Makaleler

Yurt Dışı Faaliyet Gösteren Türk Şirketlerinde Veri Sorumluluğunun Tespiti ve Veri Koruma Mimarisi

  • 22/12/2025
  • By Tuna
Blog Single

Sorularınız için, lütfen bizimle iletişime geçin, ekibimiz tüm sorularınızı cevaplamaya hazır.

Bu gönderiyi paylaş:

     Genel Değerlendirme

     Türkiye’de birçok büyük ve orta ölçekli şirket artık yalnızca yerel pazarda faaliyet göstermemektedir. İhracat yapan, yurt dışında depo veya iştirak kuran, yabancı müşterilere satış yapan ya da küresel tedarik zincirlerinin parçası hâline gelen Türk şirketlerinin sayısı giderek artmaktadır.

     Bu büyüme, ticari açıdan önemli fırsatlar yaratırken; veri koruma hukuku bakımından veri sorumlusunun kim olduğu ve veri koruma mimarisinin nasıl kurulması gerektiği sorularını da kaçınılmaz biçimde gündeme getirmektedir.

     Bu yazıda, özellikle yurt dışı faaliyet gösteren Türk şirketleri açısından iki temel mesele ele alınmaktadır:

  • Veri sorumlusunun nasıl ve hangi ölçütlerle tespit edilmesi gerektiği
  • Bu tespitin veri koruma ve denetim mimarisini nasıl doğrudan belirlediği

     “Merkez Türkiye’deyse Veri Sorumlusu da Türkiye’dedir” Varsayımı

     Uygulamada sıkça rastlanan yaklaşımlardan biri, şirketin ticaret sicili merkezinin Türkiye’de bulunmasının, veri sorumluluğunun da otomatik olarak Türkiye’deki şirket üzerinde olduğu sonucunu doğurduğu yönündedir.

     Ancak modern şirket yapılarında bu varsayım çoğu zaman gerçeği yansıtmamaktadır.

Zira günümüzde:

  • müşteriler farklı ülkelerde bulunabilmekte,
  • lojistik ve depo faaliyetleri yurt dışından yürütülebilmekte,
  • e-ticaret ve IT altyapıları farklı ülkelerde konumlanabilmekte,
  • pazarlama, fiyatlama ve müşteri ilişkileri kararları ayrı merkezlerden alınabilmektedir.

     Bu durumda, yalnızca şirket merkezine bakılarak veri sorumluluğunun tespit edilmesi, eksik ve yanıltıcı sonuçlar doğurabilmektedir.

     Veri Sorumluluğu Adrese Değil, Karar Yetkisine Göre Belirlenir

     Gerek 6698 sayılı Kişisel Verilerin Korunması Kanunu gerekse Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), veri sorumlusunu tanımlarken şekli unsurlardan ziyade fiili kontrol ölçütünü esas almaktadır.

     Bu çerçevede temel soru şudur:

     Kişisel verilerin hangi amaçlarla ve hangi yöntemlerle işleneceğine kim karar vermektedir?

     Bu kapsamda değerlendirilmesi gereken başlıca unsurlar şunlardır:

  • Verilerin toplanma amacı
  • Verilerin saklandığı sistemler
  • Verilere erişim yetkisi
  • Pazarlama ve müşteri segmentasyonu kararları
  • Olası bir veri ihlalinde sorumluluğun kime ait olduğu

     Bu unsurlar birlikte ele alındığında, gerçek veri sorumlusu ortaya çıkmaktadır.

     GDPR’ın Uygulanabilirliği: Analizin Başlangıç Noktası

     Yurt dışı faaliyet gösteren Türk şirketleri bakımından veri sorumluluğu analizinin ilk adımı, GDPR’ın uygulanabilirliğinin tespit edilmesidir.

     Avrupa Birliği’nde yerleşik olmasa dahi; AB’deki kişilere mal veya hizmet sunan ya da bu kişilerin davranışlarını izleyen şirketler, GDPR kapsamına doğrudan girebilmektedir.

     Bu nedenle veri sorumluluğu tespiti, öncelikle hangi veri işleme faaliyetlerinin hangi hukuk rejimine tabi olduğunun belirlenmesiyle başlamalıdır. Aksi hâlde sonraki tüm mimari tercihler hatalı bir zemine oturur.

     Yurt Dışı Birimler: Operasyonel Destek mi, Karar Ortağı mı?

     Yurt dışındaki birimler çoğu zaman “depo” veya “lojistik destek” olarak tanımlanmaktadır. Ancak bu birimlerin fiili faaliyetleri incelendiğinde, yalnızca fiziksel teslimatla sınırlı kalmadıkları görülmektedir.

     Özellikle:

  • müşteriyle doğrudan temas,
  • iade ve garanti süreçlerinin yönetimi,
  • sipariş ve müşteri verilerinin işlenmesi,
  • teslimat ve kampanya süreçlerine etki

     gibi faaliyetler söz konusuysa, bu birimlerin veri işleme kararlarının bir parçası hâline geldiği kabul edilmelidir.

     Bu durum, veri sorumluluğunun tamamen veya kısmen yurt dışına kaymasına neden olabilir.

     Veri Sorumlusunun Tespiti, Denetim ve Yetki Mimarisi Açısından Belirleyicidir

     Veri sorumlusunun doğru tespiti, yalnızca iç organizasyon bakımından değil; hangi veri koruma otoritelerinin yetkili olacağı açısından da belirleyicidir.

     Bu noktada Avrupa Birliği veri koruma sisteminin merkezinde yer alan üç kavram öne çıkmaktadır:

  • One-Stop-Shop (Tek Durak Mekanizması)
  • Lead Supervisory Authority (LSA – Lider Denetleyici Otorite)
  • Concerned Supervisory Authorities (CSA – İlgili Diğer Denetim Otoriteleri)

     One-stop-shop mekanizması, bir şirketin birden fazla AB ülkesini etkileyen veri işleme faaliyetleri bulunması hâlinde, tek bir ana denetim otoritesiyle muhatap olabilmesini sağlar. Ancak bu mekanizma otomatik değildir.

     Bunun için veri sorumlusunun:

  • AB içinde bir ana yerleşikliğinin bulunması,
  • veri işleme amaç ve vasıtalarına ilişkin esas kararların bu merkezden alınması

gerekmektedir.

     LSA, veri sorumlusunun AB içindeki ana yerleşikliğinin bulunduğu ülkedeki otoritedir. Bu tespit, ticaret siciline değil; fiili karar alma merkezine dayanır. Diğer etkilenen ülke otoriteleri ise CSA olarak sürece katılır.

     Veri sorumluluğu yanlış tespit edildiğinde, şirket kendisini one-stop-shop kapsamında zannederken fiilen bu mekanizmanın dışında kalabilir ve birden fazla ülke otoritesinin doğrudan yetki iddiasıyla karşılaşabilir.

     Veri Sorumluluğunun Tespiti, AB Temsilcisi Yükümlülüğünü de Belirler

     Veri sorumlusunun AB dışında kalması, ancak GDPR kapsamına girmesi hâlinde, AB temsilcisi atanması yükümlülüğü doğabilir.

     Bu yükümlülük, çoğu zaman veri sorumluluğu analizi yapılmadan gözden kaçmakta ve denetimlerde ilk tespit edilen ihlallerden biri hâline gelmektedir. Bu yönüyle veri sorumluluğunun doğru tespiti, yalnızca iç mimariyi değil; harici temsil ve muhataplık rejimini de doğrudan etkilemektedir.

     Veri Aktarımı Rejimi ve Standart Sözleşme Maddeleri (SCC)

     Veri sorumlusunun konumlandırılması, kişisel verilerin hangi ülkeler arasında aktarılacağını ve hangi aktarım mekanizmalarının devreye gireceğini de belirler.

     Özellikle AB’den Türkiye’ye veya üçüncü ülkelere yapılan aktarımlarda, standart sözleşme maddeleri (SCC) ve ek teknik-organizasyonel tedbirler, veri sorumluluğu analizinden bağımsız olarak ele alınamaz.

     Yanlış kurulan bir veri sorumluluğu modeli, ya gereksiz aktarım mekanizmalarının devreye alınmasına ya da zorunlu yükümlülüklerin tamamen gözden kaçmasına neden olabilmektedir.

     Ortak Veri Sorumluluğu İhtimali

     Bazı yapılarda veri işleme amaç ve vasıtaları tek bir şirket tarafından değil, birden fazla şirket tarafından birlikte belirlenmektedir. Bu durumlarda ortak veri sorumluluğu gündeme gelir.

     Ortak veri sorumluluğunun göz ardı edilmesi, hem sorumluluk paylaşımının hem de denetim muhataplığının belirsizleşmesine yol açar. Bu nedenle veri sorumluluğu analizi, her bir veri işleme faaliyeti bakımından ayrı ayrı yapılmalıdır.

 

     Av. Dr. Çağrı Tuna’nın Görüşü

     Yurt dışı faaliyet gösteren Türk şirketlerinde veri sorumluluğu meselesi, yalnızca iç hukuka veya metin uyumuna indirgenemez. Bu mesele aynı zamanda uluslararası denetim ve yetki mimarisini belirleyen kurucu bir eşiktir.

     Veri sorumluluğunun tespiti, veri koruma mimarisinin sonucu değil; veri koruma mimarisini kuran asli unsurdur.Şirketin ticaret sicilindeki merkezinden ziyade, kişisel veriler üzerindeki fiili ve normatif kontrol gücü esas alınmadan kurulan her yapı, uyumlu görünse dahi sürdürülebilir değildir.

İlgili Etiketler

Kişisel Veriler Hukuku KVKK Kişisel Veri Veri Güvenliği DPO KVKK Farkındalık Çalışmaları GDPR

İlgili yazılar