Kişisel Verileri Koruma Kurulu’na iletilen (“Kurul”) yurtdışında yerleşik tüzel kişilerin Türkiye’de işlemekte oldukları kişisel veriler nedeniyle; (i) yurtdışında yerleşik tüzel kişiler, (ii) yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubeleri, (iii) yurtdışında yerleşik tüzel kişilerin Türkiye’deki irtibat bürolarının 6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) kapsamında veri sorumlusu sıfatına haiz olup olmayacağı, Sicile kayıt yükümlülüğü ve istisna kriterleri açısından değerlendirilmesi konusundaki görüş talebinin incelenmesi neticesinde 23/07/2019 tarihli ve 2019/225 sayılı karar Kurul’un internet sitesinde özet halinde yayımlanmıştır.
Kurul tarafından yapılan incelemeler neticesinde;
Bunun haricinde 6102 sayılı Türk Ticaret Kanununun (TTK) “Tescil” başlıklı 40. maddesinin üçüncü fıkrası uyarınca “Merkezi Türkiye’de bulunan ticari işletmelerin şubeleri de bulundukları yerin ticaret siciline tescil ve ilan olunur. Ticaret unvanına ve imza örneklerine ilişkin birinci ve ikinci fıkra hükümleri bu işletmelere de uygulanır. Kanunda aksine hüküm bulunmadıkça merkezin bağlı olduğu sicile geçirilen kayıtlar şubenin bağlı bulunduğu sicile de tescil olunur. Ancak, bu hususta şubenin bulunduğu yer sicil müdürlüğünün ayrı bir inceleme zorunluluğu yoktur.” hükmü ile 4. fıkrasında belirtilen “Merkezleri Türkiye dışında bulunan ticari işletmelerin Türkiye’deki şubeleri, kendi ülkelerinin kanunlarının ticaret unvanına ilişkin hükümleri saklı kalmak şartıyla, yerli ticari işletmeler gibi tescil olunur. Bu şubeler için yerleşim yeri Türkiye’de bulunan tam yetkili bir ticari mümessil atanır. Ticari işletmenin birden çok şubesi varsa, ilk şubenin tescilinden sonra açılacak şubeler yerli ticari işletmelerin şubeleri gibi tescil olunur” hükmü Kurul tarafından vurgulanmıştır.
İlaveten, Avrupa Birliği Genel Veri Koruma Tüzüğünün (GDPR) 3. maddesinin 1. fıkrası kapsamında “Bu Tüzük, işlemenin Birlik dahilinde gerçekleştiğine bakılmaksızın, kişisel verilerin bir veri sorumlusunun veya veri işleyenin Birlik dahilindeki işletmesinin faaliyetleri kapsamında işlenmesine uygulanır.” hükmü ile 4. maddesinin 7. fıkrasında veri sorumlusu; “yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır; söz konusu işleme amaçları ve yöntemlerinin Birlik ya da üye devlet hukukuna göre belirlenmesi durumunda, veri sorumlusu veya veri sorumlusunun belirlenmesine özgü kriterler Birlik ya da üye devlet hukukuna göre belirlenebilir” şeklinde KVKK’da yer alan veri sorumlusu tanımı ile benzer şekilde ve daha kapsamlı olarak tanımlanan hükmü çerçevesinde veri sorumlusu, kişisel verileri elinde bulundurması dolayısıyla bu sıfatı kazanmakta ve kişisel verilerin işlenme amaçlarını ve vasıtalarını belirlemekle veri sorumlusu haline gelmekte olduğu Kurul tarafından belirtilmiştir.
Bu açıdan değerlendirildiğinde, her ne kadar Sicile kayıt yükümlülüğü için KVKK kapsamında veri sorumlusu sıfatını haiz olması yani tüzel ya da gerçek kişi olması kriterini de taşıması gerekmekte ise de, yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin ayrı bir tüzel kişilikleri bulunmasa da TTK 40. maddesine göre şubelerin yerli ticari işletmeler gibi tescil oldukları ve GDPR’ın 4. maddesindeki veri sorumlusu olma kriterleri arasında “tüzel kişi” olmanın şart olarak öngörülmediği göz önünde bulundurulduğunda, kişisel veri işleme süreçleri bakımından merkezden bağımsız bir şekilde Türkiye’de veri sorumlusu kriterlerine uygun olarak hareket eden bu şubelerin veri sorumlusu sayılacağı Kurul tarafından değerlendirilmektedir.
Bu kapsamda 4875 sayılı Doğrudan Yabancı Yatırımcılar Kanunu Uygulama Yönetmeliğinin 6. maddesinin 1. fıkrasında belirtilen “Bakanlık, yabancı ülke kanunlarına göre kurulmuş şirketlere, Türkiye'de ticari faaliyette bulunmamak kaydıyla irtibat bürosu açma izni vermeye ve bu izinlerin süresini uzatmaya yetkilidir.” hükmü Kurul tarafından vurgulanmıştır.
Daha detaylı bilgiye buradan ulaşabilirsiniz.
|
NAZALI HUKUK |