Kişisel Verilerin Yurtdışına Aktarılması ve Bağlayıcı Şirket Kuralları
Nisan 2020, Erdemir&Özmen Avukatlık OrtaklığıKişisel Verilerin Yurtdışına Aktarılması ve Bağlayıcı Şirket Kuralları
Kişisel verilerin yurtdışına aktarılması, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) ve Kişisel Verileri Koruma Kurulu (“Kurul”) kararlarında düzenlenmiştir. Ancak aktarım şartları uygulamada özellikle çok uluslu şirketler açısından pratik olmayan sonuçlara sebep olmuştur. Bu nedenle Kişisel Verileri Koruma Kurumu, 10.04.2020 tarihli “Bağlayıcı Şirket Kuralları Hakkında Duyuru”[1] ile bu hususta kolaylık sağlayan bir yenilik sunmuştur.
1.Kişisel Verilerin Yurtdışına Aktarılması
Kural olarak, KVVK’nın 9. maddesine göre kişisel veriler, ilgili kişinin açık rızası alınmaksızın yurt dışına aktarılamayacaktır. Ancak belirli şartların sağlanması halinde, ilgili kişinin açık rızası alınmadan da kişisel verileri yurtdışına aktarılabilmesi mümkündür.
Buna göre, ilgili kişinin açık rızası alınmaksızın kişisel verilerin yurtdışına aktarılabilmesi için öncelikle işlenme faaliyetinin:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler için, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenmesi; sağlık ve cinsel hayata ilişkin kişisel veriler için ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenmesi.
şartlarından birinin sağlanmış olması gerekmektedir. Eğer bu koşullardan biri sağlanıyor ise, kişisel verilerin aktarılacağı ülkede:
- Yeterli korumanın bulunması veya
- Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,
kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği düzenlenmiştir.
Diğer bir deyişle, yukarıda açıklanan ve açık rıza alınmadan kişisel verilerin işlenebileceğine dair istisna durumlar gerçekleşmiş olsa dahi; kişisel verilerin aktarılacağı ülkede yeterli koruma bulunması veya aktarımın her iki taraf tarafının da taahhütname vermesi ve Kurul’un bu aktarıma onay vermesi gerekmektedir.
KVKK’da yeterli korumanın bulunduğu ülkelerin Kurul tarafından ilan edileceği öngörülmüşse de, henüz bu kapsamda Kurul tarafından herhangi bir açıklama yapılmamıştır.
Bu nedenle yeterli korumanın bulunduğu ülkeler belirsiz olduğundan, uygulamada en sık tercih edilen yöntemler: ilgili kişinin açık rızasının alınması veya yabancı ülkedeki veri sorumlularından taahhütname alınması ve Kurul’a başvuru yapılarak onay alınması olmuştur. Söz konusu taahhütnamenin içeriği ve nasıl düzenleneceğine dair açıklamalar Kurul tarafından yayınlanmıştır[2].
Kurul’un işbu taahhütnamelere onay verirken göz önünde bulunduracağı kriterler KVKK’da belirlenmiştir, Kurul:
- Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
- Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
- Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
- Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
- Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri
değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.
Bununla birlikte, kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
Özetle uygulamada, kişisel verilerin yurtdışına aktarılabilmesi için yeterli korumanın bulunduğu ülkeler açıklanana dek ilgili kişinin açık rızası alınmakta veya taahhütname düzenlenerek Kurul’dan onay alınmaktadır. Ancak anılan işlemler çok uluslu şirketler açısından pratik olarak yürütülemediğinden sorunlar doğabilmektedir. Bu nedenle Kişisel Verileri Koruma Kurumu, 10.04.2020 tarihinde “Bağlayıcı Şirket Kuralları”na dayalı olarak yeni bir yöntem yayınlamıştır.
2.Bağlayıcı Şirket Kuralları
Kurul tarafından, çok uluslu şirket toplulukları arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere diğer bir yöntem olarak “Bağlayıcı Şirket Kuralları” belirlenmiştir.
Bağlayıcı Şirket Kuralları; bir şirketler topluluğuna bağlı olarak Türkiye’de yerleşik bir veri sorumlusu tarafından, bu şirketler topluluğuna bağlı olarak yurt dışında bir veya daha fazla ülkede faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularına yapılacak olan kişisel veri aktarımları veya aktarım setlerinde uyulması gereken kişisel veri koruma kurallarını ifade eder.
Diğer bir deyişle, Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır.
Bu kapsama giren şirketlerin, Kurul’un internet sitesinde yayınlanan başvuru formunu[3] doldurup gerekli talimatları izleyerek Kuruma, Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir. Bağlayıcı Şirket Kuralları uygulanan şirketler bakımından taahhütname verilmesi şartı aranmayacaktır.
Bağlı Şirket Kurallarına dair detaylar “Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman”[4]da açıklanmıştır.
Bu dokümanda özetle aşağıdaki hususlara yer verilmiştir.
“Bağlayıcılığın sağlanması amacı ile Bağlayıcı Şirket Kuralları kapsamında yer alacak veri sorumlusu ile veri işleyen arasında Türk Hukuku’nda geçerli yasal bir sözleşme ya da diğer bir hukuki işlem düzenlenerek bunun tüm veri işleyenler tarafından imzalanması sağlanmalıdır. Veri sorumluları için Bağlayıcı Şirket Kuralları ile belirlenen yükümlülükler, bu sözleşmeye aykırı düşmeyecek şekilde, Grup içerisinde veri işleyen olarak veri aktarılan yapılara da uygulanmalıdır.
Bağlayıcı Şirket Kuralları, hukuken bağlayıcı olmalı ve bu kurallara uyma hususunda çalışanları da dâhil olmak üzere tüm grup üyelerine açık bir yükümlülük getirmelidir. Çalışanlar üzerinde bağlayıcılığın sağlanması için iş sözleşmesi, toplu iş sözleşmesi, gizlilik sözleşmesi, etik kurallar, şirket politikaları, iş yeri iç yönetmelikleri vb. yöntemlerden bir veya birkaçının kullanılması önerilmiştir.
Bağlayıcı Şirket Kuralları metninde, kişisel verilerin korunmasına dair Türk Hukuku mevzuatı gereği veri sorumlusu ve veri işleyenlerin yükümlülükleri ile ilgili kişilerin haklarına dair düzenlemeler mutlaka bulunmalıdır.
Şirketler grubunun[5] Türkiye’de yerleşik merkezi veya grubun merkezi Türkiye’de değil ise kişisel verilerin korunması konusunda yetkili ve Türkiye’de yerleşik bir grup üyesinin, ülke dışında bulunan ve Bağlı Şirket Kuralları ile bağlı olan diğer grup üyelerinin eylemlerinin düzeltilmesi için gerekli girişimlerde bulunması ve Bağlı Şirket Kuralları’nın ihlal edilmesinden kaynaklanacak maddi veya manevi zararların giderilmesi için tazminat ödemesi konusunda Bağlı Şirket Kuralları’nda bir yükümlülük bulunmalıdır.
Bağlı Şirket Kuralları’nda şu hususlar açıkça belirtilmelidir; Türkiye dışındaki bir Bağlı Şirket Kuralları üyesi Bağlı Şirket Kuralları’nı ihlal ederse, bu konuda yetki Türkiye’deki mahkemeler ve yetkili makamlarda olacaktır. İlgili kişinin, sanki ihlal yurtdışında değil Türkiye’de gerçekleşmiş gibi sorumluluk ve yükümlülüğü kabul etmiş olan Bağlı Şirket Kuralları üyesine karşı hak ve tazminatlarını talep etme yetkisi olacaktır.”
Kaynaklar
[1] https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU
[2] https://www.kvkk.gov.tr/Icerik/5255/Taahhutnameler
[3] https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU
[4] https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU
[5] Grup; Bir şirketler topluluğuna bağlı olarak faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularının tümünü ifade eder.
