Kişisel Verileri Koruma Kurulu ("Kurul") tarafından çok uluslu şirket toplulukları arasında yapılacak yurtdışı aktarımlarını düzenlemek amacıyla hazırladığı Bağlayıcı Şirket Kuralları, "Bağlayıcı Şirket Kuralları Başvuru Formu" ve "Veri sorumluları için Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman" ile birlikte 10.04.2020 tarihinde yayımlanmıştır.

1. Türkiye'de kişisel verilerin yurt dışına aktarımı

Kişisel verilerin yurtdışına aktarımı Kişisel Verilerin Korunması Kanunu ("Kanun")'un 9. Maddesinde düzenlenmektedir.

Kural olarak kişisel verilerin yurtdışına aktarılması için ilgili kişinin açık rızası gerekmektedir.

Ancak; Kanun'da açık rızadan başka bir hukuki sebebe dayanıldığı durumlarda kişisel verilerin aktarılacağı yabancı ülkede:

  1. Yeterli korumanın bulunması halinde veya
  2. Yeterli korumanın bulunmaması durumunda: (i) Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve (ii) Kurulun izninin bulunması kaydıyla veriler yurt dışına aktarılabilir.

Belirtmek gerekir ki her ne kadar yeterli korumanın bulunduğu ülkelerin Kurulca belirlenerek ilan edilmesi gerekse de, şu ana kadar böyle bir liste belirlenmemiştir.

Sonuç olarak pratikte, yurt dışına veri aktarmak isteyen veri sorumlularının taahhütname yoluna gitmesi veya kişisel verilerinin yurt dışına aktarımı için ilgilinin açık rızasının alması gerekmektedir.

Ancak uygulamada açık rızaların her zaman geri alınabilme niteliğine sahip olması veya çalışanların açık rızalarının özgür iradeyle alınmasına ilişkin soru işaretleri olması gibi sebeplerden açık rızaya dayanarak kişisel verilerin yurtdışına aktarılması uygulanabilir değildir.

Dolayısıyla, uygulamayı oldukça rahatlatacak olan Bağlayıcı Şirket Kuralları'nın yurt dışına veri aktarımı için bir hukuki yol olarak tanınmasının oldukça faydalı olduğu görüşündeyiz.

2. Bağlayıcı Şirket Kuralları Nedir?

Veri sorumluları için Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Dokümanda tanımlandığı üzere bağlayıcı şirket kuralları:

  • bir şirketler topluluğuna bağlı olarak Türkiye'de yerleşik bir veri sorumlusu tarafından,
  • bu şirketler topluluğuna bağlı olarak yurt dışında bir veya daha fazla ülkede faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya
  • veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularına
  • yapılacak olan kişisel veri aktarımları veya aktarım setlerinde uyulması gereken kişisel veri koruma kurallarını ifade eder.

3. Başvuru Yetkisi Kime Aittir?

Grubun Türkiye'de yerleşik merkezi varsa, başvuruyu yapmaya bu teşebbüs yetkilidir.

Grubun Türkiye'de yerleşik merkezi yok ise Türkiye'de yerleşik bir grup üyesinin kişisel verilerin korunması konusunda yetkilendirilmesi gerekmektedir.

4. Başvuru için gerekli belgeler nelerdir?

Başvuru Formu, Bağlayıcı Şirket Kuralları Metni ve başvuru ile ilgili olduğu düşünülen diğer tüm bilgi ve belgelerin Kişisel Verileri Koruma Kurumu ("Kurum")'na iletilmesi gerekmektedir.

5. Başvuru Formu ve Bağlayıcı Şirket Kurallarında yer alması gereken bilgiler nelerdir?

Başvuru Formu ve Bağlayıcı Şirket Kurallarının; başvurucu bilgilerini ve Bağlayıcı Şirket Kurallarına ilişkin bilgileri içermesi gerekmektedir. Bu doğrultuda;

5.1. Bağlayıcılık unsuru kapsamında:

  • Bağlayıcı Şirket Kurallarına uyma yükümlülüğü açısından; Bağlayıcı Şirket Kurallarının hukuken bağlayıcı olması ve bu hususta çalışanları da dâhil olmak üzere tüm grup üyelerine açık bir yükümlülük getirilmelidir.
  • Kuralların, grup içerisindeki Bağlayıcı Şirket Kurallarına tabi üyeler ve çalışanlarını nasıl bağladığına ilişkin açıklama kapsamında (i) Gruptaki her üye için hukuken geçerli ve ispatlanabilir bir veya daha fazla yöntem ile Bağlayıcı Şirket Kurallarının bağlayıcılığı sağlanmalı ve (ii) Çalışanlar üzerinde bağlayıcılığın sağlanması için iş sözleşmesi, toplu iş sözleşmesi, gizlilik sözleşmesi, etik kurallar, şirket politikaları, iş yeri iç yönetmelikleri vb. yöntemlerden bir veya bir kaçı kullanılmalıdır.
  • İlgili kişinin hakları (üçüncü taraf yararlanıcı hakları) ve yasal iddialar (Kurul ve Mahkemeler nezdinde şikâyette bulunma imkânı dâhil) olmak üzere açıkça tanımlanmalıdır.
  • Grubun Türkiye'de yerleşik merkezi, kişisel verilerin korunması konusunda yetkilendirilmiş Türkiye'de yerleşik bir grup üyesi veya veri aktaran veri sorumlusunun Bağlayıcı Şirket Kurallarından kaynaklanan tazminatın ödenmesi ve ihlallerin giderilmesi konusundaki yükümlülüğünü kabul etmesi gerekmektedir.
  • Başvuru formu, Bağlayıcı Şirket Kuralları ile bağlı Türkiye dışında kurulu bulunan diğer üyelerin fiilleri bakımından sorumluluğu kabul eden tüm üyelerin, Bağlayıcı Şirket Kurallarının ihlalinden kaynaklanan zararların tazmini için yeterli varlığa sahip olduğu yönünde bir taahhüt içermelidir.

5.2. İddianın nereden kaynaklandığına bakılmaksızın, Bağlayıcı Şirket Kuralları hükümlerinin ihlali iddiasıyla ilgili ispat yükünün, grubun Türkiye'de yerleşik merkezinde veya grubun merkezi Türkiye'de değil ise kişisel verilerin korunması konusunda yetkilendirilmiş Türkiye'de yerleşik grup üyesinde bulunması gerekmektedir.

5.3. Etkili Uygulama kapsamında:

  • Uygun eğitim ve farkındalık çalışmalarının yapılması gerekmektedir.
  • Herhangi bir ilgili kişinin kendi haklarını kullanabilmesi ve herhangi bir Bağlayıcı Şirket Kuralları üyesi hakkında başvuruda bulunabilmesini sağlayacak dâhili bir şikâyet yönetimi süreci kurulmalıdır.
  • Uyumluluk denetiminin bulunması gerekmektedir.
  • Bağlayıcı Şirket Kurallarının uygulanması konusunda görevli personel yapılanmasının bulunması gerekmektedir.

5.4. Kurum ile Koordinasyon kapsamında:

  • Bağlayıcı Şirket Kuralları, gerekmesi halinde tüm üyelerin Kurum tarafından denetlenmesini ve bu kurallarla ilgili herhangi bir konuda Kurum'un tavsiyelerine uymayı kabul ettiğini içeren açık bir yükümlülük içermelidir.

5.5. Kişisel Verilerin İşlenmesi ve Aktarılması kapsamında;

  • Bağlayıcı Şirket Kuralları, üçüncü ülkelerde yürütülen işlemlerin uyumlu olup olmadığının Kurum tarafından değerlendirilmesini sağlamak üzere Kuralların kapsamı ve aktarımların genel bir tanımını içermelidir.
  • Bağlayıcı Şirket Kurallarının yer bakımından kapsamı hakkında açıklama yapılması ve Bağlayıcı Şirket Kurallarında, her bir grup üyesi dâhil olmak üzere grubun yapısı ve iletişim bilgileri açıkça belirtilmelidir.
  • Bağlayıcı Şirket Kuralları ile bağlı yapılar hakkında açıklamada bulunulması gerekmektedir.

5.6. Raporlama ve Kayıt Değişikliği Mekanizmaları kapsamında;

  • Bağlayıcı Şirket Kuralları değiştirilebilir/güncellenebilir. Ancak değişikliklerin gecikmeksizin tüm Bağlayıcı Şirket Kuralları üyelerine ve Kuruma bildirilmesi konusunda bir yükümlülük öngörülmelidir.

5.7. Veri Güvenliği kapsamında;

  • Türkiye'den aktarım ya da sonraki aktarımları kapsar şekilde veri koruma ilkelerine ilişkin bir açıklama yapılması gerekmektedir.

5.8. Hesap Verilebilirlik ve Diğer Araçlar kapsamında;

  • Uyumun sağlanabilmesi için Bağlayıcı Şirket Kuralları üyelerinin, tüm kategorilerdeki veri işleme faaliyetlerinin elektronik yöntemler de dâhil olmak üzere yazılı şekilde kaydını tutması ve talep halinde Kuruma sunması gerekmektedir.

5.9. Yardımcı Bilgi ve Belgeler kapsamında;

  • Bilgi verilmesi zorunlu olmamakla birlikte başvurunun değerlendirilmesi bakımından aktarımın yapılacağı ülkelerin taraf olduğu, kişisel verilerin korunması konusunda hüküm içeren uluslararası sözleşmelerin, ilgili kısımlara atıf yapılarak, belirtilmesi ve/veya kişisel verinin aktarılacağı ülkede, kişisel verilerin korunması konusunda ulusal mevzuat ile yetkili bir kişisel verileri koruma otoritesinin varlığı ve varsa konuyla ilgili mevzuatı ve uygulamasının kısaca belirtilmesi faydalı olacaktır.
  • Ayrıca, genel hükümler çerçevesinde;
  • Bağlayıcı Şirket Kuralları başvuru formu doldurulurken açık ve anlaşılır bir dil kullanılması gerektiği,
  • Başvuru ve uygulama aşamasında, bir bütün olarak Grup ve Grup üyelerinden her birinin Bağlayıcı Şirket Kurallarının yorumlanması ve uygulanmasıyla ilgili Kurumun talimatlarına uygun hareket etmeyi kabul etmesi gerektiği,
  • Kuralların uygulanması bakımından, başvuru yapmaya yetkili kişinin muhatap olduğu,
  • Grubun Bağlayıcı Şirket Kuralları kapsamında aktarılan kişisel verileri Kanuna ve bu kurallara uygun olarak işlemesi gerektiği,
  • Herhangi bir sebeple Kanuna ve taahhüde uygunluk sağlanamazsa Kurumun konu ile ilgili derhal bilgilendirilmesi gerektiği ve bu durumda Kurum'un, veri aktarımını askıya alma ve Bağlayıcı Şirket Kuralları'nı feshetme hakkına sahip olacağı,
  • Kurallar kapsamında işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumun en kısa sürede başvuru yapmaya yetkili kişiye bildirilmesi gerektiği,
  • Başvuru yapmaya yetkili kişinin söz konusu durumu en kısa sürede ilgilisine ve Kurula bildirmesi gerektiği ve Kurulun, gerekirse bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği,
  • Bağlayıcı Şirket Kuralları kapsamında aktarımına izin verilen kişisel verilerin, Grup üyeleri dışındaki kişilere aktarılamayacağı, grup üyeleri dışındaki kişilere aktarılması istendiğinde 1. Bölümde değindiğimiz taahhütname yolunun kullanılması gerektiği,
  • Grup üyelerinden herhangi birinin grupla bağının kesilmesi veya kuralların herhangi bir nedenle sona ermesi gibi durumlarda aktarıma konu kişisel verilerin yedekleri ile birlikte grubun Türkiye'de yerleşik merkezine veya grubun merkezi Türkiye'de değil ise kişisel verilerin korunması konusunda yetkilendirilmiş Türkiye'de yerleşik bir Grup üyesine gönderilmesi veya yedekleri ile birlikte tamamen yok edilmesi gerektiği belirtilmiştir.

6. Başvurular ne kadar sürede sonuçlandırılır?

Başvurular Kurum'a elden veya posta yolu ile iletilebilecektir. Resmi başvuru tarihinden itibaren de bir yıl içerisinde değerlendirilerek sonuca bağlanacaktır. Gerekmesi halinde bu sürenin altı aylık sürelerle uzatabileceği düzenlenmiştir.

Bağlayıcı Şirket Kuralları ile yardımcı dokümana bu linkten ulaşabilirsiniz: https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/62fb06e5-d623-404d-b3a1-c492891a3bbb.docx

Bağlayıcı Şirket Kuralları ile ilgili başvuru formuna bu linkten ulaşabilirsiniz: https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/0aa5e8ce-8e4e-403c-a444-7212f581ad23.docx

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.