6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, kişisel veriler ilgili kişinin açık rızası olmadan yurt dışına aktarılamamaktadır. Bununla birlikte, Kişisel Verilerin Korunması Kanunu’nun 5’inci maddesinin 2’nci fıkrası ile 6’ncı maddesinin 3’üncü fıkrasında düzenlenen veri işleme şartlarından birinin varlığı ve kişisel verilerin aktarılacağı ülkede kişisel verilerin korunması ile ilgili yeterli korumanın bulunması durumunda, ilgili kişinin açık rızası olmaksızın kişisel veriler yurt dışına aktarılabilecektir. Verilerin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda ise, kişisel verilerin açık rıza aranmaksızın yurt dışına aktarılabilmesi için Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun izninin bulunması gerekecektir.
Kişisel Verileri Koruma Kurulu, yeterli veri koruması bulunmayan ülkelerde yerleşik veri sorumlusuna/veri işleyene kişisel verilerin aktarımında, Türkiye’deki ve yabancı ülkedeki veri sorumlularının kişisel veriler ile ilgili olarak yeterli korumayı yazılı olarak taahhüt etmeleri için iki farklı yöntem belirlemiştir. Bunlardan ilki “Taahhütnameler” olup taraflarca hazırlanarak Kişisel Verileri Koruma Kurulu onayına sunulacak Taahhütnamelerde bulunması gereken asgari unsurlar Kişisel Verileri Koruma Kurulu tarafından belirlenmiş ve taahhütnameler ile ilgili usule ve esasa ilişkin dikkat edilecek hususlar duyurulmuştur.
Taahhütnamelerin çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalabileceğini dikkate alan Kişisel Verileri Koruma Kurulu, söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere ikinci yöntem olarak “Bağlayıcı Şirket Kuralları”nı belirlemiştir.
Bağlayıcı Şirket Kuralları, Kişisel Verileri Koruma Kurumu tarafından “bir şirketler topluluğuna bağlı olarak Türkiye’de yerleşik bir veri sorumlusu tarafından, bu şirketler topluluğuna bağlı olarak yurt dışında bir veya daha fazla ülkede faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularına yapılacak olan kişisel veri aktarımları veya aktarım setlerinde uyulması gereken kişisel veri koruma kuralları” olarak tanımlanmaktadır.
Bağlayıcı Şirket Kuralları kapsamında yer alan yükümlülükler, çok uluslu bir şirketler topluluğuna bağlı olarak faaliyet gösteren veri sorumluları ve veri işleyenler için geçerli olacaktır. Kişisel veriler ile ilgili olarak, yeterli korumanın bulunmadığı ülkelere açık rıza olmaksızın kişisel verilerin aktarımını yapacak çok uluslu bir şirketler topluluğuna bağlı olarak faaliyet gösteren veri sorumlularının ilgili formu doldurarak usulüne uygun olarak Kişisel Verileri Koruma Kurumu’na Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir. Kişisel Verilerin Korunması Kanunu uyarınca, söz konusu başvuru Kişisel Verileri Koruma Kurulu’nun iznine tabi olacaktır.
Bağlayıcı Şirket Kuralları ile ilgili Başvuru Usulü
Kişisel Verileri Koruma Kurumu tarafından Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu hazırlanmış ve Kurumun resmî internet sitesinde yayımlanmıştır. Bu forma göre, bir şirketler topluluğunun Türkiye’de merkezi varsa, ilgili başvuruyu yapmaya bu merkez yetkili olacaktır. Şirketler topluluğunun Türkiye’de merkezi bulunmuyorsa, şirketler topluluğunun Türkiye’de yerleşik bir üyesi, kişisel verilerin korunması konusunda yetkilendirilecek ve ilgili başvuru yetkili üye tarafından yapılacaktır. Başvuru yapılırken, başvuru formu, Bağlayıcı Şirket Kuralları ve başvuru ile ilgili gerekli görülen diğer belgeler Kişisel Verileri Koruma Kurumu’na elden ya da posta aracılığı ile sunulacaktır.
Başvurunun resmî başvuru tarihinden itibaren bir yıl içerisinde Kişisel Verileri Koruma Kurulu tarafından değerlendirilerek sonuca bağlanması gerekmektedir. Gerekli görüldüğü takdirde, bu süre altı aylık süreler hâlinde uzatılabilir. Bağlayıcı Şirket Kuralları ile ilgili başvurunun Kişisel Verileri Koruma Kurulu tarafından onaylanması durumunda, Kişisel Verileri Koruma Kurumu tarafından ilgili veri sorumlusuna bildirimde bulunulur ve gerekli görülmesi hâlinde ilan edilir.
Bağlayıcı Şirket Kurallarında Bulunması Gereken Unsurlar ve Temel İlkeler
95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi kapsamında kurulan Kişisel Verilerin Korunması hakkında Çalışma Grubu tarafından, Bağlayıcı Şirket Kurallarında bulunması gereken unsurları ve temel ilkeleri tespit etmek üzere, bir yardımcı doküman hazırlanmış ve bu doküman son hâliyle 6 Şubat 2018 tarihinde kabul edilmiştir. Çalışma Grubu tarafından hazırlanan doküman temel alınarak, Kişisel Verileri Koruma Kurumu tarafından “Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman” hazırlanmış ve 10 Nisan 2020 tarihinde Kurumun resmî internet sitesinde yayımlanmıştır. Bu dokümana göre Bağlayıcı Şirket Kurallarında belirtilmesi gereken hususlar şunlardır:
1) Bağlayıcılık Unsuru
Bağlayıcı Şirket Kuralları, hukuken bağlayıcı olmalı ve çalışanları dâhil olmak üzere, şirket topluluğunda yer alan veri sorumluları ve veri işleyenler için yükümlülükler içermelidir. Çalışanlar üzerinde bağlayıcılık sağlamak için, Bağlayıcı Şirket Kuralları iş sözleşmesi, toplu iş sözleşmesi, gizlilik sözleşmesi, etik kurallar vs. ile desteklenmelidir.
Kurallar kapsamında ilgili kişinin hakları ve hakları ile ilgili taleplerini iletebileceği hukuk yollarına (veri sorumlusuna başvuru, şikâyet, dava vb.) yer verilmelidir. Ayrıca, şirketler topluluğunun Türkiye’de yerleşik merkezi veya yetkili üyesi tarafından, Bağlayıcı Şirket Kurallarından kaynaklanan tazminat ödenmesi ve ihlallerin giderilmesi ile ilgili yükümlülüğün kabul edilmesi gerekmektedir. Bunlara ek olarak, ilgili kişi tarafından iddia edilen zararların yurt dışında bulunan üyeden kaynaklanıp kaynaklanmadığı konusunda ispat yükümlülüğünün şirketler topluluğunun Türkiye’de yerleşik merkezi veya yetkili üyesine ait olduğu Bağlayıcı Şirket Kuralları açıkça düzenlenmelidir.
Bağlayıcı Şirket Kuralları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında yer alan hususlar başta olmak üzere, ilgili kişilerin kişisel verilerinin işlenmesiyle ilgili hakları; bu hakların kullanımı, sorumluluklar ve genel ilkeler konularında ilgili kişilere kapsamlı bir bilgilendirme sağlanmalıdır. Ayrıca, ilgili kişiler tarafından Bağlayıcı Şirket Kurallarının ilgili hükümlerine, örneğin veri sorumlusunun internet sitesi üzerinden, kolayca ulaşılabilmelidir.
2) Etkili Uygulama
Bağlayıcı Şirket Kuralları kapsamında, kişisel verilerin korunması ile ilgili olarak çalışanlara verilecek eğitim ve yapılan farkındalık çalışmalarının yer alması gerekmektedir. Ayrıca, Bağlayıcı Şirket Kurallarına uygun hareket edilmesini sağlamak amacıyla denetimler yapılması/yaptırılması ve bu denetimlerin kimler tarafından ve nasıl gerçekleştirileceği Bağlayıcı Şirket Kuralları kapsamında belirtilmelidir.
İlgili kişilerin kendi haklarını kullanabilmesi ve bu haklarla ilgili olarak yapacağı başvuru ve şikâyetlerle ilgili olarak şirketler topluluğunun Türkiye’de yerleşik merkezi veya yetkili üyesi tarafından bir şikâyet yönetim mekanizması kurulmalıdır. Bağlayıcı Şirket Kuralları kapsamında başvuru ve şikâyet usulleri ile şikâyet sisteminin yönetim mekanizmasının aşamaları hakkında ilgili kişilerin nasıl bilgilendirileceklerine yer verilmelidir.
3) Kişisel Verileri Koruma Kurumu ile Koordinasyon
Şirket topluluğunun üyelerinin, gerekmesi hâlinde Kişisel Verileri Koruma Kurumu tarafından denetlenmeyi ve bu kurallarla ilgili herhangi bir konuda Kişisel Verileri Koruma Kurumu tarafından yapılan tavsiyelere uymayı kabul ettiğini içeren açık bir yükümlülüğe Bağlayıcı Şirket Kurallarında yer verilmelidir.
4) Kişisel Verilerin İşlenmesi ve Aktarılması
Bağlayıcı Şirket Kuralları, aktarıma konu kişisel verinin niteliği, veri kategorileri, aktarım amaçları ve süreleri, veri konusu kişi grubu veya grupları, veri aktarımının hangi yöntemle gerçekleştirileceği, veri aktarımının hukuki sebepleri, aktarılacak verilerin grup içerisindeki dağılımı, sonraki aktarımlar gibi hususları içermelidir.
Bağlayıcı Şirket Kuralları kapsamında çok uluslu şirketler topluluğunun yapısı ve her bir üyesinin iletişim bilgilerinin açıkça belirtilmesi gerekmektedir. Ayrıca, şirketler topluluğunun Türkiye’de yerleşik merkezi veya yetkili üyesi tarafından Bağlayıcı Şirket Kuralları ile bağlı üye şirketlerin listesi ve iletişim bilgileri tutulmalı ve listede değişiklik olması durumunda Kişisel Verileri Koruma Kurumu’na ve ilgili kişilere bilgilendirme yapılmalıdır.
5) Raporlama ve Kayıt Değişikliği Mekanizmaları
Bağlayıcı Şirket Kurallarında değişiklik veya güncelleme yapılabilir. Ancak Bağlayıcı Şirket Kuralları ile bağlı bütün şirketlere ve Kişisel Verileri Koruma Kurumu’na değişiklik ve güncellemeler hakkında bildirimde bulunulmalıdır. Bağlayıcı Şirket Kuralları veya Bağlayıcı Şirket Kuralları ile bağlı üyelerde herhangi bir değişiklik, kısa bir gerekçesi ile birlikte Kişisel Verileri Koruma Kurumu’na yılda bir kez bildirilmelidir. Bununla birlikte, Bağlayıcı Şirket Kuralları tarafından sağlanan koruma düzeyinde ve Bağlayıcı Şirket Kurallarında önemli ölçüde bir değişiklik olması durumunda, bu durum Kişisel Verileri Koruma Kurumu’na derhâl bildirilmelidir.
6) Veri Güvenliği
Kişisel veriler hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, aktarıldıkları amaçla bağlantılı, sınırlı ve ölçülü olarak belirli, açık ve meşru amaçlar için yurt dışına aktarılmalı ve ilgili mevzuatta öngörülen veya aktarıldıkları amaç için gerekli olan süre kadar muhafaza edilmelidir. Buna uygun olarak, Bağlayıcı Şirket Kuralları kapsamında, sonraki aktarımlar da dâhil olmak üzere, Türkiye’den yurt dışına aktarılan kişisel verilerin korunması ile ilgili bu temel ilkelere yer verilmelidir.
Kişisel verilerin korunması için alınacak idari ve teknik tedbirler, Bağlayıcı Şirket Kuralları kapsamında belirtilecek ve bu idari ve teknik tedbirlere veri sorumluları ve veri işleyenler tarafından uygun hareket edilmesi sağlanacaktır. Ayrıca, herhangi bir veri ihlali olması durumunda, şirket topluluğuna üye şirketlere, ihlalden etkilenebilecek ilgili kişilere ve Kişisel Verileri Koruma Kurumu’na bildirimde bulunulacağına, tüm kişisel veri ihlallerinin belgeleneceğine ve ilgili belgelerin talep edilmesi hâlinde Kişisel Verileri Koruma Kurumu’na sunulacağına dair Bağlayıcı Şirket Kuralları kapsamında düzenlemelere yer verilmelidir.
Şirket topluluğunun bir parçası olmayan veri sorumlularına veya veri işleyenlere aktarım yapılması durumunda, bu veri sorumluları veya veri işleyenler tarafından Bağlayıcı Şirket Kurallarına riayet edileceğine ve asgari olarak Bağlayıcı Şirket Kuralları kadar koruma sağlanacağına dair düzenlemeye, Bağlayıcı Şirket Kuralları kapsamında yer verilecektir.
Bağlayıcı Şirket Kuralları, şirket topluluğuna üye bir şirketin uymakla yükümlü olduğu mevzuatta şirket tarafından Bağlayıcı Şirket Kuralları kapsamındaki yükümlülüklerini yerine getirmesini engelleyen veya Bağlayıcı Şirket Kuralları ile düzenlenen kuralların uygulanmasını önemli ölçüde etkileyen hükümlerin varlığı, üçüncü bir ülkede tabi olduğu hukuki gerekliliklerin Bağlayıcı Şirket Kuralları tarafından sağlanan korumanın üzerinde önemli bir olumsuz etkiye sahip olması, kanunla yetki verilen bir otorite veya milli güvenliği sağlamakla yükümlü bir kurum tarafından kişisel verilerin açıklanmasının istenmesi durumlarında, Kişisel Verileri Koruma Kurumu’na bildirimde bulunulacağına dair hükümler içermelidir. Ayrıca, bildirimlerin askıya alınması veya yasaklanması durumunda, şirket topluluğuna üye şirketin en kısa sürede bildirimde bulunmak üzere gereken çabayı göstereceğine dair Bağlayıcı Şirket Kuralları kapsamında bir düzenleme yer almalıdır. Her hâlükârda, demokratik bir toplumda gerekli olanın ötesine geçecek şekilde büyük, orantısız ve rastgele şekilde kişisel verilerin herhangi bir kamu otoritesine aktarılamayacağı Bağlayıcı Şirket Kuralları kapsamında ifade edilmelidir.
7) Hesap verilebilirlik
Bağlayıcı Şirket Kuralları ile bağlı olan veri sorumluları ve veri işleyenler, bu kurallara riayet etmek ve gerektiğinde bu kurallara uygun olarak veri işlediğine ve aktardığına dair hesap vermekle yükümlüdür. Bu doğrultuda, hesap verilebilirlik, risk analizi, kayıt tutma, denetim gibi konularla ilgili düzenlemelere Bağlayıcı Şirket Kuralları kapsamında yer verilmelidir.
