Türk Ticaret Kanunu’nda(TTK) düzenlenmiş olan ticaret şirketleri, tüzel kişiliği haiz olduğundan yönetimi ve temsili, organları aracılığıyla yapılır. Organların tüm iş ve işlemleri tüzel kişiliği bağlarken organları oluşturan kişilerin kendi kusurları halinde kişisel sorumlulukları doğar. Ticaret şirketlerinden biri olan anonim şirketin yönetimle yetkili ve görevli olan organı yönetim kuruludur. Yönetim kurulu, genel kurul tarafından seçimle belirlenir.

TTK m.365’e göre, anonim şirket, yönetim kurulunun işlemleriyle borç veya alacak sahibi olabilir. Yönetim kurulu onun temsil organıdır ve yönetim kurulu üyelerinin şirketi idare ve temsile ilişkin işlemleri yaparken üçüncü kişiye karşı işledikleri haksız fiillerden bile m.371’e göre, rücu hakkı saklı kalarak şirket sorumludur.

Yönetim kurulunun yetkisi, TTK’de, genel kurula bırakılan işlerin dışlanması suretiyle tanımlanmıştır. Buna göre, yönetim kurulu kanun, esas sözleşme ya da yönetim tarafından genel kurula bırakılmamış olan işler hakkında karar almaya yetkilidir. Ayrıca yine aynı kanunda, yönetimin devredilemez yetki ve görevleri olduğu ile bunların neler olduğu düzenlenmiştir.

Anonim şirket, Kişisel Verilerin Korunması Kanunu’na(KVKK) göre veri sorumlusudur. Bu kanunda veri sorumlusu, Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Buna göre, anonim şirketin herhangi bir organı değil, kendisi veri sorumlusudur ve KVKK’de veri sorumlusuna bazı sorumluluklar yüklenmiştir. Peki, anonim şirketi yönetim ve temsile yetkili olan yönetim kurulu, KVKK’den doğan ihlallerden sorumlu mudur?

Yönetim kurulu üyeleri, kendi kusurlarıyla kişisel verileri hukuka aykırı olarak işlediklerinde, her ne kadar tüzel kişinin organı olarak hareket ediyor olsalar da kişisel sorumlulukları doğacaktır. Bu husus, Türk Medeni Kanunu’nda ve Türk Ticaret Kanunu’nun 553.maddesinde açıkça belirtilmiştir. Buna göre, yönetim kurulu üyelerinin sorumluluğunun doğması için hafif kusur bile yeterli olacaktır.

Yukarıda, yönetim kurulunun bazı yetki ve görevlerini devredemeyeceğinden söz edilmişti. TTK m.375’te düzenlenen bu devredilemez görevler incelendiğinde yönetim kurulunun KVKK uyum süreçlerini yürütme ve veri işleme yetkilerini TTK m.367’ye göre devretmeye yetkili kılınabileceği anlaşılmaktadır. Yönetim kurulu, bu yetkilerini devrettiği kişilerin seçiminde makul özeni gösterdiği müddetçe yetkileri devralan kişilerin kusurundan sorumlu olmayacaktır. Ancak burada önemli bir hususa değinmek gerekir. Yönetim kurulunun devredilemez yetkileri arasında “Yönetimle görevli kişilerin, özellikle kanunlara, esas sözleşmeye, iç yönergelere ve yönetim kurulunun yazılı talimatlarına uygun hareket edip etmediklerinin üst gözetimi.”düzenlenmiştir. Bu bağlamda, yönetim kurulu KVKK’ye uyum süreçlerinin gözetiminden, devretme olanağı olmaksızın sorumludur. Böylece, olası bir aykırılıkla karşılaşırsa müdahale etme olanağına sahip olacaktır. Yönetim kurulu, KVKK’dan doğan sorumlulukları yerine getirmekle yetkili kıldığı kişilerin kanuna ve sayılanlara uygun hareket edip etmediklerini gözetme görevini aksatırsa bu kişilerin yetkilendirildiği alandaki hukuka aykırılıklardan sorumlu olacaktır. Ancak TTK m.553/3’te düzenlendiği üzere, kimse kontrolü dışında kalan, kanuna veya esas sözleşmeye aykırılıklar veya yolsuzluklar sebebiyle sorumlu tutulamaz. Bu bağlamda, yönetim kurulunun gözetimine rağmen tespit edilemeyecek hukuka aykırılıklardan sorumlu olması söz konusu olmayacaktır.

Ayrıca, TTK’de yönetim kurulu ve yönetimle görevli üçüncü kişilerin özen yükümlülüğünden söz edilmiştir. Buna göre, yönetim kurulu ve yönetimle yetkili olanlar, görevlerini “tedbirli bir yöneticinin özeniyle yerine getirmek ve şirketin menfaatlerini dürüstlük kurallarına uyarak gözetmek” ile yükümlüdür. Ticaret hukuku bakımından özen yükümlülüğünün farklı görünümleri olsa da KVKK bağlamında,  Kişisel Verileri Koruma Kurumu’nun kişilere yol göstermek amacıyla web sitesinde yayımladığı içerikler öne çıkmaktadır. Burada, veri işlemeyle alakalı olarak çeşitli rehberler, Kişisel Verileri Koruma Kurulu’nun şikayetlere ilişkin kararları ile ilke kararları yer almaktadır. Bunlar, herkesin erişime açıktır ve herkesin anlayabileceği açık bir dille yazılmıştır.  İçerikleri anlayabilmek için hukuk bilgisi veya herhangi bir teknik bilgiyi haiz olmaya gerek yoktur. Kurum, veri sorumlularının KVKK uyum süreçlerinde onlara yol göstermek ve bu süreci kolaylaştırmayı amaçlamaktadır. Adeta, veri sorumlularının uygulamaya yönelik yapmaları gereken ön araştırma/çalışmayı onlara sunmaktadır. Bu içeriklerden faydalanarak sağlanan asgari uyum bile Kurum nezdinde özen yükümlülüğünün yerine getirildiğine dair bir izlenim yaratacaktır.

Faydalanılan kaynaklar :

ŞENER, O. H. (2017). Anonim Ortaklıkta Yönetim Kurulu. Teorik ve Uygulamalı Ortaklıklar Hukuku Ders Kitabı. Ankara: Seçkin Yayıncılık.

İZMİRLİ, Y. (2000). ŞİRKETLER HUKUKUNDA SORUMLULUK İLİŞKİLERİ VE ANONİM ŞİRKETLERDE SINIRLI SORUMLULUK. MEVZUAT DERGİSİ, (33).

UYSAL, L. (2009). 6762 SAYILI TÜRK TİCARET KANUNU VE TÜRK TİCARET KANUNU TASARISI KAPSAMINDA ANONİM ŞİRKETLERDE YÖNETİM KURULU VE YÖNETİM KURULU ÜYELERİNİN HUKUKİ SORUMLULUĞU -II. TBB Dergisi, (81).