Selin ÖZBEK CITTONE Avukat / Yönetici Ortak
[email protected]
15 Ekim 2019
A-
A+
Yurtdışında yerleşik tüzel kişilerin Türkiye’de yer alan şubeleri ve irtibat bürolarının, Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca Veri Sorumluları Sicili’ne kayıt zorunlulukları olup olmadığı çok net değildi.
Kişisel Verilerin Korunması Kurulu (“Kurul”), kendisine bu konuyla ilgili gelen görüş talebi neticesinde, “Yurtdışında Yerleşik Tüzel Kişilerin Türkiye’deki Şubeleri ile İrtibat Bürolarının Sicile Kayıt Yükümlülüğü Hakkındaki Görüş Talebi” ile ilgili 23.07.2019 tarihli ve 2019/225 sayılı Kurul kararını 7 Ekim 2019 tarihinde yayınlamıştı.
Bu kararla, yurtdışında yerleşik tüzel kişilerin Türkiye’de yer alan şubelerinin, Türkiye’de yerleşik veri sorumlusu sayılacağı ve bu nedenle de Verbis’e kayıt yükümlülüğü altında olduklarına kanaat getirildi. İrtibat bürolarının ise Veri Sorumluları Sicili’ne kayıt olmaları gerekmiyor.
Konuya dair detaylı değerlendirmemizi bu yazımızda bulabilirsiniz. İngilizce blog yazımız için bakınız.
Yurtdışında Yerleşik Tüzel Kişiler
Kanun’da veri sorumlusu “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmaktadır. Tüzel kişi tanımı ise kamu kurumları, şirketler, dernekler veya vakıflar gibi kişileri de kapsamaktadır.
Kurul yayınladığı kararda, veri sorumlusunun tespiti için “kişisel verilerin ilk aşamada elde edilmesi ve bunun yasal dayanağı, hangi kişisel verilerin hangi amaçla işleneceği ve kişisel veri elde etme yöntemleri, işlenecek kişisel veri türleri, kimlerin kişisel verilerinin işleneceği, ilgili kişinin erişimi ve diğer hakların kullanılıp kullanılmadığı, kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı ve kişisel verilerin ne kadar süre muhafaza edileceği gibi hususlarda kimin karar verdiği”nin dikkate alınabileceğini tekrarladı. Buna ek olarak, merkez şirketten bağımsız olarak yürütülen kişisel veri işleme faaliyetlerin de veri sorumlusunun tespitte önemli olduğunu vurguladı.
Yurtdışında yerleşik veri sorumluları için bilindiği üzere, Kanun’un uygulaması açısından özel bir hüküm yok. Ancak yurtdışında yerleşik veri sorumlularının Veri Sorumluları Sicili’ne kaydı gerekmekte ve bu çerçevede Türkiye’de bir temsilci atamaları istenmekte. Yeri gelmişken yurtdışında yerleşik tüzel kişiler açısından Sicil’e kayıt yükümlülüğünün uzatıldığını ve son tarihin 31.12.2019 olduğunu hatırlatmakta fayda var.
Yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubeleri
Yayınlanan karar uyarınca, Kurul’un yurtdışında yerleşik tüzel kişilerin Türkiye’de bulunan şubelerinin, veri sorumlusu sıfatını haiz olup olmadıklarına ilişkin yaptığı değerlendirmede göz önünde bulundurduğu kriterler şu şekildedir:
GDPR’ın “Bölgesel kapsam” başlıklı (3) (1) maddesini hatırlayalım:
“Bu Tüzük, işlemenin Birlik dahilinde gerçekleştiğine bakılmaksızın, kişisel verilerin bir veri sorumlusunun veya veri işleyenin Birlik dahilindeki işletmesinin faaliyetleri kapsamında işlenmesine uygulanır.”
Kurul, belirtilen kriterleri kullanılarak şu önemli kanaatlere varıyor:
Ancak:
Bu nedenle Kurul, şubelerin kişisel veri işleme süreçleri bakımından merkezden bağımsız bir şekilde Türkiye’de veri sorumlusu kriterlerine uygun olarak hareket ettiğine kanaat getirerek, veri sorumlusu sayılmalarına ve buradan hareketle yurtdışında yerleşik tüzel kişilerin Türkiye’de bulunan şubelerinin de Veri Sorumluları Sicili’ne kayıt yükümlülüğü olduğuna karar veriyor.
Kurul kararında, genel olarak şubelerin kişisel verilerin işleme amaçlarını ve vasıtalarını belirlemesi ve veri kayıt sisteminin kurulması ile yönetilmesinden sorumlu oldukları varsayılmış ve Kanun ve Veri Sorumluları Sicili Hakkında Yönetmelik çerçevesinde veri sorumlusunun “tüzel kişiliğin bulunması” gereği, GDPR hükümleri dikkate alınarak, Veri Sorumluları Sicili’ne kayıt yükümlülüğü açısından geniş yorumlanmıştır.
Son olarak bu şubeler açısından Veri Sorumluları Sicili’ne kayıt yükümlülüğünün kriterleri korunmuştur. Buna göre Kurul’un 2018/88 ve 2019/265 sayılı kararı uyarınca “yıllık çalışan sayısı 50’de fazla” ve “yıllık mali bilanço toplamı 25 milyondan çok” olma kriterlerine bakılarak yapılacak olan bir değerlendirmeden sonra bu şartları sağlayan şubelerin Veri Sroumluları Sicili’ne kaydolması gerekmektedir.
Yurtdışında yerleşik tüzel kişilerin Türkiye’deki irtibat büroları
Kurul kararında irtibat büroları için şu değerlendirmeleri yapıyor:
Kısa Bir Değerlendirme
Kurul kararı, sonuç olarak sadece yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin Veri Sorumluları Sicili’ne kayıt olması gerektiğine kanaat getiriyor.
Şubelerin veri sorumlusu olabilecekleri yönünde Kurul'un bu değerlendirmesine bazı açılardan katılmakla birlikte, bir kaç hususun altını çizmek istiyoruz:
1) Kanun’un yurtdışında yerleşik veri sorumlularına uygulanması açısından Kanun, GDPR madde 3’te olduğu gibi bir çerçeve çizmemektedir. Bu nedenle, Kanun’un uygulaması açısından Veri Sorumluları Sicili’ne kayıt yükümlülüğünden kaynaklanan bir bölgesel kapsam ortaya çıkmaktadır. Bu ise, ciddi sıkıntılar yaratmaktadır.
2) GDPR madde 3 hükmü esasen, Avrupa Birliğinde yerleşik olmasa da veri sorumlusunun/veri işleyenin, Avrupa Birliği kapsamında bir işletmesinin veri işleme faaliyetinin olması nedeniyle (bir tüzel kişiliği olmasa da), ilgili işleme faaliyetleri açısından GDPR’a tabi kılmaktadır. Yani bu madde, veri sorumlusunu, “Birlik’teki işletmesi dolayısıyla” GDPR’a tabi kılmaktadır. Genel uygulama açısından ise, veri sorumlusunun tespiti, Kurul’un bu kararında da detaylı olarak açıklandığı üzere, “kontrol” kriterine bağlanmaktadır.
3) Bu noktada, Türkiye’deki tüm yabancı tüzel kişi şubelerinin, veri işleme faaliyetinin özelliklerine bakılmaksızın, genel prensiplere atıfla, kişisel veri işleme süreçleri bakımından merkezden bağımsız bir şekilde hareket ettiklerini varsaymak ne kadar doğru olacaktır?
Örneğin bankacılık, sigorta, havacılık vb regüle sektörlerde faaliyet gösteren şubeler açısından veri işleme faaliyetleri bakımından bağımsız oldukları söylenebilecek iken, regüle olmayan sektörlerde faaliyet gösteren ve tamamen yabancı ana şirketin talimatları ile hareket eden bir şube açısından bu geçerli olacak mıdır?
Şubeler her ne kadar, yerel organizasyonları açısından göreceli bir bağımsızlığa sahip olsalar da, esasen hukuki ilişki içine girdikleri kurumlar, müşteriler ve sair üçüncü taraflar açısından muhatap (yani nihai olarak sorumlu) merkez yani ana şirkettir. Kontrol de bu itibarla, prensip olarak, ana şirkettedir. Bu durumda, şubelerin merkezi temsile dair zaten var olan yetkileri dikkate alınarak, Veri Sorumluları Sicili’ne kayıt açısından zaten herhangi bir istisnaya tabi olmayan yabancı veri sorumlusunun (yani merkezin) Türkiye’deki şube tarafından temsilini zorunlu kılarak da amaca ulaşılabilir miydi? (Elbette bu noktada daha önce değindiğimiz gibi, regüle sektörler ya da veri işleme faaliyetleri dolayısıyla merkezden bağımsız hareket eden şubeleri ayrı tutmak gerekecektir.)
Bu konuda ortaya çıkabilecek yorumsal sıkıntının, şubelerin Veri Sorumluları Sicili’ne kayıt istisnası kapsamında “yıllık çalışan sayısı” ve “yıllık mali bilanço toplamı” na dair belirlenen kriterlere tabi tutulmuş olmaları sebebiyle pratikte çözümlenebilmesini umuyoruz.
4) Son olarak, veri sorumlusu olarak kabul edilecek şube ile yine veri sorumlusu olacak yabancı ana şirket (merkez) arasında verilerin aktarılması açısından nasıl bir ilişki kurulması gerekecektir? Zira zaten veri sahipleri açısından, yabancı veri sorumlusu şirket ile kurulan ilişki nedeniyle verilerin yurtdışında herhangi bir aktarım olmadan doğrudan işlenmesi söz konusudur. Bu itibarla, veri sahipleri verilerinin yabancı bir veri sorumlu tarafından işlendiğini bilerek bu ilişkiye girmektedir. Diğer yandan şube ile veri sahibi arasındaki ilişki (var ise) bu kapsamda nasıl değerlendirilecek ve şubenin ana şirkete veri aktarmak için rızaya dayanması ya da Kurul’dan izin alması mı gerekecektir?
Kurul’un en baştan beri, kararlarında AB düzenlemeleri ve özellikle de GDPR ile paralel yorumlar yapıyor olması ve bu noktada istikrarlı bir duruş sergilemesini son derece önemli ve bir o kadar da olumlu buluyoruz. Ancak bunun veri sorumluları açısından bir belirsizliğe neden olmaması gerektiğini düşünüyoruz. Bu yönde oluşabilecek tereddütlerin, başta Kanun değişikliği olmak üzere yeni yasal düzenlemeler veya Kurul kararları ile giderilecek olmasını umuyoruz.
[1] GDPR’ın 4 üncü maddesinin 7 inci fıkrasında veri sorumlusu (kontrolör); “yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır; söz konusu işleme amaçları ve yöntemlerinin Birlik ya da üye devlet hukukuna göre belirlenmesi durumunda, kontrolör veya kontrolörün belirlenmesine özgü kriterler Birlik ya da üye devlet hukukuna göre belirlenebilir” şeklinde tanımlanmıştır .
Yayınlara dön