Özet: Kişisel Verileri Koruma Kurulu, yurt dışında yerleşik tüzel kişilerin Türkiye'deki şubeleri ile irtibat bürolarının sicile kayıt yükümlülüğü hakkında aldığı kararı yayımladı.
Açıklamalar
Kişisel Verileri Koruma Kurumu'na iletilen; yurtdışında yerleşik tüzel kişilerin Türkiye'de işlemekte oldukları kişisel veriler nedeniyle;
- yurtdışında yerleşik tüzel kişilerin,
- yurtdışında yerleşik tüzel kişilerin Türkiye'deki şubelerinin, ve
- yurtdışında yerleşik tüzel kişilerin Türkiye'deki irtibat bürolarının
6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun")'na göre veri sorumlusu sıfatına haiz olup olmayacağı ve bu nedenle Veri Sorumluları Sicili ("Sicil")'ne kayıt yükümlülüklerinin olup olmadığı hususunda Kurum'a iletilen görüş talepleri neticesinde Kurul söz konusu Kararı almıştır.
- Yurt dışında yerleşik tüzel kişiler bakımından:
Kurul Kararı'nda, Kanun kapsamında "veri sorumlusu" sıfatının belirlenebilmesi için;
- veri sorumlusu tanımında yer alan kişisel verilerin işleme amaçlarını ve vasıtalarını belirleme,
- veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olma
- ve ayrı bir gerçek veya tüzel kişi olma kriterleriyle birlikte,
- kişisel verilerin ilk aşamada elde edilmesi ve bunun yasal dayanağı,
- hangi kişisel verilerin hangi amaçla işleneceği ve kişisel veri elde etme yöntemleri,
- işlenecek kişisel veri türleri,
- kimlerin kişisel verilerinin işleneceği,
- ilgili kişinin erişimi ve diğer hakların kullanılıp kullanılmadığı,
- kişisel verilerin paylaşılıp paylaşılmayacağı,
- paylaşılacaksa kimlerle paylaşılacağı ve kişisel verilerin ne kadar süre muhafaza edileceği gibi hususlarda kimin karar verdiğinin,
dikkate alınması gerektiği belirtilmiştir.
- Yurt dışında yerleşik tüzel kişilerin Türkiye'deki şubeleri bakımından,
6102 sayılı Türk Ticaret Kanunu, 5174 sayılı Türkiye Odalar ve Borsalar Birliği ile Odalar ve Borsalar Kanunu, 5411 sayılı Bankacılık Kanunu ve Ticaret Sicili Yönetmeliği hükümleri kapsamında bir yerin şube sayılabilmesi için merkeze bağımlı olma, dış ilişkilerde bağımsızlık, yer ve yönetim ayrılığı gibi kriterlere de bakılması gerektiği ifade edilmiştir.
Merkeze bağımlı olma nedeniyle şubenin, merkezden ayrı bir işletme politikası olamayacağı, şubenin kâr ve zararının merkeze ait olduğu; şube aracılığıyla elde edilen hakların, üstlenilen borçların sahibinin de şube değil merkez olduğu belirtilmiştir. Ayrıca şube, ancak merkez nam ve hesabına üçüncü kişilerle iş ve işlem yaptığından hak ve yükümlülüklerin muhatabının da merkez olduğu ve bu bağlamda, merkez ile şube iktisadi bir bütün oluşturarak ortak bir işletme politikası yürütüldüğü ifade edilmiştir.
Bu hususlara ek olarak, Avrupa Birliği Genel Veri Koruma Tüzüğünün ("GDPR") 3. maddesinin 1 numaralı fıkrasında "Bu Tüzük, işlemenin Birlik dahilinde gerçekleştiğine bakılmaksızın, kişisel verilerin bir veri sorumlusunun veya veri işleyenin Birlik dahilindeki işletmesinin faaliyetleri kapsamında işlenmesine uygulanır." düzenlemesinin bulunduğu ve söz konusu hükme göre, Avrupa Birliği'nde ("AB") bulunan şubenin/irtibat bürosunun kendisinin veri işleyip işlemediğinin önemli olmadığı belirtilmiştir. Yabancı şirketin, AB'de bulunan şubesinin/irtibat bürosunun faaliyetleri çerçevesinde veri işleme faaliyeti gerçekleştirdiği takdirde GDPR hükümlerine tabi olacağı ve bu kapsamda, AB'de bulunan işletme ile AB dışında bulunan veri sorumlusunun veri işlemesi arasında açık bir bağ olduğunun tespit edilmesi halinde; AB dışında bulunan veri sorumlusunun GDPR hükümlerine tabi olacağı sonucuna varıldığı belirtilmiştir.
Bu kapsamda, AB dışında bulunan şirketlerin, veri sorumlusu/veri işleyen olarak GDPR hükümlerine tabi olmasına ilişkin bir kriter olarak "işletme" kavramı dikkat çekmektedir. Yani GDPR'ın sınır aşan şekilde uygulanmasına ilişkin olarak, yabancı veri sorumlusu / veri işleyen bir girişimin / oluşumun (şirket vb.), AB'de bulunan işletmesi aracılığıyla (bu işletmenin faaliyetleri çerçevesinde) GDPR hükümlerine tabi olması sonucu doğabilmektedir.
Yine GDPR'ın 4 üncü maddesinin 7 inci fıkrasında veri sorumlusu (kontrolör); "yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır; söz konusu işleme amaçları ve yöntemlerinin Birlik ya da üye devlet hukukuna göre belirlenmesi durumunda, kontrolör veya kontrolörün belirlenmesine özgü kriterler Birlik ya da üye devlet hukukuna göre belirlenebilir" şeklinde tanımlanmıştır.
Bu açıdan değerlendirildiğinde, Kurul, yurt dışında yerleşik tüzel kişilerin Türkiye'deki şubelerinin ayrı bir tüzel kişilikleri bulunmasa da Türk Ticaret Kanunu'nun 40. maddesine göre şubelerin yerli ticari işletmeler gibi tescil oldukları ve GDPR'ın 4. maddesindeki veri sorumlusu olma kriterleri arasında "tüzel kişi" olmanın şart olarak öngörülmediği göz önünde bulundurulduğunda, kişisel veri işleme süreçleri bakımından merkezden bağımsız bir şekilde Türkiye'de veri sorumlusu kriterlerine uygun olarak hareket eden bu şubelerin veri sorumlusu sayılacağını belirtmiştir.
- Yurt dışında yerleşik tüzel kişilerin Türkiye'deki irtibat büroları açısından;
4875 sayılı Doğrudan Yabancı Yatırımlar Kanununda yabancı yatırımlar ile ilgili düzenlenmeler bulunmakta olup bu doğrultuda, doğrudan yabancı yatırıma ilişkin esaslar arasında, yatırım planlanan ülkeye irtibat bürosu kurmanın da yer aldığı, ve
Aynı kanunun Uygulama Yönetmeliğinin 6. maddesinin 1. fıkrasında "Bakanlık, yabancı ülke kanunlarına göre kurulmuş şirketlere, Türkiye'de ticari faaliyette bulunmamak kaydıyla irtibat bürosu açma izni vermeye ve bu izinlerin süresini uzatmaya yetkilidir." düzenlemesine yer verildiği ifade edilmiştir.
Kurul bu kapsamda, konu hakkında yapmış olduğu değerlendirmeler sonucunda;
- Türkiye'de doğrudan veya şubeleri aracılığıyla kişisel veri işleme faaliyetinde bulunan yurt dışında yerleşik veri sorumlularının Sicil'e kayıt olmalarının gerektiğine,
- Yurt dışında yerleşik tüzel kişilerin Türkiye'deki şubelerinin, Kanun'da yer alan veri sorumlusu tanımı gereği kişisel verilerin işleme amaçlarını ve vasıtalarını belirlemesi ve veri kayıt sisteminin kurulması ile yönetilmesinden sorumlu olması halinde yurt dışında yerleşik tüzel kişiden ayrı olarak Türkiye'de yerleşik veri sorumlusu olarak değerlendirileceğine, bu durumda olan yurt dışında yerleşik tüzel kişilerin Türkiye'deki şubeleri için Kişisel Verileri Koruma Kurulunun 2018/88 sayılı ve 2019/265 sayılı kararlarında yer alan "yıllık çalışan sayısı" ve "yıllık mali bilanço toplamı" kriterleri açısından yapılacak değerlendirme sonucunda Sicile kayıt yükümlülüğü bulunup bulunmadığına karar verileceğine, bu durumda olmayan yurt dışında yerleşik tüzel kişilerin Türkiye'deki şubelerinin ise Sicil'e kayıt yükümlülüğünün bulunmadığına,
- Türkiye'de irtibat bürosu açılabilmesi için şirket tüzel kişiliklerinin yabancı ülke kanunlarına göre kurulması ve kurulan irtibat bürolarının Türkiye'de ticari faaliyette bulunma hak ve yetkilerinin bulunmaması ve şube özellikleri bulunmadığı hususu dikkate alındığında söz konusu irtibat bürolarının Sicil'e kayıt olma yükümlülüğünün bulunmadığına,
karar vermiştir.
Kurulu'un ilgili kararına bu linkten ulaşabilirsiniz.
Saygılarımla,