Tüzel Kişi Verileri KVKK Kapsamında mıdır? (Karar: 2018/131)
Kişisel Verileri Koruma Kurulu (Kurul), 19/11/2018 tarihli bu kararı ile Kanun’un en temel sınırını, yani “korumanın öznesi”ni netleştirmiştir. Karar, tüzel kişilerin (şirketler, vakıflar vb.) kendi ticari verileri için KVKK kalkanını kullanıp kullanamayacaklarını ve bir şirketin, yetkilileri adına veri talebinde bulunup bulunamayacağını açıklamaktadır.
1. Olayın Özeti: Şirketin Veri Erişimi Talebi
Olay: Bir şirket (tüzel kişilik), başka bir veri sorumlusunun elektronik ortamında yer alan tüzel kişiliğine ait verilerin kendisine aktarılmasını talep etmiştir. Ayrıca şirket, kendi ortakları ve yetkilileri olan gerçek kişilere ait verilere de erişmek istemiştir. Talep reddedilince konu Kurul’a taşınmıştır.
2. Kurulun Hukuki Değerlendirmesi: “Gerçek Kişi” Sınırı
Kurul, başvuruyu reddederken Kanun’un kapsam maddelerini (Madde 2 ve 3) esas almıştır:
- Tüzel Kişi Verileri Kapsam Dışıdır (Md. 2 ve 3): KVKK, sadece “gerçek kişilere” ait verileri korur. Kanun’un 3. maddesinde kişisel veri; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Dolayısıyla, bir şirketin vergi numarası, ticaret sicil bilgileri veya kurumsal verileri “kişisel veri” sayılmaz ve KVKK kapsamında korunmaz.
- Hak Sahibi Sadece Gerçek Kişidir (Md. 11): Kanun’un 11. maddesinde düzenlenen “veri sorumlusuna başvurarak bilgi alma” hakkı, sadece gerçek kişilere tanınmış bir haktır. Bir şirket, kendi kurumsal kimliği için bu hakkı ileri süremez.
- Temsil Yetkisi Sorunu (Md. 13): Şirket ortakları ve yetkilileri “gerçek kişi” oldukları için verileri KVKK kapsamındadır. Ancak, bu kişiler adına veri talebinde bulunulacaksa, bu başvuru ya bizzat ilgili gerçek kişi tarafından ya da yasal temsilcisi (vekil vb.) tarafından yapılmalıdır. Şirket tüzel kişiliğinin, sırf ortakları olması hasebiyle onlar adına genel bir KVKK başvurusu yapma yetkisi bulunmamaktadır.
3. Karar Sonucu: “Kanun Kapsamına Girmiyor”
Kurul inceleme neticesinde;
- Tüzel kişiliğe ait verilere erişim talebinin, Kanun’un 2. maddesi gereğince KVKK kapsamında değerlendirilemeyeceğine,
- Şirket ortağı ve yetkililerine ilişkin verilere erişim talebinin ise, bizzat ilgili kişilerce değil şirket tüzel kişiliği tarafından yapılması nedeniyle reddine (usulden ret),karar vermiştir.
4. Özgür Eralp Perspektifi: “Şirket Bilgisi Ticari Sırdır, Kişisel Veri Değildir”
Bilişim hukuku alanındaki tecrübemizde en çok karşılaştığımız kavram kargaşalarından biri budur. Şirketler, rakiplerinden veya iş ortaklarından veri isterken KVKK’yı bir “levye” olarak kullanmaya çalışıyorlar. Oysa KVKK, insanın onurunu ve mahremiyetini korur; şirketin bilançosunu veya müşteri listesini değil. Şirket verileri “Ticari Sır” veya “Haksız Rekabet” hükümleriyle korunur, KVKK ile değil.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Eğer şirketinizin yetkilileri hakkında bir veri ihlali olduğunu düşünüyorsanız, dilekçeyi “X Anonim Şirketi” adına değil, bizzat “Y şahsı” adına vermelisiniz. Şirket müdürü olmak, o kişinin kişisel verileri üzerinde şirkete otomatik bir “başvuru yetkisi” vermez. Tüzel kişiler sadece “Veri Sorumlusu” (cezayı yiyen taraf) veya “Veri İşleyen” olabilirler; asla “İlgili Kişi” (hak sahibi) olamazlar.
Sıkça Sorulan Sorular
1. Şirketimin vergi numarası veya ticaret sicil gazetesi kişisel veri midir?
Hayır. Bunlar tüzel kişiliğe ait bilgilerdir. KVKK sadece gerçek kişileri (insanları) kapsar.
2. Şirket ortağıyım, verilerimi şirket avukatı KVKK üzerinden isteyebilir mi?
Avukatınızın elinde “kişisel verilerle ilgili hakları kullanmaya yetkili” olduğunu belirten özel bir vekaletname varsa isteyebilir. Ancak şirket tüzel kişiliği adına genel bir talep oluşturulamaz.
3. Bir limited şirketin e-posta adresi (info@sirket.com) kişisel veri midir?
Genel kurumsal e-posta adresleri kişisel veri değildir. Ancak ad.soyad@sirket.com şeklindeki bir adres, o gerçek kişiyi belirlenebilir kıldığı için kişisel veri sayılır.
4. Şirket verilerimiz sızdırılırsa Kurul’a gidebilir miyiz?
Eğer sızan veriler sadece şirketin ticari defterleri veya projeleriyse Kurul bakmaz. Ancak bu sızıntı içinde çalışanların veya müşterilerin (gerçek kişilerin) bilgileri varsa, o zaman veri sorumlusu (sızıntıyı yaşayan şirket) Kurul’a ihlal bildirimi yapmak zorundadır.
5. KVKK neden tüzel kişileri korumuyor?
Çünkü Kanun’un temel amacı “insan hak ve özgürlüklerini” korumaktır. Tüzel kişilerin hakları Türk Ticaret Kanunu, Borçlar Kanunu ve Fikri Mülkiyet Hukuku gibi alanlarla zaten korunmaktadır.
Kaynaklar
- KVKK Kurumu – 2018/131 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 2, 3, 11 ve 13)
Etiketler
KVKK, Tüzel Kişilik, Gerçek Kişi, Veri Sorumlusu, Kişisel Veri Tanımı, Şirket Verileri, 2018/131 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Veri Erişimi, Hak Arama Özgürlüğü, Ticari Sır
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),