Site Search Site Search

Menu

Medya

Sonuçlar yükleniyor

Yurtdışında Yer Alan Yabancı Finansal Kuruluşların 6698 Sayılı Kişisel Verilerin Korunması Kanunu Karşısındaki Pozisyonu

Öykü Okyay

I. GİRİŞ

Küreselleşme kavramıyla birlikte ticari iş ve işlemler de başka bir boyuta taşınmaya devam ediyor. Yurtdışında yer alan finansal kuruluşlar dahil çoğu kuruluş, yalnızca kendi ülke ve bölgelerinde değil, dünyanın her yerinde faaliyet gösterme arayışına girdi. Yabancı finansal kuruluşların (bankalar, ödeme kuruluşları vb.) ise ülkemizde çoğunlukla şubeleri, irtibat büroları ve iştirakleri aracılığıyla faaliyet gösterdiğini gözlemliyoruz.

Küreselleşme etkilerinin yoğunlaştığı günümüzde, gerçek kişilere ait verilerin kullanımı tabii ki kaçınılmaz hale geliyor. Türkiye, nihayet 2016 yılında kişisel verilerin korunmasına ilişkin olarak ilk mevzuatını yayımladı. Avrupa Birliği’nin 95/46/EC sayılı Direktifi[1] esas alınarak hazırlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”), yayımlandığı tarihte çoğu hususta (ve hatta hala bazı konularda) belirsizlikler içerse de Kanun akabinde yayımlanan ikincil mevzuatlar, rehberler ve talepler doğrultusunda, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından alınan emsal kararlar ile bu belirsizliklerin bir ölçüde giderilmesi amaçlanıyor.

Yurtdışında yerleşik kuruluşlar da (halen) KVKK kapsamında olup olmadıkları konusunda tereddüt yaşıyor. KVKK’nın aksine bu hususta AB Genel Veri Koruma Regülasyonu (“GDPR”)’nda hükümler yer almakla birlikte GDPR’ın kapsamı hakkında Avrupa Veri Koruma Kurulu (“EDPB”) tarafından yayımlanmış ayrıntılı rehberler de mevcut. GDPR ve EDPB rehberleri çerçevesinde veri işleme Avrupa Birliği (“AB”) içerisinde gerçekleşsin ya da gerçekleşmesin, bazı durumlarda GDPR’a tabi olunacağı açıkça belirtiliyor. Bu kapsamda örneğin, AB içerisinde kurulmamış olsa dahi ilgili kuruluşun faaliyetleri ile AB’de yer alan ilişkili kuruluşun faaliyetlerinin ayrılmaz bir şekilde bağlantılı olması, bu kuruluşun AB’de bulunan kişilere mal ve hizmet sunması veya hizmet sunmasa da bu kişilere ait davranışların izlenmesi gibi durumlarda GDPR’a tabi olunması söz konusu. Ancak tabi ki bazı somut olaylar göz önüne alındığında istisnalar da bulunabiliyor.

Türkiye’de yer alan uygulamalara baktığımızda ise yurtdışında yerleşik kuruluşların ne ölçüde KVKK kapsamına girdiğine ilişkin bir düzenlemenin mevzuatta ve ikincil düzenlemelerde açıkça yer almadığını görüyoruz. Bununla birlikte Kanun’un veri sorumlusu ve veri işleyen tanımları göz önüne alınarak ilgili kuruluşların Kanun’a tabi olup olmadığına ilişkin bir yorum yapmak mümkün. Öte yandan bu yorumu yaparken aşağıda da değindiğimiz üzere “ilgili kişi”lerin tespiti çok önemli. “ilgili kişi” tanımına ilişkin detayların Kurul tarafından bilinçli olarak mı düzenlenmediği de bir merak konusu olmakla birlikte belirsizliklere de yol açmaya devam ediyor.

Bu yazımızda yurtdışında yer alan yabancı finansal kuruluşların, bu kuruluşların Türkiye’deki şubelerinin, irtibat bürolarının ve iştiraklerinin KVKK karşısındaki pozisyonuna ve alması gereken aksiyonlara bazı örneklerle kısaca değineceğiz.

II. Veri Sorumlusu-Veri İşleyen Açısından İnceleme

Kanun’da veri sorumlusu “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler” olarak tanımlanıyor ve Kanun kapsamındaki neredeyse tüm yükümlülükler veri sorumlularına yükleniyor. Bu nedenle yurtdışında yer alan yabancı finansal kuruluşlar ile şubeleri, irtibat büroları ve iştiraklerinin veri işleyen mi veri sorumlusu mu olduğunu tespit etmek büyük önem taşıyor.

a) Yurtdışında yerleşik finansal kuruluş açısından

Sektörde sıkça karşımıza çıktığı üzere yurtdışında faaliyet gösteren bir finansal kuruluş, Türkiye’de yer alan bir iştiraki yahut şubesi vasıtasıyla faaliyet gösterdiğinde bazı hususlara dikkat çekmek gerekiyor. Özellikle Türkiye’de yer alan iştiraklere (ya da Kurul’un aşağıda değineceğimiz 23 Temmuz 2019 tarihli kararında şubelerin de veri sorumlusu olabileceği hususu dikkate alınarak şubelere) ilişkin iş başvurularının web siteleri yahut kariyer siteleri aracılığıyla global şirket üzerinden yürütülmesi durumunda her ne kadar verileri global şirket topluyor ve Türkiye’de yer alan iştirak bu verileri doğrudan elde etmiyor gibi görünse dahi, iş başvurusunu yapan kişilerin Türkiye’deki şirkete yahut şubeye ilişkin bir başvuru yaptıkları aşikâr. Bu nedenle hem yurtdışındaki finansal kuruluşun (kişisel verilerin işleme amaç ve vasıtalarını belirlemesi ve veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olması nedeniyle), hem de Türkiye’deki iştirakinin/şubesinin (ilgili veri işlemenin kendi süreçlerine ilişkin olmasından dolayı) KVKK çerçevesinde veri sorumlusu olarak nitelendirilerek, bu sürece ilişkin KVKK kapsamındaki yükümlülüklerini yerine getirmelerinde fayda bulunuyor. Bu gibi durumlarda yurtdışına veri aktarımı yapıldığı kabul edilerek, henüz güvenli ülkeler listesi Kurul tarafından yayımlanmamış olsa da aynı grup içinde yer alan kuruluşlar arasında (güvenli olmayan ülkelerde yer alan yurtdışında yerleşik finansal kuruluş) yapılacak veri aktarımları açısından bağlayıcı şirket kurallarına ilişkin duyurunun[2] dikkate alınarak yurtdışındaki finansal kuruluş ile veri aktarımı yapılması gerekebileceğinin göz önünde tutulmasında fayda var. Ancak Kurul karar ve duyurularında yer alan ve güvenli olmayan ülkelerdeki kuruluşlara yapılacak veri aktarımlarına ilişkin bağlayıcı şirket kuralları, veri sahiplerinden veri aktarımına ilişkin açık rıza alınması durumunda gündeme gelmiyor. Bununla birlikte açık rıza alınsa dahi verilerin aktarıldığı karşı tarafın verilerin işlenmesine ilişkin yükümlülüklerinin belirlenmesi adına Kurul tarafından yayımlanan taahhütnameler[3] benzeri sözleşmelerin (Kurul onayı alınmayacak olsa da) imzalanması tercih edilebiliyor. Öte yandan, mevcut durumda taahhütnamelere ve bağlayıcı şirket kurallarına ilişkin başvuruların Kurul tarafından onaylandığı bir örnek henüz mevcut değil. Bu durum dikkate alınarak, tam anlamıyla hukuka uygun veri aktarımı yapabilmek adına taahhütnameler ve bağlayıcı şirket kuralları Kurul tarafından onaylanmaya başlayana kadar veri sahiplerinden açık rıza alınması belki de şu an için en doğru seçenek gibi gözüküyor. Ancak Kanun’da yer alan istisnalara dayanılarak veri aktarımı yapılabiliyor ise gereksiz yere açık rıza alınarak veri aktarımı yapılması Kurul tarafından da eleştiri konusu yapılabilir. Bu hususların bir an önce aydınlatılmasının yerinde olacağını düşünüyoruz.

Bir diğer örnek ise yurtdışında yer alan finansal kuruluşların Türkiye’de doğrudan veri işleme faaliyetinde bulunması.  Buna örnek ve GDPR mantığıyla da bir nebze paralel olarak ilgili kişilere (veri sahiplerine) ilişkin pazarlama faaliyetleri gösterilebilir. Yabancı finansal kuruluşların Türkiye’deki müşterileri hedef alarak herhangi bir pazarlama faaliyetinde bulunması durumunda veri sorumlusu olarak kabul edilmeleri gerekiyor.

KVKK kapsamında ilgili kişiler “kişisel verileri işlenen gerçek kişiler” olarak belirtiliyor ve ilgili kişilere ilişkin başkaca ayırıcı bir kıstas verilmiyor. Kanun’da, “ilgili kişi” ifadesinin mukimlik, vatandaşlık, veri işleme esnasında sınırlar içerisinde bulunma, sınırlar içerisinde bulunmasa dahi ilgili kişiye ilişkin veri işlemenin Türkiye’de gerçekleşmesi yahut başkaca bir kıstas ile açıkça belirlenebilme imkânı bulunmadığından her somut durumun ayrıca değerlendirilmesi gerekiyor. Örneğin, turistik gezi amacıyla Türkiye’ye gelen bir turistin, Türkiye sınırları içerisinde internet üzerinden yurtdışında bulunan bankasına ilişkin iş ve işlemleri gerçekleştirilmesi nedeniyle verilerinin işlenmesi durumunda yurtdışında bulunan bankanın, sırf veri sahibinin Türkiye’de bulunması nedeniyle KVKK kapsamına girmemesi gerektiğinin de savunulması gerekiyor. Bu çerçevede GDPR’da yer alan kapsama ilişkin düzenlemeler baz alınarak bu gibi hususların KVKK’da ve çıkarılacak aydınlatıcı rehberler ile açığa kavuşturulması önem arz ediyor.

Öte yandan, veri işleyen ise Kanun’da “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiler” olarak tanımlanmakta. Yurtdışındaki finansal kuruluşun Türkiye’de bir iştiraki yahut şubesi vasıtasıyla faaliyet gösterdiği durumlarda, veri sorumlusu iştirakin/şubenin yurtdışındaki ana finansal kuruluşu yalnızca bilgilendirmek amacıyla veri aktarması sıkça karşılaşılan durumların başında geliyor. Bu süreç açısından yurtdışındaki kuruluşların, verilerin işleme amaçlarını ve vasıtalarını belirlemediği durumlarda veri işleyen olarak adlandırılması daha doğru görünüyor. Ancak bu bilgilendirme global politikalara uyum çerçevesinde ve yurtdışında yer alan finansal kuruluşun talimatları kapsamında gerçekleşiyorsa bu durumda yurtdışındaki ana finansal kuruluşa yapılacak aktarımlar açısından finansal kuruluşun veri sorumlusu olarak addedilebileceğini unutmamak gerek. Bu durumlarda da yine aynı grup içinde yer alan kuruluşlar arasında yapılacak veri aktarımları açısından bağlayıcı şirket kuralları kapsamında yurtdışındaki finansal kuruluş ile veri aktarımı yapılması veya bir veri işleme şartına dayanılamaması halinde açık rıza alınması gerekebileceği unutulmamalıdır.

b) Türkiye’deki şubeler ve irtibat büroları açısından

Kurul’un 23 Temmuz 2019 tarihli kararı[4] ile yurtdışında yerleşik tüzel kişilerin şubelerinin ve irtibat bürolarının pozisyonuna ilişkin olarak uygulamada sorun yaratan hususların bir nebze de olsa giderilmesinin amaçlandığını görüyoruz.

Yurtdışında yerleşik tüzel kişilerin şubelerine ilişkin olarak ilginç bir şekilde Kanun’un lafzına bir istisna getirilmiş oldu. Veri sorumlusu Kanun’da gerçek veya tüzel kişi olarak tanımlanmış iken, her ne kadar şubelerin bir tüzel kişiliği olmasa dahi kişisel veri işleme süreçleri bakımından merkezden bağımsız bir şekilde Türkiye’de veri sorumlusu kriterlerine uygun olarak[5] hareket eden şubelerin veri sorumlusu olarak kabul edileceği belirtildi. Ancak burada dikkat edilmesi gereken husus şubelerin veri sorumlusu olma kriterlerini sağlıyor olması. Örneğin, şubenin merkezden bağımsız bireysel ya da kurumsal müşterilere hizmet vermesi ve bu aktivitelerini yurtdışındaki merkezine raporluyor olması gibi veri işleme süreçlerinde şubenin veri sorumlusu olduğunun kabulü gerekecek.

Burada ayrıca belirtmekte fayda var ki, bazı görüşler çerçevesinde 6102 sayılı Türk Ticaret Kanunu’nun 40/4[6] maddesi referans gösterilerek şubelerin tüzel kişiliği haiz olduğunu savunan doktrindeki görüşlerin yanında, şubelerin tüzel kişiliği haiz olmadığına ilişkin Yargıtay kararları da yer alıyor.[7]

Öte yandan, yurtdışında kurulu finansal kuruluşlar, 4875 sayılı Doğrudan Yabancı Yatırımlar Kanunu ve Doğrudan Yabancı Yatırımlar Kanunu Uygulama Yönetmeliği ile yurtdışında kurulu finansal kuruluşların banka olması durumunda 5411 sayılı Bankacılık Kanunu, Bankaların İzne Tabi İşlemleri ile Dolaylı Pay Sahipliğine İlişkin Yönetmelik ve Türkiye’de Açılan Temsilciliklerin Faaliyetlerine İlişkin Usul ve Esaslar Hakkında Tebliğ çerçevesindeki yükümlülüklerini yerine getirmek ve Türkiye'de ticari faaliyette bulunmamak kaydıyla irtibat bürosu kurabiliyorlar. Kurul yine 23 Temmuz 2019 tarihli kararında irtibat bürolarına ilişkin açıklamalarda bulunarak, ticari faaliyette bulunma yasağı ve yalnızca haberleşme, araştırma, tanıtım ve benzeri hususlarda faaliyet göstermesi nedeniyle şubelerden farklı olarak irtibat bürolarının Veri Sorumluları Sicili (“VERBİS”)’ne kayıt olmalarına gerek olmadığına kanaat getirdi. Ancak irtibat bürolarının VERBİS’e kayıt yükümlülüğünden istisna tutulması kararının faaliyet konuları nedeniyle veri sorumlusu olamayacağından mı yoksa irtibat bürolarının çalışan sayısı yahut mali bilanço toplamının VERBİS’e kayıt olmaya yetmeyeceği hususu göz önüne alınarak mı istisna tutulduğuna ilişkin ayrıntılı bir açıklama yer almıyor. Bir başka yönden, irtibat bürolarının tüzel kişiliklerinin olmadığı ve yurt dışındaki kuruluşların Türkiye’deki şubeleri için olduğu gibi Kurul tarafından henüz aksine bir açıklama yapılmadığı göz önüne alındığında, irtibat bürolarının zaten Kanun’da yer alan tanım gereği veri işleyen ve veri sorumlusu olamayacağı ve Kanun kapsamında yer almaması gerektiği de düşünülebilir.

III. Kanun Uyarınca Kabahat ve Suç Teşkil Edebilecek Yükümlülükler

a) Yerine Getirilmemesi Kabahat Olarak Nitelendirilen Yükümlülükler

i. VERBİS’e kayıt yükümlülüğü

Veri sorumlusu olan yurtdışında yerleşik finansal kuruluşlar, bunların şubeleri ve iştiraklerinin KVKK kapsamında yerine getirmesi gereken birçok ödevi bulunuyor. Bunların başında VERBİS’e kayıt yükümlülüğü gelmekte. Veri sorumlusu yurtdışında yerleşik finansal kuruluşların da VERBİS’e kayıt olması ve haliyle veri sorumlusu olarak addedilmelerine yol açan süreçlerine ilişkin de veri envanteri hazırlamaları gerekiyor. Öte yandan, yurtdışında yerleşik veri sorumlularının çalışan sayısı yahut mali bilanço toplamı gibi herhangi bir kıstas belirtilmeden VERBİS’e kayıt olmaları Kurul tarafından öngörülen hususlardan biri[8]. Yurtdışında yerleşik veri sorumlularının (GDPR düzenlemeleri ile paralel olarak) VERBİS’e kayıt olabilmeleri için bir de Türkiye’de yerleşik bir kişiyi temsilci olarak ataması gerekiyor. Veri sorumlusu olarak kabul edilen Türkiye’deki şubeler ve iştirakler için ise “yıllık çalışan sayısı” ve “yıllık mali bilanço toplamı” kriterleri[9] göz önüne alınarak VERBİS’e kayıt yükümlülüğünün gerekliliği değerlendirilecek.

İlgili kayıt yükümlülüğün ihlal edilmesi durumunda ise veri sorumluları, Kanun’un 18/ç maddesinde yer alan tutarların yeniden değerleme oranıyla artırılması sonucunda hesaplanacak tutarlar üzerinden yaptırıma maruz kalabilecek.

Son olarak belirtelim ki, Kurul’un 2020/482 sayılı kararı[10] ile yurtdışında yerleşik veri sorumlusu finansal kuruluşlar ile yurtdışında yerleşik finansal kuruluşların yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olup, Kanun’da yer alan kıstaslar nedeniyle veri sorumlusu kabul edilebilecek Türkiye’deki şubeleri ve iştiraklerinin VERBİS’e son kayıt süresi 30 Eylül 2020’ye kadar uzatıldı.

ii. Aydınlatma Yapma ve Açık Rıza Alma Yükümlülüğü

Bilindiği üzere, KVKK çerçevesinde veri sorumluları verilerin elde edileceği esnada veri sahiplerini aydınlatmak ve gerekli olduğu hallerde veri sahiplerinin açık rızalarını almakla yükümlü. Veri sorumlusu olan yurtdışında yerleşik finansal kuruluşlar ile bunların Türkiye’deki şubeleri ve iştiraklerinin de veri sorumlusu olarak hareket ettikleri durumlarda ilgili yükümlülükleri yerine getirmeleri gerekecek. Burada önemli olan husus ise veri sorumlularının veri sahiplerini kendi adlarına aydınlatıyor ve gerektiğinde açık rıza alıyor olmaları. İlgili yükümlülüklerin yerine getirilmemesi durumunda ise veri sorumlularının, Kanun’un 18/1/a ve 18/1/b[11] maddelerinde yer alan tutarların yeniden değerleme oranıyla artırılması sonucunda hesaplanacak tutarlar üzerinden yaptırıma maruz kalması mümkün.

iii. Veri Güvenliğini Sağlama Yükümlülüğü

Veri sorumluları, Kanun’un 12. maddesi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla gerekli idari ve teknik tedbirleri almakla yükümlü. Örneğin, yurtiçinde ya da yurtdışında veri aktarımı yapılması esnasında sözleşme yapılması suretiyle ve/veya sistemsel olarak verinin güvenliğini sağlamak, şirket içinde verilere yalnızca ulaşması gereken ilgili kişilere erişim yetkisi vermek ve çalışanlara veri güvenliği hakkında düzenli eğitimler vermek gibi. Dolayısıyla veri sorumlusu olan yurtdışında yerleşik yabancı finansal kuruluşlar ile bunların Türkiye’deki veri sorumlusu şube ve iştiraklerinin de bu hususa uygun davranmaları gerekiyor. İlgili yükümlülüklerin yerine getirilmemesi durumunda ise veri sorumluları, Kanun’un 18/1/b[12] maddesinde yer alan tutarların yeniden değerleme oranıyla artırılması sonucunda hesaplanacak tutarlar üzerinden yaptırıma maruz kalabilecek.

Öte yandan, yurtdışında yerleşik finansal kuruluşun veri işleyen olarak nitelendiriliyor olması durumunda dahi, Kanun’un 12/2 maddesi çerçevesinde veri sorumlusuyla ilgili tedbirlerin alınması hususunda müştereken sorumlu olduğunu da unutmamak gerek. Kanun kapsamında idari para cezaları veri sorumlusuna ilişkin olarak tatbik ediliyor olmakla birlikte, veri işleyenin ilgili yükümlülüklere uymaması nedeniyle veri sorumlusunun bir yaptırıma maruz kalması durumunda, müşterek sorumluluğa ilişkin olarak rücu mekanizmasının işleyebilmesi için sorumluluk oranının iyi belirlenmesi gerekecek.

b) Yerine Getirilmemesi Suç Olarak Nitelendirilen Yükümlülükler

i. Kişisel Verilerin Kaydedilmesi, Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme ve Verileri Yok Etmeme

KVKK’nın 17. maddesi çerçevesinde yukarıda belirtilen ve kabahat olarak sayılan durumların haricinde 5237 sayılı Türk Ceza Kanunu (“TCK”)’na da atıf yapılarak suç sayılan haller de açıkça belirtiliyor. İlgili suçların işlenmesi durumunda gerçek kişiler bakımından karşı karşıya gelinebilecek hapis cezaları mevcut olmakla birlikte TCK’nın 140. maddesi uyarınca bu suçların tüzel kişiler aracılığıyla işlenmesi durumunda tüzel kişiler hakkında güvenlik tedbirlerine hükmedileceği öngörülmüş. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi hususu her ne kadar yukarıda belirtilen yükümlülükler gibi KVKK’da veri sorumlularının ve gerektiğinde veri işleyenlerin (çoğunlukla veri aktarımlarında veri sorumlusuyla yapılan sözleşme gereği) yerine getirmesi gereken bir husus olarak belirtilse de KVKK öncesinde TCK’da bir suç olarak belirtilmesi nedeniyle bir kabahat değil, suç olarak karşımıza çıkıyor. Yurtdışında yerleşik veri sorumlusu finansal kuruluş, Türkiye’deki veri sorumlusu şubeler ve iştiraklerin kanunlarda belirtilen saklama sürelerinin sona ermesi, işleme amacının ortadan kalkması, verilerin işlenebilmesi için açık rıza alınması gereken durumlarda veri sahibinin açık rızasını geri çekmesi gibi işleme sebeplerinin ortadan kalkması durumlarında; verileri silmesi, yok etmesi yahut anonim hale getirmesi gerekecek. Ayrıca verilerin bir başka veri işleyene aktarılmış olması durumunda veri işleyen tarafından da silinmesini, yok edilmesini yahut anonim hale getirilmesini temin etmeleri gerekiyor.

IV. Diğer Yükümlülükler

Bazıları Kanun’da bazıları ise Kanun’un ikincil düzenlemelerinde yer alan ve veri sorumluları tarafından yerine getirilmesi gereken yükümlülükler de bulunuyor. Örneğin, veri sahiplerinin başvurularının yanıtlanması ve saklama ve imha politikası hazırlanması gibi. Kanun’da bu gibi hususlara ilişkin açıkça bir yaptırım öngörülmemiş olmakla birlikte, herhangi bir şikâyet durumunda (yahut resen) Kurul tarafından ilgili hususa/şikâyete ilişkin alınacak karara uyulmaması halinde Kanun’un 18/c maddesi uyarınca yaptırım uygulanabileceği savunulabilir.

V. SONUÇ

Kurul’un son dönemlerde yayımlamış olduğu ikincil düzenlemeler, rehberler ve Kurul kararları çerçevesinde yurtdışında yerleşik tüzel kişiler ile Türkiye’deki şubeleri, iştirakleri ve irtibat bürolarının KVKK karşısındaki pozisyonu ile bu pozisyon neticesinde almaları gereken aksiyonlar netleşmeye devam etse de belirsiz hususların sayısı halen oldukça fazla. Kanun’da belirtilen belirli kıstasları sağlayan ve dolayısıyla veri sorumlusu olarak kabul edilecek mevzubahis yurtdışında yerleşik tüzel kişiler, iştirakleri ve şubelerinin veri işleyenlere göre daha ağır sorumluluklar ve yaptırımlarla karşı karşıya olduğunu görüyoruz. İrtibat bürolarının ise VERBİS’e kayıt yükümlülüğünün bulunmadığı belirtilmiş olmakla birlikte veri sorumlusu olup olmadıklarına ilişkin bir açıklama yok.

Sonuç olarak yurtdışında yerleşik finansal kuruluşlar ile Türkiye’deki şubelerinin ve iştiraklerinin pozisyonlarının çok iyi tayin edilmesi ve veri işleme süreçlerinin çok iyi analiz edilmesi gerekiyor. Bu tayinin yapılması esnasında da Kurul’a büyük sorumluluklar düşüyor. İşe, mevzuat ve ikincil düzenlemelerde yer alan belirsizliklerin giderilmesi ile başlanabilir. Aksi halde ilgili şirketler, bu belirsizliklerin yol açtığı durumlar ile yükümlülüklerin yerine getirilmemesi neticesinde Kanun’da belirtilen ağır yaptırımlara maruz kalabilirler.

 

[1] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:31995L0046&from=en

[2] Bkz. 10.04.2020 yayım tarihli Bağlayıcı Şirket Kuralları Hakkında Duyuru

[3] https://kvkk.gov.tr/Icerik/5255/Taahhutnameler

[4] Bkz. Yurtdışında yerleşik Tüzel kişilerin Türkiye’deki Şubeleri ile İrtibat Bürolarının Sicile Kayıt Yükümlülüğü Hakkındaki Görüş Talebi ile ilgili Kişisel Verileri Koruma Kurulunun 23/07/2019 tarih ve 2019/225 sayılı Kararı

[5] Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ya da tüzel kişiler.

[6] “Merkezleri Türkiye dışında bulunan ticari işletmelerin Türkiye’deki şubeleri, kendi ülkelerinin kanunlarının ticaret unvanına ilişkin hükümleri saklı kalmak şartıyla, yerli ticari işletmeler gibi tescil olunur. Bu şubeler için yerleşim yeri Türkiye’de bulunan tam yetkili bir ticari mümessil atanır. Ticari işletmenin birden çok şubesi varsa, ilk şubenin tescilinden sonra açılacak şubeler yerli ticari işletmelerin şubeleri gibi tescil olunur.

[7] Yargıtay 22. Hukuk Dairesi E:2016/25156, K:2017/2153 …..Şubenin, ayrı bir tüzel kişiliği yoktur….

Yargıtay 3. Hukuk Dairesi E:2016/2719 K:2017/13450…. Menfaatler dengesini sağlamak üzere, kanun koyucu hukuken şubenin tüzel kişiliği bulunmamasına rağmen, şubenin tüzel kişiliği temsilen orada faaliyette bulunmasını dikkate alarak….

[8] "Sicile Kayıt Yükümlülüğünün Başlama Tarihleri" ile ilgili Kişisel Verileri Koruma Kurulunun 19/07/2018 Tarihli ve 2018/88 Sayılı Kararı

[9] Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 Milyon TL’den çok olan gerçek veya tüzel kişiler.

[10] Bkz. 23.06.2020 yayım tarihli Verbis’e Kayıt Süresinin Uzatılması Hakkında Duyuru

[11] Bkz. Kişisel Verileri Koruma Kurulunun 14/01/2020 Tarihli ve 2020/20 Sayılı Karar Özeti

[12] Bkz. Kişisel Verileri Koruma Kurulunun 26/07/2018 Tarihli ve 2018/91 Sayılı Karar Özeti

Bizi takip edin:
Anasayfa Kişisel Verilerin Korunması Harici Hizmet Sağlayıcılar Yasal Uyarı Çerezler Hakkında Site Sahibi
Hakkımızda Ekibimiz İletişim Kariyer Bize Ulaşın
Hizmetlerimiz
Şirketler ve Ticaret Hukuku Birleşme & Devralmalar İş Hukuku Kişisel Verilerin Korunması Hukuku Diğer Hizmetlerimiz
Vergi ve Gümrük Uyuşmazlıkları Finans Hukuku Aile Şirketleri Yapılandırmalar
Sektör uzmanlıklarımız Bankacılık ve Sermaye Piyasaları Enerji ve Madencilik Gayrimenkul ve İnşaat Otomotiv Perakende ve Tüketici Ürünleri Sigortacılık Taşımacılık ve Lojistik
Medya

© 2025 PwC. Gago Türkmen Avukatlık Ortaklığı. Tüm hakları saklıdır.
Bu sitede “GSG Avukatlık Ortaklığı” veya “GSG Hukuk” ibaresi, Gago Türkmen Avukatlık Ortaklığı’nı ifade etmektedir.