“Ülkemizde temsilciliği bulunan bir yabancı bankanın 6698 sayılı Kanun kapsamında veri sorumlusu sayılıp sayılmayacağı ve Veri Sorumluları Siciline kayıt yükümlülüğü hakkındaki görüş talebi” ile ilgili olarak Kişisel Verileri Koruma Kurulunun 23.06.2020 tarihli ve 2020/471 sayılı Karar Özeti
Kuruma iletilmiş olan; hizmet verdikleri tüzel kişiler bünyesinde çalışan gerçek kişilere ait kişisel verileri işlemekte olan ve ülkemizde temsilciliği bulunan bir yabancı bankanın, yürüttüğü bu işleme faaliyetleri sebebiyle 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) göre veri sorumlusu sıfatını haiz olup olmayacağı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün bulunup bulunmadığı hususundaki görüş talebinin Kişisel Verileri Koruma Kurulunca değerlendirilmesi neticesinde verilen kararın özetine aşağıda yer verilmektedir.
Bankacılık Düzenleme ve Denetleme Kurulunun iznine bağlı olarak açılabilen ve Bankacılık Düzenleme ve Denetleme Kurumunun resmi internet sitesinde bir liste halinde yayımlanan yabancı bankaların Türkiye temsilciliklerinde, 01/04/2008 tarihli ve 26834 sayılı Resmi Gazetede yayımlanan Türkiye’de Açılan Temsilciliklerin Faaliyetlerine İlişkin Usul ve Esaslar Hakkında Tebliğin “Yasaklar” başlıklı 9 uncu maddesinin birinci fıkrası uyarınca bağlı bulunulan banka veya bir başka banka veya finansal kuruluş adına mevduat veya katılım fonu kabul edilememekte, kredi kullandırılamamakta veya 5411 sayılı Bankacılık Kanununun 4 üncü maddesinde belirtilen diğer bankacılık faaliyetleri gerçekleştirilememektedir.
Öte yandan, anılan Tebliğin “Faaliyetlerin kapsamı” başlıklı 4 üncü maddesinde temsilciliklerde bağlı bulunulan banka adına, bankanın ve sunduğu hizmetlerin tanıtımı, Türkiye’de kurulu kredi kuruluşları veya finansal kuruluşlarla olan ilişkilerin güçlendirilmesi, piyasa araştırması yapılması ve toplanan bilgilerin merkeze raporlanması faaliyetlerinin yürütülebileceği düzenlenmiştir.
Görüş talebinde bulunan bankanın, sağladığı finansman hizmetleri kapsamında Türkiye’de mukim ilgili kişilerin kişisel verilerini işlediği anlaşılmaktadır. Bu kapsamda, mezkûr bankanın temsilciliğinin ülkemizde gerçekleştirdiği faaliyetler, bu bankanın bankacılık faaliyetleri çerçevesinde gerçekleştirdiği kişisel veri işleme faaliyetlerinden ayrı tutulamayacaktır. Zira, anılan Tebliğin 4 üncü maddesinde de belirtildiği üzere temsilciliğin, bankanın sunduğu hizmetler hakkında ülkemizde tanıtım faaliyetlerinde bulunması ve piyasa araştırması yaparak bağlı bulunduğu bankaya elde ettiği bilgileri aktarması mümkündür. Bu etkinliklerin, yurt dışında yerleşik bankanın faaliyetlerine katkı yapacağı açıktır. Bu sebeple, temsilciliğin faaliyetlerinin bankanın kişisel veri işleme faaliyetleri ile sıkı bir bağlantı içerisinde olduğunun kabul edilmesi gerekmektedir.
Aynı doğrultuda Avrupa Veri Koruma Kurulunun Genel Veri Koruma Tüzüğünün (GVKT) yer bakımından uygulama kapsamına ilişkin 3/2018 sayılı Kılavuz İlkelerinde de, örneğin üçüncü ülkede yerleşik bir şirketin tanıtım ve piyasa araştırması ile ilgili faaliyette bulunan bir ofisinin Birlik sınırları içerisinde yerleşik olması ve bu ofisin faaliyetlerinin veri sorumlusu sıfatını haiz üçüncü ülkede yerleşik şirketin gelirlerini arttırmasını sağlaması halinde GVKT hükümlerinin yurt dışında yerleşik veri sorumlusunun kişisel veri işleme faaliyetlerine uygulanacağı ifade edilmiştir.
Diğer taraftan, temsilciliği aracılığıyla ülkemizdeki sürekli mevcudiyeti karşısında, bankanın yurtdışında yerleşik olması ve bütün kişisel veri işleme faaliyetlerini yurtdışında gerçekleştirdiği gerekçesiyle bu veri işleme faaliyetleri bakımından Kanunun uygulama alanı bulmayacağının kabulü Kanunun amacıyla bağdaşmayacaktır.
Özellikle kişisel veri işleme süreçlerinin şeffaf bir biçimde yürütülmesine yönelik olarak Kanunun 16 ncı maddesinde öngörülen Sicile bildirim ve kayıt yükümlülüğü ile, ilgili kişilerin kişisel verileri üzerinde en üst düzeyde kontrolünün sağlanmasının amaçlandığı göz önünde bulundurulduğunda yurtdışında yerleşik veri sorumlusu bankanın işleme faaliyetleri bakımından Kanuna tabi olması gerektiği ve bu kapsamda Sicile kayıt yükümlülüğünün bulunduğu değerlendirilmektedir.
Ayrıca belirtmek gerekir ki, 30.12.2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 5 inci maddesinin birinci fıkrasının (b) bendinde ülkemizde yerleşik olmayan veri sorumlularının kişisel veri işlemeye başlamadan önce temsilcileri vasıtasıyla Sicile kaydolmak zorunda oldukları hükme bağlanmıştır.
Öte yandan, Kurulun 24/01/2019 tarihli ve 2019/10 sayılı Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kararında da “Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulmasına (…) karar verilmiştir.” ifadesine yer verilmiştir.
Yukarıda yer verilen açıklamalar doğrultusunda Kişisel Verileri Koruma Kurulunca yapılan değerlendirme sonucunda;
hususları göz önünde bulundurulduğunda, mezkûr bankanın kişisel veri işleme faaliyetleri açısından 6698 sayılı Kanunun uygulama alanı bulacağına ve bu kapsamda söz konusu yabancı bankanın veri sorumlusu sıfatını haiz olduğuna ve Sicile kayıt yükümlülüğünün bulunduğuna karar verilmiştir.