Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Bağlayıcı Şirket Kuralları Hakkında duyuru yayımlanmıştır. Söz konusu duyuru ile kişisel verilerin yurtdışına aktarılmasında yeterli korumanın bulunmaması durumunda 6698 Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan karşılıklı taahhüt verilmesi ve bu taahhütnamelerin Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından onaylanması prosedürüne alternatif olarak Avrupa Birliği Veri Koruma Tüzüğü (“GDPR”) düzenlemelerine ve uygulamasına paralel olarak, “Bağlayıcı Şirket Kuralları” (“Binding Corporate Rules” – “BCR”) getirilmiştir.
Kanun uyarınca kişisel veriler, ilgili kişinin açık rızası bulunmadıkça yurtdışına aktarılamamaktadır. Ancak Kanun’un 5. ve 6. maddesinde düzenlenen hukuki uygunluk sebeplerinden birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; (i) yeterli korumanın bulunması veya (ii) yeterli korumanın bulunmadığı hallerde Türkiye ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı taahhüt etmeleri ve Kurul’un izninin bulunması halinde ilgili kişinin açık rızası olmaksızın aktarılabilmektedir.
Kurul daha önce yaptığı duyuru ile kişisel verilerin yurtdışına aktarımı konusunda, ilgili tarafların yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul’un onayına sunmaları gereken taahhütnamelerin asgari unsurlarını açıklamıştı.
İşbu duyuru ile taahhütnamelerin genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımlarını kolaylaştırdığı ancak çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalabildiği ifade edilerek çok uluslu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere alternatif bir yöntem olarak Bağlayıcı Şirket Kuralları belirlenmiştir.
“Bağlayıcı Şirket Kuralları”; bir şirketler topluluğuna bağlı olarak Türkiye’de yerleşik bir veri sorumlusu tarafından, bu şirketler topluluğuna bağlı olarak yurt dışında bir veya daha fazla ülkede faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularına (“Grup”) yapılacak olan kişisel veri aktarımları veya aktarım setlerinde uyulması gereken kişisel veri koruma kurallarını ifade etmektedir.
Kurum tarafından işbu duyuru ile birlikte (i) Bağlayıcı Şirket Kuralları Başvuru Formu (“Başvuru Formu”) ile (ii) Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman (“Yardımcı Doküman”) yayımlanmıştır. Bu kapsama giren şirketler, Başvuru Formu’nu doldurulup, gerekli talimatları izleyerek, Kurum’a Bağlayıcı Şirket Kuralları başvurusunda bulunabileceklerdir.
Başvuru Formu’nda; (i) başvuruda bulunan çokuluslu şirketler topluluğunda başvuruyu gerçekleştiren kişi ve başvuruda bulunan çokuluslu şirketler topluluğu bünyesinde yer alan her bir şirket bilgileri ile (ii) Bağlayıcı Şirket Kuralları’nın tüm Grup üyeleri ve Grup adına veri işleme faaliyetini gerçekleştirenler bakımından bağlayıcılığının nasıl sağlanacağı, etkili bir uygulamayı teminen öngörülen mekanizmalar, Kurum ile koordinasyon, kişisel verinin aktarılması ve işlenmesi ile ilgili detaylar, raporlama ve kayıt değişikliği mekanizmaları, veri güvenliği konuları, hesap verebilirlik, Bağlayıcı Şirket Kuralları başvurusuna ilişkin yardımcı bilgi ve belgeler hakkında sorular ile genel hükümler yer almaktadır. Dolayısıyla Başvuru Formu ve Yardımcı Doküman’da yer alan hususlar irdelenerek başvuruda bulunulmasına dikkat edilmelidir.
Ayrıca belirtmek isteriz ki Kurul tarafından kabul edilen Bağlayıcı Şirket Kuralları’nın uygulanması süreye tabi olmadığı (Kurul tarafından askıya alınmadığı ya da feshedilmediği müddetçe) gibi başvurusu kabul edilen çokuluslu şirketlerin, Grup üyeleri arasında yapacakları aktarımlar için ayrıca açık rıza almaları veya Kurum’a taahhütname sunmaları gerekmeyecektir.
Kurul tarafından yeterli korumanın bulunduğu ülkelerin halen açıklanmadığı göz önüne alındığında Bağlayıcı Şirket Kuralları’nın, özellikle çok uluslu şirketlere yurt dışına kişisel veri aktarırken büyük kolaylık sağlayacak bir düzenleme olması nedeniyle önem arz ettiği düşüncesindeyiz.