info@ferhatkule.av.tr
+90 212 579 79 85

Single Blog Title

This is a single blog caption

Şirketin KVKK Uyum Düzeyi Yatırımcı Açısından Ne Kadar Güvenli? Aydınlatma Metinleri, Açık Rıza ve Sicil Kayıtları Yeterli mi?

05 Ağu 2025
0

GİRİŞ

Modern yatırım kararları sadece mali tablolarla şekillenmez. Günümüzde veri güvenliği ve kişisel verilerin korunmasına ilişkin yükümlülükler, şirket değerlemesinde ve risk analizinde kritik bir unsur haline gelmiştir. Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, şirketlerin hem çalışanlarına hem müşterilerine hem de üçüncü kişilere ait kişisel verileri işlerken ciddi yükümlülükleri bulunmaktadır.

Peki bir yatırımcı, hedef şirketin KVKK’ya uyum düzeyini nasıl değerlendirmeli? Aydınlatma metinleri, açık rıza formları, VERBİS kayıtları, işlenme amaçları, silme ve imha politikaları, yatırım açısından nasıl bir güvenlik kalkanı sunar?

Bu makalede, due diligence sürecinde KVKK uyumunun incelenmesi, yatırımcı açısından doğurabileceği riskler, uygulamada karşılaşılan örnek olaylar ve alınması gereken önlemler detaylı bir biçimde ele alınacaktır.

1. Teorik Çerçeve: KVKK ve Uyumun Önemi

1.1. KVKK’nın Amacı

6698 sayılı Kanun, bireylerin özel hayatının gizliliğini korumayı ve kişisel verilerin hukuka uygun şekilde işlenmesini güvence altına almayı hedefler. Bu çerçevede şirketler:

  • Kişisel verileri meşru amaçlarla ve sınırlı şekilde işleyecek,

  • Kişilere aydınlatma yapacak ve gerektiğinde açık rıza alacak,

  • Kişisel verileri güvenli şekilde saklayacak, silecek veya anonim hale getirecek,

  • VERBİS (Veri Sorumluları Sicili) kayıtlarını tamamlayacak.

1.2. Uyumun Yatırım Kararındaki Rolü

KVKK’ya uyumlu olmayan bir şirket:

  • Yüklü para cezaları ve yaptırımlarla karşılaşabilir,

  • İmaj ve güven kaybı yaşayabilir,

  • Yatırım sürecinde değer kaybına uğrayabilir,

  • Müşteri sözleşmeleri ve veri işleme faaliyetleri nedeniyle hukuki sorumluluk altına girebilir.

2. Due Diligence Sürecinde KVKK İncelemesi

2.1. İncelenmesi Gereken Belgeler

Yatırım öncesi denetimde aşağıdaki belgelerin varlığı, güncelliği ve içeriği değerlendirilmelidir:

İncelenecek Belge / Süreç Değerlendirme Noktası
Aydınlatma metinleri Mevzuata uygun mu? Net ve anlaşılır mı?
Açık rıza formları Gereken durumlarda alınmış mı? Arşivlenmiş mi?
VERBİS kaydı Yapılmış mı? Bildirilen veri kategorileri ve saklama süreleri doğru mu?
Veri işleme envanteri Tüm süreçler kapsanmış mı?
Kişisel veri saklama ve imha politikası Mevzuata uygun ve uygulanabilir mi?
Üçüncü taraflarla imzalanan veri işleme sözleşmeleri Güncel ve KVKK’ya uygun mu?
Çalışanların eğitimi Belgelenmiş mi? Düzenli mi?

3. KVKK Uyumsuzluğunun Yatırımcı Açısından Riskleri

3.1. İdari Para Cezaları

Kişisel Verileri Koruma Kurulu (KVKK Kurulu) tarafından verilen idari para cezaları yatırımın maliyetini artırır. Kurulun kararlarına göre:

  • VERBİS’e kayıt olmamak: 149.000 TL’ye kadar ceza

  • Aydınlatma yükümlülüğüne aykırılık: 596.000 TL’ye kadar ceza

  • Güvenlik tedbirlerine uymamak: 2.000.000 TL’ye kadar ceza

  • Veri ihlali bildirimi yapmamak: Yüksek cezalar ve kamuya ifşa riski

3.2. Reputasyonel Riskler

KVKK Kurulu kararlarının kamuya açık olarak paylaşılması, şirketin isminin kamuoyunda veri güvenliğini ihlal eden kurumlar arasında anılmasına neden olur. Bu da tüketici ve iş ortaklarının güvenini zedeler.

3.3. Sözleşmesel Riskler

Birçok uluslararası sözleşmede, şirketin KVKK uyumlu olması bir ön koşul olarak yer alır. Bu kapsamda uyumsuzluk, sözleşme fesih hakkı veya cezai şart doğurabilir.

4. Örnek Olaylar

4.1. Örnek Olay 1: VERBİS Kaydı Olmadan Satış Süreci

Olay: Türkiye merkezli bir e-ticaret firması, yabancı yatırım fonu tarafından satın alınmak istendi. Ancak due diligence sürecinde şirketin VERBİS kaydının yapılmadığı, çalışan ve müşteri verileri için aydınlatma metinlerinin eksik olduğu tespit edildi.

Sonuç: Yatırımcılar, şirketin veri politikalarının yeniden düzenlenmesi için 6 aylık erteleme ve fiyat kırımı talep etti. Yatırım 2. tur müzakerelere kadar gecikti.

4.2. Örnek Olay 2: Açık Rıza Sorunu Nedeniyle Tazminat Davası

Olay: Medikal veri işleyen bir yazılım firması, müşterilerinden açık rıza almadan verileri analiz ederek üçüncü taraflara sundu. Bu durum sonradan ortaya çıktı ve bir grup müşteri tarafından dava açıldı.

Sonuç: Kurul para cezası verdi, ayrıca açılan maddi ve manevi tazminat davası henüz sonuçlanmadan yatırımcılar anlaşmadan çekildi.

5. Yatırımcı Ne Yapmalı?

5.1. Detaylı KVKK Uyum İncelemesi Yapmalı

  • VERBİS kayıtlarının içeriği kontrol edilmeli

  • Aydınlatma ve açık rıza belgeleri örneklenerek incelenmeli

  • Siber güvenlik altyapısı ve veri ihlal geçmişi araştırılmalı

  • Üçüncü kişi sözleşmelerinde veri paylaşım hükümleri gözden geçirilmeli

5.2. Sözleşmeye Koruyucu Hükümler Eklemeli

  • “Veri ihlali riski nedeniyle doğacak cezai veya tazminat yükümlülüğü” açıkça satıcıya ait olmalıdır.

  • Yatırım sonrası ortaya çıkabilecek veri uyumsuzlukları için garanti hükümleri konulmalıdır.

  • KVKK ihlalinin tespitine ilişkin özel denetim yetkisi yatırımcıya tanınmalıdır.

5.3. Uyum Süreci Eksikse Danışmanlık Hizmeti Almalı

Eksik veya zayıf uyum belgeleri tespit edilirse, yatırım öncesi şirketin dış kaynaklı danışmanlık hizmetiyle eksikliklerini gidermesi sağlanmalıdır. Bu süreç, yatırım anlaşması şartı haline getirilebilir.

6. Şirketler Ne Yapmalı?

6.1. Uyumluluk Programı Oluşturulmalı

  • KVKK kapsamında veri envanteri, süreç haritası, politika belgeleri hazırlanmalı

  • Çalışanlara eğitim verilmeli

  • Üçüncü kişilerle veri işleme sözleşmeleri yapılmalı

  • Açık rıza alınması gereken tüm süreçler belirlenmeli

6.2. Teknik Altyapı Güçlendirilmeli

  • Güçlü şifreleme, erişim kontrolü ve sızma testleri yapılmalı

  • Olası veri ihlali durumunda hızlı aksiyon alacak acil eylem planı hazırlanmalı

SONUÇ

KVKK uyumu, yalnızca hukuki bir yükümlülük değil, aynı zamanda yatırımcıya sunulan kurumsal güvenlik garantisidir. Aydınlatma metinleri eksik, açık rızaları arşivlenmemiş, VERBİS kayıtları yapılmamış bir şirket; yatırımcıya sadece potansiyel değil, doğrudan maddi ve itibari yük getirecek bir risktir.

Bu nedenle, yatırım öncesi hukuki incelemede KVKK uyum düzeyi titizlikle değerlendirilmeli, eksiklikler belirlenmeli ve sürece özel sözleşme hükümleriyle yatırımcının korunması sağlanmalıdır.

Hukuk Fakültesi Öğrencisi Gamze Akbulut 

, , , , , , , , , , , , , ,

About Post Author

Leave a Reply

Open chat
Avukata İhtiyacım var
Powered by Joinchat
Merhaba
Hukuki Sorunuz nedir ?
Call Now Button