TÜRK MEVZUATI VE ULUSLARARASI ALANDAKİ DÜZENLEMELER DOĞRULTUSUNDA BAĞLAYICI ŞİRKET KURALLARI

17 Nisan 2020

7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun” veya “6698 sayılı Kanun”) ile kişisel verilerin işlenmesine ve aktarılmasına ilişkin veri işleyen kurum ve kuruluşları bağlayıcı kurallar getirilmiştir.


7 Nisan 2016 tarihli 29677 sayılı Resmi Gazete ile yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun” veya “6698 sayılı Kanun”) ile kişisel verilerin işlenmesine ve aktarılmasına ilişkin veri işleyen kurum ve kuruluşları bağlayıcı kurallar getirilmiştir. İlgili Kanun uyarınca kişisel verilerin işlenmesi ve aktarılmasında temel kural verisi işlenen gerçek kişilerden açık rıza alınmasıdır. Bununla birlikte yine Kanun’da yer alan bazı istisnai hallerde kişilerden açık rıza alınmaksızın verilerin işlenebileceği veya aktarılabileceği öngörülmüştür.

Kanun, her ne kadar fiiliyatta uygulanan yöntemler olmasına rağmen birçok kavrama yer vermek suretiyle gerçekleştirilen uygulamaları yasal bir düzene tabi tutmaktadır. Nitekim Kanun’un yürürlüğe girmesinden önce işlenmiş olan verilerin esasında işleme faaliyetine ne şekilde tabi tutulabileceği bu suretle belirlenmiştir. Diğer yandan Kanun ile kişisel verilerin aktarılmasına ilişkin olarak ayrıca kurallar belirlenmiş ve aktarımın yapılacağı kurum ve kuruluşların mukim oldukları yere göre farklı düzenlemelere gidilmiştir. Yine kişisel verilerin niteliğine göre de işleme ve aktarıma ilişkin kurallar farklılık göstermektedir.

  • Türk Mevzuatı Açısından Değerlendirme

Kişisel verilerin aktarılması ile ilgili olarak Kanun’da açıkça bir tanımlamaya yer verilmemiş olduğundan hangi faaliyetlerin kişisel verilerin aktarılmasını kapsayacağı bu noktada karmaşa yaratabilmektedir. Kanun’un 8 inci maddesi ile kişisel verilerin ve özel nitelikli kişisel verilerin yurt içinde aktarımına ve 9 uncu maddesi ile yurt dışına aktarımına ilişkin düzenlemeler farklı başlıklar olarak ele alınmıştır. 8 inci madde uyarınca kişisel verilerin yurt içi aktarımında kural olarak ilgili kişinin açık rızasının alınması gerektiği ifade edilmiş, Kanun’un 5 inci ve 6 ncı maddelerinde yer alan veri işleme şartlarından herhangi birinin varlığı halinde ise açık rıza alınmaksızın kişisel veri aktarımının yapılabileceği düzenlenmiştir. Kanun’un 9 uncu maddesinde de yurt dışı veri aktarımına ilişkin düzenlemelere yer verilmiş ve yurt dışına kişisel veri aktarımı, yurt içinde yapılacak akarıma nazaran çok daha sıkı şartlara bağlanmıştır. Bu kapsamda kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı, kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun (“Kurul”) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın söz konusu verilerin yurt dışına aktarılabileceği düzenlenmiştir. Ayrıca maddede yeterli korumanın bulunduğu ülkelerin Kurulca belirlenerek ilan edileceği ve söz konusu ülkelerin ilanında değerlendirilecek hususlar hüküm altına alınmıştır. Ancak halihazırda Kurul tarafından yeterli korumanın bulunduğu ülkelere dair herhangi bir açıklama yapılmamış olup yalnızca yeterli korumaya sahip ülkelerin belirlenmesinde esas alınacak kriterler belirlenmiştir.[1]

Mevcut düzenleme bakımından açık rıza almaksızın kişisel verilerin yurt dışına aktarımı birçok zorluğu beraberinde getirmektedir. Zira halihazırda yeterli korumaya sahip ülkelerin açıklanmamış olması ve ayrıca alınan taahhütlere Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından olumlu veya olumsuz yanıt verilmemiş olması kişisel verilerin ve özel nitelikli kişisel verilerin, yurt dışına aktarımında her ilgili kişiden açık rıza alınmasını gerektirmekte, ancak bu durumun uygulanırlığının zorlukları ve kuruluşların faaliyetleri göz önüne alındığında hukuka aykırı şekilde veri aktarımının yapılmasına neden olabilmektedir. Özellikle yurt dışı bağlantılı grup şirketlerin faaliyetlerini yerine getirebilmeleri bakımından büyük sorunlar teşkil eden bu husus ile ilgili olarak Kurum, 10 Nisan 2020 tarihinde yapmış olduğu açıklama ile Bağlayıcı Şirket Kurallarının uygulayacağını bildirmiştir.[2]

  • Avrupa Birliği Genel Veri Koruma Tüzüğü Kapsamında Bağlayıcı Şirket Kuralları

Bağlayıcı Şirket Kuralları her ne kadar ülkemizde yeni kabul edilmiş bir yöntem olsa da uluslararası alanda mevcut bir uygulamadır. Zira teknolojinin gelişmesi ile birlikte kişisel verilerin global çapta aktarımı veri işleyen her bir kuruluş için zorunluluk haline gelmiş ve akıllı telefonlar, sosyal medya, bulut bilişim gibi bilgi ve iletişim teknolojilerinde gelişmeler paralelinde veri güvenliği ve veri aktarımı açısından çeşitli düzenlemelere ihtiyaç duyulmuştur. Özetle Bağlayıcı Şirket Kuralları, bir şirket grubundaki sınır ötesi aktarımlar dahil olmak üzere kişisel verilerin işlenmesi için geçerli ilkeleri ve kuralları belirleyen şirket içi davranış kuralları olarak tanımlanmaktadır.[3]

Türk Hukukunda şirketler topluluğu olarak tanımlanan grup şirketleri ortak ekonomik faaliyet içerisinde olduğu kabul edilen ve dolaylı veya doğrudan hakimiyet esasına dayalı en az iki şirketi ifade etmektedir. Yine bu bağlamda global pazarlama stratejileri ve gelişmiş düzeyde yapılan yatırımlar çok uluslu şirketlerin oluşmasına sebep olmuştur. Çok uluslu şirket, iki ya da daha fazla ülkede faaliyet gösteren, üretim ve yönetim ile ilgili kararları bir merkezden alan, bağlı şirketlerin mülkiyetinin önemli bir kısmını elinde tutan ve bağlı şirket üzerinde karar mekanizması ve kontrol gücü bulunan şirkettir.[4] Bu kapsamda faaliyette bulunan şirketler açısından ise yurt dışına veri aktarımının yapılması neredeyse zorunluluk teşkil etmektedir. Böylelikle hem uluslararası anlamda hem de her ülkedeki yerel mevzuat açısından temel düzenleme teşkil etmek üzere çok uluslu şirketler ve teşebbüsler arasında veri aktarımını gerçekleştirebilmek üzere uygulanabilir nitelikte düzenlemelere ihtiyaç duyulmuştur.

Avrupa Birliği nezdinde kurulu olan şirketlerin ortak ekonomik faaliyet içerisinde olduğu ve Avrupa Birliği Ekonomik Alanı dışında bulunan kuruluş veya teşebbüslere aktarımını kolaylaştırmak ve bu aktarımları en güvenli şekilde gerçekleştirebilmek üzere 95/46/EC sayılı Avrupa Birliği Veri Koruma Direktifi’nin 29 uncu maddesine uygun olarak kurulan Çalışma Grubu tarafından Bağlayıcı Şirket Kuralları (Binding Corporate Rules, BCR)[5] oluşturulmuştur. İlgili kurallar ile yeterli düzeyde veri koruması sağlamayan ülkelere kişisel verilerin aktarımı esnasında uyulması gereken standartlar belirlenmiştir. 25 Mayıs 2018 tarihinde Avrupa Birliği’nde yürürlüğe girmiş olan Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) ile 95/46/EC sayılı Direktif kapsamında kurulmuş olan Madde 29 Çalışma Grubu Avrupa Veri Koruma Kurulu (European Data Protection Board, EDPB)[6] olarak değiştirilmiştir.[7] Temelde GDPR, Avrupa Birliği nezdinde kurulu ülkeler bakımından doğrudan bağlayıcı nitelikte olmakla birlikte bölgesel kapsam uygulamaları ile düzenlemeye tabi olacak işlemler Tüzüğün 3 maddesi ile belirtilmiştir. Bu kapsamda, bölgesel kapsam dışında kalan ülkelere yapılacak aktarımlar bakımından yeterli veri koruma önlemlerinin alınabilmesini teminen 44 ve 50 inci maddeler arasında düzenlemelere yer verilmiştir. Bağlayıcı Şirket Kurallarına ilişkin kurallar da GDPR’ın 47 nci maddesinde düzenlenmiştir. Böylelikle Bağlayıcı Şirket Kuralları oluşturacak kurum ve kuruluşların metinlerinde yer alması gereken düzenlemelere ilişkin asgari unsurlar yasal olarak belirlenmiştir. Bu kapsamda şirketlerin Bağlayıcı Şirket Kuralları adı altında belirleyeceği kuralların, Madde 29 Çalışma Grubu tarafından belirlenen şartları[8] ve GDPR’ın 47 nci maddesinde belirtilen unsurları içermesi gerektiği söylenebilecektir.

GDPR kapsamında çok uluslu şirketler arasında yapılacak veri aktarımları için Bağlayıcı Şirket Kuralları sistemine dahil olmak isteyen kuruluşların öncelikle GDPR düzenlemelerine tam anlamıyla uyum sağlamış olmaları gerekmektedir. Nitekim Bağlayıcı Şirket Kurallarının kabulü için veri aktarımına ilişkin detaylı ve yüksek güvenlikli sistemleri benimsenmiştir. AB’de kurulu bulunan bir şirketin Avrupa Ekonomik Alanı dışında bulunan bir grup şirketine sınır ötesi veri aktarımı yapabilmesi amacıyla Bağlayıcı Şirket Kurallarını uygulayabilmesi için öncelikle AB nezdinde kurulu ve şirket merkezinin kurulu olduğu veri koruma otoritesine bu kuralları onaylanmak üzere sunması gerekmektedir. Ancak şirketlerin faaliyet ve yönetimleri bakımından farklı bir veri koruma otoritesi seçmeleri de mümkündür. Bu kapsamda Avrupa Birliği nezdinde Bağlayıcı Şirket Kurallarını kabul eden şirketler ve veri koruma otoriteleri de Avrupa Komisyonu tarafından açıklanmıştır.[9] Yine Avrupa Ekonomik Alanı nezdinde yer alan ülkeler ve İngiliz Veri Koruma Otoritesi[10] tarafından Bağlayıcı Şirket Kuralları bakımından kabul edilebilir düzeyde bir karşılıklı tanıma prosedürü geliştirilmiştir.

  • Kurum Açıklamaları Kapsamında Bağlayıcı Şirket Kuralları

Uluslararası alanda geçmişi olan Bağlayıcı Şirket Kuralları, çok uluslu şirketler arasındaki veri aktarımını kolaylaştırmak amacıyla oluşturulmuştur ve küresel düzeyde faaliyet gösteren firmalar tarafından da veri koruma otoritelerince kabul edilerek uygulanmaya başlanmıştır. Türkiye’nin özellikle gelişmekte olan ülkeler arasında yer aldığı düşünüldüğünde Kanun’da yer alan sınır ötesi veri aktarımı düzenlemelerinin bu faaliyetleri karşılamadığı açıktır. Kişisel Verileri Koruma Kurumu da 10 Nisan 2020 tarihinde yapmış olduğu açıklama ile birlikte Bağlayıcı Şirket Kurallarını “Yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır” şeklinde tanımlayarak Bağlayıcı Şirket Kuralları için çok uluslu şirketlerin başvurularını kabul edeceğini, bu başvurulara 1 yıllık süre içerisinde cevap vereceğini, Bağlayıcı Şirket Kurallarının uygun bulunması halinde çok uluslu şirketler arasındaki veri aktarımının bu kurallar bağlamında açık rıza olmaksızın gerçekleştirebileceğini ifade etmiştir. Ayrıca Kurumun internet sitesinde Yurtdışına Aktarım başlığı ile paylaşmış olduğu bilgilerin GDPR’da kabul edilmiş uygulamaya paralel olduğu görülmektedir.[11]

Kurum tarafından yapılan açıklamalar uyarınca Bağlayıcı Şirket Kuralları ile ilgili olarak, Bağlayıcı Şirket Kuralları metninde yer alması gereken içerikler, başvuru yöntemi, başvurulara cevap verme süreleri vb. hususlar aşağıdaki şekilde belirlenmiştir:

  • Başvuru Yapma Yetkisi

Çok uluslu grup şirketin Türkiye’de yerleşik merkezi var ise başvuru bu şirket tarafından yapılacaktır. Grubun Türkiye’de yerleşik merkezi yok ise; Türkiye’de yerleşik bir Grup Şirketler üyesi kişisel verilerin korunması konusunda yetkilendirilmelidir. Bu durumda, Grup Şirketler adına başvuru yapma yetkisini yetkilendirilmiş bu Grup Üyesi haiz olacaktır.

  • Başvuruda Sunulacak Bilgi/Belgeler
  1. Başvuru Formu
  2. Bağlayıcı Şirket Kuralları Metni
  3. Başvuru ile ilgili uygun görülen tüm bilgi ve belgeler
  • Başvurunun Yöntemi

Başvurular Kuruma elden veya posta yolu ile iletilecektir.

  • Başvurunun Sonuçlandırılması

Başvurular, Kurum tarafından, resmi başvuru tarihinden itibaren bir (1) yıl içerisinde değerlendirilerek sonuca bağlanacaktır. Gerekmesi halinde bu süre, altı (6) aylık sürelerle uzatılabilecektir.

Başvuruların Kurul tarafından onaylanması halinde bu durum başvuru yapan kişiye bildirilecek ve gerekmesi halinde ilan edilecektir.

  • Kurum Tarafından Belirlenen Bağlayıcı Şirket Kurallarında Yer Alması Gereken Asgari Hususlar

Bağlayıcı Şirket Kurallarının uygun bulunabilmesi için grup şirketler arasında bir bağlayıcılık unsurunun bulunması gerekmektedir. Bu aşamada bağlayıcılığın grup şirketler arasında sözleşme veya tek taraflı taahhütnameler ile sağlanacağının belirtilmesi gerekmektedir. Yapılan sözleşmeler veya verilen taahhütlere uygun davranılmaması halinde uygulanacak yaptırımların açıkça ifade edilmesi ve bu kurallardan muaf tutulacak grup üyesi var ise muaf tutma sebepleri ile birlikte açıklanması beklenmektedir.

Grup şirket çalışanlarının Bağlayıcı Şirket Kurallarına uyma yükümlülüğünün ne şekilde sağlanacağı açıklanmalıdır. Çalışanların iş sözleşmelerine bu anlamda hükümler eklenmesi, şirket politikaları oluşturulması, işyeri yönetmeliklerinin oluşturulması beklenmektedir. Yine bu Kuralların çalışanlar tarafından ihlal edilmesi halinde uygulanacak yaptırımların da Kuruma bildirilmesi önem arz etmektedir. Çalışanlar açısından ise Bağlayıcı Şirket Kurallarının her zaman ulaşılabilir olması ve bu metinleri okuduklarına dair beyanlarda bulunması gerekmektedir.

Veri Sorumlusu olacak grup şirket adına veri işlemesi gerçekleştirecek kişilerin veri güvenliğinin sağlanması bakımından zorunlu tutulması gerekmektedir. Burada da veri işleyen ve veri sorumlusu arasında taahhütnamelerin yapılması uygun olacaktır. Veri sorumlusunun veri işleyeni bu kapsamda denetlemesi ve sözleşmelerde bu hükümlere yer vermesi gerekmektedir. Veri işleyenlerin Bağlayıcı Şirket Kurallarına aykırı davranışları halinde bu davranışların sonuçlarının da Kuruma bildirilmesi gerekmektedir.

Bağlayıcı Şirket Kuralları içerisinde ilgili kişilerin Kanun’un 11 inci kapsamında sahip olduğu hakların grup şirke üyeleri tarafından her zaman yerine getirileceğinin beyan edilmesi gerekmektedir. Ayrıca yine 11 inci madde kapsamında zararın giderilmesini talep etme hakkı da dâhil olmak üzere her türlü zararının tazmini için açılacak davalar bakımından Türk mahkemelerine başvurulabileceği ifadelerinin yer alması gerektiği ifade edilmiştir. İlgili kişilerin diğer ülkelerde dava açması durumunda tercüme, avukat sağlanması vb. her türlü yardımın sağlanacağının taahhüt edilmesi gerekmektedir.

Bağlayıcı Şirket Kurallarının ihlal edilmesi halinde ihlalin nereden kaynaklandığına bakılmaksızın bu ihlalden kaynaklı zararın Türkiye’de bulunan grup şirket veya yetkili grup üyesi tarafından giderilmesi gerektiğinden bu kapsamda yetkili grup üyesinin ve verilecek finansal güvenceler dahil olmak üzere uygun teminatların belirtilmesi gerekmektedir. Ayrıca, Bağlayıcı Şirket Kurallarının ihlali ile ilgili olarak iddianın nereden geldiğinde bakılmaksızın ihlalin iddiası ile ilgili ispat yükü grup şirketin Türkiye’de bulunan merkezinde veya yetkili grup üyesinde olacağının metinde ifade edilmesi gerekmektedir.

Bağlayıcı Şirket Kuralları içerisinde

  • 4 üncü maddesinde düzenlenen Genel İlkelerine,
  • 11 inci maddesinde düzenlenen İlgili Kişinin Haklarına,
  • Verinin aktarıldığı ülkede, Bağlayıcı Şirket Kurallarına uymayı engelleyen ulusal bir mevzuatın bulunup bulunmadığına ve bulunması halinde bu mevzuatlara,
  • Grup üyelerinden birinin, üçüncü bir ülkede tabi olduğu ve Bağlayıcı Şirket Kuralları ile sağlanan teminatlar üzerinde önemli olumsuz etkileri olma ihtimali bulunan tüm yasal yükümlülüklerine,
  • Kişisel Verileri Koruma Kurumu ile sağlanacak koordinasyona
  • 13 üncü madde ile düzenlenen Veri Sorumlusuna Başvuru usullerine

Yer verilmesi gerekmektedir.

Bağlayıcı Şirket Kurallarının etkili uygulanmasını sağlamak üzere hangi mekanizmaların kullanıldığının, kuralların nasıl uygulanacağının ve özellikle yurt dışına aktarılacak veriler ile ilgili yeterli korumayı sağlayacak önlemlerin alınıp alınmadığının Bağlayıcı Şirket Kurallarının, Kurul tarafından onaylanabilmesi açısından önemli olduğu da ifade edilmiştir. Bu kapsamda,

  • Grup şirket çalışanları açısından Bağlayıcı Şirket Kurallarını uygulamak üzere eğitim programlarının düzenlenmesi ve bu programların Kuruma bildirilmesi,
  • Çalışanların, kişisel verilerin korunması, veri güvenliğinin sağlanması ve Bağlayıcı Şirket Kuralları hükümleri bakımından bilgi ve farkındalık seviyelerinin takibinin yapılması ve bu yöntemlerin Kuruma bildirilmesi,
  • Bağlayıcı Şirket Kurallarının basılı veya yazılı ortamda çalışanlara sunulması ve bu yöntemlerin Kuruma bildirilmesi,
  • Çalışanların hizmetleri kapsamında veri güvenliğinin önemini kavraması ve gerektiğinde harekete geçebilmeleri konusunda eğitimler verilmesi ve bu eğitim içeriklerinin Kuruma bildirilmesi,
  • Bağlayıcı Şirket Kurallarına aykırılık halinde bu durumun bildirilmesi amacıyla grup şirket içerisinde şikayet mekanizmasının oluşturulması ve bu mekanizmanın Kuruma bildirilmesi,
  • Grup şirketler nezdinde Bağlayıcı Şirket Kurallarına uyumunun denetlenmesi, bu denetim içeriklerinin ve ayrıca denetim mekanizmalarının Bağlayıcı Şirket Kuralları metninde nerede ve ne şekilde düzenlendiğinin Kuruma bildirilmesi,
  • Bağlayıcı Şirket Kurallarına uyumluluğu denetlemek üzere kimlerin görevli olduğu hususunda metinde görev ve sorumluluk matrisinin oluşturulması ve Kuruma bildirilmesi,
  • Denetim mekanizmalarının belirli aralıklara gözden geçirilmesi ve bu revizyonlarda esas alınacak yöntemlerin belirlenmesi ve Kuruma açıklanması,
  • Belirli aralıklarla şeffaf ve açık raporlamaların yapılması ve Kuruma bildirilmesi,
  • Bağlayıcı Şirket Kurallarının tüm grup şirketler içerisinde uygulandığının ve uyumun sağlanması ile takibini sağlayacak bir personelin belirlenmesi, bu kişiye ait görev ve sorumlulukların belirlenmesi,
  • Kişisel Verileri Koruma Kurumu ile koordinasyonun nasıl ve ne şekilde sağlanacağının açıkça ifade edilmesi gerekmektedir.

Grup şirketler için oluşturulacak Bağlayıcı Şirket Kurallarının Kanun kapsamında veri aktarımı esnasında yeterli güvenceyi sağlayıp sağlamadığının değerlendirilebilmesi amacıyla veri işleme süreçlerinin açık ve anlaşılabilir şekilde tanımlanması gerektiği ifade edilmiştir. Bu kapsamda şirketler tarafından oluşturulacak veri envanterinin kolaylık oluşturacağı söylenebilecektir. Talep edilen bilgiler aşağıdaki şekildedir:

  • Aktarıma konu veri kategorileri belirtilmelidir. Veri kategorileri için Veri Sorumluları Sicili’nde belirtilen sınıflandırma kullanılabilecektir.
  • Her bir veri kategorisi bakımından verinin genel veya özel nitelikli olup olmadığı, aktarma amacı ve azami saklama süresi belirtilmelidir.
  • Veri konusu kişi gruplarına yer verilmelidir.
  • Veri aktarımının hangi yöntemle yapılacağı belirtilmelidir. (Bulut ortamı, elektronik ortam, taşınabilir depolama vb.)
  • Veri aktarımının Kanun kapsamında hukuki sebepleri belirtilmelidir
  • Aktarılacak verilerin hangi grup şirket üyelerine aktarılacağı belirtilmelidir. Bu kapsamda grup üyelerinin adı ve iletişim bilgilerinin bulunması gerekmektedir.
  • Bağlayıcı Şirket Kuralları çok uluslu grup şirketler arasındaki veri aktarımlarının tamamında kullanılacak ise bu bilgiye yer verilmelidir.
  • Türkiye’de yerleşik olmayan bir grup üyesi tarafından grup üyesi olmayan bir şirkete veri aktarımı yapılacak ise bu konuda öngörülen aktarımlara ilişkin bilgiler açıklanmalıdır. Bu şekilde veri aktarımı yapılacak ise Kurulun 02/04/2018 tarih ve 2018/33 sayılı kararı ekinde yer alan “Taahütnameler”in kullanılması gerekmektedir.

Bağlayıcı Şirket Kuralları ile ilgili olarak herhangi bir değişiklik yapılması halinde hem grup üyeleri hem Kuruma en kısa sürede bilgi verilmesi gerekmektedir. Ayrıca Bağlayıcı Şirket Kurallarının uygulanmasına hiçbir şekilde etki etmeyen, salt idari değişiklikler gibi hususlar hariç olmak üzere ilgili kişinin haklarına zarar verebilecek veya veri güvenliğini önemli ölçüde etkileyecek türden değişikliklerin önceden Kuruma bildirilmesi gerekmektedir. Bu bilgiler kapsamında değişiklik bildirimlerinin nasıl yapılacağı, Kuruma ne şekilde haber verileceği açıklanmalıdır. Bağlayıcı Şirket Kuralları metninde veya uygulamasında meydana gelecek değişikler kayıt altına alınmalı ve bu kayıt sistemi hakkında Kuruma bilgi verilmelidir.

Bağlayıcı Şirket Kuralları kapsamında aktarılacak verilerin niteliğine göre uygun güvenlik düzeyinin temin edilmesi yönelik her türlü idari ve teknik tedbirin alınması ve bu tedbirlerin Kuruma detaylı şekilde açıklanması gerekmektedir. Bu kapsamda Bağlayıcı Şirket Kuralları içerisinde;

  • Kanun’un 4 üncü maddesi ile düzenlenen genel ilkelere uyum konusunun nerede ve ne şekilde değerlendirildiği açıklanmalıdır.
  • Kişisel verilerin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen teknik ve idari tedbirler açıklanmalıdır. Gerekli olması halinde grup üyelerinin de belirtilmesi gerekmektedir.
  • Kanun’un 6 ncı maddesi gereğince özel nitelikli kişisel verilerin işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin[12] alınması gerekmekte olup bu kapsamda alınan önlemler Kuruma bildirilmelidir.
  • Veri ihlali bildirimlerine ilişkin süreçler prosedür haline getirilmeli ve Kuruma bildirilmelidir. [13]

Bağlayıcı Şirket Kurallarına uyum sağlanması ve grup üyelerinin bu kurallar ile ilgili sorumluluklarının açık şekilde belirlenmesi gerekmektedir. Bu husus hesap verilebilirlik kapsamında ele alınmış olup Kuruma iletilecek Bağlayıcı Şirket Kuralları içerisinde bu sorumlulukların belirtilmesi gerektiği ifade edilmiştir. Ayrıca grup üyeleri tarafından Bağlayıcı Şirket Kuralları kapsamında gerçekleştirilecek veri işleme faaliyetlerinin kayıtlarının tutulması ve bu kayıtların ne şekilde tutulacağına dair açıklama yapılmalıdır. Bu amaçla Bağlayıcı Şirket Kuralları bakımından hesap verebilirliğin sağlanması amacı ile Kişisel Veri İşleme Envanterinin (“Envanter”) hazırlanması gerekmektedir.

Ayrıca aktarımın yapılacağı ülkelerin taraf olduğu ve kişisel verilerin korunması konusunda hükümler içeren uluslararası sözleşmeleri mevcut ise bu konuda Kuruma bilgi verilmeli ve ilgili düzenlemelere atıf yapılmalıdır. Yine kişisel verinin aktarılacağı ülkede, kişisel verilerin korunması konusunda ulusal mevzuat ve yetkili bir kişisel verileri koruma otoritesi olup olmadığı ve varsa konuyla ilgili mevzuatı ve uygulamasını içerir bilgilerin Kuruma sunulması gerekecektir.

Bağlayıcı Şirket Kuralları ile ilgili olarak yukarıda açıklanan konular bu kuralların Kurul tarafından uygun bulunması ve değerlendirmenin kabul edilebilir bir şekilde sağlanabilmesi açısından önem arz etmektedir. Grup, Bağlayıcı Şirket Kuralları kapsamında aktarılan kişisel verileri, 6698 sayılı Kanuna ve Bağlayıcı Şirket Kurallarına uygun olarak işlemelidir. Herhangi bir sebeple Kanuna ve Taahhüde uygunluk sağlanamazsa Kuruma konu ile ilgili derhal bilgilendirme yapılması gerekmektedir. Bu durumda Kurumun, veri aktarımını askıya alma ve Bağlayıcı Şirket Kurallarını feshetme hakkı gündeme gelecektir.

Veri aktarımı esnasında işlenen verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi halinde bu durumun en kısa sürede Türkiye’de yerleşik merkezine veya Türkiye’de yerleşik grup üyesine bildirilmesi gerekmektedir. Bu kişilerin ise veri ihlalini derhal Kurul’a bildirme yükümlülüğü bulunmaktadır.

Bağlayıcı Şirket Kuralları yalnızca grup içerisinde aktarımlar için uygulama alanı bulacaktır. Grup üyelerinden herhangi birinin grupla bağlantısının kesilmesi, Bağlayıcı Şirket Kurallarının herhangi bir sebeple sona ermesi gibi durumlarda aktarılan kişisel verilerin yedekleri ile birlikte Türkiye’de bulunan merkez şirkete veya grup üyesine gönderilmesi veya yedekleri ile birlikte yok edilmesi gerekmektedir. Bu hususta ayrıca Bağlayıcı Şirket Kuralları metninde hükümlerin yer alması gerekmektedir. Grupla ilişiği kesilen grup üyesinin tabi olduğu mevzuatta bu yükümlülüğünü yerine getirmesini engelleyici hükümler var ise bu konuda da ayrıca bilgilendirme yapılması ve verilerin gizliliğini güvence altına almak üzere teknik ve idari tedbirler alınarak işleme faaliyetinin sınırlandırılması gerekmektedir.

Son olarak Grup üyeleri, işledikleri kişisel verileri Kanun’a aykırı olarak başkasına açıklamamalı ve işleme amaçları dışında kullanmamalıdır.

Kurum tarafından açıklanan hususlar genel anlamıyla GDPR ve Madde 29 Çalışma Grubu tarafından belirlenen şartlar ile paralel şekilde düzenlenmiştir. Bu kapsamda çok uluslu şirketlerde Bağlayıcı Şirket Kuralları uygulanıyor ise bu Kuralların temel alınarak düzenlemeler yapılması ve Bağlayıcı Şirket Kuralları ile ilgili yapılacak başvurularda bu belgelerin de Kuruma sunulması gerektiğini ifade etmek uygun olacaktır.

Sonuç

Kişisel verilerin yurt dışına aktarılması ile ilgili olarak, ilgili kişinin açık rızasının bulunmaması durumunda ne şekilde hareket edileceği hususunda Kurum Avrupa Birliği düzenlemelerini de esas alarak Bağlayıcı Şirket Kurallarını yayınlamıştır. Ancak halihazırda Bağlayıcı Şirket Kurallarının kapsamının genişliği ve bu alanda beklenen taahhütler göz önüne alındığında her ne kadar olması gerekeni ifade etmekte ise de güvenli ülkeler listesinin önemi bu noktada bir kez daha ortaya çıkmaktadır. Zira açık rıza olmaksızın yurt dışına veri aktarımının gerçekleşmesi bakımından en doğru ve uygulanabilir yöntem güvenli ülkeler listesi doğrultusunda gerçekleşecektir. Ancak Kurum tarafından yeterli korumanın bulunduğu ülkelere dair herhangi bir açıklama yapılmadığından yurt dışına yapılacak tüm aktarımlar için öncelikle açık rızanın alınması, açık rızanın alınması mümkün değil ise taahhütname alınması ve Kurumun onayına sunulması veya çok uluslu şirketler bakımından Bağlayıcı Şirket Kurallarının oluşturularak bu kapsamda veri aktarımının gerçekleşmesi gerekmektedir. Ancak Kurum tarafından bugüne kadar herhangi bir taahhütname için uygunluk verilmediği göz önüne alındığında güvenli ülkeler hakkında açıklama yapılmasına kadar en azından çok uluslu grup şirketler arasındaki veri aktarımı için Bağlayıcı Şirket Kurallarının oluşturulması, açık rıza alınması suretiyle aktarımın gerçekleştirilmesi yöntemine nazaran daha uygulanabilir ve uzun vadeli olarak kabul edilebilir niteliktedir.

AV. ALARA YILMAZ


[1] İlgili duyuruya ulaşmak için bkz. https://www.kvkk.gov.tr/Icerik/5470/Kisisel-Verileri-Koruma-Kurulu-nun-Yeni-Yayinlanan-Karari

[2] İlgili duyuruya ulaşmak için bkz. https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU

[3] https://itlaw.bilgi.edu.tr/media/2020/3/30/Final%20Veri_Aktarimi_Raporu_30.03.2020.pdf

[4] Cem Alpar, Çok Uluslu Şirketler ve Ekonomik Kalkınma, A.İ.T.İ.A. Yayını, No:106, Ankara, sf. 26.

[5] https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en

[6] https://edpb.europa.eu/

[7] https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=629492

[8] https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623056

[9] https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en

[10] https://ico.org.uk/media/for-organisations/documents/1566/international_transfers_legal_guidance.pdf

[11] https://www.kvkk.gov.tr/Icerik/6727/Aktarim

[12] “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" başlıklı ve 31/01/2018 tarih ve 2018/10 sayılı Kurul Kararı

[13] 6698 sayılı Kanun madde 12/5: “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin kararı ile “en kısa süre” ifadesi 72 saat olarak belirlenmiştir.