Haberler

Kişisel Verileri Koruma Kurumu Tarafından 10.04.2020 Tarihinde Yayımlanan "Bağlayıcı Şirket Kuralları" Hakkında Duyuru

Kişisel verilerin yurt dışına aktarılması, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9. maddesi ile düzenlenmektedir. Düzenleme kişisel verinin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda kişisel veriler, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceğine ilişkindir.

Türkiye’de yerleşik veri sorumlusu tarafından yeterli veri koruması bulunmayan ülkelerde yerleşik veri sorumlusuna/veri işleyene kişisel verilerin aktarımında, ilgili tarafların yeterli bir korumayı yazılı olarak taahhüt etmelerine imkân sağlayan yöntem olan taahhütnamelerin Kurul tarafından onaylanması akabinde yurt dışına veri aktarımı mümkün olabilmektedir. Fakat bu aşamada taahhütnameler, genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımlarını kolaylaştırmakla birlikte çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalabilmektedir.  

Bu durum nedeniyle Kurul tarafından, söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere diğer bir yöntem olarak da “Bağlayıcı Şirket Kuralları” belirlenmiştir. Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır.

Veri sorumluları için Bağlayıcı Şirket Kuralları, kişisel verilerin, Türkiye’de yerleşik veri sorumlularından aynı grup içerisindeki ve Türkiye dışındaki diğer veri sorumluları veya veri işleyenlere aktarımı için kullanılır. Dolayısıyla, veri sorumluları için Bağlayıcı Şirket Kurallarında belirtilen yükümlülükler, aynı grupta veri sorumlusu olarak hareket eden kuruluşlar ve “dâhili” veri işleyen olarak hareket edenler için geçerlidir. Bu kapsama giren şirketlerin Kişisel Verileri Koruma Kurumu sitesinde yayımlanan formu doldurup Bağlayıcı Şirket Kuralları Başvurusu yapması gerekmektedir.