Resmi Gazete Dışındaki Kaynak
No.:
KVKK-BŞK/2024-2
Kurum:
Kişisel Verileri Koruma Kurumu
Kabul Tarihi:
04.06.2024
Yürürlüğe Giriş Tarihi:
04.06.2024
Bu doküman Resmi Gazete dışında bir kaynakta yayınlanmıştır. Konsolide metin çalışmaları ilgili kaynak güncellendikçe sağlanabilmektedir.
GİRİŞ
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 9 uncu maddesinin dördüncü fıkrası uyarınca kişisel verilerin, mezkur maddenin ikinci ve üçüncü fıkraları uyarınca Kişisel Verileri Koruma Kurulu (Kurul) tarafından verilen bir yeterlilik kararının bulunmaması durumunda, Kanunun 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, Kanunun 9 uncu maddesinin dördüncü fıkrasında tahdidi olarak sayılan uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilmesi mümkündür.
Söz konusu uygun güvencelerden biri ise Kanunun 9 uncu maddesinin dördüncü fıkrasının (b) bendinde sayılan ‘Ortak ekonomik faaliyette bulunan teşebbüs grubu (Grup) bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı’dır. Bu çerçevede kişisel verilerin, Türkiye’deki veri sorumluları veya veri işleyenler tarafından Kurul tarafından onaylanan bağlayıcı şirket kurallarına dayanılarak aktarılması mümkündür.
Öte yandan, Kanunun 9 uncu maddesinin on birinci fıkrası uyarınca Kanunun kişisel verilerin yurt dışına aktarılmasına ilişkin 9 uncu maddesinin uygulanmasına ilişkin usul ve esasların yönetmelikle düzenleneceği belirtilmiştir.
10/07/2024 tarihli ve 32598 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren ‘Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in (Yönetmelik) 12 ve 13’üncü maddelerinde bağlayıcı şirket kurallarına ilişkin usul ve esaslar düzenlenmiş olup, Yönetmeliğin 13’üncü maddesinin birinci fıkrasında ise bağlayıcı şirket kurallarında asgari olarak bulunması gereken hususlara yer verilmiştir. Mezkûr maddenin ikinci fıkrası uyarınca Kurul’un, birinci fıkrada belirtilenler dışında ilave hususlar belirlemeye yetkili olduğu ve bağlayıcı şirket kuralları başvurusunda kullanılacak belgelerin Kurul tarafından belirleneceği düzenlenmiştir.
Kişisel verilerin bağlayıcı şirket kurallarına dayanılarak yurt dışına aktarılabilmesi amacıyla Kurul’a yapılacak onay başvurusunun ‘Veri Sorumluları için Bağlayıcı Şirket Kuralları’na (VS BŞK) veya ‘Veri İşleyenler için Bağlayıcı Şirket Kuralları’na (Vİ BŞK) dayanılarak yapılması mümkündür. Bağlayıcı şirket kuralları, Kanunun 9 uncu maddesinin dördüncü fıkrasının (b) bendi uyarınca aktarılan kişisel veriler için Kanun tarafından sağlanan koruma düzeyine eşdeğer bir koruma düzeyi oluşturmak için gereken hak ve taahhütleri belirlemektedir.
VS BŞK, Kanun uyarınca 3’üncü madde kapsamında yer alan veri sorumlusundan, Kanunun 9 uncu maddesinin ikinci ve üçüncü fıkralarına göre yeterli koruma düzeyini sağladığı tespit edilmeyen ülkelerde bulunan aynı Grup içindeki diğer veri sorumlusuna veya veri işleyenlere (dâhili veri sorumluları/dâhili veri işleyenler) yapılan kişisel veri aktarımları için uygulanır.
Vİ BŞK ise Kanun kapsamındaki Grup Üyeleri tarafından, Türkiye’de yerleşik ve Grup Üyesi olmayan bir veri sorumlusu adına veri işleyen sıfatıyla işlenen ve daha sonra Kanun uyarınca yeterli koruma düzeyi sağladığı tespit edilmeyen ülkelerdeki veri işleyen veya alt veri işleyenlere aktarılarak işlenen veriler için geçerlidir. Vİ BŞK’da ortaya konulan yükümlülükler, Grup Üyesi veri işleyenin Grup Üyesi olmayan bir veri sorumlusundan aldığı talimat çerçevesinde işlediği üçüncü tarafa ait kişisel verilere ilişkin olarak uygulanır.
Yönetmeliğin 13’üncü maddesinin ikinci fıkrası uyarınca Kişisel Verileri Koruma Kurulu, 04/06/2024 tarihli ve 2024/959 sayılı Kararı ile VS BŞK’ya atıfta bulunan gereksinimleri yansıtmak üzere, VS BŞK’da bulunacak unsurlar ve ilkelerle ilgili olarak 04/06/2024 tarihli ve KVKK-BŞK/2024-1 sayılı Veri Sorumluları için Bağlayıcı Şirket Kuralları Başvuru Formu’nu (Başvuru Formu) ve bu formun eki niteliğini haiz olan 04/06/2024 tarihli ve KVKK-BŞK/2024-2 sayılı Veri Sorumluları için Bağlayıcı Şirket Kuralları Yardımcı Kılavuzu’nu (Yardımcı Kılavuz) kabul etmiştir.
Bu Yardımcı Kılavuz ile;
• Bağlayıcı şirket kuralları ile ilgili Kurula yapılan onay başvuruları için standart bir form oluşturulması,
• Kanunun 9 uncu maddesinin dördüncü fıkrasının (b) bendinde ve Yönetmeliğin 12 ve 13’üncü maddesinde belirtilen bağlayıcı şirket kurallarında bulunması gereken asgari unsurların içeriğinin açıklığa kavuşturulması,
• Yardımcı Kılavuzda bulunan tablo ile VS BŞK’nın, Kanunun 9 uncu maddesinin dördüncü fıkrasının (b) bendine ve Yönetmeliğin 12 ve 13’üncü maddesine uygun olarak düzenlenmesi,
• Sair gereklilikler hakkında Kurul’a açıklamalar ve yorumlar sunulması,
EN
TR
Salt metin olarak göster (Kelime işlemcilere uygun görünüm)
