info@ferhatkule.av.tr
+90 212 579 79 85

Single Blog Title

This is a single blog caption

M&A Öncesi KVKK Uyumuna Bakılmazsa Alıcıyı Ne Bekler? Hukuki Sorumluluk Doğar mı?

07 Ağu 2025
0

1. Giriş: Şirketi Alırsınız, Verisini de mi?

Birleşme ve devralma işlemleri (M&A – Mergers & Acquisitions), günümüz iş dünyasında büyümenin ve rekabet avantajı elde etmenin en hızlı yollarından biridir. Ancak bu süreçte, şirketin yalnızca maddi varlıkları değil, aynı zamanda kişisel veriler üzerindeki kontrol de devredilir. Peki, alıcı şirket, devraldığı verilerin hukuka uygun şekilde toplanıp işlenip işlenmediğini incelemezse ne olur?

Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında bir şirketin veri envanteri, açık rıza yapısı, aydınlatma metinleri ve veri güvenliği altyapısı, işlem öncesi mutlaka değerlendirilmelidir. Aksi hâlde, alıcı şirket ağır idari yaptırımlar ve itibar kaybıyla karşı karşıya kalabilir.

2. KVKK’nın M&A Süreçlerindeki Rolü

KVKK’nın amacı nedir?

6698 sayılı KVKK, Türkiye’de kişisel verilerin işlenmesini belirli kurallar altına almakta, veri sorumlularına açık rıza, aydınlatma, veri güvenliği ve veri silme gibi yükümlülükler getirmektedir. Bu yükümlülükler, şirket devri veya birleşme hâlinde sona ermez.

Neden önemlidir?

  • M&A işlemleri sırasında veri sahiplerinin (müşteri, çalışan, iş ortağı) verileri başka bir şirkete aktarılır.

  • Bu aktarım, bir veri paylaşımıdır ve KVKK m.8/1 uyarınca “ilgili kişinin açık rızası olmadan” aktarılamaz.

  • Alıcı, devraldığı verilerin hangi hukuki gerekçeyle toplandığını bilmezse, işlem sonrası veri ihlali doğabilir.

3. Teorik Hukuki Temeller

 A) KVKK m.10 – Aydınlatma Yükümlülüğü

Veri sorumlusu, veriyi toplarken ilgili kişiyi; veri işleme amacı, kimlere aktarılacağı, yasal dayanak ve hakları konusunda aydınlatmak zorundadır.

 B) KVKK m.12 – Veri Güvenliği Yükümlülüğü

Veri sorumlusu, kişisel verilerin gizliliğini ve bütünlüğünü sağlamakla yükümlüdür. Bu sorumluluk, şirket devrinden sonra da devam eder.

 C) KVKK m.8 – Veri Aktarımı

Bir şirketin verileri başka bir tüzel kişiliğe devretmesi, ancak kanuni bir zorunluluk varsa veya açık rıza alınmışsa mümkündür.

 D) Kurul Kararları ve Uygulama

Kişisel Verileri Koruma Kurumu’nun kararları, devralınan şirketin verilerinin hukuka uygun toplanmadığı durumlarda alıcı şirketin sorumluluğunu açıkça ortaya koymuştur.

4. Riskler Nelerdir?

Risk Alanı Açıklama
İdari Para Cezası Veri ihlali hâlinde 2 milyon TL’ye kadar ceza kesilebilir
Tazminat Davası İlgili kişiler, kişilik haklarının ihlali nedeniyle maddi-manevi tazminat talep edebilir
İtibar Kaybı Müşteri güveni kaybolur, medya ve sosyal mecralarda kriz oluşabilir
Sözleşme Fesihleri KVKK’ya aykırı veri kullanımı nedeniyle ticari sözleşmelerin feshi gündeme gelebilir
Faaliyet Durdurma Riski Sağlık, eğitim, finans gibi sektörlerde ciddi uyumsuzluk faaliyeti askıya alabilir

5. Kurgu Olay: “H Holding & N A.Ş. Satın Alması”

Olay Özeti:

H Holding, pazarlama yazılımları geliştiren N A.Ş.’yi satın alır. Satın alma öncesinde yalnızca finansal inceleme yapılır, veri işleme süreçlerine dair herhangi bir hukuki değerlendirme yapılmaz.

Satın Alma Sonrası Gelişmeler:

  1. Açık Rıza Yok:
    N’nin veri tabanında 300.000 kişiye ait e-posta ve telefon numarası bulunmaktadır. Ancak bu veriler için açık rıza alınmamıştır.

  2. Aydınlatma Metni Eksik:
    Kayıt esnasında müşterilere ne şekilde, ne amaçla veri işleneceği bilgisi sunulmamıştır.

  3. KVKK Şikâyeti:
    Eski bir müşteri, rızası olmaksızın kampanya mesajı aldığı gerekçesiyle KVKK’ya şikâyette bulunur.

  4. Kurul Kararı:
    KVKK Kurulu, veri tabanının tamamı için geçerli açık rıza ve aydınlatma olmadığına hükmeder ve alıcı şirket olan H Holding’e 1.750.000 TL idari para cezası uygular.

  5. Ticari İtibar Krizi:
    Olay basına yansır ve “veri ihlali yapan büyük holding” başlığıyla sektör güvenilirliği zedelenir. CRM yazılımı sözleşmeleri feshedilir.

6. Sözleşmesel Koruma Mekanizmaları

 1. Veri Uyum İncelemesi (Data Privacy Due Diligence)

Satın alma öncesinde:

  • Veri envanteri çıkarılmalı,

  • Açık rıza ve aydınlatma belgeleri kontrol edilmeli,

  • Üçüncü taraflarla yapılan veri paylaşım sözleşmeleri incelenmelidir.

2. Beyan ve Taahhüt Hükümleri

Satıcı; KVKK’ya uyumlu olduğunu, açık rıza alındığını ve veri güvenliği altyapısının sağlandığını sözleşmede açıkça beyan etmelidir.

3. Tazminat Maddeleri

İleride çıkabilecek bir ihlal hâlinde, doğacak tüm zarar ve cezalardan satıcının sorumlu olacağına ilişkin maddeler yazılmalıdır.

 4. Veri Ayıklama Koşulu

Alıcı, devralınan şirketin KVKK’ya uygun olmayan verileri silmesi veya anonim hâle getirmesi şartını koyabilir.

7. Pratik Öneriler

Öneri Açıklama
KVKK avukatı ile çalışın Satın alma sürecinde özel uzmanlığa sahip veri hukuku danışmanı sürece dahil edilmelidir.
Veri envanterini inceleyin Hangi veri kategorilerinin bulunduğu, bunların hukuki dayanakları belirlenmelidir.
Aydınlatma ve rıza belgelerini kontrol edin Şirketin tüm veri sahiplerine bu belgeleri sunup sunmadığı sorgulanmalıdır.
Yurt dışı aktarım var mı kontrol edin Veri aktarımı varsa açık rıza veya kurul izni var mı değerlendirilmelidir.

8. Sonuç: Veri, Yalnızca Bilgi Değil, Sorumluluktur

M&A işlemlerinde yalnızca bilanço değil, veri de devredilir. Fakat veri, doğru yönetilmediğinde ağır hukuki sonuçlar doğurur. Alıcı, “veriyle birlikte sorumluluğu da” satın alır.

Eğer KVKK uyumu incelenmeden işlem yapılırsa:

  • İdari cezalar,

  • Ticari sözleşme kayıpları,

  • Müşteri davaları,

  • Reputasyon çöküşü
    kaçınılmazdır.

Bu nedenle M&A süreçlerinde yapılması gereken şudur: Veriyi tanımla, sorumluluğu anla, sözleşmeyle güvence altına al.

Hukuk Fakültesi Öğrencisi Gamze Akbulut

, , , , , , , , ,

About Post Author

Leave a Reply

Open chat
Avukata İhtiyacım var
Powered by Joinchat
Merhaba
Hukuki Sorunuz nedir ?
Call Now Button