GİRİŞ
Dünya çapında teknolojinin ve dijitalleşmenin önlenemez hızlı gelişimi kişisel verilerin işlenmesini ve aktarımını kaçınılmaz kılmaktadır. Bu gelişim sadece bireyleri değil, iş dünyasını da doğrudan etkilemektedir. Kişisel verilerin işlenmesi ve yurt dışına aktarımı, verilerin etkin bir şekilde korunmasını gerekli kılmaktadır. Kişisel verilerin yurt dışına aktarımı 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında düzenlenmiş olup yurtdışına veri aktarımının mümkün olabilmesi için temel kural ilgililerin açık rızasının alınması yönündedir. Açık rıza alınması kuralının istisnası, Kanun’da belirtilen veri işleme şartlarından birinin varlığı ve alıcının Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayınlanacak güvenli ülkeler listesindeki ülkelerden birinde bulunması ve Türkiye’deki ve yurt dışındaki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ile Kişisel Verileri Koruma Kurulu (“Kurul”)’nun izninin olmasıdır.
Bu kural, uluslararası alanda faaliyet gösteren grup şirketler bakımından birtakım sorunlara yol açmaktadır. Nitekim, bu durum kişisel verilerin işlenmesine dair usul ve esaslar ülkeden ülkeye değiştiğinden birden fazla ülkede faaliyet gösteren şirketlerin her bir ülkenin mevzuatında belirtilen kurallara uyum sağlayabilmesini ve tüm kuralları kapsayacak ortak bir veri işleme ve koruma politikasının oluşturulmasını imkânsız kılmaktadır. Bu sebeple Kurum, mehaz düzenleme olan Avrupa Birliği’nin 95/46/EC sayılı direktifi (“Direktif”) yürürlükteyken Avrupa Komisyonu Çalışma Grubu 29 tarafından oluşturulan ve Avrupa Birliği Genel Koruma Tüzüğü (“GDPR”)’nün 47/1. maddesinde yer alan bağlayıcı şirket kuralları başlıklı düzenlemelere paralel olarak 10 Nisan 2020 tarihinde uluslararası alanda faaliyet gösteren şirketlerin yurt dışına kişisel veri aktarmasında uygulanacak yeni bir prosedür olarak Bağlayıcı Şirket Kuralları (“Bağlayıcı Şirket Kuralları “ veya “Kurallar” )’nı benimsemiştir.
1. BAĞLAYICI ŞİRKET KURALLARI
Bağlayıcı şirket kurallarına yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında yeterli bir korumanın yazılı olarak taahhüt edilmesi ile başvurulmaktadır.
Kurum tarafından yayımlanan duyuru ile Kurallar’ın uygulanmasındaki usul ve esaslar belirlenmiş olup bu kapsamda “Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu” ve “Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman” (“Yardımcı Doküman”) rehberliğinde elden ya da posta yolu ile Kurum’a söz konusu başvurunun yapılabileceği belirtilmiştir. Bu kapsamda Kurallar’a ilişkin başvuru, başvuru tarihinden itibaren kural olarak bir yıl içinde değerlendirilerek sonuca bağlanarak ilan edilecektir. Bu süre gerekli olduğu hallerde altı aya kadar uzatılabilecektir. Başvurunun olumlu sonuçlanarak Kurum tarafından onaylanması halinde, uluslararası alanda faaliyet gösteren grup şirketlerinin, kendi aralarında yapacakları aktarımlar için açık rıza almaları veya taahhütname sunmaları gerekmemektedir.
Yardımcı doküman kapsamında bağlayıcı şirket kurallarının tanımı “Bir şirketler topluluğuna bağlı olarak Türkiye’de yerleşik bir veri sorumlusu tarafından, bu şirketler topluluğuna bağlı olarak yurt dışında bir veya daha fazla ülkede faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularına yapılacak olan kişisel veri aktarımları veya aktarım setlerinde uyulması gereken kişisel veri koruma kuralları” olarak düzenlenmiştir.
2. BAĞLAYICI ŞİRKET KURALLARINDA BULUNMASI GEREKEN UNSURLAR
Bağlayıcı Şirket Kuralları’nda bulunması gereken unsurlar Kurum tarafından mehaz düzenleme olan 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi kapsamında kurulan Kişisel Verilerin Korunması hakkında Çalışma Grubu 29 tarafından oluşturulan düzenlemeler esas alınarak Yardımcı Doküman kapsamında düzenlenmiştir.
Avrupa Birliği’nde Direktif’in yürürlükte olduğu dönemde, uluslararası alanda faaliyet gösteren şirketler, grup şirketlerine veri aktarımı yaparken birden fazla ülkenin mevzuatından kaynaklanan yükümlülükleri aynı anda yerine getirmekle yükümlüydü. Zamanla bu yükümlülüğün şirketlerin iş düzenlerini aksattığı ve işlemleri geciktirdiği görülerek Avrupa Komisyonu Çalışma Grubu 29 tarafından, veri aktarımı politikalarının taşıması gereken asgari şartlar belirlenerek “Bağlayıcı Şirket Kuralları (Binding Corporate Rules) olarak adlandırılmıştır.
Avrupa Birliği mevzuatında profesyonel yaşamın gerektirdiklerine paralel olarak ihtiyaç duyulan bu düzenleme, Kurum tarafından da kabul edilerek işbu düzenlemelere paralel olarak bir Yardımcı Doküman hazırlanarak kuralların taşıması gereken asgari unsurlara ilişkin düzenlemelere yer verilmiştir.
Yardımcı Doküman uyarınca Bağlayıcı Şirket Kuralları’nda ve bu kapsamda yapılacak başvuruda yer alması gereken unsurlar şu şekildedir;
- Bağlayıcılık: Kurallar hukuken bağlayıcı olmalı ve bu kurallara uyma hususunda çalışanları da dahil olmak üzere tüm grup üyelerine açık bir yükümlülük getirmelidir. Gruptaki her üye için hukuken geçerli ve ispatlanabilir bir veya daha fazla yöntem ile bağlayıcılık sağlanmalıdır. (Çalışanlar üzerinde bağlayıcılığın sağlanması için iş sözleşmesi, toplu iş sözleşmesi, gizlilik sözleşmesi, etik kurallar, şirket politikaları, iş yeri iç yönetmelikleri vb. yöntemlerden bir veya birkaçı kullanılabilir.) İlgili kişilerin hakları açıkça tanınmalı, grubun Türkiye’de yerleşik merkezi, kişisel verilerin korunması konusunda yetkilendirilmiş Türkiye’de yerleşik bir grup üyesi veya veri aktaran veri sorumlusunun bu kurallardan kaynaklanan tazminatın ödenmesi ve ihlallerin giderilmesi konusundaki yükümlülüğünü kabul etmesi gerekmektedir.
- Etkili Uygulama: Kurallar kapsamında, grup içinde Uygun eğitim ve farkındalık çalışmalarının bulunması, ilgili kişiler tarafından başvurulabilecek şikâyet mekanizmasının bulunması, kurallara uyumluluk denetiminin bulunması ve kuralların uygulanması konusunda görevli personel yapılanmasının bulunması gerekmektedir.
- Kurum ile Koordinasyon: Kurallar, gerekmesi halinde tüm üyelerin Kurum tarafından denetlenmesini ve bu kurallarla ilgili herhangi bir konuda Kurum’un tavsiyelerine uymayı kabul ettiğini içeren açık bir yükümlülük içermelidir.
- Kişisel Verilerin İşlenmesi ve Aktarılması: Kurallar, üçüncü ülkelerde yürütülen işlemlerin uyumlu olup olmadığının Kurum tarafından değerlendirilmesini sağlamak üzere kuralların genel ve yer bakımından kapsamı ve aktarımların genel bir tanımı ile grubun tanımlanmış bir temas kişi ile kurallar ile bağlı olan şirketlerin/varlıklara ilişkin bilgilerin yer alması gerekmektedir.
- Raporlama ve Kayıt Değişikliği Mekanizmaları: Kurallara ilişkin değişikliklerin raporlanması, kaydedilmesi ve bunların Kurum’a bildirilmesi hususunda yükümlülüklere yer verilmesi gerekmektedir.
- Veri Güvenliği: Türkiye’den aktarım ya da sonraki aktarımları kapsar şekilde veri koruma ilkelerine ilişkin bir açıklama, ulusal mevzuatın grubun kurallara uymasını engellediği durumlarda şeffaflık ve bilgilendirme yükümlülüğü ile kurallar ve ulusal mevzuat arasındaki ilişkiye dair düzenlemelere yer verilmesi gerekmektedir.
- Hesap Verebilirlik: Kurallar dahilindeki üyeler tarafından, tüm kategorilerdeki veri işleme faaliyetlerinin elektronik yöntemler de dahil olmak üzere yazılı şekilde kaydının tutulması ve talep halinde Kurum’a sunulması, veri aktarımındaki risklerin tespit edilmesi amacıyla gerekli analizlerin yapılması, yüksek risk içeren durumlarda Kurul’a danışılması ve veri korumaya ilişkin uygun teknik ve idari tedbirlerin alınması gerekmektedir.
Yukarıdaki şartların tamamının sağlanması halinde, Kurul onayı ile birlikte uluslararası alanda faaliyet gösteren grup şirketlerinin, kendi aralarında yapacakları aktarımlar için açık rıza alması yükümlülüğü ortadan kalkacaktır.
SONUÇ
Kurum, gelişen teknoloji ve internet kullanımının sınırları ortadan kaldırması ve bu durumun bireysel hayatı olduğu kadar iş hayatını da doğrudan etkilemesi sebebiyle kişisel verilerin uluslararası alanda faaliyet gösteren grup şirketler tarafından yurt dışına aktarılması konusunda yaşanan mevcut ve müstakbel sorunların önlenmesi ve ortadan kaldırılması amacıyla Avrupa Birliği başta olmak üzere dünyada bu konuda yapılan düzenlemeler ışığında Bağlayıcı Şirket Kuralları’nı düzenlemiştir. Bu kapsamda Kurum tarafından yayımlanan yardımcı doküman rehberliğinde başvuru formunun doldurularak Kurum’a iletilmesi gerekmektedir. Başvurunun olumlu sonuçlanması için tüm yükümlülüklerin sağlanmasının yanında başvurunun bir uzmandan yardım alınarak yapılması isabetli olacaktır.