Bağlayıcı Şirket Kuralları
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun 9.maddesinde kişisel verilerin yurt dışına aktarımı esasları düzenlenmiştir. Bu düzenlemeye göre, güvenli ülkeler arasında sayılmayan ülkelere yapılacak aktarımlarda, aktarımın yapılacağı kişi ve aktarımı yapacak kişi arasında imzalanan bir taahhütname ile Kuruldan izin alınması gerekmektedir. Ancak güvenli ülkeler Kurum tarafından henüz açıklanmamıştır ve Kurum’un yayınladığı "Yeterli Korumaya Sahip Ülkelerin Belirlenmesinde Esas Alınacak Kriterler"den de gördüğümüz üzere güvenli ülkelerin belirlenmesinin zaman alması muhtemeldir. Güvenli ülkelerin henüz açıklanmamış olması sebebiyle kişiler Kuruldan izin alma yoluna gitse de bu süreçte de birtakım zorluklar mevcuttur. Bu zorlukları da göz önünde bulundurarak Kurum, Bağlayıcı Şirket Kuralları müessesini açıklamış ve çok uluslu şirket toplulukları için veri aktarımını kolaylaştıracak yöntemi duyurmuştur. Duyurulan bu yöntemde de Kuruldan izin alma süreci yürütülecektir. Ancak belirtmek gerekir ki, Kurum tarafından farklı bir alternatif gösterilmiş olsa da güvenli ülkelerin henüz açıklanmamış olması sebebiyle yurt dışına aktarımdaki soru işaretleri hala giderilmemiştir. Ayrıca aşağıda da açıklayacağımız üzere Bağlayıcı Şirket Kuralları başvurusunun Kurum tarafından 1 yılda sonuçlandırılacağının ve bu sürenin 6 aylık sürelerle uzatılabileceğinin açıklanması bu sürecin de kısa sürmeyeceğini göstermektedir.
"Bağlayıcı Şirket Kuralları" Nedir?
Çok uluslu şirketlerin, bulunduğu topluluğa bağlı, ortak ekonomik faaliyet yürüttüğü veya ortak karar mekanizmasına sahip olduğu şirketlere, kişisel veri aktarımı yapmasına ilişkin kuralları belirlediği ve topluluktaki tüm şirketlerin uyması gereken veri koruma politikalarıdır. Bağlayıcı Şirket Kuralları, veri aktarımında bulunacak şirketin bulunduğu ülkedeki veri koruma otoritesi tarafından onaylanır. Bu müessese ilk olarak Avrupa’da uluslararası veri aktarımlarına yasal zemin sağlamak için tasarlanmıştır ancak bu kuralların veri işleme faaliyetine ilişkin esasları içermesi sebebiyle tam olarak uygulanması halinde, şirketlerin veri işleme yönetimini gerektiği şekilde yerine getireceği açıktır.
Avrupa Birliği Veri Koruma Hukukuna Göre Bağlayıcı Şirket Kuralları
Türkiye veri koruma mevzuatındaki bağlayıcı şirket kurallarını anlayabilmek için öncelikle Avrupa veri koruma hukukunda yer alan "Binding Corporate Rules" düzenlemesini ele almak faydalı olacaktır. Bağlayıcı Şirket Kuralları GDPR’ın 47.maddesi ile hüküm altına alınmış ve bu madde ile Bağlayıcı Şirket Kuralları metninde yer alması gereken asgari şartlar belirlenmiştir. GDPR’a göre metinde yer alması gereken hususlar kısaca aşağıdaki gibidir:
- Her bir grup şirketinin yapısı ve irtibat bilgileri
- İşlenen kişisel verilere ilişkin bilgiler (veri kategorisi, işleme türü, yasal dayanak ve amaçlar, veri konusu kişi grubu, veri aktarımına ilişkin detaylar, saklama süreleri, veri koruma tedbirleri)
- Kişisel veri aktarımlarına ilişkin kuralların grup şirketlerini bağlayıcılık açısından değerlendirilmesi
- Bir kontrolör (veri sorumlusu) ve veri işleyene karşı kanun yoluna başvurma hakkının mevcut olduğu durumlar için ilgili kişilerin hakları ve bu hakları kullanma yöntemi
- Avrupa Birliği mukimi bir veri sorumlusu veya veri işleyenin, Birlik içinde bulunmayan bir grup şirketi tarafından gerçekleştirilen ihlal neticesinde sorumluluğu üzerine alacağı,
- Bağlayıcı Şirket Kurallarının, kişisel verilerin elde edilmesine ilişkin veri sahibine sağlanacak bilgilere ek olarak, ilgililere nasıl sağlanacağı
- Veri koruma görevlisinin (DPO) veya söz konusu şirketler grubunun Bağlayıcı Şirket Kurallarına uyumluluğun denetlenmesinden, bu kapsamda verilen eğitimler ve iletilen şikayetlerin ele alınmasından sorumlu kişi ve kurumların görevleri,
- Şikâyet usulleri,
- Şirketler grubunun Bağlayıcı Şirket Kurallarına uyumluluğunun devamını sağlayan mekanizmalar,
- Bağlayıcı Şirket Kurallarına ilişkin değişikliklerin denetim makamına (ilgili ülkede bulunan veri koruma otoritesi) raporlanmasına ilişkin mekanizmalar.
Türk Veri Koruma Mevzuatına Göre Bağlayıcı Şirket Kuralları
10.04.2020 tarihinde Kurum tarafından Türkiye dışına yapılan veri aktarımlarında Bağlayıcı Şirket Kuralları oluşturma yolunun izleneceği duyurulmuş ve Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu ile Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman yayınlanmıştır. Başvuru formu ve yardımcı dokümanda yer alan detaylar aşağıdaki gibidir:
- Başvuru formunda öncelikle başvuruya ilişkin esas ve usullere yer verilmiştir. Buna göre;
- Başvuru yapma yetkisi, Türkiye’de ise grup şirketinin merkezi tarafından, değilse Türkiye’de yerleşik grup üyesi tarafından yapılacaktır. Bu durumda, Türkiye’de yerleşik grup üyesi merkez tarafından yetkilendirilmelidir.
- Başvuru esnasında başvuru formu, bağlayıcı şirket kuralları metni ve başvuruya ilişkin diğer tüm bilgi ve belgeler Kuruma sunulmalıdır. Buradan anlaşılacağı üzere bağlayıcı şirket kuralları metni ile başvuru formu birbirinden farklı dokümanlardır.
- Başvuru, Kuruma normal posta yoluyla veya elden ulaştırılmalıdır.
- Başvuru Kurum tarafından 1 yıl içinde sonuçlandırılır ve gerekmesi halinde bu süre 6 aylık sürelerle uzatılabilir.
- Başvuru onaylandığında Kurum ilgiliye bildirimde bulunur ve gerektiğinde bunu ilan eder. Kanaatimizce ilan sistemi, bağlayıcı şirket kuralları metninde bulunması gereken hususları, örnekleri ile göstereceğinden ilgililer açısından faydalı olacaktır.
- Başvuru formunda başvuruda bulunan şirketler topluluğu ile başvurucunun (yetkili grup üyesi veya şirket merkezi) bilgileri, veri aktarımının hangi ülkelere gerçekleştirileceği ve Bağlayıcı Şirket Kurallarının hangi grup şirketlerini kapsayacağı belirtilecektir.
- Başvuru formunda yer alan bir diğer bölümde ise grupta yer alan şirketler, çalışanlar, veri işleyenler ve kişisel verisi işlenen ilgili kişilerin hakları bakımından Bağlayıcı Şirket Kurallarının ne şekilde uygulanacağına yönelik sorular yer almaktadır. Bu sorular taraflar arasında bağlayıcılık unsurunun var olup olmadığı tespit etmeye yöneliktir. Buna göre;
- Gerekli sözleşme, şirket politika ve prosedürleri, taahhütnameler, yönergelerde Bağlayıcı Şirket Kurallarına ilişkin hükümler yer almalıdır.
- Yukarıda sayılan ilgililer tarafından Bağlayıcı Şirket Kurallarına aykırı davranılmasının sonuçları belirtilmelidir.
- İlgili kişilerin zararın tazmin edilmesi de dahil Kanunun 11. maddesinde sayılan haklarına ilişkin davaları Türk mahkemelerinde açabileceği beyan edilmelidir. Diğer ülkelerde açılacak davalar için ise davanın gerekli kıldığı tercüme, avukat sağlanması gibi yardımların sağlanacağı beyan edilmelidir.
- Bağlayıcı Şirket Kurallarının ihlalinden kaynaklanan zararın, Türkiye’de ise grup şirketinin merkezi tarafından, değilse Türkiye’de yerleşik grup üyesi tarafından karşılanacağına ilişkin güvenceler açıklanmalıdır.
- Bağlayıcı Şirket Kurallarının ihlaline ilişkin ispat yükünün, Türkiye’de yerleşik grup üyesinde olmasına bağlı olarak, herhangi bir ihlalin veya hak iddiasının bulunması durumunda yürütülecek süreç Bağlayıcı Şirket Kuralları metni ile belirlenmelidir.
- Başvuru formunun diğer bir bölümünde ise Bağlayıcı Şirket Kurallarının etkili biçimde uygulanması için hangi yöntemlerin izleneceğine ilişkin sorular bulunmaktadır. Buna göre;
- Çalışanlar bakımından yürütülecek farkındalık çalışmaları ile ilgili detaylı bilgilere yer verilmelidir.
- Bağlayıcı Şirket Kurallarının ihlaline yönelik grup şirketinde bir şikâyet mekanizması olup olmadığı belirtilmelidir.
- Her grup üyesinin Bağlayıcı Şirket Kurallarına uyumluluğunu denetlemek üzere hangi mekanizmaları oluşturulduğu belirtilmelidir. Buradan da görüldüğü üzere grupta yer alan şirketlerin Bağlayıcı Şirket Kurallarına uyumlu olup olmadığı ve uyumluluğu sürdürüp sürdürmediği denetlenmelidir.
- Başvuru formunda ayrıca Kurumla iletişimin nasıl gerçekleştirileceği açıklanmalıdır.
- Başvuru formunun "Kişisel Verilerin İşlenmesi ve Aktarılması" bölümünde taahhütnamede de yer alan aktarıma ilişkin detaylara yer verilmelidir.
- Ayrıca, başvuru formunda, grup şirketlerinde Bağlayıcı Şirket Kurallarını etkileyecek değişikliklerin diğer grup şirketlerine ve Kuruma raporlama mekanizmalarının nasıl işletileceğinin açıklanması gerekmektedir.
- Başvuru formunda, veri güvenliğini sağlamaya yönelik alınan idari ve teknik tedbirlerin neler olduğu ve diğer detaylara yer verilmelidir.
- Başvuru formunda hesap verilebilirlik kapsamında grup üyelerinin Bağlayıcı Şirket Kurallarına nasıl uyum sağlayacağı ve veri işleme faaliyetinin kaydını ne şekilde tutacağı belirtilmelidir. Buna göre Veri Sorumluları Sicili Hakkında Yönetmelik ile esasları belirtilen kişisel veri işleme envanterinin hazırlanması gerekmektedir.
- Yukarıdaki hususların yanında başvuru formunda Genel Hükümler başlığı altında genel düzenleyici hükümlere yer verilmiştir. Buna göre;
- Başvuru formu doldurulurken açık ve anlaşılır bir dil kullanılmalıdır.
- Grup üyelerinden herhangi biri, Kanuna veya taahhüde uygunluk sağlamazsa Kurum konuyla ilgili derhal bilgilendirilecektir. Bu durumda Kurumun veri aktarımını askıya alma veya Bağlayıcı Şirket Kurallarını feshetme hakkı mevcuttur.
- Grup üyelerinin herhangi birinde veri ihlali yaşanması durumunda (BCR kapsamında işlenen veriler bakımından), Kurum ve ilgili kişiler derhal bilgilendirilmelidir. Kurul bu durumu uygun göreceği bir yöntemle ilan edebilir. Burada derhal ifadesinden 2019/10 sayılı Kurul kararında yer alan en geç 72 saat kuralı anlaşılmalıdır. Ayrıca mevcut durumda Kurum, ihlalleri internet sitesinde yayımlamaktadır.
- Bağlayıcı Şirket Kuralları kapsamında aktarımına izin verilen kişisel veriler, grup üyeleri dışındaki kişilere aktarılamaz. Aktarımın gerektiği durumlarda Kanunun 9. maddesinde yer alan taahhütname-izin süreci yürütülmelidir.
- Grup üyelerinden birinin grupla bağını kesmesi durumunda işlediği verilere ilişkin kayıtları Türkiye’de yerleşik olan şirkete aktararak yedekleri ile birlikte yok etmesi gerekmektedir. İlgili grup şirketinin yerleşik olduğu ülke mevzuatı buna müsaade etmiyorsa gerekli idari ve teknik tedbirler alınarak veri aktarım faaliyeti sınırlandırılmalıdır.
- Başvuru formunun Genel Hükümler başlığı altında yer almamakla birlikte formun içinde şirket çalışanlarının Bağlayıcı Şirket Kurallarını okumaları ve her an bu metne ulaşabilir olmaları gerektiğine yer verilmiştir.
- Ayrıca ilgili kişiler Kanunun 10.maddesi uyarınca şeffaf bir şekilde aydınlatılmalı ve ilgili kişilerin bu kapsamdaki bilgilere erişiminde kolaylık sağlanmalıdır. Örneğin Bağlayıcı Şirket Kurallarının ilgili kişilere ilişkin bölümleri, şirketin internet sitesinde yayımlanabilir veya ilgili kişiye sunulan aydınlatma metni ile birlikte sunulabilir.
Kurumun duyurusuna ek olarak yayımlanan yardımcı dokümanda ise başvuru formunda ve Bağlayıcı Şirket Kuralları metninde yer alması gereken hususlar karşılaştırmalı olarak gösterilmiştir.
Başvuru formu ve yardımcı dokümanda yer alan bilgiler ışığında, Bağlayıcı Şirket Kuralları metninde asgari olarak aşağıdakilere yer verilmelidir:
- Genel ilkeler (KVKK – Madde 4)
- Her bir grup üyesinin yapısı ve iletişim bilgileri ile Bağlayıcı Şirket Kurallarına uyma yükümlülüğünün bulunduğu
- İlgili kişinin hakları (KVKK – Madde 11)
- Türkiye’de yerleşik grup üyesinin Bağlayıcı Şirket Kurallarına uyulmamasından doğan zararları tazmin edeceğine ilişkin husus. (Şirket yapısı sebebiyle tüm sorumluluğun tek bir şirket tarafından üstlenmesinin mümkün olmadığı durumlarda, her bir üyenin ayrı ayrı -müteselsilen- sorumlu olduğuna da yer verilebilir.)
- İlgili kişi tarafından iddia edilen zarara ilişkin ispat yükümlülüğünün sorumluluğu üstlenen şirket üzerinde olduğu hususu,
- Verinin aktarıldığı ülkede Bağlayıcı Şirket Kurallarının uygulanmasını engelleyecek bir mevzuatın bulunup bulunmadığı
- Grup üyelerinden birinin üçüncü bir ülkede tabi olduğu ve Bağlayıcı Şirket Kurallarına uymayı olumsuz yönde etkileyecek yasal yükümlülüklerinin olup olmadığı
- Kurum ile koordinasyonun nasıl sağlanacağı ve Kurumun tavsiyelerine tüm grup üyelerinin uyacağının taahhüdü
- Veri sorumlusuna başvuru usulü (Madde 13)
- Kişisel verilerin korunmasına ilişkin teknik ve idari tedbirler
- Tüm grup üyeleri bakımından Bağlayıcı Şirket Kurallarına uyumun devamlılığını denetleyen kişilerin görev ve sorumlulukları ve bu konudaki yapılanmaya ilişkin bilgiler.
Ek bilgiye ihtiyaç duymanız halinde lütfen müşteri temsilciniz ile irtibata geçiniz.
-
-
Bilgilendirme Metni!