Yurtdışında Yerleşik Tüzel Kişilerin Şubelerinin de Veri Siciline Kayıt Olması Gerekiyor

Yurtdışında yerleşik tüzel kişilerin Türkiye’de yer alan şubeleri ve irtibat bürolarının, Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca Veri Sorumluları Sicili’ne kayıt zorunlulukları olup olmadığı çok net değildi.

Kişisel Verilerin Korunması Kurulu (“Kurul”), kendisine bu konuyla ilgili gelen görüş talebi neticesinde, “Yurtdışında Yerleşik Tüzel Kişilerin Türkiye’deki Şubeleri ile İrtibat Bürolarının Sicile Kayıt Yükümlülüğü Hakkındaki Görüş Talebi” ile ilgili 23.07.2019 tarihli ve 2019/225 sayılı Kurul kararını 7 Ekim 2019 tarihinde yayınlamıştı.

Bu kararla, yurtdışında yerleşik tüzel kişilerin Türkiye’de yer alan şubelerinin, Türkiye’de yerleşik veri sorumlusu sayılacağı ve bu nedenle de Verbis’e kayıt yükümlülüğü altında olduklarına kanaat getirildi. İrtibat bürolarının ise Veri Sorumluları Sicili’ne kayıt olmaları gerekmiyor.

Konuya dair detaylı değerlendirmemizi bu yazımızda bulabilirsiniz. İngilizce blog yazımız için bakınız.

Yurtdışında Yerleşik Tüzel Kişiler

Kanun’da veri sorumlusu “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmaktadır. Tüzel kişi tanımı ise kamu kurumları, şirketler, dernekler veya vakıflar gibi kişileri de kapsamaktadır.

Kurul  yayınladığı kararda, veri sorumlusunun tespiti için  “kişisel verilerin ilk aşamada elde edilmesi ve bunun yasal dayanağı, hangi kişisel verilerin hangi amaçla işleneceği ve kişisel veri elde etme yöntemleri, işlenecek kişisel veri türleri, kimlerin kişisel verilerinin işleneceği, ilgili kişinin erişimi ve diğer hakların kullanılıp kullanılmadığı, kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı ve kişisel verilerin ne kadar süre muhafaza edileceği gibi hususlarda kimin karar verdiği”nin dikkate alınabileceğini tekrarladı. Buna ek olarak, merkez şirketten bağımsız olarak yürütülen kişisel veri işleme faaliyetlerin de  veri sorumlusunun tespitte önemli olduğunu vurguladı.  

Yurtdışında yerleşik veri sorumluları için bilindiği üzere, Kanun’un uygulaması açısından özel bir hüküm yok. Ancak yurtdışında yerleşik veri sorumlularının Veri Sorumluları Sicili’ne kaydı gerekmekte ve bu çerçevede Türkiye’de bir temsilci atamaları istenmekte. Yeri gelmişken yurtdışında yerleşik tüzel kişiler açısından Sicil’e kayıt yükümlülüğünün uzatıldığını ve son tarihin 31.12.2019 olduğunu hatırlatmakta fayda var.

Yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubeleri

Yayınlanan karar uyarınca, Kurul’un yurtdışında yerleşik tüzel kişilerin Türkiye’de bulunan şubelerinin, veri sorumlusu sıfatını haiz olup olmadıklarına ilişkin yaptığı değerlendirmede göz önünde bulundurduğu kriterler şu şekildedir:

• Kurul, merkez ve şube kavramlarına ilişkin olarak mevzuat hükümleri uyarınca yaptığı inceleme sonucunda şubenin, işletme politikası, kar ve zarar ile elde edilen hak ve üstlenilen borçlar bakımından merkeze bağlı olduğu sonucuna ulaşmıştır.
• Ancak Kurul; Türk Ticaret Kanun, Ticaret Sicili Yönetmeliği, Bankacılık Kanunu düzenlemelerini dikkate alarak şubelerin sicile kayıt yükümlülükleri olduğu, dış ilişkide bağımsız oldukları ve yönetim ayrılığı kuralı gereği merkezden ayrı bir yönetime sahip olmaları gerektiğini açıklamıştır.
• Diğer yandan, kararda, Avrupa Birliği Genel Veri Koruma Tüzüğünün (GDPR) bölgesel kapsam ile ilgili hükümlerine atıf yapılmakta ve veri sorumlusu tanımı bu çerçevede yorumlanmaktadır.

GDPR’ın “Bölgesel kapsam” başlıklı (3) (1) maddesini hatırlayalım:

“Bu Tüzük, işlemenin Birlik dahilinde gerçekleştiğine bakılmaksızın, kişisel verilerin bir veri sorumlusunun veya veri işleyenin Birlik dahilindeki işletmesinin faaliyetleri kapsamında işlenmesine uygulanır.”

• Kurul’a göre söz konusu hüküm uyarınca, GDPR hükümlerine tabi olmak için Avrupa Birliği içerisinde yer alan şube veya irtibat bürosunun kendisinin veri işleyip işlemediği önem arz etmiyor. Burada, Avrupa Birliği dışında bulunan şirketlerin, veri sorumlusu / veri işleyen olarak GDPR hükümlerine tabi olmasına ilişkin bir kriter olarak “işletme” kavramının dikkat çektiği vurgulanıyor. Yine GDPR’ın 4 üncü maddesinin 7 inci fıkrasındaki^[1] veri sorumlusu tanımına atıfta bulunularak, bu tanımın Kanun’da yer alan veri sorumlusu tanımı ile benzer şekilde ve daha kapsamlı olduğu açıklanıyor. Bu çerçevede “GDPR’ın sınır aşan şekilde uygulanmasına ilişkin olarak, yabancı veri sorumlusu / veri işleyen bir girişimin / oluşumun (şirket vb.), Avrupa Birliği’nde bulunan işletmesi aracılığıyla (bu işletmenin faaliyetleri çerçevesinde) GDPR hükümlerine tabi olması sonucu doğabilmektedir” deniliyor.

Kurul, belirtilen kriterleri kullanılarak şu önemli kanaatlere varıyor:

• Sicile kayıt yükümlülüğü için veri sorumlusu sıfatını taşımak gerektiğinde herhangi bir tereddüt yok. Başka bir deyişle gerçek veya tüzel bir kişiliğin bulunması şart.
• Yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin ise ayrı bir tüzel kişiliği olmadığı son derece açık.

Ancak:

• Bu şubeler, Türk Ticaret Kanunu uyarınca yerli ticari işletmeler gibi tescil oluyor ve
• GDPR’ın veri sorumlusu tanımı uyarınca, veri sorumlusu olmak için “tüzel kişi” olmanın şart olarak öngörülmüyor.

Bu nedenle Kurul, şubelerin kişisel veri işleme süreçleri bakımından merkezden bağımsız bir şekilde Türkiye’de veri sorumlusu kriterlerine uygun olarak hareket ettiğine kanaat getirerek,  veri sorumlusu sayılmalarına ve buradan hareketle yurtdışında yerleşik tüzel kişilerin Türkiye’de bulunan şubelerinin de Veri Sorumluları Sicili’ne kayıt yükümlülüğü olduğuna karar veriyor.

Kurul kararında, genel olarak şubelerin kişisel verilerin işleme amaçlarını ve vasıtalarını belirlemesi ve veri kayıt sisteminin kurulması ile yönetilmesinden sorumlu oldukları varsayılmış ve Kanun ve Veri Sorumluları Sicili Hakkında Yönetmelik çerçevesinde veri sorumlusunun “tüzel kişiliğin bulunması” gereği, GDPR hükümleri dikkate alınarak, Veri Sorumluları Sicili’ne kayıt yükümlülüğü açısından geniş yorumlanmıştır.

Son olarak bu şubeler açısından Veri Sorumluları Sicili’ne kayıt yükümlülüğünün kriterleri korunmuştur. Buna göre Kurul’un 2018/88 ve 2019/265 sayılı kararı uyarınca “yıllık çalışan sayısı 50’de fazla” ve “yıllık mali bilanço toplamı 25 milyondan çok” olma kriterlerine bakılarak yapılacak olan bir değerlendirmeden sonra bu şartları sağlayan şubelerin Veri Sroumluları Sicili’ne kaydolması gerekmektedir.  

Yurtdışında yerleşik tüzel kişilerin Türkiye’deki irtibat büroları

Kurul kararında irtibat büroları için şu değerlendirmeleri yapıyor:

• İrtibat büroları için ise aynı durum söz konusu değil.
• Bu bürolar, herhangi bir ticari faaliyette bulunmaya yetkili olmadığından ve haberleşme, bilgi sağlama, sosyal çalışmalar yapma gibi görevler yürüttüğünden şube olma özelliğine sahip değildir.
• Bu nedenle de yurtdışında yerleşik tüzel kişilerin Türkiye’deki irtibat bürolarının Veri Sorumluları Sicili’ne kayıt olma yükümlülüğü yoktur.

Kısa Bir Değerlendirme

Kurul kararı, sonuç olarak sadece yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin Veri Sorumluları Sicili’ne kayıt olması gerektiğine kanaat getiriyor.

Şubelerin veri sorumlusu olabilecekleri yönünde Kurul'un bu değerlendirmesine bazı açılardan katılmakla birlikte, bir kaç hususun altını çizmek istiyoruz:

1) Kanun’un yurtdışında yerleşik veri sorumlularına uygulanması açısından Kanun, GDPR madde 3’te olduğu gibi bir çerçeve çizmemektedir. Bu nedenle, Kanun’un uygulaması açısından Veri Sorumluları Sicili’ne kayıt yükümlülüğünden kaynaklanan bir bölgesel kapsam ortaya çıkmaktadır. Bu ise, ciddi sıkıntılar yaratmaktadır.

2) GDPR madde 3 hükmü esasen, Avrupa Birliğinde yerleşik olmasa da veri sorumlusunun/veri işleyenin, Avrupa Birliği kapsamında bir işletmesinin veri işleme faaliyetinin olması nedeniyle (bir tüzel kişiliği olmasa da), ilgili işleme faaliyetleri açısından GDPR’a tabi kılmaktadır. Yani bu madde, veri sorumlusunu, “Birlik’teki işletmesi dolayısıyla” GDPR’a tabi kılmaktadır. Genel uygulama açısından ise, veri sorumlusunun tespiti, Kurul’un bu kararında da detaylı olarak açıklandığı üzere, “kontrol” kriterine bağlanmaktadır.

3) Bu noktada, Türkiye’deki tüm yabancı tüzel kişi şubelerinin, veri işleme faaliyetinin özelliklerine bakılmaksızın, genel prensiplere atıfla, kişisel veri işleme süreçleri bakımından merkezden bağımsız bir şekilde hareket ettiklerini varsaymak ne kadar doğru olacaktır?

Örneğin bankacılık, sigorta, havacılık vb regüle sektörlerde faaliyet gösteren şubeler açısından veri işleme faaliyetleri bakımından bağımsız oldukları söylenebilecek iken, regüle olmayan sektörlerde faaliyet gösteren ve tamamen yabancı ana şirketin talimatları ile hareket eden bir şube açısından bu geçerli olacak mıdır?

Şubeler her ne kadar, yerel organizasyonları açısından göreceli bir bağımsızlığa sahip olsalar da, esasen hukuki ilişki içine girdikleri kurumlar, müşteriler ve sair üçüncü taraflar açısından muhatap (yani nihai olarak sorumlu) merkez yani ana şirkettir. Kontrol de bu itibarla, prensip olarak, ana şirkettedir. Bu durumda, şubelerin merkezi temsile dair zaten var olan yetkileri dikkate alınarak, Veri Sorumluları Sicili’ne kayıt açısından zaten herhangi bir istisnaya tabi olmayan yabancı veri sorumlusunun (yani merkezin) Türkiye’deki şube tarafından temsilini zorunlu kılarak da amaca ulaşılabilir miydi? (Elbette bu noktada daha önce değindiğimiz gibi, regüle sektörler ya da veri işleme faaliyetleri dolayısıyla merkezden bağımsız hareket eden şubeleri ayrı tutmak gerekecektir.)

Bu konuda ortaya çıkabilecek yorumsal sıkıntının, şubelerin Veri Sorumluları Sicili’ne kayıt istisnası kapsamında “yıllık çalışan sayısı” ve “yıllık mali bilanço toplamı” na dair belirlenen kriterlere tabi tutulmuş olmaları sebebiyle pratikte çözümlenebilmesini umuyoruz.

4) Son olarak, veri sorumlusu olarak kabul edilecek şube ile yine veri sorumlusu olacak yabancı ana şirket (merkez) arasında verilerin aktarılması açısından nasıl bir ilişki kurulması gerekecektir? Zira zaten veri sahipleri açısından, yabancı veri sorumlusu şirket ile kurulan ilişki nedeniyle verilerin yurtdışında herhangi bir aktarım olmadan doğrudan işlenmesi söz konusudur. Bu itibarla, veri sahipleri verilerinin yabancı bir veri sorumlu tarafından işlendiğini bilerek bu ilişkiye girmektedir. Diğer yandan şube ile veri sahibi arasındaki ilişki (var ise) bu kapsamda nasıl değerlendirilecek ve şubenin ana şirkete veri aktarmak için rızaya dayanması ya da Kurul’dan izin alması mı gerekecektir?

Kurul’un en baştan beri, kararlarında AB düzenlemeleri ve özellikle de GDPR ile paralel yorumlar yapıyor olması ve bu noktada istikrarlı bir duruş sergilemesini son derece önemli ve bir o kadar da olumlu buluyoruz. Ancak bunun veri sorumluları açısından bir belirsizliğe neden olmaması gerektiğini düşünüyoruz. Bu yönde oluşabilecek tereddütlerin, başta Kanun değişikliği olmak üzere yeni yasal düzenlemeler veya Kurul kararları ile giderilecek olmasını umuyoruz.

[1] GDPR’ın 4 üncü maddesinin 7 inci fıkrasında veri sorumlusu (kontrolör); “yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır; söz konusu işleme amaçları ve yöntemlerinin Birlik ya da üye devlet hukukuna göre belirlenmesi durumunda, kontrolör veya kontrolörün belirlenmesine özgü kriterler Birlik ya da üye devlet hukukuna göre belirlenebilir” şeklinde tanımlanmıştır .