ÇOK ULUSLU ŞİRKET TOPLULUKLARI ARASINDA KİŞİSEL VERİ AKTARIMI BAĞLAYICI ŞİRKET KURALLARI:

Kişisel Verileri Koruma Kurumu (“Kurum”), Türkiye’de yerleşik veri sorumlusu tarafından yeterli veri koruması bulunmayan ülkelerde yerleşik veri sorumlusuna/veri işleyene (çok uluslu şirket toplulukları arasında) kişisel verilerin aktarımında yeni bir uygulamanın başlatılacağını 10.04.2020 tarihinde web sitesinde yayımladığı duyurusu ile açıklamıştır.

BŞK, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketler için kişisel verilerin yurt dışına aktarılmasında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarını içeren bir metindir.

Bu kapsama giren şirketlerin, öncelikle duyuruda yer verilen içeriğe uygun olarak BŞK hazırlaması, ve BŞK Başvuru Formunu doldurup ilgili diğer bilgi ve belgeler ile Kurul’un iznine başvurması gerekliliği ortaya konulmuştur. Bu düzenleme mehaz AB düzenlemeleri kapsamında AB dışına veri aktarımı yapacak teşebbüslere ilişkin düzenleme olan Binding Corporate Rules’un mevzuatımıza uyarlanması olarak karşımıza çıkmaktadır.

BAŞVURUYU YAPMA YETKİSİ;

Grup Şirketlerin Türkiye’de yerleşik merkezi var ise ona ait olacaktır. Grup Şirketlerin Türkiye’de yerleşik bir merkezinin bulunmaması halinde, Türkiye’de yerleşik bir Grup Şirketler üyesi kişisel verilerin korunması konusunda yetkilendirilmelidir. Bu durumda, Grup Şirketler adına başvuru yapma yetkisini burası haiz olacaktır.

• BŞK uygulamasından yararlanabilmek için Grup Şirketler temel olarak iki taahhüt altına girmelidir:
• Grup Şirketlerin Türkiye’de yerleşik merkezi veya Grup Şirketlerin merkezi Türkiye’de değil ise kişisel verilerin korunması konusunda yetkili ve Türkiye’de yerleşik bir Grup Şirketler üyesinin, ülke dışında bulunan ve BŞK ile bağlı olan diğer Grup Şirket üyelerinin eylemlerinin düzeltilmesi için gerekli girişimlerde bulunması ve BŞK’nin ihlal edilmesinden kaynaklanacak maddi veya manevi zararların giderilmesi için tazminat ödenmesi konusunda BŞK’de bir yükümlülük bulunmalıdır.
• Başvuru formunda; BŞK ile bağlı Türkiye dışında kurulu bulunan diğer üyelerin fiilleri bakımından sorumluluğu kabul eden tüm BŞK üyelerinin, BŞK’nin ihlalinden kaynaklanan zararların tazmini için yeterli varlığa sahip olduğu yönünde bir taahhüt yer almalıdır.
• İlgili kişilerin BŞK’ye kolay erişimi ve şeffaflığın sağlanması gerekmektedir. Bu nedenle ilgili kişiler için ilgili kısımların şirket web sitelerinde yayımlanması mümkündür.
• Uygun eğitim ve farkındalık çalışmalarının yürütülmesi beklenmektedir. BŞK başvurusunu değerlendirecek olan Kurul, başvuru prosedürü sırasında eğitim programının örneklerini ve açıklamalarını isteyebilir. Bu bağlamda, ilgili eğitim programı başvuruda açıkça belirtilmelidir.
• Herhangi bir ilgili kişinin kendi haklarını kullanabilmesi ve herhangi bir BŞK üyesi hakkında başvuruda bulunabilmesini sağlayacak dahili bir şikayet yönetimi süreci kurulmalıdır. Şikayet kapsamında ilgili kişilerin talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırılacaktır. Başvuru formunda, şikayet sisteminin uygulanma aşamaları hakkında ilgili kişilerin nasıl bilgilendirileceği açıklanmalıdır.
• Uyumluluk denetimi BŞK uygulamasında önem arz etmektedir. BŞK, taahhüt edilen kurallara uygun hareket edilmesini sağlamak üzere düzenli olarak denetim yapılması/yaptırılması ve bu denetimi kimlerin yapacağı gibi konularda açıklamalar içermelidir.
• BŞK metni, gerekmesi halinde tüm üyelerin Kurum tarafından denetlenmesini ve bu kurallarla ilgili herhangi bir konuda Kurum’un tavsiyelerine uymayı kabul ettiğini içeren açık bir yükümlülük içermelidir.
• BŞK; aktarıma konu kişisel verinin niteliği (genel/özel nitelikli kişisel veri), veri kategorileri (kimlik, iletişim, lokasyon, özlük gibi), aktarım amaçları ve süreleri, veri konusu kişi grubu veya grupları (çalışan, stajyer, ziyaretçi, ürün veya hizmet alan kişi gibi), veri aktarımının hangi yöntemle gerçekleştirileceği, veri aktarımının hukuki sebebi/sebepleri, aktarılacak verilerin Grup Şirketler içerisindeki dağılımı (ilgili Grup Şirketler üyelerinin adı ve iletişim bilgilerini belirterek), sonraki aktarımlar gibi hususları içermelidir. Ayrıca BŞK üyelerinin, tüm kategorilerdeki veri işleme faaliyetlerinin elektronik yöntemler de dâhil olmak üzere yazılı şekilde kaydını tutması ve talep halinde Kuruma sunması gerekmektedir.

AŞAĞIDAKİ DEĞİŞİKLİK/GÜNCELLEME DURUMLARIYLA İLGİLİ OLARAK:

• i.Belirli bir kişi veya ekip/birim, BŞK üyelerinin tam ve güncel bir listesi ile kurallardaki güncellemelere dair kayıtları tutar, ilgili kişilere ve Kuruma talep üzerine gerekli bilgileri sağlar.
• ii. Yeni Grup üyesine, BŞK’ye bağlılığı ve uyumu tam olarak sağlayıncaya kadar herhangi bir kişisel veri aktarımı yapılmaz.
• iii. BŞK veya BŞK üyelerindeki herhangi bir değişiklik, güncellemeyi haklı kılan sebeplerin kısa bir açıklamasıyla birlikte Kuruma yılda bir kez bildirilir.
• iv. BŞK’nin sunduğu koruma seviyesini veya BŞK’yi önemli şekilde etkileyen değişiklikler (bağlayıcılık niteliğini etkileyen değişiklikler gibi) derhal Kuruma bildirilir.

Her durumda, bu bağlamda bildirim yükümlülüğü yerine getirilirken; kişisel verilerin herhangi bir kamu otoritesine aktarımının, demokratik bir toplumda gerekli olanın ötesine geçecek şekilde büyük, orantısız ve rastgele şekilde yapılamayacağı gözetilmeli ve kişisel verilerin korunması hukukunun temel ilkelerine uygun hareket edilmelidir.