Türkiye’de Temsilciği Bulunan Yabancı Bankaların Veri Sorumlusu Sıfatı ve VERBİS Kayıt Yükümlülüğü

Kişisel Verileri Koruma Kurulu’nun 23.06.2020 tarihli ve 2020/471 sayılı kararına ilişkin özet Kurum’un internet sitesinde yayımlanmıştır.

Türkiye’de temsilciliği bulunan ve fakat yurtdışında yerleşik olan yabancı bir bankanın başvurusu üzerine değerlendirmelerde bulunan Kurul, temsilciliklerin 01/04/2008 tarihli ve 26834 sayılı Resmi Gazetede yayımlanan Türkiye’de Açılan Temsilciliklerin Faaliyetlerine İlişkin Usul ve Esaslar Hakkında Tebliğ’in “Yasaklar” başlıklı 9 uncu maddesinin birinci fıkrası uyarınca bağlı bulunulan banka veya bir başka banka veya finansal kuruluş adına mevduat veya katılım fonu kabul edemediğine, kredi kullandıramadığına veya 5411 sayılı Bankacılık Kanununun 4 üncü maddesinde belirtilen diğer bankacılık faaliyetlerini gerçekleştiremediğine vurgu yapmıştır. Yine Kurul kararında, temsilciliklerin bağlı bulundukları banka adına, bankanın ve sunduğu hizmetlerin tanıtımını yapabileceğine, Türkiye’de kurulu kredi kuruluşları veya finansal kuruluşlarla olan ilişkilerin güçlendirilmesi ile piyasa araştırması yapılması ve toplanan bilgilerin merkeze raporlanması faaliyetlerini yürütülebileceğine ilişkin düzenlemeyi içeren anılan Tebliğ’in “Faaliyetlerin kapsamı” başlıklı 4 üncü maddesine atıfta bulunarak, bankanın, Türkiye’de yerleşik kişilerin kişisel verileri işlediğini ve temsilcilikler tarafından gerçekleştirilen faaliyetlerin, banka tarafından yürütülen bankacılık faaliyetlerinden ayrı tutulamayacağını açıkça belirtmiştir.

Kurul, Avrupa Veri Koruma Genel Tüzüğü’nün (GDPR) yer bakımından uygulama kapsamına ilişkin düzenlemelerine de atıf yapmak suretiyle, temsilciliği aracılığıyla ülkemizdeki sürekli mevcudiyeti karşısında, bankanın yurtdışında yerleşik olması ve bütün kişisel veri işleme faaliyetlerini yurtdışında gerçekleştirdiği gerekçesiyle bu veri işleme faaliyetleri bakımından Kanunun uygulama alanı bulmayacağının kabulünün Kanunun amacıyla bağdaşmayacağını belirterek, Türkiye’de temsilciliği bulunan yurtdışında yerleşik bankaların kişisel veri işleme faaliyetleri bakımından 6698 sayılı Kişisel Verilerin Korunması Kanunu’na tabi olduğunu ve VERBİS kayıt yükümlülükleri bulunduğunu ifade etmiştir.

Kurul yayımladığı karar özetinde, veri ihlal bildirimlerine ilişkin 24/01/2019 tarihli ve 2019/10 sayılı Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kararındaki şu ifadeyi de hatırlatmıştır: “Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulmasına (…) karar verilmiştir.”

Karar özetinin tam metnine buradan ulaşabilirsiniz.

(13.07.2020)

Av. Dilara Duygu KOŞAY