Çok uluslu şirket toplulukları arasında kişisel veri aktarımı: Bağlayıcı şirket kuralları

Av. Hatice ZÜMBÜL
Av. Hatice ZÜMBÜL Hukuki Perspektif av.haticezumbul@gmail.com

Kişisel Verileri Koruma Kurumu (“Kurum”), Türkiye’de yerleşik veri sorumlusu tarafından yeterli veri koruması bulunmayan ülkelerde yerleşik veri sorumlusuna/veri işleyene (çok uluslu şirket toplulukları arasında) kişisel verilerin aktarımında yeni bir uygulamanın başlatılacağını 10.04.2020 tarihinde web sitesinde yayımladığı duyurusu ile açıklamıştır.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK” veya “Kanun”) 9 uncu maddesi uyarınca; kişisel verinin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda kişisel veriler, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilmektedir¹.

Ancak Kurum, söz konusu taahhütnamelerin, genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımlarını kolaylaştırmakla birlikte çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalabildiğine işaret ederek, söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere diğer bir yöntem olarak da, Avrupa Birliği Veri Koruma Hukuku düzenlemelerine ve uygulamasına paralel olarak, “Bağlayıcı Şirket Kuralları” (“BŞK”) (“Binding Corporate Rules” – “BCR”) belirlendiğini açıklamıştır.

BŞK, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketler için kişisel verilerin yurt dışına aktarılmasında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarını içeren bir metindir.

Bu kapsama giren şirketlerin, BŞK Başvuru Formunu doldurup hazırladıkları metin ile birlikte gerekli talimatları izleyerek Kuruma başvuruda bulunmaları gerekmektedir. Başvurunun Kurul tarafından kabul edilmesi halinde, Bağlayıcı Şirket Kurallarının uygulanması süreye tabi değildir. Gerekmesi halinde Kurul tarafından Bağlayıcı Şirket Kurallarının uygulanması askıya alınabilecek ya da feshedilebilecektir.

Başvuruyu yapma yetkisi; Grup Şirketlerin Türkiye’de yerleşik merkezi var ise ona ait olacaktır. Grup Şirketlerin Türkiye’de yerleşik bir merkezinin bulunmaması halinde, Türkiye’de yerleşik bir Grup Şirketler üyesi kişisel verilerin korunması konusunda yetkilendirilmelidir. Bu durumda, Grup Şirketler adına başvuru yapma yetkisini burası haiz olacaktır.

Kurum BŞK metninde bulunması gereken temel hususlara ilişkin olarak; “Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman” başlıklı bir belge yayımlamıştır. İlgili dokümanda BŞK metni ve Başvuru Formu belgelerinde yer alması gereken hususlar açıklanmıştır. Dokümanlarda yer alan önemli hususlar özetle şu şekildedir:

• BŞK hukuken bağlayıcı olmalı ve BŞK’ye uyma hususunda çalışanlar da dâhil olmak üzere tüm grup üyelerine açık bir yükümlülük getirilmelidir.
• BŞK başvurusunda bulunan Grup Şirketler, Başvuru Formunda kuralların bağlayıcı niteliğini açıklamak durumundadır.
i. Gruptaki her üye için hukuken geçerli ve ispatlanabilir bir veya daha fazla yöntem ile BŞK’nin bağlayıcılığı sağlanmalıdır.

ii. Çalışanlar üzerinde bağlayıcılığın sağlanması için iş sözleşmesi, toplu iş sözleşmesi, gizlilik sözleşmesi, etik kurallar, şirket politikaları, iş yeri iç yönetmelikleri vb. yöntemlerden bir veya birkaçı kullanılabilir.

• BŞK’de, ilgili kişinin asgari olarak aşağıda sayılan maddelerin uygulanmasını isteme hakkı yer almalıdır;

- Genel ilkeler (m. 4),
- İlgili kişinin aydınlatılması (m. 10),
- Kişisel verilerin silinmesini, yok edilmesini talep etme hakkı (m. 7),
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı (m. 11/1/g),
- Verinin aktarıldığı ülkede, Bağlayıcı Şirket Kurallarına uymayı engelleyen ulusal bir mevzuatın bulunup bulunmadığı ve bulunması halinde açıkça belirtilmesi,
- Veri sorumlusuna başvuru hakkının tanınması (m. 13),
- Kurum ile koordinasyon yükümlülüğü,
-Grup üyelerinden herhangi birinin, yabancı bir ülkede tabi olduğu ve BŞK ile ilgili kişiye sağlanan teminatlar üzerinde önemli olumsuz etkileri olma ihtimali bulunan tüm yasal yükümlülüklerinin belirtilmesi,
- Yetki tespiti hükümleri (BŞK bakımından yetkili otorite Kurum’dur ve BŞK yetkili otorite olan Kurum’un bu konuda yetkili birimi olan Kurula şikâyet hakkını ve mahkemelere başvuru hakkını tanımalıdır (m. 14)).

BŞK ile, ilgili kişilere 6698 sayılı Kanunun 11 inci maddesinin (ğ) bendinde yer alan zararın giderilmesini talep etme hakkı da dâhil olmak üzere her türlü yasal yolun kullanılabilmesi imkânı açıkça tanınmalıdır.

Şirketler BŞK metninde, söz konusu hakların düzenlendiği BŞK hükümlerine/bölümlerine/parçalarına atıfta bulunmak veya ilgili kişilerin hakları kısmında hepsini listelemek suretiyle yapabilirler.

• BŞK uygulamasından yararlanabilmek için Grup Şirketler temel olarak iki taahhüt altına girmelidir:
1. Grup Şirketlerin Türkiye’de yerleşik merkezi veya Grup Şirketlerin merkezi Türkiye’de değil ise kişisel verilerin korunması konusunda yetkili ve Türkiye’de yerleşik bir Grup Şirketler üyesinin, ülke dışında bulunan ve BŞK ile bağlı olan diğer Grup Şirket üyelerinin eylemlerinin düzeltilmesi için gerekli girişimlerde bulunması ve BŞK’nin ihlal edilmesinden kaynaklanacak maddi veya manevi zararların giderilmesi için tazminat ödenmesi konusunda BŞK’de bir yükümlülük bulunmalıdır.

BŞK’de şu hususlar açıkça belirtilmelidir; Türkiye dışındaki bir BŞK üyesi BŞK’yi ihlal ederse, bu konuda yetki Türkiye’deki mahkemeler ve yetkili makamlarda olacaktır. İlgili kişinin, sanki ihlal yurt dışında değil Türkiye’de gerçekleşmiş gibi sorumluluk ve yükümlülüğü kabul etmiş olan BŞK üyesine karşı hak ve tazminatlarını talep etme yetkisi olacaktır.

Tüm sorumluluğun belirli bir kişi tarafından üstlenilmesinin mümkün olmadığı kurumsal yapıya sahip Grup Şirketler bakımından ise, özellikle Türkiye dışındaki herhangi bir BŞK ihlali durumunda, bir diğer seçenek olarak; Türkiye’de kurulu bir BŞK üyesinden veriyi alan, Türkiye dışında kurulu bir BŞK üyesi tarafından meydana getirilecek tüm ihlaller bakımından her bir BŞK üyesinin sorumlu olması sağlanabilecektir.

2. Başvuru formunda; BŞK ile bağlı Türkiye dışında kurulu bulunan diğer üyelerin fiilleri bakımından sorumluluğu kabul eden tüm BŞK üyelerinin, BŞK’nin ihlalinden kaynaklanan zararların tazmini için yeterli varlığa sahip olduğu yönünde bir taahhüt yer almalıdır.

• İlgili kişilerin BŞK’ye kolay erişimi ve şeffaflığın sağlanması gerekmektedir. Bu nedenle ilgili kişiler için ilgili kısımların şirket web sitelerinde yayımlanması mümkündür.
• Uygun eğitim ve farkındalık çalışmalarının yürütülmesi beklenmektedir. BŞK başvurusunu değerlendirecek olan Kurul, başvuru prosedürü sırasında eğitim programının örneklerini ve açıklamalarını isteyebilir. Bu bağlamda, ilgili eğitim programı başvuruda açıkça belirtilmelidir.

• Herhangi bir ilgili kişinin kendi haklarını kullanabilmesi ve herhangi bir BŞK üyesi hakkında başvuruda bulunabilmesini sağlayacak dâhili bir şikâyet yönetimi süreci kurulmalıdır.
Şikâyet kapsamında ilgili kişilerin talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırılacaktır. Başvuru formunda, şikâyet sisteminin uygulanma aşamaları hakkında ilgili kişilerin nasıl bilgilendirileceği açıklanmalıdır. Bu açıklamada özellikle:
- Başvurunun nereye ve hangi formatta yapılacağı,
- Cevabın gecikmesi ile ilgili durumlar,
- Başvurunun reddedilmesi durumunda ortaya çıkacak sonuçlar,
- Başvuru haklı bulunduğunda ortaya çıkacak sonuçlar,
- İlgili kişinin verilen cevabı yetersiz bulması durumunda ortaya çıkacak sonuçlar (Kurula şikâyet, mahkemeler nezdinde hak talebi) yer almalıdır.

• Uyumluluk denetimi BŞK uygulamasında önem arz etmektedir. BŞK, taahhüt edilen kurallara uygun hareket edilmesini sağlamak üzere düzenli olarak denetim yapılması/yaptırılması ve bu denetimi kimlerin yapacağı gibi konularda açıklamalar içermelidir.
Ayrıca, Kurumun talebi halinde denetim sonuçlarına erişme yetkisi ve Kuruma gerekli durumlarda herhangi bir BŞK üyesi üzerinde denetim yapma yetkisi tanınması zorunludur.
Bu nedenle BŞK’nin uygulanması ve denetimlerin yürütülmesi konusunda görevli personel yapılanması oluşturulmalıdır. BŞK metninde de bu personel yapılanmasının oluşumu, görev ve sorumlulukları gibi hususlar detaylı bir şekilde açıklanmalıdır.

• BŞK metni, gerekmesi halinde tüm üyelerin Kurum tarafından denetlenmesini ve bu kurallarla ilgili herhangi bir konuda Kurum’un tavsiyelerine uymayı kabul ettiğini içeren açık bir yükümlülük içermelidir.
• BŞK; aktarıma konu kişisel verinin niteliği (genel/özel nitelikli kişisel veri), veri kategorileri (kimlik, iletişim, lokasyon, özlük gibi), aktarım amaçları ve süreleri, veri konusu kişi grubu veya grupları (çalışan, stajyer, ziyaretçi, ürün veya hizmet alan kişi gibi), veri aktarımının hangi yöntemle gerçekleştirileceği, veri aktarımının hukuki sebebi/sebepleri, aktarılacak verilerin Grup Şirketler içerisindeki dağılımı (ilgili Grup Şirketler üyelerinin adı ve iletişim bilgilerini belirterek), sonraki aktarımlar gibi hususları içermelidir.

Ayrıca BŞK üyelerinin, tüm kategorilerdeki veri işleme faaliyetlerinin elektronik yöntemler de dâhil olmak üzere yazılı şekilde kaydını tutması ve talep halinde Kuruma sunması gerekmektedir.

• BŞK’nin değiştirilmesi/güncellenmesi durumunda değişikliklerin gecikmeksizin tüm BŞK üyelerine ve Kuruma bildirilmesi gerekmektedir.

Aşağıdaki değişiklik/güncelleme durumlarıyla ilgili olarak:

i. Belirli bir kişi veya ekip/birim, BŞK üyelerinin tam ve güncel bir listesi ile kurallardaki güncellemelere dair kayıtları tutar, ilgili kişilere ve Kuruma talep üzerine gerekli bilgileri sağlar.
ii. Yeni Grup üyesine, BŞK’ye bağlılığı ve uyumu tam olarak sağlayıncaya kadar herhangi bir kişisel veri aktarımı yapılmaz.
iii. BŞK veya BŞK üyelerindeki herhangi bir değişiklik, güncellemeyi haklı kılan sebeplerin kısa bir açıklamasıyla birlikte Kuruma yılda bir kez bildirilir.
iv. BŞK’nin sunduğu koruma seviyesini veya BŞK’yi önemli şekilde etkileyen değişiklikler (bağlayıcılık niteliğini etkileyen değişiklikler gibi) derhal Kuruma bildirilir.

Ayrıca, bir BŞK üyesinin üçüncü bir ülkede tabi olduğu hukuki gerekliliklerin, BŞK’nin sağladığı garantiler üzerinde önemli bir olumsuz etkiye sahip olması durumu da Kuruma bildirilmelidir. Kanunla yetki verilen bir otorite veya milli güvenliği sağlamakla yükümlü bir kurum tarafından kişisel verilerin açıklanmasının istendiği talepler de bu duruma dâhildir. Böyle bir durumda, Kurumun, talep hakkında (talep edilen verilerin ne olduğu, talep edenin kimliği, talebin yasal dayanağı gibi hususlarda bilgi içerecek şekilde) açıkça bilgilendirilmesi gerekmektedir.

• Aşağıdaki hususlarda bilgi verilmesi zorunlu olmamakla birlikte başvurunun değerlendirilmesi bakımından bu hususlarda da bilgi sağlanması faydalı olacaktır:
- Aktarımın yapılacağı ülkelerin taraf olduğu, kişisel verilerin korunması konusunda hüküm içeren uluslararası sözleşmelerin, ilgili kısımlara atıf yapılarak, belirtilmesi.
- Kişisel verinin aktarılacağı ülkede, kişisel verilerin korunması konusunda ulusal mevzuat ile yetkili bir kişisel verileri koruma otoritesinin varlığı ve varsa konuyla ilgili mevzuatı ve uygulamasının kısaca belirtilmesi.

Her durumda, bu bağlamda bildirim yükümlülüğü yerine getirilirken; kişisel verilerin herhangi bir kamu otoritesine aktarımının, demokratik bir toplumda gerekli olanın ötesine geçecek şekilde büyük, orantısız ve rastgele şekilde yapılamayacağı gözetilmeli ve kişisel verilerin korunması hukukunun temel ilkelerine² uygun hareket edilmelidir.

Kişisel verilerin yurt dışına aktarılması hususunda, ilgili kişinin açık rızasının bulunmaması durumunda ne şekilde hareket edileceği hususunda ve aslında Kurum tarafından kamuoyu ile yeni paylaşılan “Bağlayıcı Şirket Kuralları” müessesesinin de uygulamaya alınmasında, “Güvenli Ülkeler Listesi” nin Kurum tarafından bir an evvel belirlenmesi ve kamuoyu ile paylaşılması kritik öneme sahip olup, yurt dışına veri aktarımı uygulamasını oldukça rahatlatacaktır. Kurum tarafından henüz “Güvenli Ülkeler Listesi” açıklanmadığı için, veri aktarımı bakımından mevcut durumda tüm ülkeler yeterli korumanın bulunmadığı/güvenli olmayan ülke statüsündedir ve buna göre yurt dışına her bir veri aktarımı için taahhütname ve Kurum izniyle hareket edilmesi yahut çok uluslu şirketlerin kendi aralarında gerçekleştirecekleri veri aktarımları bakımından Bağlayıcı Şirket Kuralları temelinde hareket edilmesi gerekmektedir.

Dipnot:

¹ Daha fazla bilgi için Kurumun daha önce kamuoyu ile paylaşmış olduğu “Kişisel Verilerin Yurt Dışına Aktarılması Rehberi”ne buradan ulaşabilirsiniz : https://www.kvkk.gov.tr/Icerik/2053/Yurtdisina-Aktarim

² 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun “Genel ilkeler” başlıklı 4. maddesi uyarınca; “Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.”

Yazara Ait Diğer Yazılar Tüm Yazılar