7 Nisan 2016 tarihli 29677 sayılı Resmi Gazete ile yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun” veya “6698 sayılı Kanun”) ile kişisel verilerin işlenmesine ve aktarılmasına ilişkin veri işleyen kurum ve kuruluşları bağlayıcı kurallar getirilmiştir. İlgili Kanun uyarınca kişisel verilerin işlenmesi ve aktarılmasında temel kural verisi işlenen gerçek kişilerden açık rıza alınmasıdır. Bununla birlikte yine Kanun’da yer alan bazı istisnai hallerde kişilerden açık rıza alınmaksızın verilerin işlenebileceği veya aktarılabileceği öngörülmüştür.
Kanun’un 8 inci maddesi ile kişisel verilerin ve özel nitelikli kişisel verilerin yurt içinde aktarımına ve 9 uncu maddesi ile yurt dışına aktarımına ilişkin düzenlemeler farklı başlıklar olarak ele alınmıştır. 8 inci madde uyarınca kişisel verilerin yurt içi aktarımında kural olarak ilgili kişinin açık rızasının alınması gerektiği ifade edilmiş, Kanun’un 5 inci ve 6 ncı maddelerinde yer alan veri işleme şartlarından herhangi birinin varlığı halinde ise açık rıza alınmaksızın kişisel veri aktarımının yapılabileceği düzenlenmiştir. Kanun’un 9 uncu maddesinde de yurt dışı veri aktarımına ilişkin düzenlemelere yer verilmiş ve yurt dışına kişisel veri aktarımı, yurt içinde yapılacak akarıma nazaran çok daha sıkı şartlara bağlanmıştır. Bu kapsamda kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı, kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın söz konusu verilerin yurt dışına aktarılabileceği düzenlenmiştir. Ayrıca maddede yeterli korumanın bulunduğu ülkelerin Kurulca belirlenerek ilan edileceği ve söz konusu ülkelerin ilanında değerlendirilecek hususlar hüküm altına alınmıştır. Ancak halihazırda Kurul tarafından yeterli korumanın bulunduğu ülkelere dair herhangi bir açıklama yapılmamış olup yalnızca yeterli korumaya sahip ülkelerin belirlenmesinde esas alınacak kriterler belirlenmiştir.
Mevcut uygulama yurt dışı bağlantılı grup şirketlerin faaliyetlerini yerine getirebilmeleri bakımından büyük sorunlar teşkil etmekte olup bu kapsamda Kişisel Verileri Koruna Kurumu 10 Nisan 2020 tarihinde yapmış olduğu açıklama ile Bağlayıcı Şirket Kurallarının uygulayacağını bildirmiştir.[1]
Bağlayıcı Şirket Kuralları her ne kadar ülkemizde yeni kabul edilmiş bir yöntem olsa da uluslararası alanda mevcut bir uygulamadır. Nitekim Avrupa Birliği Genel Veri Koruma Tüzüğü’nün 47 nci maddesinde bu husus açıkça düzenlenmiştir.
Kişisel Verileri Koruma Kurumu Açıklamaları Kapsamında Bağlayıcı Şirket Kuralları
Uluslararası alanda geçmişi olan Bağlayıcı Şirket Kuralları, çok uluslu şirketler arasındaki veri aktarımını kolaylaştırmak amacıyla oluşturulmuştur Türkiye’nin özellikle gelişmekte olan ülkeler arasında yer aldığı düşünüldüğünde Kanun’da yer alan sınır ötesi veri aktarımı düzenlemelerinin bu faaliyetleri karşılamadığı açıktır. Kişisel Verileri Koruma Kurumu da 10 Nisan 2020 tarihinde yapmış olduğu açıklama ile birlikte Bağlayıcı Şirket Kurallarını “Yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır” şeklinde tanımlayarak Bağlayıcı Şirket Kuralları için çok uluslu şirketlerin başvurularını kabul edeceğini, bu başvurulara 1 yıllık süre içerisinde cevap vereceğini, Bağlayıcı Şirket Kurallarının uygun bulunması halinde çok uluslu şirketler arasındaki veri aktarımının bu kurallar bağlamında açık rıza olmaksızın gerçekleştirebileceğini ifade etmiştir. Ayrıca Kurum’un internet sitesinde Yurtdışına Aktarım başlığı ile paylaşmış olduğu bilgilerin GDPR’da kabul edilmiş uygulamaya paralel olduğu görülmektedir.[2]
Kurum tarafından yapılan açıklamalar uyarınca Bağlayıcı Şirket Kuralları ile ilgili olarak, Bağlayıcı Şirket Kuralları metninde yer alması gereken içerikler, başvuru yöntemi, başvurulara cevap verme süreleri vb. hususlar detaylı şekilde belirlenmiştir: Bağlayıcı Şirket Kurallarına ilişkin olarak detaylı değerlendirme yazımıza https://www.rsbhukuk.com.tr/yayinlar/kisisel-verilerin-korunmasi/kvkk-baglayici-sirket-kurallari-rsb-hukuk-ve-danismanlik linkinden ulaşabilirsiniz.
Kurum tarafından açıklanan hususlar genel anlamıyla
GDPR belirlenen şartlar ile paralel şekilde düzenlenmiştir. Bu kapsamda çok
uluslu şirketlerde Bağlayıcı Şirket Kuralları uygulanıyor ise bu Kuralların
temel alınarak düzenlemeler yapılması ve Bağlayıcı Şirket Kuralları ile ilgili
yapılacak başvurularda bu belgelerin de Kurum’a sunulması gerektiğini ifade
etmek uygun olacaktır.
[1] İlgili duyuruya ulaşmak için bkz. https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU
