Halka açık anonim ortaklıkların (“HAAO”) kamuyu aydınlatma ve şeffaflık ilkesi gereği bazı bilgileri sürekli ve/veya derhal kamu ile paylaşma yükümlülüğü bulunmaktadır. Sermaye Piyasası Kanunu ile düzenlenen kamuyu aydınlatma yükümlülüğü ile amaçlanan; yatırımcının HAAO hakkında her zaman doğru ve güvenilir bilgiye ulaşmasını sağlamak ve yatırım kararını etkileyebilecek bilgilerden hızlı bir şekilde haberdar olmasına olanak sunmaktır. Kamuyu Aydınlatma Platformu’nda (“KAP”) bu bilgileri kamu ile paylaşan HAAO’lar, bilginin dayanağı olan bazı belgeleri de kamuya açmak durumunda kalabilmektedir. Örneğin HAAO hakkında alınan önemli bir yönetim kurulu kararı KAP’ta açıklanırken aynı zaman bu yönetim kurulu kararının taranmış kopyasının da KAP’a yüklenmesi gerekebilir. Böyle durumlarda Kişisel Verilerin Korunması Kanunu’ndan (“KVKK”) kaynaklanan ve Sermaye Piyasası Kurulu tarafından da ele alınan ikincil mevzuatı göz önünde bulundurmak gerekmektedir. İşbu yazımızla kamuyu aydınlatma platformunda yayınlanan içeriğin kişisel verilerin korunması mevzuatı çerçevesinde nasıl ele alınması gerektiğine değiniyor olacağız.
GEÇMİŞTEN GÜNÜMÜZE HAAO’LARDA KİŞİSEL VERİLERİN KORUNMASI
1- Sermaye Piyasası Kurulu’un 04.03.2016 Tarih Ve 8/253 Sayılı İlke Kararı
KVKK’nın yürürlüğe girmesinden çok kısa bir süre önce Sermaye Piyasası Kurulu, 04 Mart 2016 tarihinde HAAO’ların genel kurul işlemlerine ilişkin bir ilke kararı vermiştir. Bu ilke kararı uyarınca; kişisel bilgilerin gizliliğinin korunması amacıyla payları borsada işlem gören şirketlerin yaptıkları genel kurul toplantılarına katılanların listelendiği hazirun cetvelinde ortakların ad/soyad veya ticaret unvanı dışındaki bilgilerinin, ancak ilgili ortağın onayının alınması şartıyla kamuya açıklanabileceği belirtilmiştir.
Bu karar, o sırada KVKK yürürlükte olmadığından sermaye piyasası mevzuatında paylaşılan bilgilerin ilgili kişinin açık rızası ile paylaşabileceğini konu alan önemli bir karardır.
2- Kişisel Verilerin Korunması Kanunu
24 Mart 2016 kabul edilerek 07 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu olarak tabir edilen; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerin, KVKK’ya uygun şekilde veri işleme faaliyetlerini gerçekleştirmesi gerekmektedir. Veri sorumlusu tanımı HAAO’dan daha üst ve daha kapsamlı bir tanımdır ve HAAO’lar da KVKK uyarınca birer veri sorumlusudur. Dolayısıyla kişisel veri işleme ile ilgili gerçekleştirdikleri her türlü faaliyette KVKK’ya uygun davranmak zorundadırlar.
KVKK kapsamında KAP duyuruları için yapılması gerekenler;
- Öncelikle KAP’ta duyurusu yapılacak işlem analiz edilerek hangi kişisel verilerin söz konusu duyuruya ilişkin işlemde bulunduğu tespit edilmelidir.
- Bu işlemde bulunan kişisel verilerle ilgili duyuruda kullanılmayacak olsa dahi ilgili kişilere aydınlatma yapılmalıdır.
- KAP duyurusunda kamuya açıklanacak kişisel verilerin neden kamuya açıklandığı analiz edilmeli ve sadece açıklama zaruriyeti bulunan kişisel veriler kamu ile paylaşılmalıdır. (Örneğin yeni atanan yönetim kurulu üyelerinin isim ve soy isimlerinin sermaye piyasası mevzuatı gereği kamu ile paylaşılması gerekmektedir.)
- Kamuya açıklanma zarureti bulunmuyor ancak herhangi bir sebeple bu bilginin kamuya açıklanması düşünülüyorsa, KVKK uyarınca kişisel verilerin aktarılmasına ilişkin bir şartın mevcut olup olmadığı gözden geçirilmeli ve eğer yoksa ilgili kişiden açık rıza alınmalıdır. Ancak özellikle belirtmek gerekir ki, açık rızaya dayalı yapılan aktarımlar, ilgili kişinin açık rızasını çekmesi üzerine derhal kaldırılma riski ile karşı karşıya kalacaktır.
- Bir belgenin KAP’ta açıklanma zarureti bulunuyor ancak içeriğindeki kişisel verilerin paylaşılması sermaye piyasası mevzuatı gereği zorunlu değilse kişisel verilerin maskeleme yoluyla gizlenmesi ve ardından ilgili belgelerin paylaşılması gerekmektedir.
3- 06.04.2021 Tarihli Merkezi Kayıt Kuruluşu’nun Duyurusu
Merkezi Kayıt Kuruluşu, KVKK ile paralel olarak ve Sermaye Piyasası Kurulu’nun 04.03.2016 tarih ve 8/253 sayılı İlke Kararı’na atıf yaparak, kamu ile paylaşılan kişisel verilerin korunması gerektiğinin bir kez daha altını çizmiştir.
Bu duyuruda genel kurulda hazırlanan hazirun cetvelinin ortakların adı / soyadı veya ticaret unvanı dışındaki bilgileri içermeyecek şekilde hazırlanması hususunda gereken özenin gösterilmesi, KAP’ta yapılacak diğer tüm açıklamaların da kişisel veri içermeyecek şekilde hazırlanması gerektiği belirtilmiştir.
4- 24.11.2021 Tarihli Kamuyu Aydınlatma Platformu’nun Özel Durum Açıklaması Hazırlama Kılavuzu
Kamuyu Aydınlatma Platformu, KAP’ta yayınlanan özel durum açıklamalarının nasıl hazırlanması gerektiğine ilişkin 24.11.2021 tarihinde bir kılavuz hazırlamıştır.
Bu kılavuzda; KAP bildirimlerine ek yapılan dosyalarda KVKK uyarınca kişisel verilerin yer almaması gerektiği belirtilmiştir. Bu sebeple, KAP’a dosya yüklenmeden önce, dosyada KVKK kapsamında T.C. kimlik numarası, adres vb. bilgilerin yer almadığından emin olunması ve ardından yüklemenin yapılması gerektiğine yer verilmiştir.
5- 19.08.2022 Tarih ve 948 Numaralı Merkezi Kayıt Kuruluşu’nun Genel Mektubu
Ve son olarak Merkezi Kayıt Kuruluşu, KAP’ta açıklama yapan HAAO’ların veri sorumlusu olduğu ve KAP açıklamalarının da veri işleme faaliyeti teşkil ettiğini belirten bir gene mektup yayınlamıştır.
Bu mektuba göre; KAP’ta yapılan açıklamalarda kişisel verisi bulunan gerçek kişiler KVKK’nın İlgili Kişinin Hakları başlıklı 11. maddesi çerçevesinde HAAO’lara kişisel verileriyle ilgili başvuru yapma hakkına sahiptir. Bu sebeple ilgili mektupta, HAAO’ların, gerçek kişilerin başvuru yapma hakkını kolaylaştırmak üzere çeşitli araçlar geliştirmesi gerektiği vurgulanmıştır.
Kişisel verilerin korunması mevzuatı, kendine özgü tanımları, kuralları olan özel bir alan olmakla birlikte bir de bunun yanında sermaye piyasası mevzuatında da bu alanın detaylı bir şekilde düzenlenmemesi ile birlikte birçok soru işaretinin oluştuğu görülmektedir. Ancak bu soru işaretleri en azından şu an için KVKK ile giderilmeye çalışılabilir. HAAO’ların özellikle bu sebeple KVKK anlamında veri sorumlusu olduğunu ve bu çerçevede kişisel verilere her faaliyetinde hassasiyetle yaklaşması gerektiğini özümsemeleri gerekmektedir.
Av. Sinem İLİKLİ
TARLAN AVUKATLIK BÜROSU
AV. AYLİN TARLAN
Tarlan Avukatlık Bürosu Bloğu 