1.      Kişisel Verilerin Yurtdışına Aktarımına İlişkin Mevcut Yasal Düzenleme

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 9. maddesi uyarınca kişisel verilerin yurtdışına aktarımı, kural olarak ancak ilgili kişinin aktarıma açık rızasını vermesi ile mümkündür. Kanun’a göre kişisel verilerin yurtdışına açık rıza alınmaksızın aktarılması, ancak 5. ve 6. maddelerdeki (kişisel veri işlerken açık rıza alınmasına gerek olmayan durumlara ilişkin) istisnalardan herhangi birinin mevcut olması ve

(i) Alıcının KVK Kurumu tarafından yayınlanacak “güvenli ülkeler” listesindeki ülkelerden birinde bulunması, veya

(ii)Türkiye’deki ve yurtdışındaki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun izninin olması ile mümkündü.

Kanunyürürlüğe girdiği tarihten itibaren yukarıdaki yurt dışına kişisel veri aktarımı kuralları; gerek Kişisel Verileri Koruma Kurumu’nun (“Kurum”) güvenli ülke listesinin henüz paylaşılmamış olması gerekse yeterli koruma taahhüdü ve Kurum’un izninin alınmasının uygulamada veri sorumluları açısından yarattığı zorluklar sebebiyle tartışmalara konu olmuştur. Özellikle aralarında kişisel veri aktarımının daha sık olduğu çok uluslu grup şirketleri bakımından bu kurallar oldukça güçlük teşkil etmekteydi.

2.      Kişisel Verileri Koruma Kurulu Duyurusu

Kurum, 10 Nisan 2020 tarihinde internet sitesi üzerinden yapmış olduğu duyurusu (1) ile, kişisel verilerin yurt dışına aktarımı hususunda mevcut yasal düzenlemenin uygulamada yol açtığı sıkıntılara da değinerek uluslararası kişisel veri için kullanılmak üzere yeni ve alternatif bir yöntem olarak Bağlayıcı Şirket Kurallarını’nı (“BŞK”) belirlemiş ve buna ilişkin düzenleme ve kurallar getirmiştir.

Kurum, duyurusunda Bağlayıcı Şirket Kuralları’nı yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kuralları olarak tanımlamaktadır. Bu kapsama giren şirketlerin, çok uluslu grup şirketlerine uluslararası veri aktarımı yapabilmek için Kurum’un duyurusunda yer verilen Veri Sorumluları için Bağlayıcı Şirket Başvuru Formu’nu (2) doldurup gerekli talimatları izleyerek Kuruma, Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir.

Bağlayıcı Şirket Kuralları Kurum tarafından onaylanan uluslararası grup şirketlerinin, kendi aralarında yapacakları aktarımlar için ayrıca açık rıza almaları veya Kurum’a taahhütname sunmaları gerekmeyecektir.

3.      Bağlayıcı Şirket Kuralları 

Kurum; Bağlayıcı Şirket Kuralları’nın nasıl düzenleneceğine ve uygulanacağına ilişkin veri sorumlularına Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman (3) (“Yardımcı Doküman”) ilebir rehber sağlamaktadır.

Yardımcı Doküman Bağlayıcı Şirket Kuralları’nıbir şirketler topluluğuna bağlı olarak Türkiye’de yerleşik bir veri sorumlusu tarafından, bu şirketler topluluğuna bağlı olarak yurt dışında bir veya daha fazla ülkede faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularına yapılacak olan kişisel veri aktarımları veya aktarım setlerinde uyulması gereken kişisel veri koruma kurallarını olarak tanımlamaktadır.

Yardımcı Doküman ile Bağlayıcı Şirket Kurallarına ilişkin açıklanmış olan ve Bağlayıcı Şirket Kurallarının uygulanmasına ilişkin olarak önem arz eden usul ve esaslar aşağıda özetlenmektedir:

3.1. BŞK Uygulama Alanının Belirlenmesi

Veri sorumluları için Bağlayıcı Şirket Kuralları, kişisel verilerin, Türkiye’de yerleşik veri sorumlularından aynı grup içerisindeki ve Türkiye dışındaki diğer veri sorumluları veya veri işleyenlere aktarımı için kullanılacaktır. Bu durumda, veri sorumluları için Bağlayıcı Şirket Kurallarında belirtilen yükümlülükler, aynı grupta veri sorumlusu olarak hareket eden kuruluşlar ve “dâhili” veri işleyen olarak hareket edenler için geçerlidir. Bu sebeple uluslararası bir gruba dahil ve Türkiye’de yerleşik bir şirketin BŞK başvurusunun Kurum tarafından kabulü için veri sorumlusu veya veri işleyen olarak hareket eden diğer grup üyelerine de uygulanacak şekilde gerekmektedir.

 3.2. Bağlayıcılığın Sağlanmasına İlişkin Öneriler

Yardımcı Doküman Bağlayıcı Şirket Kuralları’nın bağlayıcılığının nasıl sağlanacağına ilişkin öneriler içermektedir. Buna göre; BŞK hukuken bağlayıcı olmalı ve bu kurallara uyma hususunda çalışanları da dâhil olmak üzere tüm grup üyelerine açık bir yükümlülük getirmelidir. Çalışanlar üzerinde bağlayıcılığın sağlanması için iş sözleşmesi, toplu iş sözleşmesi, gizlilik sözleşmesi, etik kurallar, şirket politikaları, iş yeri iç yönetmelikleri vb. yöntemlerden bir veya birkaçının kullanılması önerilmiştir.

Bağlayıcılığın sağlanması amacı ile BŞK kapsamında yer alacak veri sorumlusu ile veri işleyen arasında Türk Hukuku’nda geçerli yasal bir sözleşme ya da diğer bir hukuki işlem düzenlenerek bunun tüm veri işleyenler tarafından imzalanması sağlanması gerekmektedir. Ayrıca, veri sorumluları için Bağlayıcı Şirket Kuralları ile belirlenen yükümlülükler, bu sözleşmeye aykırı düşmeyecek şekilde, grup içerisinde veri işleyen olarak veri aktarılan yapılara da uygulanmalıdır.

 3.3. BŞK Kapsamında Yükümlülüğü Olan Şirket

Yardımcı Doküman Bağlayıcı Şirket Kuralları’nın uygulanmasına ilişkin yükümlülüğün hangi şirkette olacağını belirlemektedir. Buna göre; BŞK’da şirketler grubunun Türkiye’de yerleşik merkezi veya grubun merkezi Türkiye’de değil ise kişisel verilerin korunması konusunda yetkili ve Türkiye’de yerleşik bir grup üyesinin, ülke dışında bulunan ve Bağlı Şirket Kuralları ile bağlı olan diğer grup üyelerinin eylemlerinin düzeltilmesi için gerekli girişimlerde bulunması ve Bağlı Şirket Kuralları’nın ihlal edilmesinden kaynaklanacak maddi veya manevi zararların giderilmesi için tazminat ödemesi konusunda bir yükümlülük bulunması gerekmektedir.

Ayrıca Yardımcı Doküman BŞK’da açıkça aşağıdaki hükmün yer alması gerektiğini belirtmektedir:

“Türkiye dışındaki bir Bağlı Şirket Kuralları üyesi Bağlı Şirket Kuralları’nı ihlal ederse, bu konuda yetki Türkiye’deki mahkemeler ve yetkili makamlarda olacaktır. İlgili kişinin, sanki ihlal yurtdışında değil Türkiye’de gerçekleşmiş gibi sorumluluk ve yükümlülüğü kabul etmiş olan Bağlı Şirket Kuralları üyesine karşı hak ve tazminatlarını talep etme yetkisi olacaktır.”

3.4. Bağlayıcı Şirket Kuralları metninde asgari olarak aşağıdakilere yer verilmelidir:

• Genel ilkeler (KVKK – Madde 4)
• Her bir grup üyesinin yapısı ve iletişim bilgileri ile Bağlayıcı Şirket Kurallarına uyma yükümlülüğünün bulunduğu
• İlgili kişinin hakları (KVKK – Madde 11)
• Türkiye’de yerleşik grup üyesinin Bağlayıcı Şirket Kurallarına uyulmamasından doğan zararları tazmin edeceğine ilişkin husus. (Şirket yapısı sebebiyle tüm sorumluluğun tek bir şirket tarafından üstlenmesinin mümkün olmadığı durumlarda, her bir üyenin ayrı ayrı -müteselsilen- sorumlu olduğuna da yer verilebilir.)
• İlgili kişi tarafından iddia edilen zarara ilişkin ispat yükümlülüğünün sorumluluğu üstlenen şirket üzerinde olduğu hususu,
• Verinin aktarıldığı ülkede Bağlayıcı Şirket Kurallarının uygulanmasını engelleyecek bir mevzuatın bulunup bulunmadığı
• Grup üyelerinden birinin üçüncü bir ülkede tabi olduğu ve Bağlayıcı Şirket Kurallarına uymayı olumsuz yönde etkileyecek yasal yükümlülüklerinin olup olmadığı
• Kurum ile koordinasyonun nasıl sağlanacağı ve Kurumun tavsiyelerine tüm grup üyelerinin uyacağının taahhüdü
• Veri sorumlusuna başvuru usulü (Madde 13)
• Kişisel verilerin korunmasına ilişkin teknik ve idari tedbirler
• Tüm grup üyeleri bakımından Bağlayıcı Şirket Kurallarına uyumun devamlılığını denetleyen kişilerin görev ve sorumlulukları ve bu konudaki yapılanmaya ilişkin bilgiler.

 3.5. İlgili Kişilerin BŞK’ye Kolay Erişimi Ve Şeffaflığın Sağlanması ve Şikâyet Mekanizması Kurulması

BŞK, ilgili kişi haklarından yararlanan kişilere, Kanun Madde 11 ile düzenlenen hakları ve Madde 10 ile düzenlenen veri sorumlusunun aydınlatma yükümlülüğü kapsamında yer alan hususlar başta olmak üzere kişisel verilerinin işlenmesiyle ilgili hakları, bu hakların kullanımı, sorumluluk, genel ilkeler konularında kapsamlı bir bilgilendirme sağlanmalıdır. Bu doğrultuda, BŞK, her bir ilgili kişinin bu haklarına kolayca erişim hakkını içermelidir. Kolay erişim hakkı örneğin, BŞK’nın ilgili kişileri ilgilendiren kısımlarının internet üzerinden yayımlanması şeklinde sağlanabilir.

Ayrıca herhangi bir ilgili kişinin kendi haklarını kullanabilmesi ve herhangi bir BŞK üyesi hakkında başvuruda bulunabilmesini sağlayacak dâhili bir şikâyet yönetimi süreci kurulmalıdır.

3.6. Etkili Uygulama Yöntemlerinin Kullanılması

BŞK’nın etkili bir şekilde uygulanması için, kişisel verilere sürekli veya düzenli erişime sahip olan, veri toplamaya dâhil olan veya kişisel verileri işlemek için kullanılan araçların geliştirilmesinde çalışan personele uygun eğitim programını içermesi gerekir.

Ayrıca, BŞK ile taahhüt edilen kurallara uygun hareket edilmesini sağlamak üzere düzenli olarak denetim yapılması/yaptırılması ve bu denetimi kimlerin yapacağı gibi konularda açıklamalar içermelidir. Bu kapsamda BŞK’nin uygulanması konusunda görevli personel yapılanması kurulmalıdır.

 3.7. Kurum İle Koordinasyon Sağlanması

Yardımcı Doküman’a göre, Bağlayıcı Şirket Kuralları, gerekmesi halinde tüm üyelerin Kurum tarafından denetlenmesini ve bu kurallarla ilgili herhangi bir konuda Kurum’un tavsiyelerine uymayı kabul ettiğini içeren açık bir yükümlülük içermelidir.

 3.8. Kişisel Verilerin İşlenmesi ve Aktarılması

BŞK, üçüncü ülkelerde yürütülen işlemlerin uyumlu olup olmadığının Kurum tarafından değerlendirilmesini sağlamak üzere BŞK kapsamında kuralların kapsamı ve aktarımların genel bir tanımını içermelidir.

Kurum’un BŞK’nın Yardımcı Doküman’a ve Kurum tarafından belirlenen esaslara uygunluğunu değerlendirebilmesi açısından; aktarıma konu kişisel verinin niteliği (genel/özel nitelikli kişisel veri), veri kategorileri (kimlik, iletişim, lokasyon, özlük gibi), aktarım amaçları ve süreleri, veri konusu kişi grubu veya grupları (çalışan, stajyer, ziyaretçi, ürün veya hizmet alan kişi gibi), veri aktarımının hangi yöntemle gerçekleştirileceği, veri aktarımının hukuki sebebi/sebepleri, aktarılacak verilerin grup içerisindeki dağılımı (ilgili Grup üyelerinin adı ve iletişim bilgilerini belirterek), sonraki aktarımlar gibi hususlara BŞK içinde yer verilmelidir.

Ayrıca, BŞK her bir grup üyesi dâhil olmak üzere grubun yapısı ve iletişim bilgilerine ilişkin bilgileri açıkça içermelidir.

Şirketler grubunda bir temas kişisi tanımlanarak bu kişiye BŞK ile bağlı olan şirketlerin/varlıkların tamamen güncellenmiş bir listesini tutma ve listede değişiklik yapılması durumunda Kurumu ve ilgili kişileri bilgilendirme yükümlülüğüne BŞK içerisinde yer verilmelidir.

3.9. Raporlama

Bağlayıcı Şirket Kuralları zamanla değiştirilebilir veya güncellenebilir ancak BŞK içinde değişiklik ve güncellemelerin gecikmeksizin tüm BŞK üyelerine ve Kuruma bildirilmesi konusunda bir yükümlülük öngörülmelidir.

3.10.  Veri Güvenliği

Yardımcı Doküman’a göre BŞK, Kanun ile uyumlu olarak, veri güvenliğinin sağlanması açısından şirket tarafından kişisel veri işlenmesi ve aktarımı hususlarında izlenecek aşağıdaki hususları açıkça içermek zorundadır:

3.10.1.    Hukuka ve dürüstlük kurallarına uygun olma (Kanun m. 4/2/a)

3.10.2.    Doğru ve gerektiğinde güncel olma (Kanun m. 4/2/b)

3.10.3.    Belirli, açık ve meşru amaçlar için işlenme (Kanun m.4/2/c)

3.10.4.    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma (Kanun m. 4/2/ç)

3.10.5.   İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme (Kanun m. 4/2/d)

3.10.6.    Özel kategorideki kişisel verilerin işlemesi

3.10.7.    Güvenlik, idari ve teknik tedbirler

Bu tedbirler kapsamında; grup içerisindeki kişisel veri işleme faaliyetleri kapsamında veri işleyenlere yapacak aktarımlar bakımından, veri işleyenlerin BŞK ile öngörülen teknik ve idari tedbirlere uygun hareket etmeleri sağlanmalıdır.

Ayrıca, BŞK’da bu teknik ve idari tedbirler herhangi bir kişisel veri ihlali durumunda şirketin Türkiye’de bulunan genel merkezine veya kişisel verilerin korunması konusunda yetkili Türkiye’de bulunan BŞK üyelerine ve ilgili veri koruma birimi ile hak ve özgürlüklerinin ihlalden etkilenme riski bulunan ilgili kişilere gecikmeksizin bildirimde bulunma yükümlülüğüne de yer verilmelidir.

Bu tedbirler kapsamında, ayrıca tüm kişisel veri ihlalleri (kişisel veri ihlaliyle ilgili olaylar, etkileri ve yapılan müdahaleleri içerecek şekilde) belgelenmeli ve ilgili dokümanlar istenmesi halinde Kuruma sunulmalıdır.

3.10.8.   Grubun bir parçası olmayan veri işleyenlere ve veri sorumlularına yapılan aktarımlar ve sonraki aktarımlar üzerindeki kısıtlamalar (4)

3.11.  Hesap Verilebilirlik

Her bir veri sorumlusu BŞK’ye uyum göstermekle yükümlü ve sorumludur.

Uyumun sağlanabilmesi için BŞK üyelerinin, tüm kategorilerdeki veri işleme faaliyetlerinin elektronik yöntemler de dâhil olmak üzere yazılı şekilde kaydını tutması ve talep halinde Kuruma sunması gerekmektedir.

Uyumluluğun artırılması ve gerektiğinde, gerçek kişilerin hak ve özgürlükleri bakımından yüksek risk oluşturması muhtemel olan veri işleme faaliyetleri için risk analizi yapılmalıdır (Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler). Yapılan risk analizine göre, veri sorumlusu tarafından riski hafifletmek için gerekli tedbirlerin alınmamış olması ve veri işlemenin yüksek risk doğuracağının ortaya çıkması durumunda, veri işleme faaliyetinden önce Kuruma danışılmalıdır.

Veri koruma ilkelerini uygulamak ve uygulamada BŞK’ler tarafından belirlenen gereksinimlere uyumu kolaylaştırmak için uygun teknik ve idari tedbirler alınmalıdır.

4.      Başvuru

Söz konusu başvuru Kurum tarafından hazırlanan Veri Sorumluları için Bağlayıcı Şirket Başvuru Formu ekinde bulunacak olan Bağlayıcı Şirket Kuralları dokümanı ile birlikte Kurum’a elden ya da posta yolu ile yapılabilecektir. Kurum’un Bağlayıcı Şirket Kuralları kapsamında kişisel veri iletimine izin vermesi için 1 senelik süresi bulunacaktır ve bu süre 6 ay kadar uzatılabilir. Veri Sorumluları tarafından Kurum’un Yardımcı Doküman ile hazırladığı şekilde getirilen yükümlülükleri içerir şekilde kuralların hazırlanması ve başvurunun yapılması gerekmektedir.

Ayrıca belirtmek gerekir ki, Kurum tarafından kabul edilen Bağlayıcı Şirket Kuralları’nın uygulanmasının süreye tabi olmadığı ancak gerekmesi halinde Kurum tarafından Bağlayıcı Şirket Kurallarının uygulanmasının askıya alınabileceği ya da feshedilebileceğine yer verilmektedir.

5.      Sonuç

Kurum, kişisel verilerin yurt dışına aktarımı hususunda özellikle çok uluslu şirketlerin uygulamada karşılaştığı zorlukları ve bu konuya ilişkin tartışmaları değerlendirerek yeterli koruma bulunmayan ülkelere yapılacak veri aktarımları için Kanun’da öngörülen açık rıza, taahhütname ve Kurum’un iznini alma gibi yöntemlere alternatif olarak Bağlayıcı Şirket Kurallarını benimsemiştir. Grup şirketleri, Bağlayıcı Şirket Kuralları ile öngörülen kişisel veri aktarımı alternatifinden yararlanabilmek için, Bağlayıcı Şirket Kurallarını Kurum’un internet sitesinde yer alan Veri Sorumluları için Bağlayıcı Şirket Başvuru Formu'nu doldurarak Kurum’a başvurmalı ve Kurum’un onayını almalıdır. Bağlayıcı Şirket Kuralları Kurum tarafından onaylanan çok uluslu grup şirketlerinin grup içi uluslararası kişisel veri aktarımları Kurum tarafından belirlenen esaslara tabi olarak oldukça kolaylaşacaktır.

@Kesikli Hukuk Bürosu

(1) https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU

(2) https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/0aa5e8ce-8e4e-403c-a444-7212f581ad23.docx

(3) Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman:

https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/62fb06e5-d623-404d-b3a1-c492891a3bbb.docx

(4) Veri sorumlusu olan BŞK üyelerinin,  Türkiye dışında kurulu bulunan grubun dışındaki veri işleyenlere/veri sorumlularına veri aktarabilmeleri için Kanun m. 9 kapsamında yeterli bir korumanın sağlanmış olması gerekmektedir