Kişisel Verileri Koruma Kurulu, 10.04.2020 tarihli kamuoyu duyurusu ile kişisel verilerin yurtdışına aktarımı konusunda çok uluslu grup şirketlerinin yaşadıkları sorunları gidermek amacıyla düzenledikleri ’’Bağlayıcı Şirket Kuralları’’nı açıklamışlardır.

Bilindiği üzere kişisel verilerin yurt dışına aktarılması, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9. Maddesi ile düzenlenmektedir. Anılan madde hükmüne göre, kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı taahhüt ederek başvuruda bulunması ve Kişisel Verileri Koruma Kurulu’nun da buna onay vermesi kaydıyla ilgili kişinin rızası aranmaksızın kişisel veriler yurt dışına aktarılabilmektedir. Ancak bu başvurulardan pratik bir sonuç elde edilememektedir. Sonuç elde edilemediği gibi Kurul, güvenli olan ülkelerin listesini de duyurmamıştır.

Bununla birlikte taahhütnameler, genellikle şirketler arasında yapılan iki taraflı veri aktarımlarını kolaylaştırmakta ancak çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından yetersiz kalmaktadır. Bu nedenle Kurul veri sorumlularına alternatif bir yol göstermek amacıyla Bağlayıcı Şirket Kuralları’nı oluşturmuştur.

Bağlayıcı Şirket Kuralları; yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve asgari bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır.

Bu kapsamındaki uluslararası grup şirketlerinin kişisel verileri yurt dışına aktarabilmeleri için yeterli korumayı yazılı olarak taahhüt etmeleri ve ilgili form ile talimatları izleyerek Kuruma Bağlayıcı Şirket Kuralları başvurusunda bulunmaları gerekmektedir ve Kurul’un onayıyla veri aktarımının gerçekleşmesi amaçlanmaktadır.

• Grubun Türkiye’de yerleşik merkezi var ise bu merkez,

• Türkiye’de yerleşik merkezi yok ise kişisel verilerin korunması konusunda yetkilendirilmiş Türkiye’de yerleşik bir “Yetkili Grup Üyesi” tarafından yapılmalıdır.

Yetkili kişi KVVK.gov.tr sitesinde bulunan başvuru formu ile bağlayıcı şirket kurallarını ve ilgili diğer tüm belgeleri Kurul’a elden veya posta yoluyla sunmalıdır. Başvurular, başvuru tarihinden itibaren bir yıl (6 aylık süreler halinde uzatılabilir) içerisinde Kurum tarafından neticelendirilerek ilgilisine bildirilecek veya gerekirse sonuç ilan edilecektir.