Yeni Gelişmeler
Kişisel Verileri Koruma Kurumu (“Kurum“), 10 Nisan 2020 tarihli duyurusunda çok uluslu şirket toplulukları arasında yapılacak kişisel veri aktarımlarına ilişkin “Bağlayıcı Şirket Kuralları” yöntemini duyurdu. Bu kapsamdaki şirketlerin Kurum’un yayımladığı başvuru formunu doldurup gerekli talimatları izleyerek Kurum’a Bağlayıcı Şirket Kuralları başvurusu yapması gerekiyor. Kurum’un duyurusuna buradan ulaşabilirsiniz.
Kurum Ne Diyor?
Kişisel Verileri Koruma Kanunu (“Kanun“) uyarınca kişisel verinin aktarılacağı ülkede yeterli veri korumasının bulunmaması durumunda kişisel veriler, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurumu’nun izninin alınması kaydıyla açık rıza alınmaksızın yurt dışına aktarılabilmektedir.
Kurum, söz konusu taahhütnamelerin çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından pratikte yetersiz kaldığını belirterek söz konusu grup şirketleri arasındaki veri aktarımları için “Bağlayıcı Şirket Kuralları” usulünü belirlemiştir. Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır. Bu kapsama giren şirketler, Kurum’un internet sitesinde yayımladığı formu doldurup gerekli talimatları izleyerek, Kurum’a Bağlayıcı Şirket Kuralları başvurusu yapabilecektir. Bağlayıcı Şirket Kuralları Kurum tarafından onaylanan grup şirketlerinin, kendi aralarında yapacakları aktarımlar için ayrıca açık rıza almaları veya Kurum’a taahhütname sunmaları gerekmeyecektir.
Başvuru formunda Bağlayıcı Şirket Kurallarının tüm Grup üyeleri ve Grup adına veri işleme faaliyetini gerçekleştirenler bakımından bağlayıcılığının nasıl sağlanacağı, etkili bir uygulamayı teminen öngörülen mekanizmalar, Kurum ile koordinasyon, kişisel verinin aktarılması ve işlenmesi ile ilgili detaylar, raporlama ve kayıt değişikliği mekanizmaları, veri güvenliği konuları, hesap verebilirlik, Bağlayıcı Şirket Kuralları başvurusuna ilişkin yardımcı bilgi ve belgeler hakkında sorular ile genel hükümler yer almaktadır.
Sonuç
Kurum, sektör beklentilerini ve uygulamadaki zorlukları göz önünde bulundurarak yeterli koruma bulunmayan ülkelere yapılacak veri aktarımları için Kanun’da öngörülen açık rıza, taahhütname imzalama ve Kurum’un iznini alma gibi yöntemlere ek olarak AB’de de yer alan Bağlayıcı Şirket Kuralları usulünü getirdi. Bağlayıcı Şirket Kuralları ile çok uluslu grup şirketlerinin grup bünyesinde yapacakları veri aktarımlarının kolaylaştırılması hedefleniyor. Kurum’un metinleri oluştururken AB’deki mevcut “Binding Corporate rules” mekanizmasını örnek aldığı görülüyor. Bu kapsamda ilgili grup şirketlerinin Kurum’un internet sitesinde yer alan başvuru formunu doldurarak Bağlayıcı Şirket Kurallarını Kurum’un onayına sunması gerekecek.
COVID-19 salgını ile ilgili hukuki düzenlemelerle ilgili bilgilere Esin Avukatlık Ortaklığı Coronavirüs Masası‘ndan ulaşabilirsiniz.
