Kişisel Verilerin Korunması Kapsamında Bağlayıcı Şirket Kuralları

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), kişisel verilerin işlenmesine ilişkin düzenlemeler getirirken, kişisel verilerin yurt dışına aktarılmasına ilişkin özel koşullar da öngörmüştür. Buna göre, kural olarak kişinin açık rızası olmaksızın kişisel verilerin yurt dışına aktarılması yasaklanmıştır. Ancak, Kanun’da kişisel veri işleme şartlarını düzenleyen 5. maddenin ikinci fıkrası ile 6. maddenin üçüncü fıkrasında öngörülen açık rıza haricindeki diğer veri işleme şartlarının varlığı halinde de gerekli koşulların yerine getirilmesi halinde kişisel verilerin yurt dışına aktarılması mümkündür. Bu koşullar, kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunmasıdır. Hangi ülkelerin yeterli korumaya sahip olacağını belirleme yetkisi Kişisel Verileri Koruma Kurulu’nda (“Kurul”) olup, Kurul henüz bu belirlemeyi yapmamıştır. Bu nedenle, halihazırda Türkiye’deki veri sorumluları tarafından yurt dışına yapılan kişisel veri aktarımlarının tamamının yeterli koruma olmayan ülkeye yapıldığı kabul edilmektedir.

Kurul, Türkiye’de yerleşik veri sorumlusu tarafından yeterli veri koruması bulunmayan ülkelerde yerleşik veri sorumlusuna/veri işleyene kişisel verilerin aktarımında, ilgili tarafların yeterli bir korumayı yazılı olarak taahhüt etmelerine imkân sağlayan yöntemlerden birini “Taahhütnameler” olarak belirlemiş ve taraflarca hazırlanarak Kurul onayına sunulacak Taahhütnamelerde bulunması gereken asgari unsurları da belirleyerek ilan etmişti. Bu kapsamda söz konusu taahhütnamelerin Kurul tarafından onaylanması akabinde yurt dışına veri aktarımı mümkün olabilmektedir.

Ancak, kişisel veri aktarımına ihtiyacın yoğun olduğu çok uluslu şirket yapılarında uygulaması pratik olmayan bu Kanun maddesi nedeniyle, Kurul,  söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere diğer bir yöntem olarak “Bağlayıcı Şirket Kuralları”nı belirlenmiştir. GDPR’da da “Binding Corporate Rules” olarak yer alan bu uygulama, Türk hukukunda Kanun içerisinde yer edinmemiş olup, Kurul tarafından sahip olduğu Kanun’un 9. maddesi kapsamında sahip olduğu yurt dışına gerçekleştirilecek kişisel veri aktarımlarına ilişkin izin verme yetkisi kapsamında bir düzenleyici işlem olarak tesis edilmiştir.

Kurul Bağlayıcı Şirket Kurallarını, “yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kuralları” olarak tanımlamıştır. Bu kapsamdaki şirketler, ilgili form ile gerekli bilgi ve belgeleri Kurum’a ileterek başvuru yapabileceklerdir. Kurul’un bağlayıcı şirket kurallarını uygulaması herhangi bir süreye tabi olmayıp, Kurul gerektiğinde uygulamayı askıya alma veya feshetme yetkisine de sahiptir.

Kurum’a Grup adına başvuruyu; varsa Grubun Türkiye’de yerleşik merkezi; yoksa kişisel verilerin korunması konusunda yetkilendirdiği Türkiye’de yerleşik Yetkili Grup Üyesi yapma yetkisine sahiptir. Başvuru Kurum’a elden veya posta yoluyla iletilmelidir; Kurul halihazırda bir elektronik yöntem öngörmemiştir.

Kurum’un, kendisine iletilen başvuruları inceleyip sonuçlandırma süresi 1 yıldır. Ancak gerekmesi halinde Kurum’a 6 aylık sürelerle bu süreyi uzatma yetkisi de verilmiştir.

Hazırlanan form ile Kurum, Gruba dair ve Grubun kişisel verilerin korunmasına yönelik uygulamaları hakkında bir çok bilgi talep etmektedir. Bağlayıcı Şirket Kurallarının tüm Grup üyeleri ve Grup adına veri işleme faaliyetini gerçekleştirenler bakımından bağlayıcılığının nasıl sağlanacağı, etkili bir uygulamayı teminen öngörülen mekanizmalar, Kurum ile koordinasyon, kişisel verinin aktarılması ve işlenmesi ile ilgili detaylar, raporlama ve kayıt değişikliği mekanizmaları, veri güvenliği konuları, hesap verebilirlik, Bağlayıcı Şirket Kuralları başvurusuna ilişkin yardımcı bilgi ve belgeler gibi.

Kurum’a başvuru esnasında ilgili bilgi ve belgelerin sağlanabilmesi için, kapsama giren Grupların geniş kapsamlı bir çalışma yapması gerekmektedir. Grup şirketler, kendi aralarında kişisel veri işleme/paylaşma faaliyetlerinin söz konusu olduğu durumlarda nasıl hareket edecekleri, kişisel verileri nasıl koruyacakları, silme/yok etme gibi işlemlerin nasıl ve hangi yöntemlerle gerçekleştirileceği, bu korumanın etkinliğini sağlamak için nasıl bir denetim ve bağlayıcılık mekanizmasının söz konusu olacağı, çalışanlara yönelik alınan tedbirler, veri işleyenlerle ilişkiler, ilgili kişilerin hakları, Kurum ile koordinasyonun nasıl sağlanacağı gibi detayları içeren kapsamlı sözleşmeler akdetmelidirler. Yine Grupta hangi kişisel verilerin ne gibi yöntemlerle ve ne gerekçelerle aktarılacağı konuları da kurallara bağlanıp Kurum’a başvuru esnasında iletilmelidir.

Kurum esasen kapsama giren Gruplardan, kişisel veri işleme ve paylaşma faaliyetlerinin bir çerçeve ve kural zeminine oturtulmasını, bunların bildirilebilmesini ve Grup içinde etkin bir mekanizma ile yönetilerek bağlayıcılığının sağlanmasını beklemektedir.

Kurum’un duyuru metnine ve yayımladığı diğer dokumanlara buradan erişebilirsiniz.

(20.04.2020)

Av. Dilara Duygu KOŞAY