TÜRKİYE’DE TEMSİLCİLİĞİ BULUNAN YABANCI BANKA KVKK ANLAMINDA VERİ SORUMLUSUDUR VE SİCİLE KAYIT YÜKÜMLÜLÜĞÜ ALTINDADIR

-Kişisel Verileri Koruma Kurulunun 23.06.2020 Tarihli ve 2020/471 Sayılı Karar Özeti-

12.07.2020

Görüş talebine konu somut olay : Türkiye’de temsilciliği bulunan bir yabancı banka, Türkiye’de gerçekleştirdiği kişisel veri işleme faaliyetleri bakımından 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“Kanun” veya “KVKK”) göre veri sorumlusu sıfatını haiz olup olmadığı ve Veri Sorumluları Sicili’ne (“Sicil”) kayıt yükümlülüğü altında olup olmadığı hususunda Kişisel Verileri Koruma Kurumu’ndan (“Kurum”) görüş talebinde bulunmuştur.

Değerlendirme ve tespit : Söz konusu görüş talebinin Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından incelenmesi neticesinde, konuyla ilgili olarak aşağıdaki şekilde değerlendirme ve tespitlerde bulunulmuştur;

  • Bankacılık Düzenleme ve Denetleme Kurulunun (“BDDK”) iznine bağlı olarak açılabilen ve BDDK’nın resmi internet sitesinde bir liste halinde yayımlanan yabancı bankaların Türkiye temsilciliklerinde, 01/04/2008 tarihli ve 26834 sayılı Resmi Gazete’de yayımlanan “Türkiye'de Açılan Temsilciliklerin Faaliyetlerine İlişkin Usul ve Esaslar Hakkında Tebliğ”in “Yasaklar” başlıklı 9 uncu maddesinin birinci fıkrası uyarınca bağlı bulunulan banka veya bir başka banka veya finansal kuruluş adına mevduat veya katılım fonu kabul edilememekte, kredi kullandırılamamakta veya 5411 sayılı Bankacılık Kanunu’nun 4 üncü maddesinde belirtilen diğer bankacılık faaliyetleri gerçekleştirilememektedir.
  • Aynı Tebliğin “Faaliyetlerin kapsamı” başlıklı 4 üncü maddesinde temsilciliklerde bağlı bulunulan banka adına, bankanın ve sunduğu hizmetlerin tanıtımı, Türkiye'de kurulu kredi kuruluşları veya finansal kuruluşlarla olan ilişkilerin güçlendirilmesi, piyasa araştırması yapılması ve toplanan bilgilerin merkeze raporlanması faaliyetlerinin yürütülebileceği düzenlenmektedir.
  • Somut olaydaki bankanın, sağladığı finansman hizmetleri kapsamında Türkiye’de mukim ilgili kişilerin kişisel verilerini işlediği anlaşılmaktadır.
  • Bu kapsamda, mezkûr bankanın temsilciliğinin Türkiye’de gerçekleştirdiği faaliyetler, bu bankanın bankacılık faaliyetleri çerçevesinde gerçekleştirdiği kişisel veri işleme faaliyetlerinden ayrı tutulamayacaktır; ki söz konusu Tebliğin 4 üncü maddesinde de belirtildiği üzere temsilciliğin, bankanın sunduğu hizmetler hakkında ülkemizde tanıtım faaliyetlerinde bulunması ve piyasa araştırması yaparak bağlı bulunduğu bankaya elde ettiği bilgileri aktarması mümkündür.  
  • Avrupa Genel Veri Koruma Tüzüğünün (“General Data Protection Regulation” – “GDPR”) yer bakımından uygulama kapsamına ilişkin 3/2018 sayılı Kılavuz İlkelerinde de, üçüncü ülkede yerleşik bir şirketin tanıtım ve piyasa araştırması ile ilgili faaliyette bulunan bir ofisinin Birlik sınırları içerisinde yerleşik olması ve bu ofisin faaliyetlerinin veri sorumlusu sıfatını haiz üçüncü ülkede yerleşik şirketin gelirlerini artırmasını sağlaması halinde GVKT hükümlerinin yurt dışında yerleşik veri sorumlusunun kişisel veri işleme faaliyetlerine uygulanacağı ifade edilmiştir.
  • Temsilciliği aracılığıyla Türkiye’de sürekli mevcudiyeti karşısında, bankanın yurt dışında yerleşik olması ve bütün kişisel veri işleme faaliyetlerini yurt dışında gerçekleştirdiği gerekçesiyle bu veri işleme faaliyetleri bakımından Kanun’un uygulama alanı bulmayacağının kabulü Kanun’un amacıyla bağdaşmayacaktır.
  • Yurt dışında yerleşik veri sorumlusu banka, Türkiye’deki veri işleme faaliyetleri bakımından Kanun’a tabidir  ve bu kapsamda Sicile kayıt yükümlülüğü altındadır.
  • 30.12.2017 tarihli ve 30286 sayılı Resmi Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 5 inci maddesinin birinci fıkrasının (b) bendinde Türkiye’de yerleşik olmayan veri sorumlularının kişisel veri işlemeye başlamadan önce temsilcileri vasıtasıyla Sicile kaydolmak zorunda oldukları hükme bağlanmıştır.

Sonuç : Tüm bu değerlendirme ve tespitler neticesinde;

  • kişisel verilerin korunmasını isteme hakkının Anayasanın 20 nci maddesinin üçüncü fıkrasında düzenlenmiş bir temel hak ve özgürlük olduğu,
  • veri koruma düzenlemelerinin yer bakımından uygulama alanının belirlenmesinde, bireylere en üst düzeyde ve en geniş kapsamda korumayı sağlayan bir yaklaşımın benimsenmesi gerektiği,
  • görüş talebinde bulunan yabancı bankanın temsilciliği vasıtasıyla ülkemizdeki sürekli mevcudiyeti

hususları göz önünde bulundurularak, söz konusu bankanın temsilciliği vasıtasıyla Türkiye’de gerçekleştirdiği kişisel veri işleme faaliyetleri açısından 6698 sayılı Kanun’un uygulama alanı bulacağına ve bu kapsamda söz konusu yabancı bankanın veri sorumlusu sıfatını haiz olduğuna ve Sicile kayıt yükümlülüğünün bulunduğuna karar verilmiştir.

Söz konusu karar özeti metnine buradan ulaşabilirsiniz.

Konuya ilişkin herhangi bir sorunuz ve/veya yorumunuz olması halinde, bizimle her zaman iletişime geçebilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr