Kişisel Verileri Koruma Kurumu’nun Bağlayıcı Şirket Kuralları Hakkında Duyurusu
Kişisel Verileri Koruma Kurum’u (“Kurum”) 10.04.2020 tarihinde yurt dışına kişisel veri aktaran Türkiye’de yerleşik veri sorumlularını yakından ilgilendiren önemli bir duyuru yayınladı.
Bilindiği üzere mevcut uygulamada ilgili kişinin açık rızası olmadan Kişisel Verilerin Korunması Kanunu’nun 5. maddesinin 2. fıkrasında bulunan veri işleme şartlarının ve 6. maddesinin 3. fıkrasında bulunan koşulların sağlanması halinde, veri aktarılacak ülkede bulunan veri sorumlusu/veri işleyen ile yapılacak bir taahhütname ile yurt dışına veri aktarılması mümkündür.
Kurul yayınladığı duyuru ile açık rıza alınmaksızın yurt dışına veri aktarımı için veri koruma taahhütnamesine alternatif bir yöntem olarak Bağlayıcı Şirket Kurallarını duyurmuştur.
Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelere yapılacak olan kişisel veri aktarımında Türkiye’de yerleşik olan veri sorumlularının, yabancı ülkelerde bulunan grup şirketlerine yapacakları veri aktarımında uyulması gereken kişisel veri koruma kurallarıdır.
Ancak burada dikkat edilmelidir ki veri sorumluları için Bağlayıcı Şirket Kuralları, kişisel verilerin, Türkiye’de yerleşik veri sorumlularından aynı grup içerisindeki ve Türkiye dışındaki diğer veri sorumluları veya veri işleyenlere aktarımı için kullanılır. Dolayısıyla, veri sorumluları için Bağlayıcı Şirket Kurallarında belirtilen yükümlülükler, aynı grupta veri sorumlusu olarak hareket eden kuruluşlar ve “dâhili” veri işleyen olarak hareket edenler için geçerli olacaktır.
Bağlayıcı Şirket Kuralları formuna Kurum’un sitesinden ulaşmak mümkün olmakla birlikte başvuru yapmaya grubun Türkiye’de yerleşik merkezi var ise burası yetkilidir. Grubun Türkiye’de yerleşik merkezi yok ise Türkiye’de yerleşik bir Grup üyesi kişisel verilerin korunması konusunda yetkilendirilmelidir.
Başvuru yaparken (a) Başvuru formu (b) Bağlayıcı Şirket Kuralları metni ve (c) başvuran tarafından başvuru ile ilgili gerekli görülen diğer tüm bilgi ve belgeler Kurum’a sunulmalıdır. Bunların dışında Kurum gerekli gördüğü takdirde başka bilgi veya belge talep edebilir.
Başvurular, merkezi İstanbul/Ankara’da bulunan Kurum’a elden veya posta yolu ile iletilebilir ve 1 yıl içerisinde sonuçlanarak ilgilisine bildirilir.
Sonuç olarak Kurum’un yayınladığı bu duyuru ile Türkiye’de bulunan grup şirketleri için veri koruma taahhütnamesine alternatif olarak Bağlayıcı Şirket Kuralları olarak daha detaylı ve kapsamlı bir yöntem getirilmiş olup bu yöntem ile veri aktarılan bütün grup şirketi ile taahhütname yapılmasına gerek kalmadan Bağlayıcı Şirket Kuralları formundaki bilgilerin doldurulup Kurum’dan onay alınması halinde yurt dışına veri aktarımının grup şirketleri açısından kolaylaşacağı öngörülmüştür.
Bültenimiz ile alakalı sormak istediğiniz herhangi bir sorunuz olması durumunda her daim bizlere ulaşabilirsiniz.
Av. Mahmut BarlasAv. Çağdaş Altınova
Published :
Categories: Data Protection