Bağlayıcı Şirket Kuralları ve Kişisel Verilerin Yurt Dışına Aktarılması

Kişisel verilerin yurt dışına aktarılması Kişisel Verileri Koruma Kanunu (“KVK Kanunu”) Madde 9 ile düzenleniyor. Madde 9 hükümlerine göre kişisel veri, kişisel verinin aktarılacağı yabancı ülkede (i) yeterli korumanın bulunması veya (ii) yeterli korumanın bulunmadığı hallerde Türkiye ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) izninin bulunması halinde ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. 

Kurul, yukarıda sözü geçen ve Kurul’a sunularak onay alınması gereken taahhütnamelerde bulunması gereken asgari unsurları ayrıca belirleyip yayınlamıştı. Sadece iki taraf arasında gerçekleşecek veri aktarımları için taahhütnameler pratik ve uygulanabilir bir çözüm olmakla birlikte ikiden fazla ülkede üyesi bulunan daha büyük şirket toplulukları için pratik olmadığı ortaya çıkmış ve alternatif yöntem olarak “Bağlayıcı Şirket Kuralları” belirlenmişti.

Bağlayıcı Şirket Kuralları, Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği (General Data Protection Regulation–GDPR) Madde 47 kapsamında “Binding Corporate Rules” (“BCR”) yöntemine benzemektedir. BCR, Avrupa Birliği’nde yerleşik şirketlerin Avrupa Birliği dışındaki grup şirketlerine kişisel veri aktarımı için benimsedikleri koruma politikaları olarak tanımlanır.  Bir grup içerisindeki bütün şirketler BCR’ye uymakla yükümlüdür. Şirketler hazırladıkları BCR’yi Avrupa Birliği içindeki yetkili veri koruma kurumunun onayına sunarlar.  

Avrupa Birliği’nde kişisel veri ve gizliliğin korunmasına yönelik hususlarla ilgili çalışan bağımsız çalışma grubu “Article 29 Data Protection Working Party” 2018 yılında BCR’de bulunması gereken unsurlar ve uygulanacak prensiplere ilişkin bir çalışma belgesi (Working Document Setting up a table with the elements and principles to be found in BCR) yayınladı. KVK Kurumu’nun 10 Nisan 2020 tarihinde web sitesinde yayınladığı Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman’ın hem içerik hem de formattaki benzerlikten Article 29 WP’nin yayınladığı çalışma belgesi dikkate alınarak hazırlanmış olduğunu söyleyebiliriz. 

Kurum, Bağlayıcı Şirket Kurallarını “Bir şirketler topluluğuna bağlı olarak Türkiye’de yerleşik bir veri sorumlusu tarafından, bu şirketler topluluğuna bağlı olarak yurt dışında bir veya daha fazla ülkede faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularına (“Grup”) yapılacak olan kişisel veri aktarımları veya aktarım setlerinde uyulması gereken kişisel veri koruma kuralları” olarak tanımlıyor.  Bu kapsamdaki şirketler Bağlayıcı Şirket Kuralları ile ilgili başvuru formunu doldurup Kurul’a başvurmakla yükümlüler. 

Bağlayıcı Şirket Kuralları ve Grup Üyelerinin Sorumluluğu

Bağlayıcı Şirket Kuralları, aynı Grup içerisinde veri sorumlusu veya veri işleyen olarak hareket eden bütün Grup üyeleri için geçerlidir ve bütün üyeleri gösterecek şekilde Grup yapısı ve iletişimi açıkça belirtilmelidir. Bağlayıcı Şirket Kurallarının bütün Grup üyeleri ve çalışanları için bağlayıcı olduğu açıkça kural metninde belirtilmelidir. 

Grubun yerleşik merkezi yurt dışında ise Türkiye’de yerleşik bir Grup üyesi kişisel verilerin korunması konusunda Yetkili Grup Üyesi seçilir. Yetkili Grup Üyesinin yurt dışında bulunan ve Bağlayıcı Şirket Kuralları ile bağlı olan Grup üyelerinin eylemlerinin düzeltilmesi için gerekli girişimlerde bulunması ve kuralların ihlal edilmesinden kaynaklanacak maddi veya manevi zararların giderilmesi için tazminat ödemesi konusunda yükümlü olduğu hususu kuralların içinde bulunmalıdır.  

Yurt dışındaki bir Grup üyesi tarafından Bağlayıcı Şirket Kurallarının ihlal edilmesi halinde Türkiye’deki mahkemeler ve yetkili makamlar yetkili olacaktır. 

Bağlayıcı Şirket Kuralları kapsamındaki veri sorumlusu ve veri işleyen arasında bir hizmet sözleşmesi imzalanmalı ve bu sözleşmenin tüm veri işleyenler tarafından imzalanması sağlanmalıdır. 

İspat Yükü

İlgili kişi tarafından iddia edilen zararların yurt dışında bulunan Grup üyesinden kaynaklanıp kaynaklanmadığı konusunda ispat külfeti Yetkili Grup Üyesindedir ve bu Bağlayıcı Şirket Kurallarında belirtilmelidir. 

İlgili Personel Yapılandırılması ve Çalışanların Eğitimi

Grup içerisinde Bağlayıcı Şirket Kurallarına uyumun sağlanması ve takibi için uygun personel görevlendirilmeli ve bu kişilerin en yüksek yönetici kademesine doğrudan rapor verebilmesine izin veren bir yapılanma yaratılmalıdır. Bağlayıcı Şirket Kuralları ilgili personelin görev ve sorumluluklarını açıkça düzenlemelidir.

Bağlayıcı Şirket Kuralları, (i) kişisel verilere erişimi olan, (ii) kişisel verileri toplayan veya (iii) kişisel verileri işlemek için kullanılan araçları geliştiren personele uygun eğitim programları içermelidir.

İlgili Kişilerin Hakları ve Bağlayıcı Şirket Kurallarına Erişimi

Bağlayıcı Şirket Kurallarının ilgili kişilerin haklarına ilişkin kısımları bu kişilerin erişimine açık olmalıdır. Bunun için kuralların ilgili kısımlarını Grup üyelerinin web sitelerinde yayınlanması önerilir. 

Bağlayıcı Şirket Kuralları, ilgili kişilerin KVK Kanunu kapsamında sahip olduğu haklarını açıkça belirtmeli ve ilgili kişinin zararının giderilmesini talep etme hakkı da dâhil olmak üzere her türlü yasal yolu kullanılabilmesi imkânı açıkça tanınmalıdır. Bağlayıcı Şirket Kuralları, ilgili kişinin haklarını kullanabilmesi için bir şikayet mekanizması oluşturmalıdır. 

Uyumluluk Denetimi

Bağlayıcı Şirket Kuralları, Grup üyeleri tarafından kurallara uygun hareket edilmesini sağlamak için denetim yapılması veya yaptırılması konusunda düzenlemeler içermelidir.  Yapılan denetimlerin sonuçları ilgili birim ve çalışanlarla paylaşılmalı ve buna ilişkin düzenlemeler de Bağlayıcı Şirket Kurallarında belirtilmelidir. 

KVK Kurumunun denetim sonuçlarına erişim yetkisinin ve gerekli durumlarda herhangi bir Grup üyesi üzerinde denetim yapma yetkisinin olduğu Bağlayıcı Şirket Kurallarında belirtilmelidir.  

Kurum ile Koordinasyon

Bağlayıcı Şirket Kuralları, Kurumunun gerekli görmesi halinde Grup üyelerini denetleyebileceğini ve Grup üyelerinin Kurumun vereceği tavsiyelere uymakla yükümlü olduklarını belirtmelidir. Bağlayıcı Şirket Kuralları, gerekmesi halinde tüm üyelerin Kurum tarafından denetlenmesini ve bu kurallarla ilgili herhangi bir konuda Kurum’un tavsiyelerine uymayı kabul ettiğini içeren açık bir yükümlülük içermelidir.

Kişisel Verilerin İşlenmesi ve Aktarılması Faaliyetleri

Bağlayıcı Şirket Kuralları, yurt dışına aktarılan kişisel verinin genel veya özel nitelikli olup olmadığını, veri kategorisini, veri aktarım amaçlarını ve sürelerini, veri aktarımı yöntemleri gibi hususları düzenlemelidir. Veri işleme faaliyetlerinin kaydı elektronik veya yazılı şekilde tutulmalı ve KVK Kurumu talep ederse Kuruma iletmelidir. 

Veri işleme faaliyetleri için risk analizi yapılmalı ve analiz sonuçlarına göre yeterli derecede teknik ve idari tedbirin alınmamış olması ve veri işleme faaliyetinin yüksek risk oluşturabileceği sonucuna varılırsa, ilgili veri işleme faaliyetinden önce Kurumun görüşü alınmalıdır. 

Veri Güvenliği

Bağlayıcı Şirket Kuralları, KVK Kanunu uyarınca veri güvenliğine ilişkin şirket tarafından izlenmesi gereken aşağıdaki hususları içermelidir: 

• Hukuka ve dürüstlük kurallarına uygunluk, 
• Doğru ve gerektiğinde güncel olmak,
• Veri işlemenin belirli, açık ve meşru amaçlar için yapılması,
• Veri işlemenin, işleme amacı ile bağlantılı, sınırlı ve ölçülü olması,
• İşlenen verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi,
• Özel kategorideki kişisel verilerin işlenmesi,
• Veri güvenliği için alınacak idari ve teknik tedbirler. Teknik ve idari tedbirler herhangi bir kişisel veri ihlali durumunda şirketin Türkiye’de bulunan genel merkezine veya kişisel verilerin korunması konusunda yetkili Türkiye’de bulunan BŞK üyelerine ve ilgili veri koruma birimi ile hak ve özgürlüklerinin ihlalden etkilenme riski bulunan ilgili kişilere gecikmeksizin bildirimde bulunma yükümlülüğünü de içermelidir. 
• Grubun bir parçası olmayan veri işleyenlere ve veri sorumlularına yapılan aktarımlar ve sonraki aktarımlar üzerindeki kısıtlamalar.

Bağlayıcı Şirket Kuralları ve Yerel Mevzuat Arasında Uyuşmazlık Olması Hali

Herhangi bir Grup üyesinin uymakla yükümlü olduğu yerel yasalar, ilgili üyenin Bağlayıcı Şirket Kurallarına uymasını engelliyorsa Yetkili Grup Üyesi derhal bilgilendirilmelidir. Kanunla yetkilendirilmiş bir otorite veya milli güvenliği sağlamakla yükümlü bir kurum kişisel verilerin açıklanmasını talep ederse bu durum da derhal Yetkili Grup Üyesi’ne ve KVK Kurumu’na iletilmelidir. Bağlayıcı Şirket Kuralları, bildirimin yasaklanması gibi hallerde Grup üyesinin bu yasaktan feragat edebilmek için elinden geleni yapacağını belirtmelidir. Kurallar ayrıca herhangi bir Grup üyesinin çabasına rağmen bildirimin mümkün olmadığı zamanlarda, ilgili Grup üyesinin her yıl KVK Kurumu’na bu hususta genel bir bilgilendirme yapacağını dair taahhüt içermelidir. 

Bağlayıcı Şirket Kuralları, herhangi bir Grup üyesinin “demokratik bir toplumda gerekli olanın ötesine geçecek şekilde büyük, orantısız ve rastgele şekilde” kişisel verileri herhangi bir kamu otoritesine aktaramaz.