Bağlayıcı Şirket Kuralları Nedir?

Kişisel Verileri Koruma Kurumu çok uluslu şirketler arasında gerçekleştirilen kişisel verilerin aktarımı hakkında ‘’Bağlayıcı Şirket Kuralları’nı’’ açıkladı.

Bağlayıcı Şirket Kuralları Nedir?
Bağlayıcı Şirket Kuralları, çok uluslu şirketler arasındaki veri aktarımını daha kolay bir hale getirmek için hazırlanmıştır. Kişisel veri aktarımı gerçekleştirirken, topluluktaki tüm şirketlerin uyması gereken veri koruma kurallarıdır. Bağlayıcı Şirket Kuralları’na göre, veri aktarımı yapacak olan çok uluslu şirketlerin yer aldığı ülkedeki veri koruma otoritesi tarafından onaylanır.
Kişisel verilerin yurt dışına aktarılması, 6698 sayılı Kişisel Verilerin Korunması Kanununun 9.maddesi ile düzenlenmektedir. Madde hükmüne göre ‘’kişisel verinin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda kişisel veriler, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.’’ Duyuruya göre, bu tip şirketlerin KVKK’nın yayımladığı başvuru formunu doldurup, Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir.
Bağlayıcı Şirket Kuralları ülkemizde yeni kabul edilmiş bir uygulama olsa da uluslararası alanda mevcut bir uygulamadır. Avrupa Birliği Genel Veri Koruma Tüzüğü’nde açıkça düzenlenmiştir. Türkiye’de de Avrupa Birliği’ndeki tüzüğe benzer maddeler hazırlanmıştır.

– Kişisel veriler, kişinin açık rızası olmadan yurt dışına aktarılamaz.
– Kişisel veriler, kişisel verinin aktarılacağı yabancı ülkede;

1. Yeterli korumanın bulunması,
2. Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

KVKK’ya Duyurusuna Göre Bağlayıcı Şirket Kuralları
Kişisel Verileri Koruma Kurumu, 10 Nisan 2020’de Türkiye dışına gerçekleştirilen veri aktarımlarında artık Bağlayıcı Şirket Kuralları yönteminin izleneceğini duyurmuştur. KVKK ‘’Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu’’ ile ‘’Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman’’ paylaşmıştır.

KVKK’ya başvuru yaparken;
• Şirketler grubunun Türkiye’de yerleşik merkezi var ise, başvuruyu yapmaya yetkili olan kişi Türkiye’deki Grup üyesidir.
• Şirketler grubunun Türkiye’de yerleşik merkezi yok ise, Türkiye’de yerleşik bir Grup üyesi kişisel verilerin korunması adına, tanımına yukarıda yer verdiğimiz, “Yetkili Grup Üyesi” olarak yetkilendirilmelidir. Yetkili Grup Üyesi, grup adına başvuru yapma yetkisini haiz olacaktır.

Başvuru Formunda Dikkat Edilmesi Gerekenler
– Formda açık ve anlaşılır bir anlatım dili kullanılması gerekmektedir.
– Grup şirketlerinden biri, Kanuna veya taahhüde uygunluk sağlamazsa kurum konuyla ilgili derhal bilgilendirilecektir. Böyle bir durumda kurumun veri aktarımını durdurma veya Bağlayıcı Şirket Kuralları’nı feshetme hakkı vardır.
– Grup üyelerinden birinde veri ihlali yaşanırsa, kurum ve ilgili kişiler hemen bilgilendirilmelidir. KVKK kararında bulunan en geç 72 saat kuralı aşılmamalıdır. Böyle bir durumda kurum, ihlalleri internet sitesinde yayınlamaktadır.
– Bağlayıcı Şirket Kuralları kapsamında aktarımına izin verilen kişisel veriler, grup üyeleri dışındaki kişilere aktarılamaz.
– Şirket çalışanları Bağlayıcı Şirket Kuralları’nı okumalı ve metne erişebilir olmaları gerekmektedir.