Kişisel Verileri Koruma Kurumu’nun Bağlayıcı Şirket Kuralları Duyurusu
Kişisel verinin yurt dışına aktarılabilmesi için 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 9 uncu maddesine göre aşağıdaki durumlardan birinin varlığı gerekir:
- İlgili kişinin açık rızasının bulunması,
- Yeterli korumanın bulunduğu ülkelere kişisel veri aktarımında, aktarılacak kişisel verinin niteliğine göre 6698 sayılı Kanunun 5 inci maddesinin 2 nci fıkrası veya 6 ncı maddesinin 3 üncü fıkrasında belirtilen işleme şartlarının mevcut olması,
- Yeterli korumanın bulunmadığı ülkelere kişisel veri aktarımında, aktarılacak kişisel verinin niteliğine göre 6698 sayılı Kanunun 5 inci maddesinin 2 nci fıkrası veya 6 ncı maddesinin 3 üncü fıkrasında belirtilen işleme şartlarının mevcut olması, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması.
Buna göre yeterli korumanın bulunmadığı bir ülkeye kişisel veri aktarımında; Kurul tarafından kabul edilerek ilan edilen ilk yöntem olan “Taahhütnameler” ile Kişisel veri özel nitelikli kişisel veri değilse 6698 sayılı Kanunun 5 inci maddesinin 2 nci fıkrasında, özel nitelikli kişisel veri ise 6698 sayılı Kanunun 6 ncı maddesinin 3 üncü fıkrasında belirtilen şartlardan birinin varlığı, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması halinde yeterli korumaya sahip olmayan ülkelerden birine ilgilinin açık rızası aranmaksızın aktarılabilecektir.
Ancak “Taahhütnameler” yöntemi genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımlarını kolaylaştırmakla birlikte çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalması sebebiyle Kişisel Verileri Koruma Kurumu, 10 Nisan 2020 tarihli duyurusunda çok uluslu şirket toplulukları arasında yapılacak kişisel veri aktarımlarına ilişkin “Bağlayıcı Şirket Kuralları” yöntemini duyurdu.
Bağlayıcı Şirket Kuralları
Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma politikalarıdır. Bu kapsama giren şirketlerin, BŞK Başvuru Formunu doldurup hazırladıkları metin ile birlikte gerekli talimatları izleyerek Kuruma başvuruda bulunmaları gerekmektedir. “Bağlayıcı Şirket Kuralları” yöntemini ile Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının ayrıca yeterli bir korumayı yazılı olarak taahhüt etmeleri ve ilgilinin açık rızasını almaları gerekmeksizin kişisel veriler aktarılabilecektir.
Başvuruya İlişkin Usul Ve Esaslar
Kurum tarafından duyuruya ek olarak yayımlanan başvuru formunda, başvuru yapma yetkisinin Grubun Türkiye’de yerleşik merkezi var ise buraya, Grubun Türkiye’de yerleşik merkezi yok ise başvuru yapma yetkisinin kişisel verilerin korunması konusunda yetkilendirilen Türkiye’de yerleşik bir Grup üyesine (Kısaca “Yetkili Grup Üyesi”) ait olduğu belirtilmiştir.
Buna göre başvuruya yetkili yerin (i) Başvuru Formu, (ii) Bağlayıcı Şirket Kuralları metni ve (iii) Başvuru ile ilgili gördüğü diğer tüm bilgi ve belgeleri Kuruma elden veya posta yolu ile sunması gerekmektedir.
Ayrıca başvuru formunda, başvuruların Kurum tarafından, resmi başvuru tarihinden itibaren bir (1) yıl içerisinde değerlendirilerek sonuca bağlanacağı; gerekmesi halinde bu sürenin, altı (6) aylık sürelerle uzatılabileceği başvurunun Kurulca onaylanması halinde, Kurum tarafından ilgilisine bildirileceği ve gerekmesi halinde ilan edileceği belirtilmiştir.
Saygılarımızla,
Kişisel Verileri Koruma Kurumu’nun Bağlayıcı Şirket Kuralları Duyurusu yayına hazırlayan Av. Abdullah YILDIZ