Yurtdışına Verİ Aktarımında Kullanılabilecek Yöntemlerden Bağlayıcı Şirket Kuralları

Kişisel Verileri Koruma Kurumu (“KVK Kurumu”), 10 Nisan 2020 tarihli duyurusu ile, Bağlayıcı Şirket Kuralları’nı yurtdışına veri aktarımında kullanılabilecek yöntemlerden biri olarak belirlediğini duyurdu.

1. Bağlayıcı Şirket Kuralları Nelerdir?

Bağlayıcı Şirket Kuralları, çok uluslu şirket toplulukları veya uluslararası kuruluşların kendi içlerinde yapacakları veri aktarımlarını düzenleyen, veri güvenliğine ilişkin iç politikalardır. Bu Kurallar temelde, grup şirketler arasında gerçekleştirilecek veri aktarımlarında veri sorumlusu tarafından sıkı iç kurallara uyulacağının bağlayıcı bir taahhüdü niteliğindedir.

Bağlayıcı Şirket Kuralları, AB’de yürürlükte olan Genel Veri Koruma Tüzüğü’nde (GDPR) halihazırda mevcut yurtdışına veri aktarımı yöntemlerinden olduklarından, AB’de yerleşik veri sorumlularının daha tanıdık olduğu bir mekanizmadır.

Çok uluslu şirket toplulukları tarafından hazırlanacak Bağlayıcı Şirket Kuralları, bir başvuru formu ile birlikte KVK Kurumu’nun onayına sunulmalıdır. Kurum, 10 Nisan 2020 tarihli duyurusu ile birlikte, Bağlayıcı Şirket Kurallarında bulunması gereken asgari unsurları açıklayan bir rehber de yayınlamıştır. Bağlayıcı Şirket Kurallarına dair onay başvurularının Kurum tarafından ne kadar sürede değerlendireceği henüz belli değildir.

2. Yurtdışına Veri Aktarımına İlişkin Mevcut Düzenlemeler

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca kişisel verilerin yurtdışına aktarımı, kural olarak ancak ilgili kişinin aktarıma açık rızasını vermesi ile mümkündür.

KVKK’ya göre kişisel verilerin yurtdışına açık rıza alınmaksızın aktarılması, ancak 5. ve 6. maddelerdeki (kişisel veri işlerken açık rıza alınmasına gerek olmayan durumlara ilişkin) istisnalardan herhangi birinin mevcut olması ve

(i) Alıcının KVK Kurumu tarafından yayınlanacak “güvenli ülkeler” listesindeki ülkelerden birinde bulunması, veya

(ii) Türkiye’deki ve yurtdışındaki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun izninin olması ile mümkün idi.

3. Bağlayıcı Şirket Kuralları – Faydaları Nedir?

KVK Kurumu henüz güvenli ülkeler listesini yayınlamadığından, yukarıda bahsettiğimiz (i) seçeneği KVKK yürürlüğe girdiğinden beri uygulanamıyordu. KVK Kurumu, (ii) numaralı seçenek ile ilgili olarak ise duyurusunda, yazılı taahhüt uygulamasının farklı şirketler arasında gerçekleştirilecek veri aktarımları için uygun bir yöntem olduğunu, ancak uluslararası şirket toplulukları nezdinde gerçekleştirilecek aktarımlar için bu mekanizmanın yetersiz kalabildiğini belirtmiş, farklı bir yöntem olarak Bağlayıcı Şirket Kurallarının kabul edilmesinin sebebi olarak bu yetersizliği göstermiştir.

Bağlayıcı Şirket Kurallarının getireceği en büyük kolaylık, çok uluslu şirketlerin ve uluslararası kuruluşların grup şirketleri arasında gerçekleştirilecek kişisel veri aktarımları için açık rıza alınması zorunluluğunu ortadan kaldıracak olmasıdır. Ancak, bunun için Bağlayıcı Şirket Kurallarının önce KVK Kurumu tarafından onaylanması gerektiği unutulmamalıdır.

KVK Kurumu’nun bu kararı, Kurum’un KVKK’yı AB’deki karşılığı olan GDPR ile paralel yorumlama eğiliminin açıkça görülebildiği yakın tarihli kararlarının son örneği oldu. Örneğin Kurum, daha önce de 24 Ocak 2019 tarihli kararında (Karar No: 2019/10), veri sorumlusunun kişisel veri ihlallerini en kısa zamanda bildirme yükümlülüğüne ilişkin olarak, “en kısa zaman” ifadesini 72 saat olarak yorumlayacağını, zira bu bildirimlere ilişkin GDPR tarafından kabul edilen makul sürenin de 72 saat olduğunu belirtmişti.

Bağlayıcı Şirket Kurallarının KVK Kurumu tarafından kabul edilmesi, bu anlamda GDPR’ın ilga ettiği eski 95/46/EC sayılı AB Direktifi’ne dayalı olarak hazırlanan KVKK’yı, GDPR’ın yüksek standartlarına daha da yaklaştırmıştır.

Av. Yiğit Kaynar