I. Giriş
6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, şirketlerin uyumluluk süreçleri dinamik olmalı ve yaşamalıdır. Bu kapsamda kurum veya kuruluşların topladıkları veriler üzerindeki saklama, kaydetme, görme veya aktarma gibi tüm işlemleri hassasiyetle kişisel veri envanterine işlenmeli ve proje sonucunda ilgili dokümantasyonlar hazırlanmalıdır.
Veri işleme envanterinde de yer alan ve ilgili kişilerin verilerinin hangi şirketler ile paylaşıldığını açıklayan aktarım sütunu Kanun yürürlüğe girdiğinden bugüne değin çok kez tartışılmış ve fikir ayrılıklarına sebep olmuştur. İlgili Kanun’un 9. maddesinde yer alan ve kişisel verilerin yurt dışına aktarım esaslarını hükme bağlayan düzenlemeye 10.04.2020 tarihinde yayımlanan Bağlayıcı Şirket Kuralları (“Kısaca ‘BŞK’ olarak anılacaktır.”) duyurusu ile açıklık getirilmeye çalışılmıştır.
Çok uluslu grup şirketler ve yurt dışı ile ticari ilişkileri bulunan kurum ve kuruluşların, global dünyanın bir gerekliliği olarak addedilebilecek olan yurt dışına aktarım hususunu gerçekleştirmeden herhangi bir faaliyetini yerine getirmesi neredeyse imkansızdır. Kurum da bu kapsamda uygulamada olan eksikliği giderebilmek adına, yeterli veri koruması bulunmayan ülkelerde yerleşik veri sorumlusuna/veri işleyene kişisel verilerin aktarımında, Türkiye’deki ve yabancı ülkedeki veri sorumlularının kişisel veriler ile ilgili olarak yeterli korumayı yazılı bir şekilde taahhüt etmeleri için iki farklı yöntem belirlemiştir.
Birincisi, ilk akla gelen yöntem olan Taahhütnameler’dir. Taraflarca hazırlanan ve Kişisel Verileri Koruma Kurulu onayına sunulması gereken Taahhütnameler’de bulunması gereken asgari unsurlar yukarıda bahsi geçen duyuruda Kurul tarafından ifade edilmiştir. İkincisi ise yine Kurul tarafından belirlenen “Bağlayıcı Şirket Kuralları”dır.
Kişisel Verileri Koruma Kurumu tarafından bağlayıcı şirket kuralları; “bir şirketler topluluğuna bağlı olarak Türkiye’de yerleşik bir veri sorumlusu tarafından, bu şirketler topluluğuna bağlı olarak yurt dışında bir veya daha fazla ülkede faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularına yapılacak olan kişisel veri aktarımları veya aktarım setlerinde uyulması gereken kişisel veri koruma kuralları” olarak tanımlanmaktadır ve bazı unsurları bulunmaktadır.
II. Bağlayıcı Şirket Kuralları’nın Unsurları
Kişisel Verilerin Korunması Hakkında Çalışma Grubu tarafından hazırlanan ve BŞK’nın unsurları ile temel ilkelerini belirleyen doküman 6 Şubat 2018 tarihinde yürürlüğe girmiştir. Çalışma Grubu’nun belirlediği unsurlar ve temel ilkeler baz alınarak Kişisel Verileri Koruma Kurumu nezdinde “Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman” hazırlanmış ve 10 Nisan 2020 tarihinde yayımlanmıştır.
1. Bağlayıcılık Unsuru
BŞK, hukuken bağlayıcı olmalı ve şirket içerisinde yer alan tüm aktörleri sürece dahil ederek bazı yükümlülükler getirmelidir. Çalışanlar nezdinde bu sorumluluğun oluşturulması politikalar ile zor gerçekleşeceğinden Kurum, iş sözleşmesi, gizlilik sözleşmesi ve etik kurallar gibi öneriler sunmaktadır.
Veri sorumlusunun emir ve yetkilendirmelerine dayanarak işlemlerini gerçekleştiren veri işleyenler de kuralları benimsemeli ve ilgili kişinin haklarına riayet ederek talep ve şikayetlerini iletebileceği yolları açıkça göstermelidir. Şirketler topluluğunun Türkiye’de yerleşik bulunan ve görevlendirilen yetkili üyesi tarafından, BŞK’dan kaynaklanan tazminat ödemesi ve ihlallerin giderilmesi ile ilgili yükümlülüklerin de açıkça ifade edilerek kabul edilmesi gerekmektedir. Aynı zamanda ilgili gerçek kişiler tarafından iddia edilen zararların yurt dışında bulunan üyeden kaynaklanıp kaynaklanmadığı hususunda ispat yükümlülüğünün de Türkiye’de yerleşik bulunan yetkili üyeye ait olduğu düzenlenmelidir.
BŞK, tıpkı aydınlatma yükümlülüğünde bulunduğu gibi ilgili gerçek kişilerin hakları, hakların kullanımı, veri sorumlusunun yükümlülükleri ve genel ilkeler hususunda detaylı bir bilgilendirme yapmalı, kolayca ulaşılabilir noktalarda bulundurmalıdır
2. Etkili Uygulama Unsuru
Kurum içerisinde KVKK’ya uyumluluk süreçleri kapsamında çalışanlar bilgilendirilmelidir. Danışmanlar tarafından topluca gerçekleştirilen eğitimler veya platformlar ile birlikte sağlanan eğitim ve farkındalık çalışmaları; BŞK kapsamında da bulunmalıdır. Aynı zamanda bu farkındalığın ve eğitimin geçerliliğinin belli periyotlar dahilinde değerlendirilmesi adına komite kurulmalı ve komite kapsamında yapılan denetimlerin nasıl gerçekleştirileceği dahil olacak şekilde usulü belirlenmelidir.
Aynı zamanda ilgili gerçek kişilerin hakları ile ilgili başvuruların değerlendirilebilmesi adına şikâyet yönetim mekanizması oluşturulması da uygulamada tavsiye edilmektedir. Oluşturulan komitenin bu talep ve şikayetler karşısında kişilere nasıl cevap vereceğinin de prosedürler ile yazınsal kayıt altına alınması sürecin işleyişini kolaylaştıracaktır.
3. Kişisel Verileri Koruma Kurumu ile Koordinasyon İçinde Çalışma Unsuru
Şirketler topluluğu tarafından sorumluluk yüklenilen yetkili kişiler gerektiğinde Kurum tarafından denetlenebileceğini bilmeli, Kurum’un tavsiyelerine ve önerilerine uymalıdır. Bu iletileri kabul ettiklerini içeren açık bir hükmün BŞK metninde bulunması gerekmektedir.
4. Kişisel Verilerin İşlenmesi ve Aktarılması Unsuru
Tıpkı aydınlatma metinlerinde olduğu gibi BŞK’da da, hangi verilerin aktarıldığı, aktarılan verilerin kategorileri, aktarım amaçları ve süreleri, veri konusu kişi grupları ile aktarımın hangi yöntemlerle gerçekleştirildiği gibi veriye ait detaylar belirtilmelidir.
Aynı zamanda aktarımın gerçekleştirildiği çok uluslu şirket yapısında çalışan kimselerin iletişim bilgileri ile söz konusu şirketin hiyerarşik yapısı da belirtilerek üye şirketlerin listesi tutulmalı ve listede değişiklik olması halinde Kurum’a ve ilgili kişilere bilgilendirme yapılmalıdır.
5. Raporlama ve Kayıt Değişikliği Mekanizmaları Unsuru
BŞK kapsamında değişiklik yapılması mümkündür. Ancak şirketin bağlı olduğu diğer tüm iştiraklere ve Kurum’a bu değişiklik hakkında bildirimde bulunulmalıdır. Bu bildirimler yılda bir kez, gerekçeleri açıklanarak yapılmalıdır. Lakin BŞK’da önemli derecede (Örneğin, hassas verilerin aktarımında.) bir değişiklik olması durumunda Kurum derhal bu konuda bilgilendirilmelidir.
6. Veri Güvenliği Unsuru
Kanun’da ikrar edildiği üzere kişisel veriler hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, aktarıldıkları amaçla bağlantılı, sınırlı ve ölçülü olarak belirli, açık ve meşru amaçlar için yurt dışına aktarılmalı ve ilgili mevzuatta öngörülen veya aktarıldıkları amaç için gerekli olan süre kadar muhafaza edilmelidir. BŞK’da da yurt dışına aktarımı gerçekleşen veriler bağlamında bu temel ilkeler gözetilmelidir. Tıpkı yurt içinde yerleşik veri sorumluların aldığı önlemler gibi birtakım önlemler alınarak veri ihlali durumunda uygulanacak prosedürler belirlenmelidir.
7. Hesap Verilebilirlik Unsuru
BŞK kapsamında sorumlu bulunan veri sorumluları ve bunların görevlendirdiği veri işleyenlerin, verilerin aktarımı ve bu aktarımın kriterleri hususunda birtakım sorumlulukları bulunmaktadır. Bu sorumluluklardan biri de hesap verilebilirliktir. Kurum’un sorduğu sorulara doğru, yerinde ve güncel cevaplar verilebilmeli aynı zamanda aktarımı gerçekleştirilen verilerin de yukarıda sayılan kurallara uygun olarak hesap verilebilirliğe uygun olması gerekmektedir.
III. Bağlayıcı Şirket Kuralları ile ilgili Başvuru Usulü
Bağlayıcı Şirket Kuralları kapsamında Kurul tarafından açıklanan yükümlülükler, yalnızca çok uluslu şirketler topluluğuna bağlı olarak faaliyet gösteren veri sorumluları nezdinde geçerlidir. Kurum tarafından hazırlanmış Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu doldurularak usule uygun bir biçimde gerçekleştirilen başvurular değerlendirilecek ve yine Kurum onayı ile şirketlerin yurt dışına veri aktarımına izin verilecektir.