6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında Verilerin Yurtdışına Aktarımı İçin Bağlayıcı Şirket Kurallarının Kullanılması
- Giriş
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca kişisel verilerin[1] yurtdışına aktarılması için kişinin açık rızasının alınması esastır; ancak Kanun’un 5. ve 6. maddelerinde belirtilen verilerin kişinin açık rızası olmaksızın işlenebileceği istisnai hallerin[2] mevcudiyeti halinde, aşağıdaki şartlar doğrultusunda veriler açık rıza olmaksızın yurtdışına aktarılabilmektedir:
- Verilerin aktarılacağı ülke, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından veriler için yeterli koruma sağladığı belirlenen ülkelerden biri olmalıdır veya,
- Verilerin aktarılacağı ülke Kurul tarafından ilan edilen yeterli korumaya sahip ülkelerden değil ise, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un aktarıma izin vermiş olması gerekmektedir.
Halihazırda Kurul tarafından veri koruma konusunda yeterli korumaya sahip ülkeler ilan edilmediğinden (ve yakın zamanda da ilan edilmesi beklenmediğinden, şu anda yukarıdaki (a) bendine dayalı olarak verilerin kişinin açık rızası olmaksızın yurtdışına aktarılması mümkün değildir. Bu itibarla, mevcut koşullarda kişisel veriler yalnızca aşağıdaki yöntemlerden biri kullanılarak yurtdışına aktarılabilmektedir:
- Kişinin açık rızasının temin edilmesi veya,
- Kanun’un 5. ve 6. maddesinde belirtilen istisnai hallerden birinin mevcut olması ve Türkiye’deki ve ilgili yabancı ülkedeki veri sorumluları (veya veri işleyenlerin) yeterli bir korumayı yazılı olarak taahhüt ederek Kurul’a başvuruda bulunmalarından sonra Kurul’un bu konuda izin vermiş olması.
Yukarıda (ii) bendinde belirtilen yöntem ile Kurul’a izin başvurusunda bulunulabilmesi için, Türkiye’deki veri sorumlusu ve aktarımın yapılacağı yabancı ülkedeki veri sorumlusu yahut veri işleyen arasında aktarıma konu veriler ile ilgili yeterli korumanın sağlanacağına dair bir taahhütname imzalanması ve bu taahhütnamenin Kurul’a sunulması gerekmektedir. Kurul daha önce resmi internet sitesinde söz konusu taahhütnameye ilişkin örnek bir format yayınlamıştır.
10.04.2020 tarihinde ise Kurul (ii) bendinde yer alan Kurul izni yönteminin işletilmesi ile ilgili daha önce yayınlanan taahhütnameye ek olarak, Bağlayıcı Şirket Kuralları (“BŞK”) yönteminin kullanılabileceğini açıklamıştır. Böylece Kurul farklı ülkelerde yerleşik üyeleri bulunan grup şirketler arasında yapılacak veri aktarımı bakımından Kurul’a izin başvurusunda kullanılabilecek bir alternatif yöntem sunmuştur.
- BŞK’dan Kimler Faydalanabilir?
Kurul tarafından 10.04.2020 tarihinde resmi internet sitesi üzerinden yapılan açıklama kapsamında[3], BŞK’nın yeterli koruma bulunmayan ülkelerde faaliyet gösteren çok uluslu grup şirketler tarafından kullanılabilecek bir veri koruma taahhüdü olduğu belirtilmektedir. Zaten şu anda yeterli koruma bulunan yahut bulunmayan ülke ayrımı mevcut olmadığından, şu anda genel anlamda çok uluslu grup şirketlerin BŞK’dan faydalanabileceği anlaşılmaktadır.
Açıklamada yer alan “grup” ifadesinin tam olarak neyi yansıttığının belirlenmesi de önemlidir. Kurul açıklamasında linkine yer verilen Veri Sorumuluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman incelendiğinde, grup bir şirketler topluluğuna bağlı olarak faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularının tümü olarak ifade edilmiştir. Bu minvalde, Türkiye’de yerleşik bir tüzel kişi veri sorumlusunun çok uluslu bir şirketler topluluğunun parçası olması yahut böyle bir topluluğun parçası olmasa dahi yurtdışında bir tüzel kişi ile ortak ekonomik faaliyette bulunması yahut böyle bir tüzelkişi ile veri işleme faaliyetine ilişkin ortak bir mekanizmaya sahip olması halinde, Türkiye’de yerleşik veri sorumlusu yurtdışında mukim ilgili kişilere veri aktarımı için Kurul izni almak amacıyla BŞK’yı kullanabilecektir.
Belirtmek gerekir ki, BŞK kapsamına yalnızca grup içerisinde bulunan veri sorumluları değil, dahili veri işleyenler de dahil olabilecektir. Veri işleyenler BŞK kapsamına alınması durumunda, BŞK’nın bağlayıcılığının sağlanabilmesi adına BŞK kapsamında yer alacak veri sorumlusu ile dahili veri işleyen arasında Türk hukuku uyarınca geçerli bir hukuki işlem (örn. bir hizmet sözleşmesi) akdedilmelidir. Kurul tarafından yapılan açıklamada, bu tür bir hizmet sözleşmesinde söz konusu veri işleyenin verileri sair veri işleyenlere aktarabilmesi için sözleşme içerisinde yer alan genel bir iznin yeterli olup olmadığı, yeterli değilse aktarım yapılacak her bir sair alt veri işleyen için ayrıca izin alınması gerekliliğine yer verilmesi önerilmektedir.
- BŞK’nın ve BŞK’ya İlişkin Başvuru Formu’nun İçeriğinde Neler Bulunmalıdır?
Kurul’un açıklamasında linkine yer verilen Veri Sorumuluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman’da BŞK’da ve BŞK’nın Kurul’a sunulması için ayrıca doldurulması gereken Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu’nun (“Başvuru Formu”) içeriğinde hangi hususların yer alması gerektiği detaylı bir şekilde açıklanmıştır.
Aşağıda BŞK’da yer alması gereken hususları genel hatları ile özetlemek isteriz:
- BŞK’ya uyma yükümlülüğü: Tüm grup üyelerinin (çalışanları da dahil olmak üzere) BŞK’ya uymakla yükümlü olduğu belirtilmelidir.
- BŞK’nın bağlayıcılığının açıklanması: Tüm grup üyeleri bakımından BŞK’nın bağlayıcılığının ne şekilde sağlandığı hukuki olarak geçerli ve ispatlanabilir yöntemlerle açıklanmalıdır (örn. bu konuda tüm grup üyeleri tarafından imzalanmış bir taahhütname kullanılabilir kanısındayız). Buna ek olarak, çalışanlar bakımından BŞK’nın bağlayıcılığı hususunda gizlilik politikaları, iş sözleşmeleri, şirket politikaları gibi yöntemler kullanılabilir.
- İlgili kişinin hakları: BŞK’da, ilgili kişinin asgari olarak aşağıda sayılan maddelerin uygulanmasını isteme hakkı yer almalıdır;
- Kanun’un genel ilkeleri (m. 4),
- İlgili kişinin aydınlatılması (m. 10),
- Kişisel verilerin silinmesini, yok edilmesini talep etme hakkı (m. 7),
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı (m. 11/1/g),
- Verinin aktarıldığı ülkede, BŞK’ya uymayı engelleyen ulusal bir mevzuatın bulunup bulunmadığı ve bulunması halinde açıkça belirtilmesi,
- Veri sorumlusuna başvuru hakkının tanınması (m. 13),
- Kişisel Verileri Koruma Kurumu (“Kurum”) ile koordinasyon yükümlülüğü,
- Grup üyelerinden herhangi birinin, yabancı bir ülkede tabi olduğu ve BŞK ile ilgili kişiye sağlanan teminatlar üzerinde önemli olumsuz etkileri olma ihtimali bulunan tüm yasal yükümlülüklerinin belirtilmesi,
- Yetki tespiti hükümleri (BŞK bakımından yetkili otorite Kurum’dur ve BŞK yetkili otorite olan Kurum’un bu konuda yetkili birimi olan Kurul’a şikayet hakkını ve mahkemelere başvuru hakkını tanımalıdır (m. 14),
- Grubun Türkiye’de yerleşik merkezi, kişisel verilerin korunması konusunda yetkilendirilmiş Türkiye’de yerleşik bir grup üyesi veya veri aktaran veri sorumlusunun BŞK’dan kaynaklanan tazminatın ödenmesi ve ihlallerin giderilmesi konusundaki yükümlülüğünü kabul etmesi: Grubun Türkiye’de yerleşik merkezi veya grubun merkezi Türkiye’de değil ise kişisel verilerin korunması konusunda yetkili ve Türkiye’de yerleşik bir grup üyesinin, ülke dışında bulunan ve BŞK ile bağlı olan diğer grup üyelerinin eylemlerinin düzeltilmesi için gerekli girişimlerde bulunması ve BŞK’nın ihlal edilmesinden kaynaklanacak maddi veya manevi zararların giderilmesi için tazminat ödemesi konusunda BŞK’da bir yükümlülük bulunmalıdır.
Kanaatimizce bu düzenlemenin amacı, Türkiye’de yerleşik kişilerin verilerine yönelik bir ihlalin vuku bulması durumunda, ihlalde bulunan taraf yurtdışında yerleşik olduğu için Kurul’un yaptırım uygulayamama riskine binaen, Türkiye’de bu hususta sorumlu tutulabilecek bir kişi/kuruluşun bulunmasını sağlamaktır.
- İspat yükünün bireysel değil şirket üzerinde olması: İlgili kişi tarafından iddia edilen zararların yurt dışında bulunan grup üyesinden kaynaklanıp kaynaklanmadığı konusunda, sorumluluğu alan grup üyesinin (burada Türkiye’de yerleşik olan grup üyesinin kastedildiğini düşünüyoruz) ispat külfetini kabul ettiği açıkça düzenlenmelidir. Sorumluluğu kabul eden grup üyesi, yurt dışındaki üyenin zarara yol açacak olayda sorumluluğu olmadığını kanıtlayabilirse kendisi de sorumlu olmaktan kurtulacaktır.
- İlgili kişilerin BŞK’ya kolay erişimi ve şeffaflığın sağlanması: Veri sahiplerine, Kanun’un 11. maddesinde düzenlenen hakları[4] ve Kanun’un 10. maddesi ile düzenlenen veri sorumlusunun aydınlatma yükümlülüğü kapsamında yer alan hususlar başta olmak üzere kişisel verilerinin işlenmesiyle ilgili hakları, bu hakların kullanımı, sorumluluk, genel ilkeler konularında kapsamlı bir bilgilendirme sağlanmalıdır. BŞK, her bir ilgili kişinin bu haklarına kolayca erişim hakkını içermelidir. Örneğin, BŞK’nın ilgili kişileri ilgilendiren kısımlarının internet üzerinden yayımlanması şeklinde bir yöntem izlenebilir.
- Uygun eğitim ve farkındalık çalışmalarının bulunması: BŞK’nın, kişisel verilere sürekli veya düzenli erişime sahip olan, veri toplamaya dâhil olan veya kişisel verileri işlemek için kullanılan araçların geliştirilmesinde çalışan personele uygun eğitim programını içermesi gerekir.
Kurul, başvuru prosedürü sırasında eğitim programının örneklerini ve açıklamalarını isteyebilir. Bu nedenle, eğitim programı BŞK’nın ekinde sunulacağı Başvuru Formu’nda açıkça belirtilmelidir.
- Şikayet mekanizmasının bulunması: Herhangi bir ilgili kişinin kendi haklarını kullanabilmesi ve herhangi bir BŞK üyesi hakkında başvuruda bulunabilmesini sağlayacak dâhili bir şikayet yönetimi süreci kurulmalıdır.
Şikâyet kapsamında ilgili kişilerin talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırılır. BŞK’nın ekinde sunulacağı Başvuru Formu’nda, şikayet sisteminin uygulanma aşamaları hakkında ilgili kişilerin nasıl bilgilendirileceği açıklanmalıdır.
- Uyumluluk denetiminin bulunması: BŞK, taahhüt edilen kurallara uygun hareket edilmesini sağlamak üzere düzenli olarak denetim yapılması/yaptırılması ve bu denetimi kimlerin yapacağı gibi konularda açıklamalar içermelidir. Buna ek olarak, BŞK’de, Kurum’un talebi halinde denetim sonuçlarına erişme yetkisi ve Kurum’a gerekli durumlarda herhangi bir BŞK üyesi üzerinde denetim yapma yetkisi tanınmalıdır. Keza, BŞK’nın ekinde sunulacağı Başvuru Formu’nda da denetim sistemine yönelik açıklamalara yer verilmesi gerekmektedir.
- BŞK’nın uygulanması konusunda görevli personel yapılanmasının bulunması: Tüm grup bakımından BŞK’ya uyumun sağlanması ve bunun takibi için görevlendirilmiş uygun bir personel yapılanması bulunmalıdır. Uyumun takibini yapacak kişi veya birim yüksek dereceli yöneticiler tarafından desteklenmelidir.
- Kurum ile koordine çalışma görevi: BŞK, gerekmesi halinde tüm grup üyelerinin Kurum tarafından denetlenmesini ve bu kurallarla ilgili herhangi bir konuda Kurum’un tavsiyelerine uymayı kabul ettiğini içeren açık bir yükümlülük içermelidir.
- BŞK’nın içeriği hakkında açıklama: BŞK; aktarıma konu kişisel verinin niteliği (genel/özel nitelikli kişisel veri), veri kategorileri (kimlik, iletişim, lokasyon, özlük gibi), aktarım amaçları ve süreleri, veri konusu kişi grubu veya grupları (çalışan, stajyer, ziyaretçi, ürün veya hizmet alan kişi gibi), veri aktarımının hangi yöntemle gerçekleştirileceği, veri aktarımının hukuki sebebi/sebepleri, aktarılacak verilerin grup içerisindeki dağılımı (ilgili grup üyelerinin adı ve iletişim bilgilerini belirterek), sonraki aktarımlar gibi hususları içermelidir.
- BŞK’nın yer bakımından kapsamı hakkında açıklama: BŞK’da, her bir grup üyesi dahil olmak üzere grubun yapısı ve iletişim bilgileri açıkça belirtilmelidir.
- BŞK’ya ilişkin değişikliklerin raporlanması, kaydedilmesi ve bunların Kurum’a bildirilmesi: BŞK değiştirilebilir/güncellenebilir ancak değişikliklerin gecikmeksizin tüm BŞK üyelerine ve Kuruma bildirilmesi konusunda bir yükümlülük öngörülmelidir.
- Türkiye’den aktarım ya da sonraki aktarımları kapsar şekilde veri koruma ilkelerine ilişkin bir açıklama: BŞK, şu hususları içermelidir: (i) hukuka ve dürüstlük kurallarına uygun olma, (ii) doğru ve gerektiğinde güncel olma, (iii) belirli, açık ve meşru amaçlar için işlenme, (iv) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, (v) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme, (vi) özel kategorideki kişisel verilerin işlemesi, (vii) idari ve teknik tedbirler ve (viii) grubun bir parçası olmayan veri işleyenlere ve veri sorumlularına yapılan aktarımlar ve sonraki aktarımlar üzerindeki kısıtlamalar. Grup içerisindeki kişisel veri işleme faaliyetleri kapsamında veri işleyenlere yapacak aktarımlar bakımından, veri işleyenlerin BŞK ile öngörülen teknik ve idari tedbirlere uygun hareket etmeleri sağlanmalıdır.
- Ulusal mevzuatın, grubun BŞK’ya uymasını engellediği durumlarda şeffaflık: Bir grup üyesinin uymakla yükümlü olduğu mevzuatta, şirketin BŞK’daki yükümlülüklerini yerine getirmesini engelleyen veya BŞK ile düzenlenen kuralların uygulanmasını önemli ölçüde etkileyen hükümler varsa, derhal grubun Türkiye’de yerleşik merkezi veya Türkiye’de yerleşik merkezi yok ise kişisel verilerin korunması konusunda yetkilendirilmiş ve Türkiye’de yerleşik bir grup üyesi bilgilendirilmelidir.
- Hesap verebilirlik ve diğer araçlar: Uyumun sağlanabilmesi için grup üyelerinin, tüm kategorilerdeki veri işleme faaliyetlerinin elektronik yöntemler de dahil olmak üzere yazılı şekilde kaydını tutması ve talep halinde Kurum’a sunması gerekmektedir.
- Başvuru Yöntemi
Asgari olarak yukarıdaki belirtilen hususları içeren bir BŞK hazırlanarak, tüm grup üyeleri ve dahili veri işleyenlerin BŞK’ya uymakla yükümlü olduğunu gösteren taahhütname/sözleşme vb. hukuki açıdan bağlayıcı metinler imzalanmalı, Başvuru Formu Kurul’un açıklamalarına uygun şekilde doldurulmalı ve BŞK ile diğer ilgili metinler Başvuru Formu ekine alınarak Kurul’a yazılı başvuru gerçekleştirilmelidir. Başvuruya ilişkin herhangi bir süre kısıtlaması söz konusu değildir. Öte yandan, Kurul’un taahhütname yoluyla alınan başvuruları oldukça uzun bir süre içerisinde cevaplandırdığı göz önüne alındığında ve burada da başvuruya yanıt bakımından bir süre öngörülmediği düşünüldüğünde, bu yöntemle yapılacak bir başvurunun sonuçlanması da aynı oranda uzun sürebilir.
- Sonuç
BŞK, çok uluslu şirketlerin oluşturduğu yapılar arasındaki veri aktarımları bakımından Kurul’dan Kanun’un 9. maddesi uyarınca yurtdışına aktarım izninin alınması için bu tür yapılara özel olarak getirilmiş bir alternatif niteliğindedir. BŞK, Kurul açıklamasında bir alternatif olarak sunulduğundan, bir veri sorumlusu böyle bir yapıya dahil olsa bile, dilerse bu yöntemle değil kendisi ve yurtdışındaki veri sorumlusu/veri işleyen arasında akdedilecek taahhütname ile Kurul’a izin başvurusunda bulunmayı seçebilir. Ancak, BŞK ile başvuru yöntemi yurtdışında tek bir veri sorumlusu/veri işleyene aktarım yapmayan, kendisi ile aynı grup içerisindeki sair veri sorumluları/veri işleyenlere aktarım yapan Türkiye’de yerleşik veri sorumluları için daha pratik bir yöntem olabilir zira bu veri sorumluları taahhütname yöntemi ile ilerlemeyi seçerlerse, aktarımın yapılacağı her bir veri sorumlusu/veri işleyen ile ayrı ayrı taahhütname imzalamalası gerekirdi.
Öte yandan, yurtdışına aktarım yine nihai olarak Kurul’un iznine bağlı olduğundan, belirli gruplar için daha pratik olsa da, esas itibariyle süreci hızlandıran bir düzenleme getirildiğini söylemek şu an için mümkün görünmemektedir.
***
[1] Kanun uyarınca kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi kişisel veridir.
[2] Kanun’un 5/2 maddesi uyarınca aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi, b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması, e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kanun’un 6/1 maddesi uyarınca kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir ve madde 6/3 uyarınca ağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
[3] https://kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU
[4] Kanun’un 11. Maddesi uyarınca – (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.