Kişisel Verileri Koruma Kurumu(“Kurum”) 10 Nisan 2020 tarihinde bir duyuru yayımlamış ve kişisel verilerin yurtdışına aktarımı için karşılıklı taahhüt alınmasının çok uluslu topluluk şirketleri arasında yapılacak veri aktarımlarında pratik olmadığından bahisle Bağlayıcı Şirket Kuralları(“BŞK”) yöntemlerinin uygulanabileceğini düzenlemiştir.[1] Duyuruda BŞK, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kuralları olarak tanımlanmıştır. Bu çerçevede Başvuru Formu ve Yardımcı Doküman olmak üzere iki adet doküman sunulmuş olup kapsama giren çok uluslu grup şirketlerin gerekli talimatları izleyerek ve ekli formu doldurarak başvuru yapmaları gerekecektir.
2019/679 sayılı Genel Veri Koruma Tüzüğü’nde (“GDPR”) Binding Corporate Rules(“BCR”) adıyla düzenleme bulan bağlayıcı şirket kuralları, AB genelinde 95/46/EC sayılı Direktifin yürürlükte olduğu zamandan bu yana uygulama alanı bulmaktadır. BCR, GDPR’ın tanımlar başlıklı 4. maddesine göre; ortak bir ekonomik faaliyetle iştigal eden bir teşebbüsler grubu veya bir işletmeler grubu içerisinde bir veya daha fazla sayıda üçüncü ülkedeki bir kontrolör (veri sorumlusu) veya işleyiciye (veri işleyene) kişisel veri aktarımları veya aktarım dizisiyle ilgili olarak birliğin üye devletlerinden birinin topraklarında kurulmuş olan bir kontrolör (veri sorumlusu) veya işleyici (veri işleyen) tarafından uyulan kişisel veri koruma politikalarıdır. Kurum tarafından hayata geçirilen Bağlayıcı Şirket Kuralları BCR’ın hukukumuza uyarlaması olup farklılık arz eden birkaç husus haricinde BCR ile paralellik göstermektedir.
GDPR Düzenlemesinde Bağlayıcı Şirket Kuralları (BCR)
GDPR m.47 uyarınca bağlayıcı şirket kuralları, ekonomik faaliyette bulunan teşebbüsler ya da işletmeler grubunun çalışanları dahil ilgili her üyesi açısından yasal olarak bağlayıcı olmalı(bağlayıcılık), veri sahiplerine kişisel verilerinin işlenmesiyle ilgili haklarını açık olarak vermeli(şeffaflık) ve asgari olarak aşağıdaki şartları içermelidir:
- Ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun ve her üyesinin yapısı ve irtibat bilgileri,
- Kişisel veri kategorileri, işleme türü ve amaçları, etkilenen veri sahiplerinin türü ve söz konusu üçüncü ülke veya ülkelere ilişkin açıklama da dahil olmak üzere veri aktarımları veya aktarım dizisi
- Bunların hem içsel hem de dışsal olarak hukuki bağlayıcılık yapısı
- Amaç sınırlaması, verilerin en alt düzeye indirilmesi, sınırlı saklama süreleri, veri kalitesi, özel ve olağan veri koruması, işleme faaliyetine yönelik yasal dayanak, özel kategorilerdeki kişisel verilerin işlenmesi başta olmak üzere genel veri koruma ilkeleri, veri güvenliğinin sağlanmasına ilişkin tedbirler ve bağlayıcı kurumsal kurallara bağlı bulunmayan organlara transit aktarımlara ilişkin gerekliliklerin uygulanması
- Profil çıkarma da dahil olmak üzere yalnızca otomatik işleme faaliyetine dayalı kararlara tabi olmama hakkı,
- Üye devletlerin yetkin denetim makamına ve yetkin mahkemelerine şikayette bulunma ve tazminat alma hakkı ve, uygun olduğu hallerde, bağlayıcı kurumsal kurallara ilişkin bir ihlalde dolayı tazminat hakkı da dahil olmak üzere veri sahiplerinin işleme faaliyetine ilişkin hakları ve bu hakları kullanma yöntemleri.
- Bir üye devletin topraklarında kurulu veri sorumlusu veya veri işleyenin birlik içerisinde kurulu olmayan herhangi bir üye tarafından bağlayıcı kurumsal kuralların ihlal edilmesi hususunda yükümlülüğü üstüne alması
- Bağlayıcı kurumsal kurallara ilişkin bilgilerin veri sahiplerine nasıl sağlandığı,
- Belirlenen herhangi bir veri koruma görevlisinin ya da ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubu veya bir işletmeler grubu içerisinde bağlayıcı kurumsal kurallara uyumluluğun izlenmesinin yanı sıra eğitimin izlenmesi ve şikayetlerin ele alınmasından sorumlu olan diğer kişiler veya kuruluşların görevleri,
- Şikayet usulleri,
- Ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubu veya bir işletmeler grubu içerisinde bağlayıcı kurumsal kurallara uyumluluğun doğrulanmasının sağlanmasına yönelik mekanizmalar,
- Kurallara ilişkin değişikliklerin raporlanması ve kaydedilmesi ile bu değişikliklerin denetim makamına raporlanmasına ilişkin mekanizmalar,
- Ortak bir faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun herhangi bir üyesinin uyumluluğunu sağlamak üzere denetim makamı ile kurulan işbirliği mekanizması;
- Ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun bir üyesinin üçüncü bir ülkede tabi olduğu ve bağlayıcı kurumsal kuralların sağladığı teminatlar açısından kayda değer bir olumsuz etkisinin bulunmasının muhtemel olduğu yasal gerekliliklerin yetkin denetim makamına raporlanmasına ilişkin mekanizmalar,
- Kişisel verilere daimi veya geçici olarak erişimi bulunan personele uygun veri koruma eğitimi.
BCR uygunluk sebebine dayanarak birlik dışına kişisel veri aktarmak isteyen çok uluslu şirketler işbu şartları sağlamaları halinde bağlayıcı şirket kurallarını yetkin denetim makamının onayına sunacaklardır.
KVKK Çerçevesinde Bağlayıcı Şirket Kuralları (BŞK)
Bizim uygulamamızda, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu şirketlerin BŞK yöntemiyle yurtdışına veri aktarabilmesi için Kurum tarafından yayımlanan Başvuru Formunu doldurmaları ve gerekli talimatları izleyerek Kurum’a başvurmaları gerekecektir. Başvuru formuna göre, bir şirketler topluluğuna bağlı olarak faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumluları olarak tanımlanan Grubun, Türkiye’de yerleşik merkezi varsa burası, yoksa Türkiye’de yetkilendirilmiş olan Yetkili Grup Üyesi tarafından başvuru yapılabilecektir. Başvuru Formu, BŞK Metni ve ilgili diğer belgelerle Kurum’a elden ya da posta yoluyla yapılabilecek olan başvuru Kurum tarafından resmi başvuru tarihinden itibaren 1 yıl sonunda sonuca bağlanacak, gerekmesi halinde bu süre 6 ay uzatılabilecektir. Kurum duyuru ekinde ayrıca veri sorumluları için yardımcı doküman yayımlamış ve bu dokümanda BŞK metni ile Başvuru Formunda bulunması gereken hususları ayrıntılarıyla birlikte tabloya dökmüştür. Ayrıca söz konusu yükümlülüklerin grup kapsamındaki veri işleyenlerle veri sorumluları arasında KVKK m.12/2’den hareketle oluşturulması gereken Hizmet Sözleşmesiyle uyumlu olmak üzere veri işleyenler için de geçerli olacağı ayrıca belirtilmiştir.
BŞK metninde bulunması zorunlu olan huşular ise özetle aşağıdaki gibi olacaktır:
- Aktarıma konu kişisel verinin niteliği (genel/özel nitelikli kişisel veri), veri kategorileri (kimlik, iletişim, lokasyon, özlük gibi), aktarım amaçları ve süreleri, veri konusu kişi grubu veya grupları (çalışan, stajyer, ziyaretçi, ürün veya hizmet alan kişi gibi), veri aktarımının hangi yöntemle gerçekleştirileceği, veri aktarımının hukuki sebebi/sebepleri, aktarılacak verilerin grup içerisindeki dağılımı (ilgili Grup üyelerinin adı ve iletişim bilgilerini belirterek), sonraki aktarımlar gibi hususlar olmak üzere BŞK’nın içeriği hakkında açıklamalar
- Grup yapısı ve iletişim bilgileri
- Çalışanlar dahil tüm grup üyeleri için geçerli olacak BŞK’ya uyma yükümlülüğü
- KVKK ve mahkemeler nezdinde şikayet hakkı dahil ilgili kişinin hakları, bu hakların kullanımı, sorumluluk, genel ilkeler ve her bir ilgili kişinin bu haklarına kolayca erişim hakkı konularında kapsamlı bir bilgilendirme,
- Grubun Türkiye’de yerleşik merkezi, yoksa Yetkili Grup Üyesinin BŞK’dan kaynaklanan tazminatın ödenmesi ve ihlallerin giderilmesi konusundaki yükümlülüğü kabul etmesi,
- Sorumluluğu kabul eden BŞK üyesinin ilgili kişi tarafından iddia edilen zararların yurtdışında bulunan üyeden kaynaklanıp kaynaklanmadığı konusundaki ispat yükünü kabul etmesi,
- Türkiye dışındaki bir BŞK üyesinin BŞK’yı ihlal etmesi halinde bu konuda yetkinin Türkiye’deki mahkemeler ve yetkili makamlarda olacağı,
- Kişisel verilere sürekli veya düzenli erişime sahip olan, veri toplamaya dâhil olan veya kişisel verileri işlemek için kullanılan araçların geliştirilmesinde çalışan personele uygun eğitim programları,
- Başvurunun nereye ve hangi formatta yapılacağı, cevabın gecikmesi ile ilgili durumlar, başvurunun reddedilmesi durumunda ortaya çıkacak sonuçlar, başvuru haklı bulunduğunda ortaya çıkacak sonuçlar, ilgili kişinin verilen cevabı yetersiz bulması durumunda ortaya çıkacak sonuçlar (kurula şikâyet, mahkemeler nezdinde hak talebi) başta olmak üzere şikayet mekanizmasına ilişkin hususlar,
- Taahhüt edilen kurallara uygun hareket edilmesini sağlamak üzere düzenli olarak denetim yapılması/yaptırılması ve bu denetimi kimlerin yapacağı gibi konularda açıklamalar
- BŞK’nın uygulanması konusunda görevli personel yapılanması,
- Veri güvenliğiyle ilgili açıklamalar
- Bir BŞK üyesinin ulusal mevzuatının BŞK’ya uymasını engelleyen durumlarda elinden gelen tüm şeffaflığı sağlayacağı taahhüdü
- Üyelerin tüm kategorilerdeki veri işleme faaliyetlerinin elektronik yöntemler de dâhil olmak üzere yazılı şekilde kaydını tutması, hesap verebilirliği sağlamak için risk analizi alınan tedbirlerin kayıtlarının tutulması.
Kuralların BŞK üyeleri ve çalışanları nasıl bağladığına yönelik açıklamalar, sorumluluğu kabul eden BŞK üyelerinin ihlalden kaynaklanan zararların tazmini için yeterli malvarlığına sahip olduğuna yönelik taahhüt ile bir temas kişisinin BŞK ile bağlı yapıların güncel listelerinin tutulması ve değişiklikleri Kuruma bildirme yükümlülüğüne ilişkin maddeler BŞK metninde bulunmayıp sadece Başvuru Formunda bulunacak bilgiler olarak sayılmıştır.
Kurum tarafından BŞK çerçevesinde belirlenen yükümlülüklerin ilkeler bazında GDPR ile uyumlu gözükmekle birlikte içerik olarak daha detaylı olduğunu söyleyebiliriz. Öncelikle Kurul Bağlayıcı Şirket Kurallarına yönelik yapılan düzenlemenin yurtdışına veri aktarımı konusunda uygulamada karşılaşılan sorunlar karşısında son derece umut verici bir düzenleme olduğu söylenebilecektir. Ancak işbu uygulamanın Türkiye’de faaliyet gösteren çok uluslu şirketler için bir kurtuluş yolu olarak kabul edilebilmesi pek tabii uygulamada BŞK’dan olumlu sonuç alınabilmesiyle olacaktır. Uygulama açısından duraksamaya sebep olacak ilk husus Kurum tarafından başvuruların öngörülen karara bağlanma süresidir. Kişisel verilerin korunması çerçevesinde gerek Kanun lafzından gerek politik engellerden kaynaklansın, pratikteki her türlü engel için amaç mevcut kısır döngüleri aşmak, kısa zamanda pratik çözümler yaratmak olmalıdır. Burada halihazırda Kurula sunulan karşılıklı taahhüt metinlerinden onaylanmış bir örnek bulunmamaktayken BŞK metinlerinin 1 sene ve uzatma yetkisiyle birlikte 1,5 seneyi bulan bir süre zarfında onaylanacağına yönelik bir beklenti içinde olmak zor gözükmektedir. Kaldı ki başvuru yapıldıktan onay verilene kadarki sürece “mevcut durumda” hukuka aykırı veri aktarımı devam etmekte olacaktır.
Diğer yandan, Başvuru Formunun açıklamalar kısmında Kurul tarafından kabul edilen Bağlayıcı Şirket Kurallarının uygulanması süreye tabi olmadığı, gerekmesi halinde Kurul tarafından Bağlayıcı Şirket Kurallarının uygulanması askıya alınabileceği ya da feshedilebileceği yazmaktadır. Bağlayıcı şirket kuralları, çok uluslu şirketler için hızlı, güvenli kuralları belli bir veri aktarımı için çok avantajlı bir yöntem olsa da sistemin yerleşmesi için gereken efor ve maliyet açısından bakıldığında ciddi emek ve maliyet gerektiren bir sistemdir. Nitekim AB genelinde BCR sistemini uygulamayı tercih eden şirketlere bakıldığında bunların dünya çapında çok büyük çok uluslu şirketler olduğu görülecektir. Bu kapsamda uzun süreler boyunca organizasyon için emek zaman ve ciddi maliyet harcayarak BŞK sistemini hayata geçiren şirketlerin aldıkları onayların Kurul tarafından gerektiğinde feshedebilecek olması kanaatimizce çok geniş kapsamlı bir ifade olup aynı zamanda şirketlerin çekingen davranmalarına sebep olabilecektir.
Neticede, KVKK çerçevesinde uygulamada en gri alanlardan biri olan yurtdışına veri aktarımı konusunda getirilen BŞK sistemi, uygulanabilir olduğu ölçüde Türkiye’de faaliyet gösteren çok uluslu şirketler açısından son derece pozitif bir gelişmedir. Karşılılık ilkesinden hareketle güvenli ülke listesinin yakın zamanda açıklanması da beklenmediğinden, yurtdışına veri aktarımında alternatif çözüm yollarının çoğalması ve uygulamaya geçirilmesinin hukuka aykırı veri aktarımlarının son bulması açısından önemi büyüktür. Bağlayıcı Şirket Kurallarının, ticari hayatın bir gereği olan yurtdışına veri aktarımının sistemli, güvenli ve hukuka uygun şekilde gerçekleştirilebilmesi için işleyen ve sonuç alınabilen bir sistem olmasını ve aynı zamanda şirketler topluluğu dışındaki yurtdışına veri aktarımları için de alternatif çözüm yöntemlerinin yakın zamanda getirilmesi beklentisi içinde olduğumuzu belirtmek isteriz.
[1] Kişisel Verileri Koruma Kurumu, 10 Nisan 2020, https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU