Rekabetçi bir ekosistemde kişisel verilerin işlenmesini, aktarımını ve akış hızını değiştirmek mümkün değildir. Zira geçmişten günümüze bilişim sistemlerinin yaygınlaşması, bireysel ve kurumsal düzlemde iletişim kanallarının artması ve internet kullanımın hızla ilerlemesi ile birlikte pek çok iş modeli dijital ortama taşınmıştır. Bu durum kişisel verilerin işlenmesi ve yurt dışına aktarımı faaliyetlerindeki yoğunlaşmayı da beraberinde getirmiştir.
Yurt dışına veri aktarımının gerek sosyal gerek de iş yaşantımızın ayrılmaz bir parçası olması sebebiyle, iş yapış şekillerimizde veri aktarımında gerekli dikkat ve özeni göstermesi, Kanun’un genel ilkelerine riayet ederek ve her halükarda veri aktarım usul ve esaslarına bağlı veri aktarımının yapılması, olası aykırılıkların önüne geçilmesi bakımından büyük önem arz etmektedir.
Unutulmamalıdır ki, esas olan verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) öngörülen usullere uygun işlenmesi ve aktarımının yapılmasıdır. Nitekim, verilerin hukuka aykırı işlenmesi ve erişilmesini önlemek veri sorumlusunun veri güvenliğine dair temel yükümlülükleri arasında yer almaktadır.
Veri sorumlularının ticari faaliyetlerini sürdürürken gerçekleştirdikleri yurt dışına veri aktarım faaliyetinin Kanun nezdinde usulüne uygun gerçekleştirmesi için gerekli şartlar ve özellikle grup şirketlerinin yurtdışında yerleşik gruplarına veri aktarımında konu olabilecek Bağlayıcı Şirket Kurallarının ne olduğunu aşağıda sizler için derledik.
Şayet bu sorulardan en az birisine cevabınız “Evet” ise, Kanun kapsamında yurt dışına veri aktarımı yapıyorsunuz demektir.
Bilindiği üzere, verilerin yurt dışına aktarılması Kanun’un 9.maddesinde düzenlenmiştir. İlgili Kanun hükmüne göre; kişisel veriler ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Aynı maddenin 2.fıkrasında açık rıza alınmasının istisnalarına değinilmiş ve Kanun’un 5.maddesinin 2.fıkrası ve 6.maddesinin 3.fıkrasında belirlenen şartların varlığı ile verilerin aktarılacağı ülkede;
Kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına veri aktarımının gerçekleştirilebileceği düzenlenmiştir. Yeterli korumanın bulunduğu ülkeler ’in Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından belirleneceği de aynı maddenin 3.fıkrası ile hüküm altına alınmıştır.
Açık Rıza, ilgili kişi tarafından Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza’yı ifade etmekle birlikte her daim ilgili kişi tarafından sebep gösterilmeksizin geri alınabileceği de göz önünde bulundurulmalıdır. Bu durumda grup şirketlerin her bir yurtdışına veri aktarımı faaliyeti esnasında ilgili kişi ve/veya kişilerden açık rıza alması pratikte ve ticari hayatın hızlılığında makul ve kalıcı bir çözüm olmayacaktır. Nitekim, yurt dışına veri aktarımı için ilgili kişiden alınacak açık rıza’da, açık rızanın genel koşullarının yanı sıra içermesi gereken asgari unsurlar aşağıdaki gibidir:
Hatırlatmak isteriz ki, yurt dışına veri aktarımında esas olan verilerin ülke dışına çıkması yeterli olup; üçüncü kişilere aktarımı şart değildir- ki bu sebeple de yurt dışında bulunan sunuculara yönelik paylaşımlar da aktarım niteliğindedir[2].
Örneğin, bir Türk şirketi, çalışan verilerini yurtdışında bulunan ana şirketin sağladığı merkezi insan kaynakları uygulamasında tutmaktadır. Böylelikle Türkiye’deki çalışanların özlük bilgileri yurtdışındaki ana şirkete gönderilmektedir. Bu işlem yurtdışına aktarımdır[3].
Açık rıza haricinde şayet Kanun’un 5. veya 6.maddesinde yer alan veri işleme şartlarının varlığı ve aktarım yapılacak ülkede yeterli korumanın bulunması durumunda da yurt dışına veri aktarımı gerçekleştirilebilmektedir. Kanun’un 9.maddesi dikkate alınarak; yeterli korumaya sahip ülkeler Kurul tarafından ilan edilecektir. Bilindiği üzere Kanun, 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiş olup; aradan geçen 5 yıllık zaman dilimi neticesinde ve Nisan 2021 tarihi itibariyle, henüz Kurul tarafından yayınlanan yeterli korumaya sahip ülkeler/ güvenli ülke bulunmamaktadır. Bu durumda, Kanun’da yer alan veri işleme şartlarının varlığı halinde dahi güvenli ülkelere dair Kurul tarafından yapılan bir açıklamanın yer almaması sebebiyle, yurt dışına veri aktarımında Kanun’un 9.maddesinin 2.fıkrasının a bendi çözüm yolu olmayacaktır.
Yeterli korumanın bulunmaması durumunda, Türkiye ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve bu taahhüdün Kurul tarafından onaylanması neticesinde yurt dışına veri aktarımı yapılabilecektir. Dolayısıyla, Türkiye’deki veri sorumlusunun yeterli korunmanın bulunmadığı ülkeler ile yapacakları yazılı taahhütname ve Kanun’da yer alan veri işleme şartlarının varlığı halinde, yurt dışına veri aktarımı yapılabilecektir. Halihazırda sitesinde yer alan kamuoyu duyuruları referans alınarak; Kurul tarafından iki taahhütname başvurusunun kabul edildiği bilgisine sahibiz[4].
Yurt dışına veri aktarımında veri sorumluları tarafından hazırlanan Taahhütname başvurularında dikkat edilmesi gereken usul ve esaslar ve başvuru adımları Kişisel Verileri Koruma Kurumu’nun(“Kurum”) internet sitesinde yayınlanmıştır. Öte yandan Kurul’a yapılan taahhütname başvurularının sonuçlanmasının uzun sürmesi, ticari hayatta hız’ın esas alındığı düşünüldüğünde yurt dışına veri aktarımında bulunan veri sorumluları için yerinde ve uygulanabilir bir çözüm olamayabilecektir. Zira Kurul tarafından başvuruda bulunulan taahhütnamelerin kabul edilip edilmeyeceğinin kesin olmaması sebebiyle; taahhüt mekanizmasının ticari hayata elverişliliği tartışmalı olabilecektir.
Tüm bu gerekçelerle özellikle de faaliyetlerinin çoğunun Türkiye dışında gerçekleştiği grup şirketler bakımından yurt dışına veri aktarımı daha komplike bir hal almaktadır.
Peki bu durumda alternatif nedir?
Kanun’da tanımlanmamış olan Bağlayıcı Şirket Kuralları (“BŞK”), Avrupa Birliği’nde 95/46/EC sayılı Direktif’in yürürlükte olduğu dönemde oluşturularak, çok uluslu şirketler ’in grup şirketlerine veri aktarımı yaparken birden fazla ülkenin mevzuat hükümlerine uygun davranma zorunluluğuna binaen, şirketlerin iş faaliyetlerini hızlandırmak amacıyla çok uluslu şirketler kendi politikalarını oluşturarak ilgili Veri Koruma Otoritelerine kabul ettirilmesi amaçlanmıştır[5]. Veri Koruma Otoritelerine kabul ettirilmeye çalışılan politikaların verilerin yurt dışına aktarımını sağlamakla beraber; kişisel verileri tam olarak koruyamaması sebebiyle; Avrupa Komisyonu Çalışma Grubu 29, bu gizlilik politikalarının taşıması gereken asgari şartları belirleyerek bu şartları haiz kuralları “Bağlayıcı Şirket Kuralları/ Binding Corporate Rules” olarak adlandırdı[6]. Avrupa Komisyonu Çalışma Grubu 29 tarafından oluşturulan bu kurallar sonrasında Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (General Data Protection Regulation/GDPR) 47.maddesinin 1.fıkrasında “Binding Corporate Rules” (“BCR”) başlığı altında düzenleme alanı bulmuştur.
Öte yandan 10.04.2021 tarihli bağlayıcı şirket kuralları hakkındaki duyurusu ile Kurum, yurt dışına veri aktarımında Taahhütnameler’in, genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımlarını kolaylaştırmakla birlikte çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalabildiği ve bu sebeple de söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere diğer bir yöntem olarak da “Bağlayıcı Şirket Kuralları” belirlendiğine yönelik açıklamada bulunmuştur[7]. Bu vesileyle, uzun süredir Avrupa Birliği uygulamalarında yer alan Bağlayıcı Şirket Kuralları, Türk Hukuku’nda da düzenleme alanı bulmuştur.
Kurum tarafından yer verilen açıklamada Bağlayıcı Şirket Kuralları,
“yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kuralları”
olarak tanımlanmaktadır. Bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kuruma, Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir.
Kurum 10.04.2020 tarihli duyurusu ile birlikte aynı zamanda veri sorumluları için “Bağlayıcı Şirket Kuralları Başvuru Formu” ve “Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman” da yayınlamış; bu suretle, “Grup”, “Grup Şirketi”, “Yetkili Grup Üyesi” türünde tanımları da açığa kavuşturmuştur. Buna göre;
Grup,
“Bir şirketler topluluğuna bağlı olarak faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularının tümünü ifade eder”
Grup Üyesi,
“Şirketler topluluğuna bağlı bir şirket ya da teşebbüs ile ortak bir ekonomik faaliyette bulunan ya da veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan bir gruptaki veri sorumlularını ifade eder”
Yetkili Grup Üyesi ise,
“Grubun Türkiye’de yerleşik bir merkezinin bulunmadığı durumda kişisel verilerin korunması konusunda yetkilendirilen Türkiye’de yerleşik bir Grup üyesini ifade eder”
şeklinde tanımlanmıştır.
Tanımların akabinde yayınlanan yardımcı doküman ile veri işleyenler’e değinilmiş; veri sorumluları için belirlenen yükümlülüklerin; Hizmet Sözleşmesine aykırı düşmeyecek şekilde, Grup içerisinde veri işleyen olarak veri aktarılan yapılara da uygulanacağı belirtilmiştir.
Avantajları:
Bağlayıcı Şirket Kuralları, hesap verilebilir olup tüm üyelerde aynı veri işleme ve koruma standartları belirlenmektedir. Aynı zamanda global ölçekte şeffaflaştırma sağlayarak ispat aracı olarak kullanılabilmektedir[8].
Bağlayıcı Şirket Kuralları (Binding Corporate Rules) sayesinde grup şirket veya ekonomik iş birliği halindeki teşebbüslere dahil tüm şirketler ve bu şirketlerin arasındaki ilişki açıkça ortaya konmakta; grup şirket bünyesinde verilerin toplanmasından yok edilmesine kadar olan işleme süreci açık ve anlaşılır biçimde düzenlenmekte ve bu şekilde yetkili veri koruma otoritelerinin denetiminden geçen bu süreç sonucunda verilerin aktarılması dahil tüm işleme sürecinde şeffaflık sağlanmaktadır[9]. Şeffaflık ve hesap verilebilirliğe dair sağladığı bu avantajlarla Bağlayıcı Şirket Kuralları (Binding Corporate Rules), ispat gücü olan bir doküman niteliği kazanmakta ve bu anlamda olası hukuka aykırılıklarda özen borcuna riayet edildiğine işaret etmektedir[10]. Şüphesiz ki bu husus, ilgili kişilerin olası zararlarından doğacak tazminat talepleri için de idari para cezaları için de önemli bir avantajdır[11].
Bağlayıcı Şirket Kuralları’nın GVKT’de düzenlendiği biçimi ile Türk Hukuku’nda uygulama alanı düşünüldüğünde, potansiyel uyumsuzluklar ile karşılaşılması muhtemeldir[12]. Örneğin, saklama sürelerine ilişkin Türkiye’deki şirket, işlediği kişisel verilerin saklama sürelerini Türk Hukuku’nda kanunda öngörülen saklama sürelerine göre düzenleyecektir[13]. Bu sebeple Binding Corporate Rules’da belirlenen veri saklama sürelerinin, Türk Hukuk uyarınca şirketin veri saklamakla yükümlü olduğu sürelere aykırılık teşkil etmediğinden emin olunmalıdır[14]. Bilindiği üzere, Türk Hukuku açısından özlük dosyalarının saklanma süresi 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nun 93 ve 102. maddeleri uyarınca, iş ilişkisinin bitiminden itibaren on yıl olup; farz edelim ki Binding Corporate Rules’da özlük dosyalarının saklanma süresi olarak, iş ilişkisinin bitiminden itibaren beş yıl sonra silinmesi öngörüldüyse; bu yönde bir yükümlülük elbet Türk şirketinin tabi olduğu iç hukuka aykırılık teşkil edecektir[15].
Kurum’un sayfasında yayınlanan Başvuru Formu ile takip edilmesi gereken usul ve esaslar aşağıdaki gibidir:
Şayet çok uluslu grup şirketinin Türkiye’de yerleşim yeri varsa başvuruyu yapmaya burası yetkilidir.
Grubun Türkiye’de yerleşik merkezi yok ise, Türkiye’de yerleşik bir Grup üyesi kişisel verilerin korunması konusunda yetkilendirilmelidir (Kısaca “Yetkili Grup Üyesi”). Bu durumda, Grup adına başvuru yapma yetkisini burası haizdir.
Başvuruda bulunan, ilgili başvuru belgelerini hazırlayarak başvuru aşamasında Kurum’a sunar. Gerekmesi halinde Kurum başkaca bilgi/belgeler talep edebilir.
Başvurular, elden veya posta yolu ile Kurum’a iletilebilir.
Başvurular, Kurum tarafından, resmi başvuru tarihinden itibaren bir (1) yıl içerisinde değerlendirilerek sonuca bağlanır. Gerekmesi halinde bu süre, altı (6) aylık sürelerle uzatılabilir.
Başvurunun Kurulca onaylanması halinde, bu durum Kurum tarafından ilgilisine bildirilir ve gerekmesi halinde ilan edilir.
Kanunun lafzında yer almayan ve halihazırda Kanun veya ilgili mevzuat düzenlemeleri ile tanımlanmamış bir kavramın, detaylandırılmadan iç hukuka dahil edilmesi elbet bir takım belirsizlikleri de beraberinde getirecektir. Her halükarda, çok uluslu grup şirketlerinin günlük operasyonel süreçlerinin bir gereği olarak gerçekleştirdikleri yurt dışına veri aktarım faaliyetleri bakımından Kurul tarafından başvurularının kabulü halinde, Bağlayıcı Şirket Kuralları’nın etkili bir alternatif çözüm yolu olduğunu da söylemek mümkün. Dülger/ Kahraman da, Bağlayıcı Şirket Kuralları’nın uygulanması açısından başvurulara dönüş sürelerinin uzun olması nedeniyle dönüş yapılana dek yurt dışı aktarımların hukuka aykırı olmaya devam edeceği ve bu sebeple de mümkün olduğunda hızlı dönüşler yapılması gerektiğine değinmektedirler[16].
Tüm bunlarla beraber, Kanun’un 9.maddesinin 3.fıkrasında yer aldığı şekliyle yeterli korumaya sahip “güvenli ülkeler” listesinin Kurul tarafından yayınlanması ile yurt dışına veri aktarımının merkezinde konumlanmış herkes açısından yurt dışına veri aktarımı konusunun açıklığa kavuşacağı kanaatindeyiz.
[1] DÜLGER, Murat Volkan, Kişisel Verilerin Korunması Hukuku, Hukuk Akademisi, 2.Baskı, İstanbul, 2019, s. 327.
[2] DÜLGER, s. 327.
[3] DÜLGER, s. 327.
[4] Detaylı bilgi için bkz. https://www.kvkk.gov.tr/Icerik/6867/TAAHHUTNAME-BASVURUSU-HAKKINDA-DUYURU ve https://www.kvkk.gov.tr/Icerik/6898/TAAHHUTNAME-BASVURUSU-HAKKINDA-DUYURU
[5] DÜLGER, Murat Volkan/ KAHRAMAN, Cansu Ceren; “KVKK’dan Kişisel Verilerin Yurt Dışına jAktarımında Önemli Bir Adım: Bağlayıcı Şirket Kuralları”, 2020, s. 2, (www.academia.edu)
[6] DÜLGER/ KAHRAMAN; a.g.e., s. 2.
[7] Detaylı bilgi için bkz.( https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU)
[8] TOPARLAK, Rüya Tuna; “Genel Veri Koruma Tüzüğünde Bağlayıcı Şirket Kuralları: Avrupa Birliği Hukukunda Uygulama”(Yüksek Lisans Tezi); s.102-104.
[9] TOPARLAK, s. 116.
[10] TOPARLAK, a.g.e. s. 116.
[11] TOPARLAK, a.g.e. s.116.
[12] TOPARLAK, a.g.e. s. 75.
[13] TOPARLAK, a.g.e. s. 75.
[14] TOPARLAK, a.g.e. s. 75.
[15] TOPARLAK, a.g.e. s. 75.
[16] DÜLGER/KAHRAMAN; a.g.e. s. 6-7.
Rekabetçi bir ekosistemde kişisel verilerin işlenmesini, aktarımını ve akış hızını değiştirmek mümkün değildir. Zira geçmişten günümüze bilişim sistemlerinin yaygınlaşması, bireysel ve kurumsal düzlemde iletişim kanallarının artması ve internet kullanımın hızla ilerlemesi ile birlikte pek çok iş modeli dijital ortama taşınmıştır. Bu durum kişisel verilerin işlenmesi ve yurt dışına aktarımı faaliyetlerindeki yoğunlaşmayı da beraberinde getirmiştir.
Yurt dışına veri aktarımının gerek sosyal gerek de iş yaşantımızın ayrılmaz bir parçası olması sebebiyle, iş yapış şekillerimizde veri aktarımında gerekli dikkat ve özeni göstermesi, Kanun’un genel ilkelerine riayet ederek ve her halükarda veri aktarım usul ve esaslarına bağlı veri aktarımının yapılması, olası aykırılıkların önüne geçilmesi bakımından büyük önem arz etmektedir.
Unutulmamalıdır ki, esas olan verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) öngörülen usullere uygun işlenmesi ve aktarımının yapılmasıdır. Nitekim, verilerin hukuka aykırı işlenmesi ve erişilmesini önlemek veri sorumlusunun veri güvenliğine dair temel yükümlülükleri arasında yer almaktadır.
Veri sorumlularının ticari faaliyetlerini sürdürürken gerçekleştirdikleri yurt dışına veri aktarım faaliyetinin Kanun nezdinde usulüne uygun gerçekleştirmesi için gerekli şartlar ve özellikle grup şirketlerinin yurtdışında yerleşik gruplarına veri aktarımında konu olabilecek Bağlayıcı Şirket Kurallarının ne olduğunu aşağıda sizler için derledik.
Şayet bu sorulardan en az birisine cevabınız “Evet” ise, Kanun kapsamında yurt dışına veri aktarımı yapıyorsunuz demektir.
Bilindiği üzere, verilerin yurt dışına aktarılması Kanun’un 9.maddesinde düzenlenmiştir. İlgili Kanun hükmüne göre; kişisel veriler ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Aynı maddenin 2.fıkrasında açık rıza alınmasının istisnalarına değinilmiş ve Kanun’un 5.maddesinin 2.fıkrası ve 6.maddesinin 3.fıkrasında belirlenen şartların varlığı ile verilerin aktarılacağı ülkede;
Kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına veri aktarımının gerçekleştirilebileceği düzenlenmiştir. Yeterli korumanın bulunduğu ülkeler ’in Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından belirleneceği de aynı maddenin 3.fıkrası ile hüküm altına alınmıştır.
Açık Rıza, ilgili kişi tarafından Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza’yı ifade etmekle birlikte her daim ilgili kişi tarafından sebep gösterilmeksizin geri alınabileceği de göz önünde bulundurulmalıdır. Bu durumda grup şirketlerin her bir yurtdışına veri aktarımı faaliyeti esnasında ilgili kişi ve/veya kişilerden açık rıza alması pratikte ve ticari hayatın hızlılığında makul ve kalıcı bir çözüm olmayacaktır. Nitekim, yurt dışına veri aktarımı için ilgili kişiden alınacak açık rıza’da, açık rızanın genel koşullarının yanı sıra içermesi gereken asgari unsurlar aşağıdaki gibidir:
Hatırlatmak isteriz ki, yurt dışına veri aktarımında esas olan verilerin ülke dışına çıkması yeterli olup; üçüncü kişilere aktarımı şart değildir- ki bu sebeple de yurt dışında bulunan sunuculara yönelik paylaşımlar da aktarım niteliğindedir[2].
Örneğin, bir Türk şirketi, çalışan verilerini yurtdışında bulunan ana şirketin sağladığı merkezi insan kaynakları uygulamasında tutmaktadır. Böylelikle Türkiye’deki çalışanların özlük bilgileri yurtdışındaki ana şirkete gönderilmektedir. Bu işlem yurtdışına aktarımdır[3].
Açık rıza haricinde şayet Kanun’un 5. veya 6.maddesinde yer alan veri işleme şartlarının varlığı ve aktarım yapılacak ülkede yeterli korumanın bulunması durumunda da yurt dışına veri aktarımı gerçekleştirilebilmektedir. Kanun’un 9.maddesi dikkate alınarak; yeterli korumaya sahip ülkeler Kurul tarafından ilan edilecektir. Bilindiği üzere Kanun, 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiş olup; aradan geçen 5 yıllık zaman dilimi neticesinde ve Nisan 2021 tarihi itibariyle, henüz Kurul tarafından yayınlanan yeterli korumaya sahip ülkeler/ güvenli ülke bulunmamaktadır. Bu durumda, Kanun’da yer alan veri işleme şartlarının varlığı halinde dahi güvenli ülkelere dair Kurul tarafından yapılan bir açıklamanın yer almaması sebebiyle, yurt dışına veri aktarımında Kanun’un 9.maddesinin 2.fıkrasının a bendi çözüm yolu olmayacaktır.
Yeterli korumanın bulunmaması durumunda, Türkiye ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve bu taahhüdün Kurul tarafından onaylanması neticesinde yurt dışına veri aktarımı yapılabilecektir. Dolayısıyla, Türkiye’deki veri sorumlusunun yeterli korunmanın bulunmadığı ülkeler ile yapacakları yazılı taahhütname ve Kanun’da yer alan veri işleme şartlarının varlığı halinde, yurt dışına veri aktarımı yapılabilecektir. Halihazırda sitesinde yer alan kamuoyu duyuruları referans alınarak; Kurul tarafından iki taahhütname başvurusunun kabul edildiği bilgisine sahibiz[4].
Yurt dışına veri aktarımında veri sorumluları tarafından hazırlanan Taahhütname başvurularında dikkat edilmesi gereken usul ve esaslar ve başvuru adımları Kişisel Verileri Koruma Kurumu’nun(“Kurum”) internet sitesinde yayınlanmıştır. Öte yandan Kurul’a yapılan taahhütname başvurularının sonuçlanmasının uzun sürmesi, ticari hayatta hız’ın esas alındığı düşünüldüğünde yurt dışına veri aktarımında bulunan veri sorumluları için yerinde ve uygulanabilir bir çözüm olamayabilecektir. Zira Kurul tarafından başvuruda bulunulan taahhütnamelerin kabul edilip edilmeyeceğinin kesin olmaması sebebiyle; taahhüt mekanizmasının ticari hayata elverişliliği tartışmalı olabilecektir.
Tüm bu gerekçelerle özellikle de faaliyetlerinin çoğunun Türkiye dışında gerçekleştiği grup şirketler bakımından yurt dışına veri aktarımı daha komplike bir hal almaktadır.
Peki bu durumda alternatif nedir?
Kanun’da tanımlanmamış olan Bağlayıcı Şirket Kuralları (“BŞK”), Avrupa Birliği’nde 95/46/EC sayılı Direktif’in yürürlükte olduğu dönemde oluşturularak, çok uluslu şirketler ’in grup şirketlerine veri aktarımı yaparken birden fazla ülkenin mevzuat hükümlerine uygun davranma zorunluluğuna binaen, şirketlerin iş faaliyetlerini hızlandırmak amacıyla çok uluslu şirketler kendi politikalarını oluşturarak ilgili Veri Koruma Otoritelerine kabul ettirilmesi amaçlanmıştır[5]. Veri Koruma Otoritelerine kabul ettirilmeye çalışılan politikaların verilerin yurt dışına aktarımını sağlamakla beraber; kişisel verileri tam olarak koruyamaması sebebiyle; Avrupa Komisyonu Çalışma Grubu 29, bu gizlilik politikalarının taşıması gereken asgari şartları belirleyerek bu şartları haiz kuralları “Bağlayıcı Şirket Kuralları/ Binding Corporate Rules” olarak adlandırdı[6]. Avrupa Komisyonu Çalışma Grubu 29 tarafından oluşturulan bu kurallar sonrasında Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (General Data Protection Regulation/GDPR) 47.maddesinin 1.fıkrasında “Binding Corporate Rules” (“BCR”) başlığı altında düzenleme alanı bulmuştur.
Öte yandan 10.04.2021 tarihli bağlayıcı şirket kuralları hakkındaki duyurusu ile Kurum, yurt dışına veri aktarımında Taahhütnameler’in, genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımlarını kolaylaştırmakla birlikte çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalabildiği ve bu sebeple de söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere diğer bir yöntem olarak da “Bağlayıcı Şirket Kuralları” belirlendiğine yönelik açıklamada bulunmuştur[7]. Bu vesileyle, uzun süredir Avrupa Birliği uygulamalarında yer alan Bağlayıcı Şirket Kuralları, Türk Hukuku’nda da düzenleme alanı bulmuştur.
Kurum tarafından yer verilen açıklamada Bağlayıcı Şirket Kuralları,
“yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kuralları”
olarak tanımlanmaktadır. Bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kuruma, Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir.
Kurum 10.04.2020 tarihli duyurusu ile birlikte aynı zamanda veri sorumluları için “Bağlayıcı Şirket Kuralları Başvuru Formu” ve “Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman” da yayınlamış; bu suretle, “Grup”, “Grup Şirketi”, “Yetkili Grup Üyesi” türünde tanımları da açığa kavuşturmuştur. Buna göre;
Grup,
“Bir şirketler topluluğuna bağlı olarak faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularının tümünü ifade eder”
Grup Üyesi,
“Şirketler topluluğuna bağlı bir şirket ya da teşebbüs ile ortak bir ekonomik faaliyette bulunan ya da veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan bir gruptaki veri sorumlularını ifade eder”
Yetkili Grup Üyesi ise,
“Grubun Türkiye’de yerleşik bir merkezinin bulunmadığı durumda kişisel verilerin korunması konusunda yetkilendirilen Türkiye’de yerleşik bir Grup üyesini ifade eder”
şeklinde tanımlanmıştır.
Tanımların akabinde yayınlanan yardımcı doküman ile veri işleyenler’e değinilmiş; veri sorumluları için belirlenen yükümlülüklerin; Hizmet Sözleşmesine aykırı düşmeyecek şekilde, Grup içerisinde veri işleyen olarak veri aktarılan yapılara da uygulanacağı belirtilmiştir.
Avantajları:
Bağlayıcı Şirket Kuralları, hesap verilebilir olup tüm üyelerde aynı veri işleme ve koruma standartları belirlenmektedir. Aynı zamanda global ölçekte şeffaflaştırma sağlayarak ispat aracı olarak kullanılabilmektedir[8].
Bağlayıcı Şirket Kuralları (Binding Corporate Rules) sayesinde grup şirket veya ekonomik iş birliği halindeki teşebbüslere dahil tüm şirketler ve bu şirketlerin arasındaki ilişki açıkça ortaya konmakta; grup şirket bünyesinde verilerin toplanmasından yok edilmesine kadar olan işleme süreci açık ve anlaşılır biçimde düzenlenmekte ve bu şekilde yetkili veri koruma otoritelerinin denetiminden geçen bu süreç sonucunda verilerin aktarılması dahil tüm işleme sürecinde şeffaflık sağlanmaktadır[9]. Şeffaflık ve hesap verilebilirliğe dair sağladığı bu avantajlarla Bağlayıcı Şirket Kuralları (Binding Corporate Rules), ispat gücü olan bir doküman niteliği kazanmakta ve bu anlamda olası hukuka aykırılıklarda özen borcuna riayet edildiğine işaret etmektedir[10]. Şüphesiz ki bu husus, ilgili kişilerin olası zararlarından doğacak tazminat talepleri için de idari para cezaları için de önemli bir avantajdır[11].
Bağlayıcı Şirket Kuralları’nın GVKT’de düzenlendiği biçimi ile Türk Hukuku’nda uygulama alanı düşünüldüğünde, potansiyel uyumsuzluklar ile karşılaşılması muhtemeldir[12]. Örneğin, saklama sürelerine ilişkin Türkiye’deki şirket, işlediği kişisel verilerin saklama sürelerini Türk Hukuku’nda kanunda öngörülen saklama sürelerine göre düzenleyecektir[13]. Bu sebeple Binding Corporate Rules’da belirlenen veri saklama sürelerinin, Türk Hukuk uyarınca şirketin veri saklamakla yükümlü olduğu sürelere aykırılık teşkil etmediğinden emin olunmalıdır[14]. Bilindiği üzere, Türk Hukuku açısından özlük dosyalarının saklanma süresi 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nun 93 ve 102. maddeleri uyarınca, iş ilişkisinin bitiminden itibaren on yıl olup; farz edelim ki Binding Corporate Rules’da özlük dosyalarının saklanma süresi olarak, iş ilişkisinin bitiminden itibaren beş yıl sonra silinmesi öngörüldüyse; bu yönde bir yükümlülük elbet Türk şirketinin tabi olduğu iç hukuka aykırılık teşkil edecektir[15].
Kurum’un sayfasında yayınlanan Başvuru Formu ile takip edilmesi gereken usul ve esaslar aşağıdaki gibidir:
Şayet çok uluslu grup şirketinin Türkiye’de yerleşim yeri varsa başvuruyu yapmaya burası yetkilidir.
Grubun Türkiye’de yerleşik merkezi yok ise, Türkiye’de yerleşik bir Grup üyesi kişisel verilerin korunması konusunda yetkilendirilmelidir (Kısaca “Yetkili Grup Üyesi”). Bu durumda, Grup adına başvuru yapma yetkisini burası haizdir.
Başvuruda bulunan, ilgili başvuru belgelerini hazırlayarak başvuru aşamasında Kurum’a sunar. Gerekmesi halinde Kurum başkaca bilgi/belgeler talep edebilir.
Başvurular, elden veya posta yolu ile Kurum’a iletilebilir.
Başvurular, Kurum tarafından, resmi başvuru tarihinden itibaren bir (1) yıl içerisinde değerlendirilerek sonuca bağlanır. Gerekmesi halinde bu süre, altı (6) aylık sürelerle uzatılabilir.
Başvurunun Kurulca onaylanması halinde, bu durum Kurum tarafından ilgilisine bildirilir ve gerekmesi halinde ilan edilir.
Kanunun lafzında yer almayan ve halihazırda Kanun veya ilgili mevzuat düzenlemeleri ile tanımlanmamış bir kavramın, detaylandırılmadan iç hukuka dahil edilmesi elbet bir takım belirsizlikleri de beraberinde getirecektir. Her halükarda, çok uluslu grup şirketlerinin günlük operasyonel süreçlerinin bir gereği olarak gerçekleştirdikleri yurt dışına veri aktarım faaliyetleri bakımından Kurul tarafından başvurularının kabulü halinde, Bağlayıcı Şirket Kuralları’nın etkili bir alternatif çözüm yolu olduğunu da söylemek mümkün. Dülger/ Kahraman da, Bağlayıcı Şirket Kuralları’nın uygulanması açısından başvurulara dönüş sürelerinin uzun olması nedeniyle dönüş yapılana dek yurt dışı aktarımların hukuka aykırı olmaya devam edeceği ve bu sebeple de mümkün olduğunda hızlı dönüşler yapılması gerektiğine değinmektedirler[16].
Tüm bunlarla beraber, Kanun’un 9.maddesinin 3.fıkrasında yer aldığı şekliyle yeterli korumaya sahip “güvenli ülkeler” listesinin Kurul tarafından yayınlanması ile yurt dışına veri aktarımının merkezinde konumlanmış herkes açısından yurt dışına veri aktarımı konusunun açıklığa kavuşacağı kanaatindeyiz.
[1] DÜLGER, Murat Volkan, Kişisel Verilerin Korunması Hukuku, Hukuk Akademisi, 2.Baskı, İstanbul, 2019, s. 327.
[2] DÜLGER, s. 327.
[3] DÜLGER, s. 327.
[4] Detaylı bilgi için bkz. https://www.kvkk.gov.tr/Icerik/6867/TAAHHUTNAME-BASVURUSU-HAKKINDA-DUYURU ve https://www.kvkk.gov.tr/Icerik/6898/TAAHHUTNAME-BASVURUSU-HAKKINDA-DUYURU
[5] DÜLGER, Murat Volkan/ KAHRAMAN, Cansu Ceren; “KVKK’dan Kişisel Verilerin Yurt Dışına jAktarımında Önemli Bir Adım: Bağlayıcı Şirket Kuralları”, 2020, s. 2, (www.academia.edu)
[6] DÜLGER/ KAHRAMAN; a.g.e., s. 2.
[7] Detaylı bilgi için bkz.( https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU)
[8] TOPARLAK, Rüya Tuna; “Genel Veri Koruma Tüzüğünde Bağlayıcı Şirket Kuralları: Avrupa Birliği Hukukunda Uygulama”(Yüksek Lisans Tezi); s.102-104.
[9] TOPARLAK, s. 116.
[10] TOPARLAK, a.g.e. s. 116.
[11] TOPARLAK, a.g.e. s.116.
[12] TOPARLAK, a.g.e. s. 75.
[13] TOPARLAK, a.g.e. s. 75.
[14] TOPARLAK, a.g.e. s. 75.
[15] TOPARLAK, a.g.e. s. 75.
[16] DÜLGER/KAHRAMAN; a.g.e. s. 6-7.