Kişisel Verileri Koruma Kurumu, 10 Nisan 2020 tarihli duyurusu ile, halihazırda hayli tartışmalı ve belirsizliğe tabi olan kişisel verilerin yurt dışına aktarımı hususunda, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9/2. Maddesine dayanarak yurt dışına kişisel veri aktarımı için kullanılmak üzere bir yöntem olarak Bağlayıcı Şirket Kurallarını belirlemiş ve bu konuda düzenlemeler getirmiştir.
Duyuru metninde, Kanun m. 9/2 kapsamında alınan taahhütnamelerin genelde iki taraflı veri aktarımları için pratik olduğu ve fakat global şirket toplulukları arasındaki kişisel veri transferleri bakımından yetersiz kalabildiğine işaret edilerek, global şirketlerin kendi aralarındaki kişisel veri aktarımları için alternatif bir yöntem olarak Kurum tarafından sunulmuştur.
Gerçekten de Kurum’un taahhütnameler bakımından hazırladığı asgari unsurlara ve bunun yanında global şirketlerin grup içi kişisel veri transferi anlaşmalarına bakıldığında, global şirketlerin aralarındaki veri aktarımını düzenleyen sözleşmelerin çerçeve sözleşmeler olduğu ve komplike olduğu, çok taraflı olduğu, iki taraf arasında düzenlemeye pek mümkün olmadığı, bunun yanında Kurum’un belirlediği asgari unsurları karşılamakta problem bulunmadığı görülmekle birlikte, verilerin transferinin ne şekilde gerçekleşeceği bakımından Kurum’u da pek tatmin etmediği anlaşılmaktadır, uygulamada beklenen faydayı henüz getirmemiştir.
Getirilen Bağlayıcı Şirket Kuralları yöntemi ile, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarının hazırlanması ve Kurul’un onayına sunulması yolu açılmıştır. Bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kuruma, Bağlayıcı Şirket Kuralları başvurusu yapması gerektiği düzenlenmiştir.
Söz konusu başvuru Kurum tarafından hazırlanan başvuru formu ekinde bulunacak olan Bağlayıcı Şirket Kuralları dokümanı ile birlikte Kurum’a elden ya da posta yolu ile yapılabilecek ve Kurul’un da Bağlayıcı Şirket Kuralları kapsamında kişisel veri iletimine izin vermesi için 1 senelik süresi bulunacaktır ve bu süre 6 ay kadar uzatılabilir. Belirtmek gerekir ki AB düzeyinde halihazırda onaylanmış bir Bağlayıcı Şirket Kurallarının bulunmasının, Kurum’a başvuru sırasında şüphesiz faydalı olacağı düşünülmektedir ancak bu tek başına yeterli olmayacaktır. Kurum’un hazırladığı şekilde getirilen lokal yükümlülükleri içerir şekilde kuralların hazırlanması ve başvurunun yapılması gerekmektedir.
Son olarak, Kurul tarafından kabul edilen Bağlayıcı Şirket Kuralları’nın uygulanmasının süreye tabi olmadığından bahsedilmekte ancak gerekmesi halinde Kurul tarafından Bağlayıcı Şirket Kurallarının uygulanmasının askıya alınabileceği ya da feshedilebileceği belirtilmiştir.
PDF indir