Bağlayıcı Şirket Kuralları (Binding Corporate Rules)

Bağlayıcı şirket kuralları (binding corporate rules), Working Party’nin hazırladığı çalışma belgeleri187 _{ve GDPR’ın “Tanımlar” başlıklı 4. maddesinin 20.}

fıkrasında tanımlanmıştır. Burada yapılan tanımlamalardan hareketle bağlayıcı şirket kuralları, birden fazla ülkede ortak bir ekonomik faaliyet yürüten grup şirketlerinin (çok uluslu şirketlerin) birbirleri arasında ülkeler arası kişisel veri aktarımına ilişkin kuralları içeren ve tüm şirket çalışanları üzerinde bağlayıcı bir etkisi olan kişisel veri politikalarıdır. GDPR’ın 47. maddesi uyarınca bağlayıcı şirket kurallarının yetkili veri koruma otoritesi tarafından onaylanması gerektiği düzenlenmiştir. Ayrıca aynı madde içerisinde bağlayıcı şirket kurallarında asgari olarak bulunması gereken unsurlar belirtilmiştir188_.

187 _{Article 29 Data Protection Working Party, Working Document Setting Up a Table With the}

Elements and Principles to Be Found in Binding Corporate Rules, 6 Şubat 2018, 18/EN, WP256 rev.01, (Çevrimiçi) https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614109 Erişim Tarihi: 27 Nisan 2020, s. 2.

85

Bağlayıcı şirket kuralları ile ilgili olarak Kurul tarafından 10 Nisan 2020 tarihinde, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu yapıdaki grup şirketleri arasında kişisel veri aktarımına ilişkin bir duyuru yapılmıştır189_{. Duyurunun çalışmamız bağlamında öne çıkan kısmı aşağıdaki}

gibidir:

“(…) Bilindiği üzere Kurul, Türkiye’de yerleşik veri sorumlusu

tarafından yeterli veri koruması bulunmayan ülkelerde yerleşik veri sorumlusuna/veri işleyene kişisel verilerin aktarımında, ilgili tarafların yeterli bir korumayı yazılı olarak taahhüt etmelerine imkân sağlayan yöntemlerden birini Taahhütnameler olarak belirlemiş ve taraflarca hazırlanarak Kurul onayına sunulacak Taahhütnamelerde bulunması gereken asgari unsurları da belirleyerek ilan etmişti. Bu kapsamda söz konusu taahhütnamelerin Kurul tarafından onaylanması akabinde yurt dışına veri aktarımı mümkün olabilmektedir.

Bununla birlikte söz konusu taahhütnameler, genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımlarını kolaylaştırmakla birlikte çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalabilmektedir. Bu nedenle Kurul tarafından, söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere diğer bir yöntem olarak da Bağlayıcı Şirket Kuralları belirlenmiştir.” dedikten sonra bu kuralların işlevine değinmiştir.

“Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır. Bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları

189 _{Kurulun 10 Nisan 2020 yayınlanma tarihli “Bağlayıcı Şirket Kuralları Hakkında Duyuru” başlıklı}

açıklamasına şu uzantıdan ulaşabilirsiniz: https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA- KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-

86

izleyerek Kuruma, Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir.

6698 sayılı Kanunun 9 uncu maddesinin (2) numaralı fıkrasının (b) bendi gereğince, söz konusu başvurular Kurul’un iznine tabidir.”

Kurul kararının yayınlandığı Kurumun internet sitesinde kararda bahsedildiği gibi “Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu” ve “Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman” başlıklı iki adet belge190 _ilgililerin

kullanımına sunulmuştur.

Her iki belgenin de tanımlar kısmında bağlayıcı şirket kuralları Working Party çalışma belgeleri ve GDPR’daki tanımlamalara paralel olacak şekilde tanımlanmıştır:

“Bir şirketler topluluğuna bağlı olarak Türkiye’de yerleşik bir

veri sorumlusu tarafından, bu şirketler topluluğuna bağlı olarak yurt dışında bir veya daha fazla ülkede faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularına yapılacak olan kişisel veri aktarımları veya aktarım setlerinde uyulması gereken kişisel veri koruma kurallarını ifade eder.”

Veri sorumluları tarafından Kuruma yapılan bağlayıcı şirket kuralları başvurusu ile ilgili olarak resmî başvuru tarihinden itibaren bir yıl içerisinde karar verileceği, gerekmesi durumunda bu sürenin altı aylık dönemlerle uzatılabileceği belirtilmiştir191_.

Bu belgelerin içeriği incelendiğinde özellikle “Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin

190 _{İsmi geçen iki belgeye de şu uzantıdan ulaşabilirsiniz:}

https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA- BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU Erişim Tarihi: 27 Nisan 2020.

87

Yardımcı Doküman” başlıklı belge Working Party’nin bağlayıcı şirket kuralları üzerine yayınladığı çalışma belgeleri ile aynı doğrultuda olduğu görülmektedir.192_.

Kurulun bağlayıcı şirket kuralları hakkında hazırladığı belgelerin içeriğinde bahsedilen başvuruların karara bağlanma sürelerinin çok uzun olması ve bu sürenin gerekmesi halinde herhangi bir sınırlama koymaksızın altı aylık dönemlerle uzatılabileceğinin belirtilmesi uygulamada özellikle çok uluslu şirketler nezdinde çeşitli sıkıntılar yaratabileceğini düşünmekteyiz. Bu sıkıntıların, Kurul tarafından yeterli korumanın bulunduğu ülkelere ilişkin listenin açıklanması, bağlayıcı şirket kurallarına ilişkin yapılan başvuru süreçlerinin hızlandırılması ve Türkiye’deki uygulamaya, mevcut sorunlara ve ihtiyaçlara yönelik özgün içerikli kuralların belirlenmesi ile aşılabileceği kanaatindeyiz.

192 _{Aynı görüşte bkz. Murat Volkan Dülger, Cansu Ceren Kahraman, “KVKK’dan Kişisel}

Verilerin Yurt Dışına Aktarımında Önemli Bir Adım: Bağlayıcı Şirket Kuralları”, (Çevrimiçi) https://www.hukukihaber.net/kvkkdan-kisisel-verilerin-yurt-disina-aktariminda-onemli-bir-adim- baglayici-sirket-kurallari-makale,7685.html Erişim Tarihi: 27 Nisan 2020.

88

ÜÇÜNCÜ BÖLÜM

VERİ SORUMLULARININ KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDAKİ ÖZEL YÜKÜMLÜLÜKLERİ