1. HABERLER & YAYINLAR

HABERLER & YAYINLAR

Bağlayıcı Şirket Kuralları (Binding Corporate Rules-BCR) Hakkında Bilgi Notu

22.10.2020

 

Yurt Dışı Veri Aktarımı Hususunda Yeni Bir Alternatif:

Bağlayıcı Şirket Kuralları (Binding Corporate Rules-BCR)’nın Türk Hukuku’nda Uygulanması*

*Bilgi notunu pdf formatında önizlemek için tıklayınız.

 

Avukat Ayşenur Demirtürk

 

 

Bilindiği gibi, kişisel verilerin yurt dışına aktarımı konusu, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) yürürlüğe girdiği günden bugüne değin, uygulamanın en sorunlu konulardan biridir. Zira hemen hemen her şeyin küresel düzleme taşındığı günümüzde, bilhassa veri sorumlusu tüzel kişiler bakımından yurt dışına aktarım yapılmaksızın faaliyetlerini sürdürebilmek neredeyse imkânsızdır. Veri sorumlusu şirketler bir yana, günümüzde bireylerin kişisel ve sosyal yaşantılarında dahi yurt dışı veri aktarımının gerek sosyal medya kullanımı vasıtasıyla, gerekse yazışmalar vasıtasıyla sıkça söz konusu olduğu açıktır. Keza elektronik ticaret sitelerinin nihai tüketiciye yönelik ülkeler arası satış yaptığı ve bunun tüketicilerce de çok sık tercih edilen bir alışveriş yöntemi haline geldiği düşünüldüğünde, yurt dışı aktarımın olmadığı bir dünyadan bahsetmek pek de gerçekçi olmayacaktır.

 

Bu bağlamda yurt dışı aktarımı tümüyle engellemek mümkün gözükmemekteyse de; yurt dışı aktarımı hukuka uygun hale getirmek için KVKK ile öngörülen yollara, yakın zamanda Kişisel Verileri Koruma Kurumu’nun (“Kurum”) yapmış olduğu kamuoyu duyurusu vasıtasıyla yeni bir alternatif daha eklenmiştir. Bu yazıda, Genel Veri Koruma Tüzüğü (General Data Protection Regulation) (“GDPR”) ile Avrupa Birliği uygulamasında uzun süredir var olan Bağlayıcı Şirket Kuralları (“BŞK”) ve Türk hukukundaki uygulaması üzerinde duracağız.

 

Bilindiği gibi, KVKK’nın yurt dışı aktarımı düzenleyen 9. maddesinde:

 

“(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

 

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

 

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

 

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

 

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.  

 

(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;

 

a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

 

b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,

 

c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

 

ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

 

d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,

 

değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

 

(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

 

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.”

 

denmekle, yurt dışı aktarımın temel çerçevesi belirlenmiştir. Bu madde hükmü uyarınca yurt dışına aktarımın hukuka uygun kabul edilebilmesi için;

 

1. İlgili kişilerden yurt dışı aktarıma özel açık rıza almak,

2. Yeterli korumanın bulunduğu ülkelere aktarım yapmak,

3. Yeterli korumanın bulunmadığı ülkelerde yerleşik veri sorumlularına yapılacak olan aktarımlarda, aktarımın yapılacağı veri sorumlusundan yeterli korumanın sağlanacağına dair yazılı taahhüt almak ve bu taahhüdü Kurum’un onayından geçirmek,

 

yollarından birini izlemek gerekecektir.

 

Bilindiği gibi, henüz ilan edilmiş bir yeterli korumaya sahip ülkeler listesi bulunmamakta olup; bugüne değin yalnızca Kurul tarafından verilen 02.05.2019 tarihli kararla “Yeterli Korumaya Sahip Ülkelerin Belirlenmesinde Esas Alınacak Kriterler” açıklanmış durumdadır. [1] Bu halde yeterli korumaya sahip ülkelere yapılan bir yurt dışı aktarım henüz seçeneklerimiz arasında değildir.

 

Bunun yanında, yurt dışı aktarım taahhütnameleri konusunda Kurum tarafından 07.05.2020 tarihinde “YURT DIŞINA KİŞİSEL VERİ AKTARIMINDA HAZIRLANACAK TAAHHÜTNAMELERDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN DUYURU” yayımlanmıştır. Ancak bilindiği kadarıyla halen kurum tarafından onaylanmış bir aktarım taahhütnamesi mevcut olmamakla birlikte, 26.10.2020 tarihinde yayımlanan kamuoyu duyurusu içeriğinden de, taahhütnamelere onay süreçlerinin halen sürdüğü anlaşılmaktadır.[2] Dolayısıyla bu seçenek uygulanabilir olmakla birlikte; uygulamada halen rüştünü ispat edebilmiş değildir.

 

Veri sorumlularının uygulamada en çok eğilim gösterdiği seçenek, ilgililerden açık rıza almaktır. Ancak Kurul’un da daha önceki kararlarında[3] belirttiği gibi “diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği” değerlendirilmektedir. Bunun yanında, ilgililerden açık rıza almak her durumda ölçülü de değildir. Sunucuları yurt dışında bulunan bir veri sorumlusu örneğinde, hiçbir elekten ve seçilimden geçmeksizin, otomatik olarak yurt dışına aktarılan bir veri yığınının ilgililerinin açık rızası dahi bulunsa ölçüsüz olarak yurt dışına aktarıldığı açıktır. Ayrıca açık rızanın salt başkaca bir işleme şartına dayanıl(a)madığı için -bir başka deyişle dürüstlük kuralına aykırı olarak- alındığı haller de göz ardı edilmemelidir. “İlgili kişi açık rızasını geri çekerse veya açık rıza vermezse ne olur?” sorusuna veri sorumlusu tarafından verilecek cevap, dürüstlük kuralına uygun bir şekilde açık rızanın alınıp alınmadığının tespitinde önemli bir ölçüttür. Veri sorumlusu her ne olursa olsun (yani ilgili kişiler açık rıza vermese yahut vermiş oldukları açık rızayı geri çekseler dahi) yurt dışına aktarım yapacaksa/yapmaya devam edecekse; bu durum alınmak istenen açık rızanın yalnızca bir formalite olarak benimsendiğinin göstergesi olacak olup,  bu durumda alınan açık rızanın yurt dışı aktarımı hukuka uygun hale getirmeyeceği açıktır.

 

Açık rıza almanın hukuki boyutu bir yana; gerek açık rıza almanın gerekse alınan açık rızaların hukuka ve usulüne uygun olarak alındığının belgelenmesinin pratik anlamda da oldukça zorlayıcı olabildiği tartışmasızdır. Öyle ki, kişisel verilerin korunması bağlamında ilgili kişilerin haklarını gözetmek ve kanuna uygun işleme faaliyeti gerçekleştirmek; veri sorumluları için ciddi bir külfet haline gelmekte ve neredeyse operasyonlarını işlemez hale getirmektedir. Bu anlamda yurt dışı aktarım konusuna “yalnızca bir formalitenin yerine getirilmesi” ölçeğinden bakmak ve ölçülülük değerlendirmesi yapmaksızın ve dürüstlük kuralına aykırı olduğuna bakılmaksızın açık rıza ile ilerlemek yerinde olmayacaktır. Kaldı ki, açık rızanın veri işlemeye başlamadan evvel alınması gerektiği göz önüne alındığında; sonradan alınacak açık rızaların da kişisel verilerin yurt dışına aktarımını hukuka uygun hale getirmeye yeterli olmayacağı ve bu anlamda bir başka formaliteden ibaret kalacağı açıktır.

 

Bu noktada, Kişisel Verileri Koruma Kurumu’nun 10.04.2020 tarihinde yapmış olduğu kamuoyu duyurusu vasıtasıyla yurt dışı aktarım konusunda uygulamamıza dâhil olan Bağlayıcı Şirket Kuralları, yeni bir alternatif olarak karşımıza çıkmaktadır.

 

Bağlayıcı Şirket Kuralları (“BŞK”), en basit anlamda “yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kuralları”[4] olarak tanımlanabilir.

 

GDPR’ın Tanımlar başlıklı 4. maddesinin 20. bendinde Bağlayıcı Kurumsal Kurallar: “ortak bir ekonomik faaliyetle iştigal eden bir teşebbüsler grubu veya bir işletmeler grubu içerisinde bir veya daha fazla sayıda üçüncü ülkedeki bir kontrolör veya işleyiciye kişisel veri aktarımları veya aktarım dizisiyle ilgili olarak Birliğin üye devletlerinden birinin topraklarında kurulmuş olan bir kontrolör veya işleyici tarafından uyulan kişisel veri koruma politikaları” olarak açıklanmıştır.[5]

 

GDPR’ın “Uygun güvencelere tabi olarak yapılan aktarımlar” başlıklı 46. maddesinde ise:

 

"1. 45(3) maddesi uyarınca alınan bir karar olmaması halinde, ancak bir kontrolör veya işleyicinin uygun güvenceler sağlamış olması halinde ve uygulanabilir veri sahibi hakları ve veri sahiplerine yönelik etkili kanun yollarının mevcut olması koşuluyla, söz konusu kontrolör veya işleyici bir üçüncü ülke veya uluslararası bir kuruluşa kişisel veri aktarabilir.

 

2. 1. paragrafta atıfta bulunulan uygun güvenceler, bir denetim makamından spesifik bir onay alınmasına gerek olmaksızın, aşağıdakilerle sağlanabilir:

 

a. Kamu kuruluşları veya organları arasında yasal bağlayıcılığı bulunan ve uygulanabilir bir belge;

 

b. 47. madde uyarınca bağlayıcı kurumsal kurallar;

 

c. 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca Komisyon tarafından kabul edilen standart veri koruma şartları;

 

d. 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca bir denetim makamı tarafından kabul edilen ve Komisyon tarafından onaylanan standart veri koruma şartları;

 

e. 40. madde uyarınca onaylı davranış kuralları ile birlikte üçüncü ülkedeki kontrolör veya işleyicinin veri sahibinin hakları ile ilgili de olmak üzere uygun güvenceler uygulamaya ilişkin bağlayıcı ve uygulanabilir taahhütleri veya

 

f. 42. madde uyarınca onaylı bir belgelendirme mekanizması ile birlikte üçüncü ülkedeki kontrolör veya işleyicinin veri sahibinin hakları ile ilgili de olmak üzere uygun güvenceler uygulamaya ilişkin bağlayıcı ve uygulanabilir taahhütleri.

 

3. Yetkin denetim makamından alınan yetkiye tabi olarak, 1. paragrafta atıfta bulunulan uygun güvenceler, öncelikle, aşağıdakilerle de sağlanabilir:

 

a. Kontrolör veya işleyici ile üçüncü ülke ya da uluslararası kuruluştaki kişisel veri kontrolörü, işleyicisi ya da alıcısı arasındaki sözleşme maddeleri veya

 

b. Kamu kuruluşları ya da organları arasındaki idari düzenlemelere eklenecek olan uygulanabilir ve etkili veri sahibi haklarını kapsayan hükümler.

 

4. Denetim makamı, bu maddenin 3. paragrafında atıfta bulunulan hallerde 63. maddede atıfta bulunulan tutarlılık mekanizmasını uygular.

 

5. 95/46/AT sayılı Direktif’in 26(2) maddesine dayalı olarak bir üye devlet veya denetim makamı tarafından verilen yetkiler, gerektiğinde söz konusu denetim makamı tarafından değiştirilene, yenilenene veya yürürlükten kaldırılana kadar geçerliliğini korur. 95/46/AT sayılı Direktif’in 26(4) maddesine dayalı olarak Komisyon tarafından kabul edilen kararlar, gerektiğinde bu maddenin 2. paragrafı uyarınca kabul edilen bir Komisyon Kararı ile değiştirilene, yenilenene veya yürürlükten kaldırılana kadar yürürlükte kalır.”

 

denmekle; bir kontrolör (veri sorumlusu)  veya işleyicinin (veri işleyen) uygun güvenceler sağlamış olması halinde ve uygulanabilir veri sahibi hakları ve veri sahiplerine yönelik etkili kanun yollarının mevcut olması koşuluyla, söz konusu kontrolör veya işleyicinin bir üçüncü ülke veya uluslararası bir kuruluşa kişisel veri aktarmasının önü açılmaktadır. Görüldüğü üzere işbu maddede sayılan aktarım yollarından biri de “Bağlayıcı Kurumsal Kurallar/Bağlayıcı Şirket Kuralları”dır.

 

GDPR’ın devam eden 47. maddesinde “Bağlayıcı Kurumsal Kurallar”ın uygulama çerçevesi çizilmiştir. İlgili maddede:

 

“1. Yetkin denetim makamı, aşağıdaki koşulları sağlamaları durumunda, bağlayıcı kurumsal kuralları 63. maddede ortaya konan tutarlılık mekanizması uyarınca onaylar:

 

a. Çalışanları da dâhil olmak üzere ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun ilgili her üyesi açısından yasal bağlayıcılığının olması, bu üyelere uygulanması ve bu üyeler tarafından yürütülmesi;

 

b. Veri sahiplerine kişisel verilerinin işlenmesi ile ilgili olarak uygulanabilir hakları açık bir şekilde vermesi ve

 

c. 2. Paragrafta belirtilen gereklilikleri yerine getirmesi.

 

2. 1. Paragrafta atıfta bulunulan bağlayıcı kurumsal kurallarda en azından aşağıdakiler belirtilir:

 

a. Ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun ve her üyesinin yapısı ve irtibat bilgileri;

 

b. Kişisel veri kategorileri, işleme türü ve amaçları, etkilenen veri sahiplerinin türü ve söz konusu üçüncü ülke veya ülkelere ilişkin açıklama da dahil olmak üzere veri aktarımları veya aktarım dizisi

 

c. Bunların hem içsel hem de dışsal olarak hukuki bağlayıcılık yapısı;

 

d. Amaç sınırlaması, verilerin en alt düzeye indirilmesi, sınırlı saklama süreleri, veri kalitesi, özel ve olağan veri koruması, işleme faaliyetine yönelik yasal dayanak, özel kategorilerdeki kişisel verilerin işlenmesi başta olmak üzere genel veri koruma ilkeleri, veri güvenliğinin sağlanmasına ilişkin tedbirler ve bağlayıcı kurumsal kurallara bağlı bulunmayan organlara transit aktarımlara ilişkin gerekliliklerin uygulanması;

 

e. 22. Madde uyarınca profil çıkarma da dahil olmak üzere yalnızca otomatik işleme faaliyetine dayalı kararlara tabi olmama hakkı, 79. Madde uyarınca üye devletlerin yetkin denetim makamına ve yetkin mahkemelerine şikayette bulunma ve tazminat alma hakkı ve, uygun olduğu hallerde, bağlayıcı kurumsal kurallara ilişkin bir ihlalden dolayı tazminat hakkı da dahil olmak üzere veri sahiplerinin işleme faaliyetine ilişkin hakları ve bu hakları kullanma yöntemleri;

 

f. Bir üye devletin topraklarında kurulu kontrolör veya işleyicinin birlik içerisinde kurulu olmayan herhangi bir üye tarafından bağlayıcı kurumsal kuralların ihlal edilmesi hususunda yükümlülüğü üstüne alması; kontrolör veya işleyici, ancak üyenin zarara neden olan olaydan sorumlu olmadığını kanıtlaması durumunda, bu yükümlülükten tamamen veya kısmen muaf tutulur;

 

g. Bu paragrafın (d), (e) ve (f) bentlerinde atıfta bulunulan hükümler başta olmak üzere bağlayıcı kurumsal kurallara ilişkin bilgilerin 13 ve 14. Maddelere ek olarak veri sahiplerine nasıl sağlandığı;

 

h. 37. Madde uyarınca belirlenen herhangi bir veri koruma görevlisinin ya da ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubu veya bir işletmeler grubu içerisinde bağlayıcı kurumsal kurallara uyumluluğun izlenmesinin yanı sıra eğitimin izlenmesi ve şikayetlerin ele alınmasından sorumlu olan diğer kişiler veya kuruluşların görevleri;

 

i. Şikayet usulleri;

 

j. Ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubu veya bir işletmeler grubu içerisinde bağlayıcı kurumsal kurallara uyumluluğun doğrulanmasının sağlanmasına yönelik mekanizmalar. Söz konusu mekanizmalar veri sahibinin haklarının korunmasına yönelik düzeltici eylemlerin sağlanmasına ilişkin veri koruma denetimleri ve yöntemlerini kapsar. Söz konusu doğrulamanın sonuçları (h) bendinde atıfta bulunulan kişi veya kuruluşa ve ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun ya da bir işletmeler grubunun denetleyici teşebbüsünün yönetim kuruluna iletilir ve talep üzerine yetkin denetim makamına sağlanmalıdır;

 

k. Kurallara ilişkin değişikliklerin raporlanması ve kaydedilmesi ile bu değişikliklerin denetim makamına raporlanmasına ilişkin mekanizmalar;

 

l. Özellikle (j) bendinde atıfta bulunulan tedbirlere ilişkin doğrulamaların sonuçlarının denetim makamına sağlanması suretiyle, ortak bir faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun herhangi bir üyesinin uyumluluğunu sağlamak üzere denetim makamı ile kurulan işbirliği mekanizması;

 

m. Ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun bir üyesinin üçüncü bir ülkede tabi olduğu ve bağlayıcı kurumsal kuralların sağladığı teminatlar açısından kayda değer bir olumsuz etkisinin bulunmasının muhtemel olduğu yasal gerekliliklerin yetkin denetim makamına raporlanmasına ilişkin mekanizmalar ve kişisel verilere daimi veya geçici olarak erişimi bulunan personele uygun veri koruma eğitimi.

 

n. Kişisel verilere daimi veya geçici olarak erişimi bulunan personele uygun veri koruma eğitimi.

 

3. Komisyon kontrolörler, işleyiciler ve denetim makamları arasında bu madde kapsamındaki bağlayıcı kurumsal kurallara yönelik bilgi alışverişine ilişkin format ve usulleri belirtebilir. Bu uygulama tasarrufları 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca kabul edilir.”

 

Yukarıda da bahsedildiği gibi, ülkemizde de Veri Koruma Otoritesi konumundaki Kişisel Verileri Koruma Kurumu, 10 Nisan 2020 tarihinde kvkk.gov.tr adresli internet sitesinde yayımladığı kamuoyu duyurusuyla Bağlayıcı Şirket Kuralları’nı kişisel verilerin yurt dışına aktarılması kapsamında yeni bir yol olarak kabul ettiğini açıklamıştır.

 

İlgili kamuoyu duyurusunda, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (6698 sayılı Kanun) 9’uncu hükmü irdelenmiş ve yurt dışı aktarımın şekil ve şartlarına, madde kapsamında değinilmiş; devamında yurt dışı aktarım için öngörülen yollardan biri olan yurt dışı aktarım taahhütnamelerinin genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımlarını kolaylaştırmakla birlikte çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalabildiğinin altı çizilmiştir. Bu nedenle Kurul tarafından, söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere diğer bir yöntem olarak da “Bağlayıcı Şirket Kuralları” belirlenmiş ve böylelikle GDPR ile öngörülen ve Avrupa Birliği’nde uzun zamandır uygulanagelen bu hukuki kurum; Kurul’un kamuoyu duyurusu vasıtasıyla da olsa uygulamamıza girmiştir.

 

Bağlayıcı Şirket Kuralları kapsamına giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kurum’a, Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir. Dolayısıyla Bağlayıcı Şirket Kuralları’nın hayata geçirilmesi için de tıpkı yurt dışı aktarım taahhütnamelerinde olduğu gibi Kurum’un onayı bir geçerlilik şartı olarak öngörülmüştür.

 

Kurum’un BŞK için aynı tarihli kamuoyu duyurusunun ekinde veri sorumlularının dikkatine sunduğu “Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu”nda genel olarak BŞK ile ilgili açıklamalara yer verilmesinin yanı sıra; duyuru ekinde yayımladığı “Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman” vasıtasıyla başvuru usul ve esaslarına ilişkin detaylı açıklamalara yer vermiştir.[6]

 

Buna göre, veri sorumluları için Bağlayıcı Şirket Kuralları, kişisel verilerin, Türkiye’de yerleşik veri sorumlularından aynı grup içerisindeki ve Türkiye dışındaki diğer veri sorumluları veya veri işleyenlere aktarımı için kullanılır.

 

Dolayısıyla, veri sorumluları için Bağlayıcı Şirket Kurallarında belirtilen yükümlülükler, aynı grupta veri sorumlusu olarak hareket eden kuruluşlar ve “dâhili” veri işleyen olarak hareket edenler için geçerlidir.

 

Bağlayıcılığın sağlanması amacı ile Bağlayıcı Şirket Kuralları kapsamında yer alacak veri sorumlusu ile veri işleyen arasında Türk hukukunda geçerli yasal bir sözleşme ya da diğer bir hukuki işlem düzenlenerek bunun tüm veri işleyenler tarafından imzalanması sağlanmalıdır (Hizmet Sözleşmesi)[7]. Veri sorumluları için Bağlayıcı Şirket Kuralları ile belirlenen yükümlülükler, Hizmet Sözleşmesine aykırı düşmeyecek şekilde, Grup içerisinde veri işleyen olarak veri aktarılan yapılara da uygulanır.

 

Başvuru yapma yetkisi, grubun[8] (varsa) Türkiye’de yerleşik merkezidir. Grubun Türkiye’de yerleşik merkezi yok ise Türkiye’de yerleşik bir grup üyesi kişisel verilerin korunması konusunda yetkilendirilmelidir.

 

Başvuruda, başvuru formu, Bağlayıcı Şirket Kuralları metni ve başvuru ile ilgili görülen diğer tüm bilgi ve belgeler sunulmalıdır. Gerekmesi halinde Kurum, başkaca bilgi ve belge talep edebileceğini ifade etmektedir.

 

Başvurular, Kuruma elden veya posta yolu ile iletilebilecek olup; resmi başvuru tarihinden itibaren bir (1) yıl içerisinde değerlendirilerek sonuca bağlanacaktır. Gerekmesi halinde bu süre, altı (6) aylık sürelerle uzatılabilir.

 

Başvurunun Kurulca onaylanması halinde, bu durum Kurum tarafından ilgilisine bildirilir ve gerekmesi halinde ilan edilir. Kurum’un bu açıklamasından, Avrupa Birliği uygulamasından farklı olarak onaylanan tüm BŞK’ları açık olarak takip edemeyeceğimiz, ancak Kurum’un takdir etmesi halinde bazılarıyla ilgili bilgi sahibi olabileceğimiz anlaşılmaktadır.

 

Kurul tarafından kabul edilen Bağlayıcı Şirket Kuralları’nın uygulanması süreye tabi değildir. Gerekmesi halinde Kurul tarafından Bağlayıcı Şirket Kuralları’nın uygulanması askıya alınabilir ya da feshedilebilir.

 

Başvuru formunda:

 

1. Başvuruda bulunan şirketler topluluğunun adı/unvanı, genel merkezinin adresi, Türkiye’de yerleşik grup üyesinin . adresi (genel merkezi Türkiye’de değilse),

 

2. Başvuru işlemini gerçekleştiren başvurucunun adı/unvanı, varsa TCKN/VKN, hukuki statüsü (şirket, ortaklık vb.),

 

3. Başvurucunun grup içerisindeki pozisyonu (grubun Türkiye’de yerleşik merkezi veya Türkiye’de yerleşik merkezi yok ise kişisel verilerin korunması konusunda yetkilendirilmiş ve Türkiye’de yerleşik bir grup üyesi),

 

4. Temas kişisinin adı ve/veya birimi, adresi, telefon numarası, faks numarası, elektronik posta adresi,

 

5. Veri aktarımının Türkiye’den hangi ülkeye/ülkelere gerçekleştirileceği bilgisi,

 

6. Bağlayıcı Şirket Kurallarının kapsayacağı tüm Grup üyeleri ile iletişim bilgileri,

 

7. Grup üyeleri ve Grup adına veri işleme faaliyetini gerçekleştirenler bakımından bağlayıcılığının nasıl sağlanacağı, etkili bir uygulamayı teminen öngörülen mekanizmalar, Kurum ile koordinasyon, kişisel verinin aktarılması ve işlenmesi ile ilgili detaylar, raporlama ve kayıt değişikliği mekanizmaları, veri güvenliği konuları, hesap verebilirlik, Bağlayıcı Şirket Kuralları başvurusuna ilişkin yardımcı bilgi ve belgeler hakkında sorulara verilecek yanıtlar,

 

bulunmalıdır.

 

Kurum’a göre, BŞK başvurusunun uygun bulunabilmesi için başvurunun temel birtakım unsurları taşıdığının değerlendirilmesi gerekmektedir. Buna göre, başvuruların uygunluğu değerlendirilirken gözetilecek başlıca ilke ve unsurlar aşağıdaki gibidir:

 

  • BAĞLAYICILIK UNSURU

 

Bağlayıcı Şirket Kuralları başvurusunun uygun bulunabilmesi için ulusal mevzuata uygun olarak tarafları bağlayıcı bir etkiye sahip olması gerekmektedir.

 

Kurum, bağlayıcılık unsurunun varlığını tespit ederken; grup üyeleri arasında bağlayıcılığın hangi yöntemle sağlanacağı, bu yöntemlere uygun davranılmamasının sonuçlarının neler olduğu, Bağlayıcı Şirket Kuralları’nın tüm grubu kapsayıp kapsamadığı, muaf tutulan grup üyesinin bulunup bulunmadığı gibi soruların yanıtlarını göz önünde bulunduracaktır.

 

Buna ilaveten, çalışanların, Bağlayıcı Şirket Kuralları’na uyma yükümlülüğünün nasıl sağlanacağı, çalışanlar tarafından, Bağlayıcı Şirket Kuralları hükümlerinin ihlal edilmesi durumunda uygulanacak yaptırımların neler olduğu, veri işleyenlerin, kişisel verilerin güvenliğini sağlamaya yönelik önlemleri almasını zorunlu tutmak için uygulanacak yöntemlerin neler olduğu, veri işleyenler tarafından Bağlayıcı Şirket Kurallarına aykırı davranılmasının sonuçlarının ve yaptırımlarının neler olduğu da başvurucu tarafından başvuru formunda açıklanacaktır. Kurum, başvurunun bağlayıcılık unsurunu haiz olup olmadığını değerlendirirken, tüm bu soruların yanıtlarını değerlendirmesine esas alacaktır.

 

Kurum ayrıca, grup üyeleri tarafından, kişisel veri sahibi olan ilgili kişinin 6698 sayılı Kanun kapsamında sahip olduğu hak ve yetkilerin temin edileceği, ilgili kişilerin, 6698 sayılı Kanunun 11 inci maddesinin (ğ) bendinde yer alan zararın giderilmesini talep etme hakkı da dâhil olmak üzere her türlü zararının tazmini için açılacak davalar bakımından Türk Mahkemelerine başvurulabileceği, diğer ülkelerde açılacak davalarda ilgili kişiye tercüme, avukat sağlanması vb. her türlü yardımın sağlanacağı, ihlalin nereden kaynaklandığına bakılmaksızın Bağlayıcı Şirket Kuralları hükümlerinin ihlalinden kaynaklanan zararın, grubun Türkiye’de yerleşik merkezi veya kişisel verilerin korunması konusunda yetkilendirilmiş Türkiye’de yerleşik bir grup üyesi tarafından giderilmesi, Bağlayıcı Şirket Kuralları hükümlerinin ihlali iddiasıyla ilgili ispat yükünün, grubun Türkiye’de yerleşik merkezinde veya grubun merkezi Türkiye’de değil ise kişisel verilerin korunması konusunda yetkilendirilmiş Türkiye’de yerleşik grup üyesinde bulunması hususunda beyanını talep etmekte ve bu hususlarda ayrı ayrı verilecek olan beyanları da, bağlayıcılık unsuru bakımından değerlendirme kıstası olarak kabul etmektedir.

 

  • ETKİLİ UYGULAMA

 

Bağlayıcı Şirket Kurallarının, grup tarafından etkili bir şekilde uygulanması önemlidir. Bu kapsamda; çalışanlar bakımından eğitim ve farkındalık çalışmalarının bulunup bulunmadığı, çalışanların kişisel verilerin korunması, veri güvenliği ve Bağlayıcı Şirket Kuralları hükümleri bakımından bilgi ve farkındalık seviyesinin takibinin yapılıp yapılmadığı, Bağlayıcı Şirket Kurallarına uyumlu hareket edilmemesi halinde bu durumu bildirmek üzere grup içerisinde şikâyet mekanizması bulunup bulunmadığı, her bir grup üyesinin Bağlayıcı Şirket Kuralları’na uyumunun denetimini yapmak veya yaptırmak için grup tarafından hangi mekanizmalar kullanıldığı, belirli aralıklarla, şeffaf ve açık bir raporlama öngörülüp görülmediği ve Bağlayıcı Şirket Kuralları’na uyumun sağlanması ve bunun takibi için görevlendirilmiş uygun bir personel/birim yapılanması bulunup bulunmadığı gibi pek çok ölçüt vasıtasıyla başvurunun “etkili uygulama” kıstasını haiz olup olmadığı değerlendirilecektir.

 

  • KURUM İLE KOORDİNASYON

 

Başvurucu, başvurusunda Bağlayıcı Şirket Kuralları’nın uygulanması bakımından Kurum ile gerçekleştirecek işbirliği hakkında bilgi vermelidir.

 

  • KİŞİSEL VERİLERİN İŞLENMESİ VE AKTARILMASI

 

Aktarıma konu veri kategorileri, verinin niteliği (genel/özel nitelikli kişisel veri), aktarımın amaçları ve azami saklama süreleri, veri konusu kişi grubu veya grupları, veri aktarım yöntemi, hukuki sebebi, aktarılacak verilerin grup içerisindeki dağılımı, ihtiyaç duyulması halinde, Türkiye’de yerleşik olmayan bir grup üyesinden, grup üyesi olmayan herhangi bir şirkete yapılacak veri aktarımları (sonraki aktarım)[9] yapılacak ise bu konuda öngörülen aktarımlar gibi hususlar başvurucu tarafından başvuru formu ile açıklanmalıdır.

 

  • RAPORLAMA VE KAYIT DEĞİŞİKLİĞİ MEKANİZMALARI

 

Hem grup üyeleri hem de Kurum, Bağlayıcı Şirket Kuralları’nda yapılacak herhangi bir değişiklik hakkında en kısa sürede bilgilendirilmelidir.

 

  • VERİ GÜVENLİĞİ[10]

 

Bağlayıcı Şirket Kuralları kapsamında aktarılacak kişisel verilerin niteliğine uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin nasıl ele alındığına dair detayların açıklanması gerekmektedir. Kurum, bu açıklamalar ışığında veri güvenliği hususunda değerlendirmelerini yapacak olup; buna göre başvurunun kabulüne yahut reddine karar verecektir.

 

  • HESAP VEREBİLİRLİK VE DİĞER ESASLAR/ARAÇLAR

 

Grup üyelerinin, Bağlayıcı Şirket Kuralları'na nasıl uyum sağlayacağı ve bundan nasıl sorumlu tutulacağı ve grup üyeleri tarafından, her bir veri sorumlusu adına Bağlayıcı Şirket Kuralları kapsamında gerçekleştirilecek işleme faaliyetlerinin kaydının nasıl tutulacağı hususları başvuruda açıklanmalıdır.

 

Bunlara ilaveten, bazı özel durumların varlığı halinde bunlara da yapılacak başvurularda yer verilmesi gerekmektedir. Örneğin aktarımın yapılacağı ülkelerin taraf olduğu, kişisel verilerin korunması konusunda hüküm içeren uluslararası sözleşmeler varsa bunlar da başvuruda belirtilmeli; verinin aktarılacağı ülkede, kişisel verilerin korunması konusunda ulusal mevzuat ve yetkili bir kişisel verileri koruma otoritesi olup olmadığı gibi hususlarda da bilgi verilmelidir.

 

Başvurularda ayrıca, BŞK ile ilgili genel hükümlere yer verilecektir. Buna göre, uygulama aşamasında, bir bütün olarak grup ve grup üyelerinden her biri, Bağlayıcı Şirket Kuralları’nın yorumlanması ve uygulanmasıyla ilgili Kurum’un talimatlarına uygun hareket etmeyi kabul etmelidir.

 

Bağlayıcı Şirket Kuralları, yalnızca bir bütün olarak grup içerisinde ve grup üyeleri arasındaki veri aktarımlarına ilişkindir. Bağlayıcı Şirket Kuralları kapsamında aktarımına izin verilen kişisel veriler, grup üyeleri dışındaki kişilere aktarılamayacaktır.

 

Ayrıca belirtmek gerekir ki; Türkiye’de yerleşik olmayan bir grup üyesinden, grup üyesi olmayan herhangi bir şirkete veri aktarımı (sonraki aktarım) yapılmasına ihtiyaç duyulması halinde Kurulun yayımladığı  “Taahütnameler”in[11] kullanılması gerekmektedir.

 

Bir bütün olarak grup ve grup üyeleri, işledikleri kişisel verileri, KVKK hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamaz. Bu yükümlülük herhangi bir süre ile sınırlı değildir.

 

Son olarak, BŞK’nın dünyadaki uygulamasına örnek olması bakımından, Mayıs 2018 itibariyle güncellenmiş olan, Avrupa Veri Koruma Kurulu (EDPB) tarafından onaylanmış Bağlayıcı Şirket Kuralları’na aşağıdaki listede yer verilmektedir:[12]

 

Şirket

Ülke

ABN AMRO Bank N.V.

Hollanda

ADIENT

Belçika

ADP (Veri Sorumlusu ve Veri İşleyen)

Hollanda

AGCO (Veri Sorumlusu)

Almanya

Airbus (Veri Sorumlusu)

Fransa

Air Liquid (Veri Sorumlusu)

Fransa

Allianz (Veri Sorumlusu)

Almanya

AMGEN

Fransa

Astra Zeneca plc

Birleşik Krallık

Accenture

Birleşik Krallık

Akastor ASA (Veri Sorumlusu)

Norveç

Aker Solutions ASA (Veri Sorumlusu)

Norveç

Akzo Nobel N.V. (Veri Sorumlusu)

Hollanda

Align Technologies B.V. (Veri Sorumlusu ve Veri İşleyen)

Hollanda

American Express

Birleşik Krallık

Arcadis (Veri Sorumlusu)

Hollanda

ArcelorMittal Group

Lüksemburg

Atmel

Birleşik Krallık

Atos (Veri Sorumlusu ve Veri İşleyen)

Fransa

AVAYA Group (Veri Sorumlusu ve Veri İşleyen)

Almanya

AXA

Fransa

 

Sonuç

 

Avrupa Birliği üye ülkelerinin uzunca bir süredir aşina olduğu Bağlayıcı Şirket Kuralları, Kurum tarafından yapılan kamuoyu duyurusu vasıtasıyla ülkemiz için de uygulanabilir bir seçenek haline gelmiştir.

 

Ülkemizdeki kişisel verilerin korunması uygulamalarının, Avrupa Birliği standartlarına yaklaştırılması anlamı da taşıyan bu adım, küresel veri koruma standartlarına uygunluğun sağlanması açısından oldukça önemlidir. Bağlayıcı Şirket Kuralları’nın ayrıca gerek yerel gerekse küresel düzlemde; çok uluslu şirketlerin güvenilirliğini, şeffaflığını ve itibarını pekiştiren bir uygulama olduğu söylenebilir. Zira BŞK bir nevi şirketin tüm dış dünyaya karşı kişisel verileri korumayı ciddiye aldığını duyurmasıdır.

 

Bunun yanında BŞK, ülkemizde pek çok sektörde faaliyet gösteren çok uluslu şirket topluluklarının yurt dışına veri aktarımını pek çok açıdan kolaylaştıracak olsa da; pratik ve hızlı bir alternatif olmaktan ne yazık ki uzaktır.

 

Nitekim BŞK, onay aşamasından önce ciddi bir hazırlık gerektiren ve titizlikle yürütülmesi gereken uzun soluklu bir süreç olup; onaylanma süreci de başvurudan sonra 1 yıllık süre olarak belirlenmiş; hatta bu sürenin 6 aylık sürelerle uzatılabileceği de belirtilmiştir. Buna ilaveten bu 6 aylık uzatmanın kaç kereye mahsus yapılabileceği de belirli değildir. Bu meyanda, BŞK’nın yurt dışı veri aktarımını hukuka uygun hale getirmek için elverişli bir yol olmasına karşın; uzun ve meşakkatli bir hazırlık ve onay sürecini gerektirdiği anlaşılmakla; veri sorumlularının yurt dışı aktarım hususunda BŞK’ya başvurmalarının pratik bir yol olup olmadığı hususu tartışmalıdır.

 

Saygılarımızla,

 

GÜLTEKİN HUKUK BÜROSU

 

 

 


[1] Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form” hakkındaki 02/05/2019 tarihli ve 2019/125 sayılı Kurul Kararı.

https://kvkk.gov.tr/Icerik/5469/-Yeterli-korumanin-bulundugu-ulkelerin-tayininde-kullanilmak-uzere-olusturulan-form-hakkindaki-02-05-2019-tarihli-ve-2019-125-sayili-Kurul-Karari

 

[2] “…Diğer taraftan belirtmek gerekir ki, yurt dışına kişisel veri aktarımı gerçekleştirmek amacıyla yapılan başvurular, Kurumumuzun ilgili tüm birimleri tarafından hem hukuki hem teknik boyutlarıyla titizlikle incelenmekte ve mümkün olan en kısa süre içerisinde başvuruculara geri dönüş yapılarak eksikliklerin tamamlanması veya düzeltmelerin yapılması için ek süre tanınmaktadır. Bu anlamda, başvurucular desteklenmekte ve iş süreçlerinin aksamaması adına gerekli yönlendirmeler yapılmaktadır…” Kişisel Verileri Koruma Kurulu’nun 26.10.2020 tarihli kamuoyu duyurusu.

(https://www.kvkk.gov.tr/Icerik/6828/YURTDISINA-VERI-AKTARIMI-KAMUOYU-DUYURUSU)

 

[3] Kişisel Verileri Koruma Kurulu Tarafından Verilen 7/02/2020 tarihli ve 2020/173 Numaralı Amazon Türkiye Kararı.

https://www.kvkk.gov.tr/Icerik/6739/2020-173

 

[5] General Data Protection Regulation, AB Bakanlığı Çevirisi.

 

[6] ”Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu” ve “Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman”ı https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU adresinde bulabilirsiniz.

 

[7] Kişisel veri işleme faaliyetlerinde veri sorumlusunun veri işleyenle birlikte hareket ettiği durumlarda, aralarında yazılı bir sözleşme yapılması gereklidir. Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) (KVKK Yayınları, Ocak 2018, Ankara) adlı Rehber ile de veri sorumlusunun veri işleyenden alacağı hizmetler bakımından kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olması gerektiği hatırlatılmaktadır. 6698 sayılı Kanun madde 12/2 gereğince, “Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.”. Bu bakımdan veri sorumlusu ile veri işleyen arasındaki ilişkiyi düzenleyen sözleşmenin yazılı olması, veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hüküm içermesi ve Kişisel Veri Saklama ve İmha Politikasına uygun olması önerilmektedir.

 

Veri sorumlusunun özel ya da genel yazılı bir yetkilendirmesi ile Bağlayıcı Şirket Kuralları ile bağlı olan diğer BŞK üyeleri, veriyi başkaca veri işleyenlere işletebilir. Hizmet Sözleşmesinde, hizmetin başlangıcında genel bir ön izin verilmesinin yeterli olup olmadığı ya da her bir yeni veri işleyen için spesifik bir izin gerekip gerekmediği belirtilecektir. Eğer genel bir izin verildiyse, veri işleyen diğer veri işleyenlere ilişkin değişiklikler hakkında veri sorumlusuna makul bir sürede bilgi verir, böylece veri sorumlusunun verinin yeni bir veri işleyene iletilmesinden önce değişikliğe itiraz edebilmesi ya da sözleşmeyi sonlandırılabilmesine imkân sağlanır. (KVKK BŞK., 2020/2, Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman)

 

[8] Grup: Bir şirketler topluluğuna bağlı olarak faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularının tümünü ifade eder.

 

[9] Bu türden veri aktarımları için Kurulun 02/04/2018 tarih ve 2018/33 sayılı kararı ekinde yer alan “Taahütnameler”in kullanılması gerekmektedir.

 

[10] 6698 sayılı Kanun madde 9/2/b, 9/4/d, 12/1

 

[12] European Commission Website: List of companies for which the EU BCR cooperation procedure is closed, https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en