Kişisel verilerin yurtdışına aktarılması, Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 9. Maddesi ile düzenlenmektedir. Kişisel verilerin yurtdışına aktarımına ilişkin temel bilgilendirmeye buradan ulaşabilirsiniz.
Kanun’un ilgili maddesi uyarınca, ilgilinin açık rızası olmaksızın kişisel verinin yurtdışına aktarılamayacağı belirtilmiştir. Devamında düzenlenen istisnai haller ile kişisel verinin yurtdışına akarımı, açık rıza söz konusu olmayan hallerde için uygulama bakımından zorlayıcı bir prosedür olarak karşımıza çıkmaktaydı.
Uygulamadaki pratik anlamda yetersiz olduğunu belirten Kişisel Verileri Koruma Kurulu (“Kurul”), 10.04.2020 tarihli duyurusu ile “Bağlayıcı Şirket Kuralları” belirlediğini kamuoyuna duyurdu. Bu kurallar ile birlikte yurtdışına kişisel veri aktarımının daha kolay bir prosedür ile gerçekleşeceği söylenebilir.
Bağlayıcı Şirket Kuralları
Bağlayıcı Şirket Kuralları, Kurul’un ifade ettiği haliyle “Bir şirketler topluluğuna bağlı olarak Türkiye’de yerleşik bir veri sorumlusu tarafından, bu şirketler topluluğuna bağlı olarak yurtdışında bir veya daha fazla ülkede faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularına yapılacak olan kişisel veri aktarımları veya aktarım setlerinde uyulması gereken kişisel veri koruma kurallarını” ifade eder.
Kısaca Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır. Bu kapsama giren şirketlerin, gerekli belgeleri Kuruma elden veya posta yolu ile ileterek başvuru yapması gerekmektedir.
Başvuru Yapma Yetkisi
Kurul, başvuruya ilişkin usul ve esaslarda başvuru yapma yetkisinin grubun Türkiye’de yerleşik merkezinde olduğunu belirtmiştir. Grubun Türkiye’de yerleşik merkezi olmadığı hallerde, grubun Türkiye’de yerleşik bir üyesinin bu konuda yetkilendirilmesi gerekecektir.
Başvuru esnasında başvuru formu, Bağlayıcı Şirket Kuralları metni ve başvuru ile ilgili görülen diğer tüm bilgi ve belge Kurum’a sunulacaktır. Kurum, gerekli görmesi halinde ilgili olduğunu düşündüğü başkaca belgeleri de talep edebilir.
Bağlayıcı Şirket Kuralları Neleri İçermeli?
Kurul tarafından yayınlanan bilgilendirme metninde, Bağlayıcı Şirket Kurallarının neleri içermesi gerektiği;
- Bağlayıcılık unsuru
- Etkili uygulama
- Kurum ile koordinasyon
- Kişisel verilerin işlenmesi ve aktarılmasına ile ilgili detaylar
- Raporlama ve kayıt değişikliği mekanizmaları
- Veri güvenliği
- Hesap verilebilirlik ve diğer esaslar/araçlar
- Yardımcı bilgi ve belgeler
biçiminde sekiz ana başlık olarak sıralanmış ve açıklamalara yer verilmiştir. Örneğin, “bağlayıcılık unsuru”nun grup şirketleri bakımından, çalışanlar bakımından veri işleyenler bakımından ve ilgili kişinin hakları ve yasal iddialar bakımından ne şekilde sağlanacağının belirtilmesi gerektiğine yer verilmiştir.
Başvurular, Kurum tarafından, resmi başvuru tarihinden itibaren bir yıl içerisinde sonuca bağlanacaktır. Gerekmesi halinde bu süre, altı aylık sürelerle uzatılabileceği belirtilmiştir. Bu yönü ile, sürecin Kurum tarafından sınırsız bir şekilde uzatılabileceği de öngörülerek, hazırlanacak Bağlayıcı Şirket Kurallarının bilgilendirme metninde yer alan hususlara ve tabi ki kişisel verilerin korunmasına ilişkin mevzuata uygun olması son derece önemlidir.
Kişisel verilerin yurtdışına aktarılması ve Bağlayıcı Şirket Kuralları hazırlanması prosedürüne ilişkin olarak fazla bilgi ve danışmanlık hizmeti almak için tarafımızla sitemizdeki iletişim sayfasından ve info@startupnedir.com adresinden iletişime geçebilirsiniz.
Aydınlatıcı bir yazı olmuş. Bilgilendirdiğiniz için teşekkürler.