YURTDIŞINDA YERLEŞİK TÜZEL KİŞİLERİN TÜRKİYE’DEKİ ŞUBELERİ İLE İRTİBAT BÜROLARININ SİCİLE KAYIT
YÜKÜMLÜLÜĞÜ HAKKINDAKİ GÖRÜŞ TALEBİ İLE İLGİLİ KİŞİSEL VERİLERİ KORUMA KURULUNUN

23/07/2019 TARİH VE 2019/225 SAYILI KARARI

Karar Tarihi : 23/07/2019
Karar No : 2019/225
Konu Özeti
: Yurtdışında Yerleşik Tüzel Kişilerin Türkiye’deki Şubeleri ile İrtibat Bürolarının Veri Sorumlusu
Sıfatını Taşıyıp Taşımayacağı ve Sicile Kayıt

Kurumumuza iletilen; yurtdışında yerleşik tüzel kişilerin Türkiye’de işlemekte oldukları kişisel veriler nedeniyle;


 yurtdışında yerleşik tüzel kişiler,


 yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubeleri ve


 yurtdışında yerleşik tüzel kişilerin Türkiye’deki irtibat bürolarının


6698 sayılı Kanuna göre veri sorumlusu sıfatına haiz olup olmayacağı, Sicile kayıt yükümlülüğü ve istisna kriterleri
açısından değerlendirilmesi konusundaki görüş talebinin incelenmesi neticesinde;


Yurtdışında yerleşik tüzel kişiler açısından;


6698 sayılı Kişisel Verilerin Korunması Kanununda (Kanun) veri sorumlusu, “kişisel verilerin işleme amaçlarını ve
vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi”
olarak tanımlanmış olup bunlar gerçek kişiler olabileceği gibi kamu kurumları, şirketler, dernekler veya vakıflar gibi
tüzel kişiler de olabilecektir.


Bu kapsamda bir kişisel veri işleme etkinliğinde veri sorumlusunun tespiti için veri sorumlusu tanımında yer alan
kişisel verilerin işleme amaçlarını ve vasıtalarını belirleme, veri kayıt sisteminin kurulmasından ve yönetilmesinden
sorumlu olma ve ayrı bir gerçek veya tüzel kişi olma kriterleriyle birlikte, kişisel verilerin ilk aşamada elde edilmesi ve
bunun yasal dayanağı, hangi kişisel verilerin hangi amaçla işleneceği ve kişisel veri elde etme yöntemleri, işlenecek
kişisel veri türleri, kimlerin kişisel verilerinin işleneceği, ilgili kişinin erişimi ve diğer hakların kullanılıp kullanılmadığı,
kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı ve kişisel verilerin ne kadar süre
muhafaza edileceği gibi hususlarda kimin karar verdiği dikkate alınabilecektir.
Bunlara ek olarak, merkez şirketten bağımsız olarak tabi olunan hukuki yükümlülükler, merkezden bağımsız olarak
doğrudan kişisel verileri işlenen kişilere uygulanan kendi hüküm ve şartlarının mevcudiyeti gibi unsurlar da veri
sorumlusunu belirlemek bakımından önem arz etmektedir.


Bununla birlikte ifade etmek gerekir ki, yurt içinde ve yurt dışında faaliyet gösteren ticari işletmeler, Türkiye’deki iş
ilişkilerini yürütmek açısından çeşitli seçeneklere sahiptir. Bu seçeneklerden birisi şube açmak, diğeri de irtibat
bürosu kurmaktır.


Bu açıdan ilgili seçenekler değerlendirilirken faaliyet çerçevesinin belirlenmesi önem taşımaktadır. Uygulamada
genellikle, şirketler yürüttükleri faaliyetlerin kapsamı arttıkça işlerini merkezden yönetmek yerine, kuracakları yarı
bağımsız birimler yani şubeler aracılığı ile mahallinden yönetmeyi tercih etmektedirler.
Yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubeleri açısından;


6102 sayılı Türk Ticaret Kanununun (TTK) “Tescil” başlıklı 40 ıncı maddesinin üçüncü fıkrasında “Merkezi Türkiye’de
bulunan ticari işletmelerin şubeleri de bulundukları yerin ticaret siciline tescil ve ilan olunur. Ticaret unvanına ve imza
örneklerine ilişkin birinci ve ikinci fıkra hükümleri bu işletmelere de uygulanır. Kanunda aksine hüküm bulunmadıkça
merkezin bağlı olduğu sicile geçirilen kayıtlar şubenin bağlı bulunduğu sicile de tescil olunur. Ancak, bu hususta
şubenin bulunduğu yer sicil müdürlüğünün ayrı bir inceleme zorunluluğu yoktur.” hükmü, 4 üncü fıkrasında ise
“Merkezleri Türkiye dışında bulunan ticari işletmelerin Türkiye’deki şubeleri, kendi ülkelerinin kanunlarının ticaret
unvanına ilişkin hükümleri saklı kalmak şartıyla, yerli ticari işletmeler gibi tescil olunur. Bu şubeler için yerleşim yeri
Türkiye’de bulunan tam yetkili bir ticari mümessil atanır. Ticari işletmenin birden çok şubesi varsa, ilk şubenin
tescilinden sonra açılacak şubeler yerli ticari işletmelerin şubeleri gibi tescil olunur” hükmü yer almaktadır.

5174 Sayılı Türkiye Odalar ve Borsalar Birliği ile Odalar ve Borsalar Kanununun 9 uncu maddesinin 2 nci fıkrasında ise
“Bir merkeze bağlı olduğu halde, ister merkezin bulunduğu odanın, ister başka odanın çalışma alanı içinde olan
müstakil sermayesi ve müstakil muhasebesi bulunan ve/veya muhasebesi merkezde tutulduğu ve müstakil sermayesi
bulunmadığı halde kendi başına sınaî faaliyet ve ticarî muamele yapan yerler ve satış mağazaları bu Kanunun
uygulanması bakımından şube sayılır” denilerek odalara kayıt zorunluluğunun kapsamı belirlenirken şubenin
tanımına da yer verilmiştir.


5411 sayılı Bankacılık Kanununun 3 üncü maddesine göre de şube; “elektronik işlem cihazlarından ibaret birimleri
hariç olmak üzere, bankaların bağımlı bir parçasını oluşturan ve bu kuruluşların faaliyetlerinin tamamını veya bir
kısmını kendi başına yapan, sabit ya da seyyar bürolar gibi her türlü iş yeri” olarak ifade edilmiştir.
Ticaret Sicili Yönetmeliğinin 118 inci maddesinin 1 inci fıkrasında ise şube, “bir ticari işletmeye bağlı olup ister
merkezinin bulunduğu sicil çevresi içerisinde isterse başka bir sicil çevresinde olsun, bağımsız sermayesi veya
muhasebesi bulunup bulunmadığına bakılmaksızın kendi başına sınai veya ticari faaliyetin yürütüldüğü yerler ve satış
mağazaları” olarak tanımlanmıştır.


Bu çerçevede, bir yerin şube sayılabilmesi için merkeze bağımlı olma, dış ilişkilerde bağımsızlık, yer ve yönetim ayrılığı
gibi kriterlere de bakmak gerekir.


Merkeze bağımlı olmak, şubenin merkeze ticari bir işletmenin parçası olarak bağlı olması anlamına gelmekte olup
şube ile merkezin aynı gerçek veya tüzel kişiye ait olması gerekir. Bu bağlılık nedeniyle şubenin, merkezden ayrı bir
işletme politikası olamaz, şubenin kâr ve zararı merkeze aittir. Şube aracılığıyla elde edilen hakların, üstlenilen
borçların sahibi de şube değil merkezdir. Ayrıca şube, ancak merkez nam ve hesabına üçüncü kişilerle iş ve işlem
yaptığından şube tarafından yürütülen faaliyetten doğan hak ve yükümlülüklerin muhatabı da merkez, bir diğer ifade
ile işletme sahibi olmaktadır. Bu bağlamda, merkez ile şube iktisadi bir bütün oluşturarak ortak bir işletme politikası
yürütmektedir.


Dış ilişkide bağımsızlık, şubenin merkezin yaptığı işlemler türünden işlemleri üçüncü kişilerle kendi başına yapma
yetkisine sahip olmasını ifade etmektedir. Yer ayrılığı ilkesine göre, şube ticari işletmenin genişleyen faaliyetlerinin
mahallinden daha kolay biçimde yürütülmesi amacıyla açıldığında merkez ile şube arasında kural olarak yer ayrılığı
olmalıdır. Ancak bu hususu çok dar ve kesin biçimde yorumlamamak gerekir.
Yönetim ayrılığı ise, şubenin kendi başına ticari işlem yapmaya yetkili olduğundan merkezden ayrı bir yönetime sahip
olması gerekliliğini ifade etmektedir.


Öte yandan, Avrupa Birliği Genel Veri Koruma Tüzüğünün (GDPR) 3 üncü maddesinin (1) numaralı fıkrasında “Bu
Tüzük, işlemenin Birlik dahilinde gerçekleştiğine bakılmaksızın, kişisel verilerin bir veri sorumlusunun veya veri
işleyenin Birlik dahilindeki işletmesinin faaliyetleri kapsamında işlenmesine uygulanır.” düzenlemesine yer verilmiştir.
Söz konusu hükme göre, Avrupa Birliği’nde (AB) bulunan şubenin / irtibat bürosunun kendisinin veri işleyip işlemediği
önemli değildir. Yabancı şirket, AB’de bulunan şubesinin / irtibat bürosunun faaliyetleri çerçevesinde veri işleme
gerçekleştirdiği takdirde GDPR hükümlerine tabi olmaktadır. Bu kapsamda, AB’de bulunan işletme ile AB dışında
bulunan veri sorumlusunun veri işlemesi arasında açık bir bağ olduğunun tespit edilmesi halinde, AB dışında bulunan
veri sorumlusunun GDPR hükümlerine tabi olacağı sonucuna varılmaktadır. Burada, AB dışında bulunan şirketlerin,
veri sorumlusu / veri işleyen olarak GDPR hükümlerine tabi olmasına ilişkin bir kriter olarak “işletme” kavramı dikkat
çekmektedir. Yani GDPR’ın sınır aşan şekilde uygulanmasına ilişkin olarak, yabancı veri sorumlusu / veri işleyen bir
girişimin / oluşumun (şirket vb.), AB’de bulunan işletmesi aracılığıyla (bu işletmenin faaliyetleri çerçevesinde) GDPR
hükümlerine tabi olması sonucu doğabilmektedir.


Yine GDPR’ın 4 üncü maddesinin 7 inci fıkrasında veri sorumlusu (kontrolör); “yalnız başına veya başkalarıyla birlikte
kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu
veya diğer herhangi bir organdır; söz konusu işleme amaçları ve yöntemlerinin Birlik ya da üye devlet hukukuna göre
belirlenmesi durumunda, kontrolör veya kontrolörün belirlenmesine özgü kriterler Birlik ya da üye devlet hukukuna
göre belirlenebilir” şeklinde 6698 sayılı Kanunda yer alan veri sorumlusu tanımı ile benzer şekilde ve daha kapsamlı
olarak tanımlanmıştır. Bu çerçevede veri sorumlusu, kişisel verileri elinde bulundurması dolayısıyla bu sıfatı
kazanmakta, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirlemekle veri sorumlusu haline gelmektedir.

Bu açıdan değerlendirildiğinde, her ne kadar Sicile kayıt yükümlülüğü için 6698 sayılı Kanuna göre veri sorumlusu
sıfatını haiz olması yani tüzel ya da gerçek kişi olması kriterini de taşıması gerekmekte ise de, yurt dışında yerleşik
tüzel kişilerin Türkiye’deki şubelerinin ayrı bir tüzel kişilikleri bulunmasa da TTK 40 ıncı maddesine göre şubelerin yerli
ticari işletmeler gibi tescil oldukları ve GDPR’ın 4 üncü maddesindeki veri sorumlusu olma kriterleri arasında “tüzel
kişi” olmanın şart olarak öngörülmediği göz önünde bulundurulduğunda, kişisel veri işleme süreçleri bakımından
merkezden bağımsız bir şekilde Türkiye’de veri sorumlusu kriterlerine uygun olarak hareket eden bu şubelerin veri
sorumlusu sayılacağı değerlendirilmektedir.


Yurtdışında yerleşik tüzel kişilerin Türkiye’deki irtibat büroları açısından;
4875 sayılı Doğrudan Yabancı Yatırımlar Kanununda yabancı yatırımlar ile ilgili düzenlenmeler bulunmakta olup bu
doğrultuda, doğrudan yabancı yatırıma ilişkin esaslar arasında, yatırım planlanan ülkeye irtibat bürosu kurma da yer
almaktadır.


4875 sayılı Doğrudan Yabancı Yatırımcılar Kanunu Uygulama Yönetmeliğinin 6 ncı maddesinin 1 inci
fıkrasında “Bakanlık, yabancı ülke kanunlarına göre kurulmuş şirketlere, Türkiye'de ticari faaliyette bulunmamak
kaydıyla irtibat bürosu açma izni vermeye ve bu izinlerin süresini uzatmaya yetkilidir.” düzenlemesine yer verilmiştir.
Yukarıda yer verilen açıklamalar çerçevesinde yapılan değerlendirme sonucunda;
1. Türkiye’de doğrudan veya şubeleri aracılığıyla kişisel veri işleme faaliyetinde bulunan yurt dışında yerleşik
veri sorumlularının Sicile kayıt olmalarının gerektiğine,


2. Yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin, Kanunda yer alan veri sorumlusu tanımı gereği
kişisel verilerin işleme amaçlarını ve vasıtalarını belirlemesi ve veri kayıt sisteminin kurulması ile
yönetilmesinden sorumlu olması halinde yurt dışında yerleşik tüzel kişiden ayrı olarak Türkiye’de yerleşik veri
sorumlusu olarak değerlendirileceğine, bu durumda olan yurt dışında yerleşik tüzel kişilerin Türkiye’deki
şubeleri için Kişisel Verileri Koruma Kurulunun 2018/88 sayılı ve 2019/265 sayılı kararlarında yer alan “yıllık
çalışan sayısı” ve “yıllık mali bilanço toplamı” kriterleri açısından yapılacak değerlendirme sonucunda Sicile
kayıt yükümlülüğü bulunup bulunmadığına karar verileceğine, bu durumda olmayan yurt dışında yerleşik
tüzel kişilerin Türkiye’deki şubelerinin ise Sicile kayıt yükümlülüğünün bulunmadığına,
3. Türkiye’de irtibat bürosu açılabilmesi için şirket tüzel kişiliklerinin yabancı ülke kanunlarına göre kurulması ve
kurulan irtibat bürolarının Türkiye’de ticari faaliyette bulunmaması gerektiği, irtibat bürolarının ticari faaliyet
dışında haberleşme, fizibilite araştırması yapma, sosyal ve kültürel alanlarda bazı çalışmaları yürütme,
şirketler arasında birleşme ve devirler için ön hazırlık yapma, tanıtım ve reklam, ülkedeki iş olanaklarının
yakından takip etme ve bu konular hakkında merkez firmaya bilgi verme amacı doğrultusunda açılan bürolar
olması ve şube özelliği bulunmadığı hususu dikkate alındığında söz konusu irtibat bürolarının Sicile kayıt olma
yükümlülüğünün bulunmadığına, karar verilmiştir.