Yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin 6698 sayılı Kanun uyarınca veri sorumlusu sıfatına haiz olup olmadıkları ve sicile kayıt yükümlülükleri hususundaki tereddütü Kişisel Verileri Koruma Kurulu 23/07/2019 tarihli 2019/225 sayılı kararı ile açıklığa kavuşturmuştur.

Şöyle ki; öncelikle bize bu incelemede yön gösterecek mevzuattaki çeşitli hükümlere değinmek faydalı olacaktır. Bu minvalde öncelikle; 6698 sayılı Kişisel Verilerin Korunması Kanununda veri sorumlusu “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır.

İlgili tanımdan hareketle; bir veri işleme faaliyetinde veri sorumlusunun kim olduğunun tespitinde kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleme, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olma kriterlerinin baz alınacağı açıktır. Nitekim veri sorumlusunun kim olduğunun tespitinde bu kriterlere ek olarak; hangi kişisel verilerin hangi amaçlarla işleneceği, işlenecek kişisel veri türleri, kimlerin kişisel verilerinin işleneceği, kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı ve kişisel verilerin ne kadar süre muhafaza edileceği gibi kriterlerinde dikkate alınması faydalı olacaktır.

Bu kapsamda bir diğer düzenleme; 6102 sayılı Türk Ticaret Kanunu md. 40/4 de yer almakta olup, ilgili fıkra “Merkezleri Türkiye dışında bulunan ticari işletmelerin Türkiye’deki şubeleri, kendi ülkelerinin kanunlarının ticaret unvanına ilişkin hükümleri saklı kalmak şartıyla, yerli ticari işletmeler gibi tescil olunur. Bu şubeler için yerleşim yeri Türkiye’de bulunan tam yetkili bir ticari mümessil atanır. Ticari işletmenin birden çok şubesi varsa, ilk şubenin tescilinden sonra açılacak şubeler yerli ticari işletmelerin şubeleri gibi tescil olunur” hükmünü ihtiva etmektedir. İlgili hüküm incelendiğinde merkezleri Türkiye dışında bulunan ticari işletmelerin Türkiye’deki şubelerinin, yerli ticari işletmeler gibi Ticaret Siciline tescil olunacakları konusunda tereddüt hasıl olmayacaktır.

Bu kapsamda son olarak; Ticaret Sicili Yönetmeliği md. 118/1 de şube “bir ticari işletmeye bağlı olup ister merkezinin bulunduğu sicil çevresi içerisinde isterse başka bir sicil çevresinde olsun, bağımsız sermayesi veya muhasebesi bulunup bulunmadığına bakılmaksızın kendi başına sınai veya ticari faaliyetin yürütüldüğü yerler ve satış mağazaları” şeklinde tanımlanmıştır. Bu tanımdan hareket edilerek bir yerin şube olarak kabulünde merkeze bağımlı olma, dış ilişkilerde bağımsızlık ve yer ve yönetim ayrılığı gibi kriterlerin esas alınması gerektiği sonucuna ulaşılacaktır.

Bu hükümlerden hareketle her ne kadar Kişisel Verileri Koruma Kanunu uyarınca veri sorumlusu sıfatına haiz olabilmek için gerçek/tüzel kişi olmak gerekse ve yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin de ayrı bir tüzel kişiliği bulunmasa dahi; TTK md. 40 uyarınca ilgili şubelerin yerli ticari işletmeler gibi tescil olundukları ve Avrupa Birliği Genel Veri Koruma Tüzüğünde (GDPR) veri sorumlusu olma kriterleri arasında tüzel kişi olma şartının aranmadığı göz önüne alınacak olursa Türkiye’de veri sorumlusu kriterlerine göre hareket eden iş bu şubelerin veri sorumlusu olarak kabul edilebilecekleri ve bu kapsamda Sicile kayıt yükümlülüklerinin doğacağı izahtan vareste hale gelecektir.