik farkları bu durumu ortaya koymaktadır. Örneğin m. 211 gereğince kollektif şirket “bir ticari işletmeyi işletmek amacıyla”, m. 573.3 gereğince limited şirket “kanunen yasak olmayan her türlü ekonomik amaç ve konu için”, m. 331 gereğince anonim şirket “kanunen yasaklanmamış her türlü ekonomik amaç ve konular için” kurulabilir.
(5) Bu noktada akla “işletmenin faaliyeti” kavramının kapsamına nelerin girdiği de gelmektedir. Sorumluluğun getiriliş amacı vs. dikkate alındığında salt çalışanların faaliyetlerinin değil; işletmenin cansız ekipmanı, alet edevatı vs.’nin (düşmek, çarpmak vs. şekilde) neden olacağı zararların da bu kapsamda değerlendirilmesinin uygun olacağı düşünülmektedir. Örneğin bu durum, herhangi bir makinanın devrilmesi veya işletmelerde her geçen gün daha çok yer verilen robotların faaliyetlerinden kaynaklanacak zararların da bu kapsamda değerlendirilebileceğini düşündürtmektedir.
b. İş bölümü ve planlama yapması,
c. İşe uygun malzeme, araç ve gereç sağlaması,
d. Adam seçme, talimat verme ve denetleme görevleri de vardır.
4. Bu tür “kusursuz sorumluluk” Kanunda yerini alırken, oluşan (maddi veya manevi herhangi bir) zararın giderilmesinden sorumlu olana bir kurtuluş kanıtı getirilmesi olanağı da tanınmıştır. Bahsedilen olanak “işletmenin çalışma düzeninin zararın doğmasını önlemeye elverişli olduğunu ispat” ederek sorumluluktan kurtulabilmektir (TBK m. 66.3). İspat yükünün dağılımını da etkileyen bu düzenleme karşısında (ticari olsun veya olmasın) bir işletmenin neden olduğu her türlü zarar nedeniyle zarara uğrayanın, herhangi bir kusur tartışmasına dahi girmeksizin “uğradığı zararın varlığı ve tutarını, hukuka aykırılığı ve nedensellik bağını/zararın işletmenin faaliyetlerinden (ya da hizmet veya ürünlerden) ötürü oluştuğunu” ispat etmesi yeterli olacaktır6.
IV. Veri Sorumlusunun Kişisel Verilerin Korunması Kanunundan (KVKK) Kaynaklanabilecek Sorumluluklarına Genel Bir Bakış
1. Genel kanun niteliğindeki KVKK, kişisel verilere bağlı tüm sorumlulukları, genel ifadeler ile belirtmiş ve “veri sorumlusu” nezdinde toplamıştır. Bunlara örnek olarak: aydınlatma yükümlülüğü (m. 10), veri güvenliğine ilişkin önlemler alma yükümlülüğü (m. 12), ilgili kişiler tarafından yapılan başvuruların cevaplanması ve kurul kararlarının yerine getirilmesi yükümlülüğü (m. 13), veri sorumluları siciline kaydolma yükümlülüğü (m. 16) gösterilebilir.
2. Kanundan kaynaklanan bu sorumluluklar dışında, kişisel veri işleme veya aktarma ile ilgili hükümler içeren sözleşme ilişkisinden kaynaklanabilecek sorumluluklar da söz konusu olabilecektir.
(6) Sorumluluk sebeplerinin yarıştığı hâllerde zarar gören, zararının giderilmesi için hangi hukuki sebebe dayandığını tayin hakkına da sahiptir. Karşısında “kusur” sorumluluğu ve “kusursuz” sorumluluk ve hatta “sözleşmeye aykırılık” nedeniyle sorumluluk hükümlerinden dilediğine müracaat etme hakkı bulunan zarar görenin, ispat yükünün kapsamını ve bu kapsamı ne şekilde doldurabileceğini de dikkate alarak bir karar vermesi kendi yararına olacaktır. Örneğin: çalışanını işyerinde araç ile ezerek yaralayan bir işveren, hem aradaki iş sözleşmesinden kaynaklanan “gözetim/koruma” vs. yükümlülüğü altındadır, hem de haksız fiil nedeniyle sorumludur. Böyle bir durumda zarar gören işçi, dilerse sözleşmeye aykırılık veya haksız fiil sorumluluğuna ilişkin hükümlere dayalı olarak maddi/manevi zararının giderilmesini talep edebilir. Ancak bu tercihin sonucu olarak, ispat etmesi gereken hususların da kapsamı değişecektir. Bu örnekte zarar gören işçi, işverenin sözleşmeye aykırı davrandığını ileri sürecek olur ise, işverenin kusurunu ispat ile uğraşmasına gerek olmayacaktır; bilakis işçisini yaralayan işveren kendisine hiçbir kusurun yüklenemeyeceğini ispat yükü altında olacaktır (TBK m. 112). Benzeri bir durumun, işçinin TBK m. 66.3 hükmüne dayalı talepte bulunması hâlinde de söz konusu olabileceğini değerlendiriyoruz. Ancak bu örnekteki işçi, zararının “haksız fiile ilişkin hükümlere göre” giderilmesini tercih (talep ve dava) edecek olur ise, zarar veren işverenin kusurunu da iddia ve ispat yükü altına girecektir (TBK m. 50). Bu noktada işçinin sadece zararını ileri sürmesi, Hukuk Muhakemeleri Kanunu (HMK) m. 119.1.g hükmüne rağmen “dayandığı hukuki sebebi TBK m. 66.3 ve 112 gibi somut şekilde belirtmeyip”, genel geçer ifadeyle “TBK vs.” şeklinde belirtmekle yetinmesi ve dava dilekçesinde de bu konuda bir açıklama yapmaması durumunda, takdir hakkı HMK m. 33 ve TBK m. 60 gereğince hâkime geçmektedir. Bu noktada hâkim, işverenin sorumluluğunun birden çok (hukuki) sebebe dayandırılabildiğini anladığında, “zarar gören işçi aksini talep etmedikçe” (adeta zarar görenin lehine hareket ederek) işçiye en iyi giderim imkânı sağlayan sorumluluk sebebine göre (TBK m. 66.3 ve 112) karar vermekle görevli olmaktadır.
3. KVKK gereğince veri sorumlusu gerçek veya tüzel kişi olabilir. Tüzel kişiliğin söz konusu olduğu durumlarda veri sorumlusu bizatihi tüzel kişiliğin kendisidir. Dolayısıyla yukarıda bahsedilen sorumlulukların tamamı de tüzel kişiye aittir.
4. Bahsedilen çerçevede, tüzel kişilik olarak organize olan veri sorumluları açısından, hukuki sorumluluğun muhatabını bulabilmek nispeten kolaydır. İnceleme konumuz itibariyle bu noktada özellik taşıyan husus, tüzel kişiliğin kendisini temsile yetkili kişilerin sebebiyet verebileceği zararlar açısından bunlara rücu edip edemeyeceği noktasında toplanacaktır. Bunun hukuki zeminini ise, tüzel kişiliği yönetim ve temsil ile görevlilerin kanun, esas sözleşme veya tüzel kişi ile aralarındaki sözleşme ilişkisine aykırı (kusurlu) davranışları oluşturacaktır.
5. Konuya anonim şirket yönetim kurulu üyelerinin ve yöneticilerin sorumluluğu açısından bakıldığında, TTK’daki sorumluluk prensibinin “kusura dayalı” olduğu görülmektedir (m. 553.1). Nitekim bahsedilen hüküm: “yönetim kurulu üyeleri ve yöneticiler, kanundan ve esas sözleşmeden doğan yükümlülüklerini kusurlarıyla ihlal ettikleri takdirde, hem şirkete hem pay sahiplerine hem de şirket alacaklılarına karşı verdikleri zarardan sorumludurlar”. Bu düzenlemenin, inceleme konusu olan organizasyon sorumluluğu açısından zarar görene karşı “kusursuz sorumlu olan” anonim şirketin (veri sorumlusunun) yönetim kurulu üyeleri ve yöneticilerin sorumluluğuna gidebilmesi veya rücu hakkının doğabilmesini, rücu edilebilecek kişilerin “kusurlarının varlığına” bağladığı görülmektedir.
6. Yönetim kurulu üyelerinin faaliyetlerindeki kusurlarının değerlendirilmesi açısından temel ölçünün TTK m. 369’deki “Yönetim kurulu üyeleri ve yönetimle görevli üçüncü kişiler, görevlerini tedbirli bir yöneticinin özeniyle yerine getirmek ve şirketin menfaatlerini dürüstlük kurallarına uyarak gözetmek yükümlülüğü altındadırlar” şeklindeki hüküm olduğu söylenebilir.
7. Kanımızca Vekalet Sözleşmesine ilişkin TBK m. 506.3’de yer alan “benzer alanda iş ve hizmetleri üstlenen basiretli bir vekilin göstermesi gereken davranış” şeklinde tanımlanabilecek özen borcu, niteliği itibariyle uygun düştüğü için yönetim kurulu üyeleri ve yönetimle görevli üçüncü kişilerin özen yükümlülüğü açısından da söz konusudur. Bu çerçevede bahsedilen kişilerden beklenenin; tedbirli, sadık, özenli ve dürüst şekilde davranmaları olduğu sonucuna varılabilmektedir.
V. Organizasyon Sorumluluğu Açısından Anonim Şirketi Yönetmekle Görevli Olanların Kusurlarının Doğabileceği Temel Hususlar Açısından Değerlendirmeler
1. Anonim şirket işletmesinin organizasyonunu kurmak, yönetim kurulunun vazgeçilemez, devredilemez ve alınamaz görevleri arasındadır (TTK m. 375). Bu organizasyon içinde kendilerine görev verilen diğer kişilerin temel yükümlülüğünün ise; yönetim kurulunun talimatları doğrultusunda hareket etmek; şirketi zarara uğratacak her türlü tutum ve davranıştan özenle kaçınmak olduğu söylenebilir (TTK m. 369). Aynı gerekçelerle, yönetim kurulunun vereceği talimatların da “şirketin menfaatini dürüstlük kuralına göre gözetecek nitelikte olması” gerekecektir.
2. Her görev beraberinde sorumluluk da getireceğinden, anonim şirket yönetim kurulu üyelerinin “organizasyon sorumluluğu” ve bunun “şirketin yönetimi” ile bağlantısı açısından olası hukuki sorumlulukları itibariyle genel bir değerlendirme yapıldığında; (i) üst düzeyde yönetim, (ii) üst gözetim ve (iii) uyum yükümlülüğü kavramlarının dikkate alınması gerekmektedir. Bahsedilen kavramlar itibariyle değerlendirme yapıldığında aşağıdaki konular dikkat çekicidir:
a. Şirketin üst düzeyde yönetimi açısından:
i. Üst düzeyde yönetime duyulan ihtiyaç, şirketin varlığını sürdürmesi yanında, başarılı bir şekilde gelişmesine dair kararların alınması ve uygulanmasına/uygulatılmasına ilişkindir7. Şüphesiz, iletişim kanalları vs. açısından da iyi organize olmuş bir yapının (işletmenin) varlığını gerektirmektedir.
ii. Bunun için öncelikle (ana hatları ile de olsa) işletme politika ve hedeflerinin belirlenmesi, bunlara ulaşılması için gereken kaynakların temin veya tahsisi ile kaynakların hedeflere ulaşmak için nasıl kullanılacağına ilişkin temel talimatların verilmesi gerekecektir. Bu politika ve hedeflerin ise, üçüncü kişilere maddi veya manevi herhangi bir zarar vermeyecek nitelik taşıması; muvazaalı işlerden özenle kaçınılmalıdır.8
iii. Bu talimatlar tüm şirket ekosistemini bağlayacak şekilde yönergeler veya benzeri açık iç düzenlemeler şeklinde olabileceği gibi; sır niteliğindeki işlemler söz konusu olduğunda örtülü de olabilecektir.9
iv. Üst düzeydeki yönetimin -deyim yerindeyse- yukarıdan aşağıya etkinliğinin sağlanabilmesi ise, hiç şüphesiz şirket hedeflerinin gerçekleştirilmesine uygun bir organizasyon şeması oluşturularak şirket idari yapısının belirlenmesi yanında, bu şemada yer alacak kişilerin rol ve görev tanımlarının belirlenerek atanmasını da gerektirecektir.10
(7) Bu nedenle “stratejik yönetim” şeklinde ifade edilmesi de mümkündür. Günlük işler ise daha çok bu stratejilerin uygulanmasına yönelik “taktiksel işlemler ve bunlara ilişkin kararlardan” oluşmaktadır ki bunlar özünde yönetim kurulunun görevi değildir. Yönetim kurulunca oluşturulması gereken şirket organizasyonundaki diğer aktörlerin görevleri de bu taktiksel işlemleri yapmak veya kararları almaktır. Yönetim kurulları bu türden iş ve işlemlere dair yetkilerini, daha alt kademedeki yönetici veya görevlilere devredebilmektedir.
(8) Muvazaalı iş ve işlemlerin dikkate değer bir sonucu TTK m. 210.3’de düzenlenen Bakanlığın fesih davası açabilme yetkisidir. Bahsedilen muvazaalı iş ve işlemlerin kapsamının TBK m. 19’dakinden daha geniş olduğu dikkate alınmalıdır.
(9) Ancak TTK m. 375.1.e hükmünün lafzi yorumu, talimatların yazılı olmasının yönetim kurulunun kanuni yükümlülüklerini yerine getirdiğini ispat açısından önemli bir avantaj sağlayacağını düşündürtmektedir. Zira özellikle veri sorumlusu da olan anonim şirket tüzel kişiliğinin uğraması muhtemel bir idari para cezası veya tazminat davası sonucu ödenecek tazminatla ilgili bir rücu talebi ile karşılaşabilecek yönetim kurulu üyelerinin sorumluluktan kurtulabilmeleri, kusur durumlarının ispatını gerektirecek ve yazılı talimatın ispatı sayesinde mümkün olabilecektir.
(10) Yönetim kurulunun bahsedilen atamaları (görevlendirmeleri) yaparken: seçim, faaliyetlerinin gözetimi, bunlara talimat verilmesi ve görevden almalarda da özen yükümlülüğü bulunmaktadır.
b. Bahsedilen yapının kurulması yetmeyecek, şirket yönetiminin tamamının “üst gözetimi” de gerekecektir11:
i. TTK m. 375.1.e’deki ifadeyle üst gözetimin kapsamına “yönetimle görevli kişilerin, özellikle kanunlara12, esas sözleşmeye, iç yönergeye ve yönetim kurulunun yazılı talimatlarına13 uygun hareket edip etmediklerinin” dahil olduğu açıktır14.
ii. Yönetim kurulu bahsedilen üst (ve genel) gözetim görevlerini yerine getirirken, ihtiyari şekilde kuracağı komitelerden de istifade edebilecektir (TTK m. 366)15.
iii. Bu nitelikteki komiteler, yönetim kurulunun yardımcısı olarak çalışacaklardır16.
iv. Uygulamada halka açık olmayan anonim şirketlerde “riskin erken tespiti/saptanması komitesi” adı altında faaliyet gösteren komitelere sıkça rastlanmaktadır17.
c. Yönetim kurulunun Türk Ticaret Kanunun bahsedilen hükümlerinden kaynaklanan yükümlülüklerinin doğal sonucu olarak, mevzuata uyum yükümlülüğü de mevcuttur. Zira TTK m. 553.1 gereğince bu sorumluluğun doğmaması, şüphesiz, bahsedilen görevleri ne denli yerine getirdiklerine (ne denli kusursuz olduklarına) bağlıdır.
(11) Yönetim kurulunun gözetim yükümlülüğü, esasen stratejik yönetime ilişkin kararlarının gereklerinin ne şekilde yerine getirilmekte olduğuna ilişkindir. Gözetim yükümlülüğü, yönetim kurulunca üyelerden biri veya bir kaçına veya alt kademe yöneticilere verilen talimatlara ilişkindir ve operatif yönetimin, stratejik yönetime (kararlara) uygunluğunun denetimidir.
(12) TTK’nın bahsedilen hükmünde “kanunlar” ifadesi yer almakta ise de, ikincil mevzuatın varlık nedeninin kanunların uygulanmasının somutlaştırılması ve bunların kanun hükmüne veya kanuni yetkiye dayalı olarak hazırlanması karşısında, maddedeki ifadenin “mevzuat (yazılı kurallar)” olarak anlaşılması yararlı olacaktır.
(13) Yönetim kurulunun talimatlarını sözlü veya örtülü olarak vermesi de mümkündür. Ancak ispat hukuku açısından talimatların yazılı verilmesinin uygun olacağı değerlendirilmektedir.
(14) Yönetim kurulunun üst gözetim görevinin kapsamına, tüm şirket organizasyonunun ve çalışanlarının gözetimi olarak da ifade edilebilecek “genel gözetimin” de girmekte olduğunu ancak bunun görev devri sureti ile de gerçekleştirilebileceğini, devir durumundaki sorumluluk değerlendirmesinin ise TTK m. 553 hükümleri çerçevesinde yapılması gerektiğini düşünüyoruz.
(15) Komitelere ilişkin olarak TTK’dakine nazaran detaylı düzenlemeler SPK’nın Kurumsal Yönetim İlkelerinin Belirlenmesine ve Uygulanmasına İlişkin Tebliğ’inde yer almakta olup; her yönetim kurulu üyesinin bu ilkeleri dikkate alması, tüm alakadarların yararına olacağı açıktır.
(16) Nitekim ihtiyari olarak kurulsalar da komiteler, risk değerlendirmesi türünden faaliyetlerde yönetim kuruluna yardımcı olmakta ve bilgi sağlamakta; yönetim kuruluna tüm işletme ve çalışanların gözetimi, şirket bünyesindeki hukuka aykırılıkların tespiti, yönetim kurulu kararlarına uyulup uyulmadığının denetimi vs. konularında da yardımcı olmaktadır.
(17) TTK m. 366’daki yetkisi nedeniyle yönetim kurulunun her türden komite kurmak yetkisi olup; KVKK uyum faaliyetlerinde veya pandemi döneminde COVID-19 ile mücadelede çalışmak üzere komiteler kurulmaktadır.
d. Yönetim kurulunun mevzuata uyum yükümlülüklerini yerine getirmeleri; şirketin, şirketle iş yapanların, çalışanların yararına olduğu gibi, sorumluluktan kurtulmaları açısından kendi yararınadır.
e. Aile şirketi niteliğindeki anonim şirketlerde yönetim kurullarının çoğunlukla şirket paydaşlarından oluştuğu bilinmekte ise de; özellikle birden fazla menfaat grubunun paydaş olduğu veya yönetimde yer aldığı aile şirketleri ile kurumsal yapılarda yönetim kurulunda görev yapanların yukarıda kısaca değerlendirilen hususları göz önünde tutmaları ve:
i. Mevzuata uyum konusunu gündemlerinden eksik etmemeleri; bunun için gereken kaynakların neler olduğunu belirleyerek işlemleri hayata geçirmeleri,
ii. Devrettikleri herhangi bir yetki söz konusu ise, buna ilişkin kararlar almaları ve bu kararları tarih, içerik vs. yönünden kesin delil niteliğine büründürebilmek için noter tasdiki gibi işlemlerin gerekip gerekmeyeceğini değerlendirmeleri,
iii. Uyum konularında faaliyet gösterecek kişilerden komiteler oluşturmaları, komitelerin çalışma esaslarını, görevlerini ve onlardan beklenenin neler olduğunu yazılı talimatlar ile oluşturmaları; komite faaliyetleri konusunda düzenli olarak yazılı bilgi almaları,
iv. Şirketin egemenlik alanındaki ticari nitelikteki veriler yanında kişisel verilerini korumanın da ayrı bir önem ve değerinin olduğunun; veri ihlallerinin maddi ve manevi zararlara sebebiyet verebileceğinin farkında davranmaları,
v. Şirket organizasyon yapısını da bu farkındalık itibariyle gözden geçirerek verilerin korunması, kullanılması/işlenmesi; veri gizliliği bütünlüğü ve erişilebilirliğinin temini için politika ve direktifler oluşturmaları ve bunların gereklerinin yerine getirilip getirilmediğini sürekli olarak denetlemeleri, kendilerinin de zarar görmesini engelleyebilecektir.
VI. Bahsedilen Hususların KVKK’dan Kaynaklanacak Veri Sorumlusu Sorumluluğu ve Rücu İlişkileri Açısından Değerlendirilmesi ve Sonuç
1. Yukarıda da değerlendirildiği gibi Türk Ticaret Kanunu hükümleri gereğince anonim şirketi yönetmek ve temsil ile görevli yönetim kurulu, m. 375’de sayılan ve yukarıda kısaca değinilen görevlerin yegane muhatabı ve sorumlusudur.
2. Bahsedilen sorumluluğun gereklerinin yerine getirilmesi, TBK m. 66.3’den kaynaklanacak organizasyon sorumluluğunun hafifletilmesi veya ortadan kaldırılabilmesi açısından da derin etkiler doğurabilecektir.
3. Yönetim kurulunun TTK m. 375’den kaynaklanan sorumluluğuna, mevzuatın gerektirdiği uyumun gerçekleştirilmesi yükümlülüğü de dahildir. Bu çerçevede Rekabetin Korunması Hakkında Kanun veya Kişisel Verilerin Korunması Kanunu gibi mevzuatın gerektirdiği iş ve işlemlerin yapılmasını temin de anonim şirket yönetim kurulunun vazgeçilemez, devredilemez ve alınamaz görevleri arasındadır.
4. Özünde TTK m. 553.1 gereğince kanunlara uygun davranmak, yönetim kurulu üyesi olmayan yöneticiler açasından da geçerli olup, aksi durum onların da sorumluluğunu gerektirebilecektir. Dolayısıyla veri sorumlusu -örneğin bir anonim şirket- bünyesindeki kanuna/mevzuata uyum faaliyetlerinin sürekliliği, her kademedeki yöneticinin yararınadır.
5. Yönetim kurulu üyelerinin (ve yönetimle görevli diğer kişilerin) üzerlerine düşeni ilgili mevzuatın öngördüğü şekilde ve özenle yerine getirmesi öncelikle veri sorumlusunun -anonim şirketin- kanuni sorumluluğunu ortadan kaldırabilecektir. Bir an için kusursuz sorumluluk vs. ilkeleri gereğince şirketin sorumluluğu doğsa dahi yapacağı ödemeler için yönetim kurulu veya yönetimle görevli diğer kişilere (başka bir ifadeyle “kendilerine”) rücu etmesinin önüne de geçebilecektir.
6. Özen yükümlülüğünün değerlendirilmesinde, KVKK ve diğer mevzuata uyum için yönetim kurulunun (ve yönetimle görevlendirilen diğer kişilerin) nasıl davrandığı, ne yaptığı, ne kadar yaptığı yanında ne yapmadığı veya yaptırmadığı da önem taşıyacaktır.
7. Bu noktada Kişisel Verileri Koruma Kurumu (Kurum) tarafından yapılan farkındalık çalışmaları, yayımlanan rehberler, hatta Kişisel Verileri Koruma Kurulu kararlarının özet şeklinde de olsa ilân edilmeye başlanması ilgililerin özen yükümlülüğünü de artıracak etkiler doğurmaya adaydır. Örneğin Kurum:
i. Tüm mevzuat ve bundan kaynaklanan gerekliliklerin derli toplu ve örnekleri ile ulaşılabileceği bir internet sitesi düzenlemiştir. Kişisel Verilerin Korunması Kanununa uyum çalışmaları açısından yol gösterici olan böyle bir sitenin varlığından haberdar olmak, asgari özenin gereğidir.
ii. Kurum, yayımladığı videolar ve rehberlerde, Kişisel Verilerin Korunması Kanununa uyum için gereken asgari hususları neredeyse herkesin anlayabileceği yalınlıkta anlatmaktadır. Her bir yönetim kurulu üyesinin (veya yönetimli görevli diğer kişilerin) Kişisel Verilerin Korunması Kanunu uzmanı olmaları beklenmeyecek olsa da, bu konunun bir uyumu gerektirdiğini ve bunun için yapılması gereken işlemler olduğunu dikkate almamalarının “özensizlik sayılmaması” için herhangi bir neden yoktur. Örneğin:
Kişisel Veri İşleme Envanteri Hazırlama Rehberi, KVKK uyumu için yapılması gereken temel organizasyon gerekliliklerini adım adım anlatmaktadır. Kurumun, Rehberin 25 vd. sayfalarında veri sorumlularına “kurulmasını önerdiği” ekip, hukuki nitelik itibariyle TTK m. 336’da bahsedilen komiteden başka bir şey olmasa gerektir. Bu konu anonim şirketin organizasyon şeması ve bu şemada yer alacakların görev tanımları ve taşımaları gereken asgari nitelikleri ile de doğrudan bağlantılıdır. Rehber, Kanunun 16. maddesine uyum konusunda yol göstermektedir. Yolun takip edilmemesinin özensizlik sayılması kuvvetle muhtemeldir.
Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler), veri sorumlusuna ait işletmedeki faaliyetlerin gerek çalışanların, gerekse 3. kişilerin kişisel verilerinin korunması ve bir zarar doğmaması açısından (şirket vs. olup olmadığına bakılmaksızın) hangi tedbirin, ne zaman ve ne şekilde alınacağını tarif ederek KVKK m. 12’ye uyum açısından yol göstermektedir. Bahsedilen zarar maddi olabileceği gibi, kişilik haklarının olumsuz etkilenmesi sonucunu doğurabilecek manevi zarar şeklinde de olabilir. Nitekim kişisel verilerin korunmasına duyulan ihtiyaç da bu türden zararların önlenmesine yöneliktir.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi de kişisel verilerin ne şekilde “tedavülden kaldırılacağını” tarif ederek koruma sağlamaktadır. Bu konudaki Yönetmeliğe ve KVKK m. 12’ye uyum konusunda yol göstermektedir.
"Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı, kişilerin ayrımcılığa uğrama riskini ortadan kaldıracak veya azaltacak önlemlerin neler olduğuna işaret ederek riski azaltmaya yardımcı olmaktadır.
Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik Kişisel Verileri Koruma Kurulunun 21/12/2017 Tarihli ve 2017/62 Sayılı İlke Kararı, özellikle banka ve seyahat acentelerindeki fiziki yapının (başka bir ifadeyle işletmenin) “ilgili kişilerin zarar görmesini önleyecek” şekle dönüştürülmesini sağlamaktadır.
8. Yönetim kurulu üyelerinin ve anonim şirketi yönetmekle görevli diğer kişilerin ilgili mevzuata (örneğin KVKK’ya) uyum çalışmalarında titizlik göstermeleri, temsil ettikleri şirketin uğraması muhtemel idari para cezaları veya muhatap olabileceği tazminat taleplerinden kaynaklanacak ödemelerin, bunlara sebebiyet verenlere rücu edilebilmesi açısından da önem taşımaktadır.
Mevzuata uyum çalışmalarının yüzeyselliği, gereken özenin gösterilmemesi; uyuma ilişkin konularda asıl görevliler olan yönetim kurulu üyelerinin kişisel sorumluluğunu doğurabileceği gibi; daha alt kademedeki görevlilere rücu edilememesine ve veri sorumlusunun “zararı sineye çekmesine” de sebebiyet verebilecektir. Milyonluk para cezalarının söz konusu olabildiği mevzuata uyum konusunda faaliyet göstermemeyi tercih edenlerin, bunun sonuçlarına katlanmaları kaçınılmaz olacaktır.
(Hazırlayan: M. Hakan ERİŞ, Avukat)