Yabancı Banka Temsilcilikleri ve KVKK Sorumluluğu: 2020/471 Sayılı Karar Analizi
Kişisel Verileri Koruma Kurulu (Kurul), 23/06/2020 tarihli bu görüş kararıyla, Türkiye’de doğrudan bankacılık faaliyeti (mevduat toplama, kredi verme vb.) yapmasa dahi, temsilcilik sıfatıyla bulunan yabancı bankaların KVKK karşısındaki durumunu netleştirmiştir. Karar, “fiziken veriyi yurt dışında işliyorum” savunmasının, Türkiye’deki yerleşik mevcudiyet ve ticari bağlantı karşısında geçersiz olduğunu tescil etmektedir.
1. Olayın Özeti: Yabancı Banka Türkiye’de “Yok” Sayılabilir mi?
Görüş Talebi: Türkiye’de BDDK izniyle açılmış bir temsilciliği bulunan, ancak ana merkezi yurt dışında olan bir yabancı banka; Türkiye’deki tüzel kişilerin çalışanlarına ait verileri işlediğini, ancak bankacılık faaliyetlerinin yurt dışında yürüdüğünü belirterek KVKK kapsamında “Veri Sorumlusu” sayılıp sayılmayacağını ve VERBİS (Veri Sorumluları Sicili) kayıt yükümlülüğünü sormuştur.
Temsilciliğin Hukuki Statüsü:
- Mevduat kabul edemez, kredi kullandıramaz (Yasaklar).
- Ancak; bankayı tanıtabilir, piyasa araştırması yapabilir ve toplanan bilgileri merkeze raporlayabilir (Yetkiler).
2. Kurulun Hukuki Değerlendirmesi: “Sıkı Bağlantı” İlkesi
Kurul, yabancı bankanın sorumluluğunu belirlerken “yer bakımından uygulama” prensibini şu kriterlere dayandırmıştır:
A. Faaliyetlerin Bölünemezliği
Temsilcilik ofisi Türkiye’de piyasa araştırması yapıp merkeze rapor gönderiyorsa, bu faaliyet yurt dışındaki bankanın gelirlerini artırmaya ve hizmet sunmasına doğrudan katkı sağlar. Bu nedenle, temsilciliğin Türkiye’deki varlığı ile yurt dışındaki veri işleme faaliyeti arasında “sıkı bir bağlantı” vardır.
B. Avrupa Örneği (GDPR Uyumu)
Kurul, Avrupa Veri Koruma Kurulu’nun (EDPB) 3/2018 sayılı kılavuzuna atıfta bulunmuştur: Bir şirketin sadece tanıtım yapan küçük bir ofisi dahi AB sınırları içindeyse, o şirket yurt dışında olsa bile GDPR’a tabidir. Kurul, aynı yaklaşımın KVKK için de geçerli olduğunu vurgulamıştır.
C. Sürekli Mevcudiyet ve Şeffaflık
Yabancı bankanın Türkiye’de bir temsilcilik açarak “sürekli mevcudiyet” sağlaması, onu anonim bir yurt dışı aktör olmaktan çıkarır. Anayasa’nın 20. maddesiyle korunan kişisel verilerin korunması hakkı, en üst düzeyde koruma gerektirir. Bu korumanın sağlanması için de bankanın Türkiye’deki sicile (VERBİS) kayıt olması zorunludur.
3. Karar Sonucu: “Veri Sorumlususunuz ve Kayıt Olmalısınız”
Kurul inceleme neticesinde şu sonuca varmıştır:
- Türkiye’de temsilciliği bulunan yabancı banka, Türkiye’deki yerleşik kişilerin verilerini işlediği süreçlerde Veri Sorumlusu sıfatına sahiptir.
- Kanun’un 16. maddesi uyarınca Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğü bulunmaktadır.
- Yurt dışında yerleşik veri sorumluları, Türkiye’de bir Veri Sorumlusu Temsilcisi atayarak bu yükümlülüklerini yerine getirmek zorundadır.
4. Özgür Eralp Perspektifi: “Dijital Sınırlar Fiziksel Sınırlardan Büyüktür”
Bilişim ve finans hukuku alanındaki tecrübemizde, yurt dışı merkezli kurumların “Bizim Türkiye’de şubemiz yok, sadece irtibat büromuz var, dolayısıyla Türk kanunları bize işlemez” şeklinde bir yanılgıya düştüğünü görüyoruz. Bu karar, bu yanılgıyı kökten bitirmiştir. Kurul diyor ki: “Eğer Türkiye’den besleniyorsan, Türkiye’nin kurallarına uyacaksın.”
Bir yatırımcı avukat vizyonuyla uyarım şudur: Yabancı bankalar ve teknoloji devleri, Türkiye’de bir tabela dahi bulunduruyorlarsa, bu durum Kurul tarafından “yerleşik mevcudiyet” olarak yorumlanabilir. Bu kurumlar için VERBİS kaydı sadece idari bir prosedür değil, olası bir veri ihlali durumunda (Kararda da belirtildiği üzere 2019/10 sayılı karar uyarınca) Türkiye’ye karşı sorumlu olduklarının bir tescilidir. “Veri yurt dışındaki serverda” savunması artık hukuki bir zırh değildir.
Sıkça Sorulan Sorular
1. Yabancı bir bankanın Türkiye’de şubesi yoksa KVKK’dan kaçabilir mi?
Hayır. Eğer Türkiye’de bir “temsilciliği” varsa veya Türkiye’deki kişilere ürün/hizmet sunup onların verilerini işliyorsa KVKK kapsamındadır.
2. VERBİS kaydı neden zorunludur?
Şeffaflık için. Vatandaş, yurt dışındaki bir bankanın hangi verilerini, ne amaçla işlediğini VERBİS üzerinden görebilmeli ve bir ihlal durumunda kiminle muhatap olacağını (Veri Sorumlusu Temsilcisi) bilmelidir.
3. “Veri Sorumlusu Temsilcisi” kimdir?
Yurt dışında yerleşik veri sorumlularının, Türkiye’deki Kurum ve vatandaşlarla iletişimini sağlamak üzere atadıkları, Türkiye’de yerleşik tüzel kişi veya T.C. vatandaşı gerçek kişidir.
4. Yurt dışındaki bir bankada hesabım varsa ve verilerim sızarsa ne olur?
Eğer bankanın Türkiye’de temsilciliği varsa, banka bu ihlali 72 saat içinde Türk KVKK Kurumu’na da bildirmek zorundadır. Siz de Türkiye’deki temsilci aracılığıyla haklarınızı arayabilirsiniz.
5. Bu karar sadece bankalar için mi geçerli?
Hayır. Kararın mantığı (sıkı bağlantı ve sürekli mevcudiyet), Türkiye’de irtibat ofisi veya temsilciliği bulunan tüm yabancı teknoloji, perakende ve hizmet şirketleri için emsal niteliğindedir.
Kaynaklar
- KVKK Kurumu – 2020/471 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 16)
- Veri Sorumluları Sicili Hakkında Yönetmelik
- Türkiye’de Açılan Temsilciliklerin Faaliyetlerine İlişkin Tebliğ (BDDK)
Etiketler
KVKK, Yabancı Banka, Temsilcilik, Veri Sorumlusu, VERBİS Kaydı, Yer Bakımından Uygulama, 2020/471 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Veri Sorumlusu Temsilcisi, Uluslararası Veri Aktarımı, BDDK Mevzuatı
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),