KİŞİSEL VERİLERİ KORUMA KURUMU’NUN BAĞLAYICI ŞİRKET KURALLARI HAKKINDA DUYURUSUNA İLİŞKİN BİLGİ NOTU


24 Nisan 2020

10 Nisan 2020 tarihinde Kişisel Verileri Koruma Kurumu’nun (“Kurum”) internet sitesinde kişisel verilerin yeterli korumanın olmadığı bir yabancı ülkeye aktarılmasında “Bağlayıcı Şirket Kuralları” uygulamasının kabul edilmesine ilişkin duyuru (“Duyuru”) yayımlanmıştır.

1-  Kişisel Verilerin Yurt Dışına Aktarılması

Kişisel verilerin yurt dışına aktarılmasına ilişkin şartlar, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) belirtilmiş olup bu aktarımlar Kanun’un 9. maddesi kapsamında sıkı şartlara tabi tutulmuştur.

Bu hükmün ilk fıkrasına göre; kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. İkinci fıkrası uyarınca ise kişisel veriler, Kanun’un 5(2) hükmünde belirtilen kişisel veri işleme şartlarından veya özel nitelikli kişisel verilere ilişkin 6(3) hükmünde belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

  1. Yeterli korumanın bulunması, veya
  2. Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) izninin bulunması

halinde ilgilinin açık rızası aranmaksızın yurt dışına kişisel veriler aktarılabilmektedir.

2-  Yeterli Korumanın Bulunmaması Durumunda Belirlenen Yöntem

Bu kapsamda Kurul daha önceden, yeterli korumanın bulunmadığı ülkelerde yerleşik veri sorumlusuna veya veri işleyene kişisel veri aktarımında açık rızanın olmadığı hallerde, bu aktarımın Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri şartına bağlamıştı. Ayrıca bu doğrultuda Kurul’un onayına sunulacak taahhütnamelerde bulunması gereken asgari unsurlara ilişkin açıklama yapılmıştı. Sonuç olarak da, taahhütnamelerin Kurul tarafından onaylanması sonrası açık rızanın olmadığı hallerde, yeterli korumanın bulunmadığı ülkelere veri aktarımı mümkün olabilmektedir. Ancak Kurul tarafından yeterli korumanın bulunduğu ülkelerin listesi henüz yayınlanmadığından, bu şartlar yurt dışına yapılacak tüm veri aktarımları için uygulama alanı bulmaktadır.

Ayrıca, söz konusu taahhütnameler iki taraflı veri aktarımı söz konusu olduğunda faydalı olmaktayken çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından yetersiz görülmüş ve uygulamadaki ihtiyaçları tam olarak karşılayamamıştır. Bu doğrultuda Kurul tarafından uluslararası veri aktarımında kullanılmak üzere bir başka yöntem olarak “Bağlayıcı Şirket Kuralları” belirlenmiştir.

3-  Bağlayıcı Şirket Kuralları ve Sonuçları

Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) çok uluslu şirketlerin kendi içlerindeki veri aktarımına ilişkin asgari şartları 47. maddede detaylı bir şekilde belirlemiş ve bu şartları haiz kuralları bağlayıcı şirket kuralları (binding corporate rules-BCR) olarak adlandırmıştı. Bu kapsamda Kurum tarafından hazırlanan formlar ve tablolar, yapılan tanımlamalar GDPR ile benzer nitelikleri taşımaktadır.

Kurum’un tanımı doğrultusunda, Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır.

Bağlayıcı Şirket Kurallarını genel olarak inceleyecek olursak:

  • Bağlayıcı Şirket Kuralları yalnızca bir bütün olarak grup içerisinde ve grup üyeleri arasındaki veri aktarımına ilişkindir, bu kurallar kapsamında aktarımına izin verilen kişisel veriler grup üyeleri dışındaki kişilere aktarılamaz.
  • Bağlayıcı Şirket Kuralları hukuken bağlayıcı olmalı ve bu kurallara uyma konusunda çalışanlar da dahil olmak üzere tüm grup üyelerine açık bir yükümlülük getirmelidir.
  • Grup, Bağlayıcı Şirket Kuralları kapsamında aktarılan kişisel verileri, Kanun’a ve Bağlayıcı Şirket Kuralları’na uygun olarak işler; herhangi bir sebeple Kanun’a ve taahhüde uygunluk sağlanamazsa Kurum’u konu ile ilgili derhal bilgilendirir. Bu durumda, Kurum veri aktarımını askıya alma ve Bağlayıcı Şirket Kuralları’nı feshetme hakkına sahiptir.
  • Bağlayıcı Şirket Kuralları kapsamında işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durum en kısa sürede grubun Türkiye’de yerleşik merkezine veya grubun merkezi Türkiye’de değil ise kişisel verilerin korunması konusunda yetkilendirilmiş Türkiye’de yerleşik bir grup üyesine (“Yetkili Grup Üyesi”) bildirilir, bunlar da durumu en kısa sürede ilgilisine ve Kurul’a bildirir. Kurul gerekmesi halinde bu konuyu ilan edebilir.
  • Grup üyelerinden herhangi birinin grupla bağının kesilmesi veya Bağlayıcı Şirket Kuralları’nın herhangi bir sebeple sona ermesi gibi durumlarda, aktarıma konu olan kişisel veriler yedekleri ile grubun Türkiye’de yerleşik merkezine veya Yetkili Grup Üyesi’ne gönderilir ya da yedekleri ile birlikte tamamen yok edilir.
  • Grup ve grup üyeleri, işledikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamaz.

4-  Başvuru

Bu kapsama giren şirketler Duyuru’da bulunan ilgili formu doldurup elden veya posta yolu ile Kurum’a Bağlayıcı Şirket Kuralları başvurusu yapmalıdır. Başvuruyu yapma yetkisi grubun Türkiye’de yerleşik merkezi bulunuyorsa buraya aittir; bulunmuyorsa Yetkili Grup Üyesi grup adına başvuru yapabilecektir.

Başvuruda sunulması gerekenler; (i) Başvuru Formu, (ii) Bağlayıcı Şirket Kuralları metni, ve (iii) Başvuru ile ilgili görülen diğer tüm bilgi ve belgeler olarak belirtilmiş olup gereken durumlarda Kurumbaşkaca bilgi ve belge talebinde bulunabilecektir.

Hem başvuru formu hem de Bağlayıcı Şirket Kuralları metni içinde bulunması gereken hususlar kapsamında Kurum çeşitli başlıklar belirlemiş ve yine Duyuru’da yer alan Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman her birbaşlık için detaylı açıklama getirmiştir.

Kurum başvuruları başvuru tarihinden itibaren 1 yıl içinde değerlendirerek sonuca bağlayacaktır, ancak gereken hallerde bu süre 6 aylık sürelerle uzatılabilecektir. Başvurunun onaylanması durumunda Kurum bunu ilgilisine bildirecek ve gerekli görülürse ilan edilecektir.

5-  Sonuç

Dünyadaki çok uluslu şirketlerin yapıları ve operasyonları göz önünde bulundurulduğunda bu şirketler farklı ülkelerde faaliyet göstermekte ve bu doğrultuda kendi sistemleri içerisinde veri aktarımları gerçekleştirmektedir. Ancak, Kurum tarafından yeterli korumayı sağlayan ülkeler listesi halen yayınlanmadığından, bu veri aktarımlarının gerçekleştirilmesi hususunda uygulamada hala sorunlar yaşanabilmektedir ve veri aktarım taahhütlerinin imzalanması uygulamadaki boşluğu karşılayamamaktadır. Bağlayıcı Şirket Kuralları ile birlikte çok uluslu şirketlerin kendi organizasyonları içerisinde gerçekleştirecekleri veri aktarımları için mevcut durumu daha iyi karşılayabilecek bir yöntem hayata geçirilmiştir.

Bu doğrultuda çok uluslu şirketler açık rıza aranmaksızın yeterli korumanın bulunmadığı bir ülkeye veri aktarımı yapmak istediklerinde Bağlayıcı Şirket Kuralları başvurusu yaparak, Kurul’un izniyle hareket edebileceklerdir.

Herhangi bir sorunuz olması halinde bizlere her zaman danışabilirsiniz.

İletişim

Ece Güner Toprak
Yönetici Ortak
eg@guner.av.tr

Burçak Kurt Biçer
Ortak
bkb@guner.av.tr