6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK, Kanun”) yürürlüğe girdiği 07/04/2016 tarihinden beri sıklıkla sorulan sorulardan biri kişisel verilerin aktarımına ilişkindir. Zira şirketlerin neredeyse hepsi, iş süreçlerinde üçüncü kişi şirketlerden çeşitli faaliyetler kapsamında destek almakta ve bu amaçla kişisel veri aktarımları gerçekleştirmektedir.
KVKK’da aktarım, 8’inci madde uyarınca yurt içine ve 9’uncu madde uyarınca yurt dışına aktarım olmak üzere ayrı ayrı düzenlenmiştir. “Kişisel verilerin aktarılması” başlıklı 8’inci madde lafzında, aktarım faaliyeti için kişisel ve özel nitelikli kişisel veriler için açık rıza ve açık rızanın aranmadığı istisnaların düzenlendiği 5’inci ve 6’ncı maddeye atıf yapılmasıyla yetinilmiş, farklı olarak ise özel nitelikli kişisel verilerin aktarılmasında “yeterli önlemlerin bulunması kaydıyla” ifadesine yer verilmiştir.
Kanunun 8’inci maddesinin veri sorumlusu şirket kapsamındaki departmandan başka bir departmana aktarımda da uygulanması gerektiği, bunun üçüncü kişiye aktarım faaliyeti olduğu yönünde yapılan yanlış yorumları çoktan geride bırakmış olmakla birlikte, uzunca bir süre aktarımda kimin üçüncü kişi sayılacağı da farklı şekilde yorumlara açık bırakılmıştır. Kişisel Verileri Koruma Kurulu’nun (“Kurul”) bazı kararları bu anlamda bizler için yol gösterici olmaktadır. Örneğin, Kurul tarafından yayınlanan bir kararda “...Bir şirketler topluluğu bünyesinde yer alan birden çok veri sorumlusu şirketler arasında veri aktarımı gerçekleştirilmesinin, üçüncü kişiye veri aktarımı olarak değerlendirildiği,” ifadesine yer verilmiş ve şirketler topluluğu içindeki şirketler arasındaki aktarımın üçüncü kişiye aktarım olduğu belirtilmiştir.
Kişisel veri aktarımındaki soru işaretlerinden en büyüğü ise Kanunun 9’uncu maddesine ilişkindir. Kanunun yayım tarihinden 6 ay sonra yürürlüğe giren “Kişisel Verilerin Yurt Dışına Aktarılması” başlıklı 9’uncu maddesi, açık rıza aranmaksızın gerçekleştirilecek aktarımlarda Avrupa Birliği’ndeki düzenlemelere benzer şekilde oluşturulmuştur:
(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
(2) Kişisel veriler, 5’inci maddenin ikinci fıkrası ile 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
KVKK m. 9/2-a bakımından; Kişisel Verileri Koruma Kurulu tarafından yeterli korumanın bulunduğu ülkeler henüz yayınlanmamış, halihazırda sadece yeterli korumaya sahip ülkelerin belirlenmesinde esas alınacak kriterler yayınlanmıştır.
KVKK 9/2-b maddesi bakımından ise, 16/05/2018 tarihinde yeterli korumanın bulunmaması halinde aktarım yapılacak yabancı ülkedeki veri sorumlusu/işleyen ile yapılacak taahhütnamelerde bulunacak asgari unsurlar yayınlanmıştır.
10/04/2020 tarihinde ise, 16/05/2018 tarihinde yayınlanmış asgari unsurlarla yapılabilecek taahhütnamelerin daha çok iki taraflı veri aktarımlarını kolaylaştırıyor ve çok uluslu grup şirketlerine yeterli uygulama pratiğinin sağlamıyor olması nedeniyle, bağlayıcı şirket kuralları (“BŞK”) yayınlanmıştır.
Bağlayıcı şirket kurallarının yayınlanmasıyla KVKK kişisel verilerin yurt dışına aktarımı için Gerçek Kişilerin Kişisel Verilerinin İşlenmesine Karşı Korunmasına ve Bu Verilerin Serbest Dolaşımına İlişkin 95/46/AT sayılı AB Direktifi’ni Yürürlükten Kaldıran Avrupa Parlamentosu ve Konsey Tüzüğü’nde (“Genel Veri Koruma Tüzüğü”, “GVKT”) yer alan üç seviyeli yapıyı kurmuş oldu. Söz konusu yapının en üst katmanında Güvenli Ülkeler Listesi, ortada Taahhütname ve en altta ise istisnai veri işleme sebebi yani açık rıza yer almaktadır. Buna göre, eğer güvenli ülke belirlendiyse aktarım için hukuka uygun işleme sebebi aranacak, şayet böyle bir karar yoksa bu sefer BŞK’nın varlığı yine Kanunun 5’inci maddesinde belirletilen hukuka uygunluk sebepleri ile birlikte değerlendirilecek; bu da yoksa ilgili kişinin açık rızasıyla yurt dışına aktarım mümkün olacaktır.
Bağlayıcı Şirket Kurallarının (“BŞK”) Temel Tanımları
Kurul tarafından yayınlanmış veri sorumluları için BŞK başvuru formu içinde yapılan tanım uyarınca BŞK, “Bir şirketler topluluğuna bağlı olarak Türkiye’de yerleşik bir veri sorumlusu tarafından, bu şirketler topluluğuna bağlı olarak yurt dışında bir veya daha fazla ülkede faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularına yapılacak olan kişisel veri aktarımları veya aktarım setlerinde uyulması gereken kişisel veri koruma kurallarını ifade eder.”
İlgili tanım, 2016/679 sayılı ve 27 Nisan 2016 tarihli GVKT madde 4/20’de yer alan bağlayıcı şirket kuralları tanımına benzer şekilde düzenlenmiştir.
Bağlayıcı Şirket Kuralları yaygın olarak bilinenin aksine 95/46 sayılı AB Veri Koruma Direktifi’nin 26’ıncı maddesinin 2’nci fıkrasında belirtilen yeterli önlemler çerçevesinde değerlendirilen bir yöntem olarak ortaya çıkmıştır.
GVKT’deki tanımla kıyaslandığında özellikle dikkat çeken fark, veri işleyen kavramının tanımda yer almamasıdır. Aynı doğrultuda, AB’den farklı olarak veri işleyen ve veri sorumlusu için ayrı ayrı değil, tek bir BŞK formu düzenlenmiştir.
BŞK tanımında da yer alan, önemli ikinci kavram ise “Grup” ifadesine ilişkindir. Bu kavramın tanımı da AB bağlayıcı şirket kuralları tanımında yer aldığı ifadeyle benzeşmektedir. Grup “Bir şirketler topluluğuna bağlı olarak faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularının tümünü” ifade etmektedir.
Son olarak ise, “Yetkili Grup Üyesi” tanımına yer verilmiştir: “Grubun Türkiye’de yerleşik bir merkezinin bulunmadığı durumda kişisel verilerin korunması konusunda yetkilendirilen Türkiye’de yerleşik bir Grup üyesini ifade eder.”
Tanımın detayına baktığımızda BŞK’lar Türkiye’de yerleşik veri sorumlusundan;
· Aynı grup içerisindeki ve
· Türkiye dışındaki diğer veri sorumluları veya işleyenlere aktarım
için kullanılacaktır. Bu durum, BŞK’daki yükümlülüklerin aynı grupta veri sorumlusu olarak hareket eden kuruluşlar ve “dahili” veri işleyen olarak hareket edenler için de geçerli olacağı anlamına gelmektedir.
BŞK’lar İçerisinde Bulunması Gereken Temel Unsurlar ve BŞK Başvuru Formu
Bağlayıcı Şirket Kuralları başlıklı GVKT Madde 47/1’de belirtildiği üzere BŞK’lar, tutarlılık mekanizması uyarınca yetkin denetim makamları tarafından aşağıdaki koşulları sağlamaları halinde onaylanırlar:
(a) Çalışanları da dahil olmak üzere ortak bir ekonomik faaliyette bulunan bir teşebbüsler topluluğunun veya bir şirketler grubunun ilgili her üyesi açısından yasal bağlayıcılığının olması, bu üyelere uygulanması ve bu üyeler tarafından yürütülmesi;
(b) Kişisel verilerinin işlenmesi ile ilgili olarak veri sahiplerinin uygulanabilir haklarına açık bir şekilde verilmesi ve
(c) GVKT m. 47/2’de belirtilen gerekliliklerin yerine getirilmesi.
GVKT m. 47/2’de ise, BŞK kapsamındaki gerekliliklerin asgari hususları düzenlenmektedir, bu anlamda GVKT m. 47/2 ve ilgili rehberleri Türkiye’de de BŞK formu hazırlanması anlamında yol gösterici niteliktedir.
Yukarıda belirttiğimiz üzere, başvuru formu Kişisel Verileri Koruma Kurulu tarafından yayınlanmıştır. Avrupa Birliği Veri Koruma otoritesi de, benzer bir form yayınlamıştır.
Ayrıca, başvurunun yapılmasında kullanılacak olan form ile BŞK’da bulunması gereken hususlara ilişkin yardımcı içerik de sunulmuştur. Nitekim, AB’de de, GVKT m. 47/2 düzenlemesini yansıtmak adına benzer bir form sunulmuştur.
Kişisel Verileri Koruma Kurulu tarafından yayınlanan her iki form ile Avrupa Birliği’ndeki formlar kıyaslandığında, aralarındaki benzerlik daha net anlaşılabilmektedir.
Başvurunun yapılmasında;
Grubun Türkiye’de yerleşik merkezi var ise, başvuruyu yapmaya yetkili olan kişi Türkiye’deki Grup üyesidir.
Grubun Türkiye’de yerleşik merkezi yok ise, Türkiye’de yerleşik bir Grup üyesi kişisel verilerin korunması adına, tanımına yukarıda yer verdiğimiz, “Yetkili Grup Üyesi” olarak yetkilendirilmelidir. Yetkili Grup Üyesi, grup adına başvuru yapma yetkisini haiz olacaktır.
Belirtmeye gerek olmamakla birlikte, yurt dışında yerleşik veri sorumlusunun KVKK bakımından veri sorumlusu sıfatını haiz olması halinde, Veri Sorumluları Sicil Bilgi Sistemi’ne kaydolmakla sınırlı olmaksızın birçok yükümlülüğü yerine getirmesi gerekmektedir. Nitekim, BŞK’larda, KVKK’nın çoğunluğuna ilişkin yükümlülükler düzenlemekte ve hatta KVKK’da olmayan yükümlülükler de getirilmektedir.
Hatırlatılmalıdır ki, tek başına “Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu”nun onaylatılması, yeterli korumanın bulunmadığı ülkelere gerçekleştirilen her veri aktarımının KVKK’ya uygun olacağı anlamına gelmemektedir. İlgili onay, Kanunun 4’üncü maddesinde yer verilen Genel İlkelerin uygun olduğu, Kanunun 5’inci ile 6’ncı maddesinde yer verilmiş açık rıza istisnalarının uygulanabileceği aktarımlarda hukuki sebep uygunluğunu sağlamaktadır.
BŞK’nın onaylanması için yalnızca formun düzenlenmesi ve Kişisel Verileri Koruma Kurumuna (“Kurum”) sunulması da yeterli değildir. İlgili formun doldurulması sonrasında Kurul tarafından onaylanması gerekmektedir. Başvuru, resmi başvuru tarihinden itibaren 1 yıl içerisinde sonuca bağlanacak olup, inceleme süresi ek olarak 6 aylık süreyle uzatılabilecektir. Dolayısıyla BŞK’larla getirilmesi planlanan kolaylık şimdiden uzun kontrol süreçlerine mahkûm gözükmektedir. Dahası, kişisel verilerin korunmasına yönelik uzatma ile birlikte toplam 1,5 yıllık sürenin sağlıklı bir inceleme için ne kadar yeterli olacağı da şüphelidir. 1,5 yıllık onay sürecine bir de BŞK yapılması için hazırlık süreleri de eklendiğinde, hedeflenen şirketlerin uzunca süre daha Kanunun 9’uncu maddesindeki belirsizliklerle baş başa bırakıldığı görülebilmektedir.
Kişisel Verileri Koruma Kurulu tarafından başvurunun onaylanması halinde ilgiliye Kurum tarafından bildirim yapılacaktır. Formda belirtildiği üzere, Kurul tarafından başvurusuna onay alan Gruplar Kurum tarafından ancak “gerekmesi” halinde yayınlanacaktır. Dolayısıyla Avrupa Birliği’ndekine benzer açık bir liste olmayacağı anlaşılmaktadır.
Başvuru formunda bazı ek hususların olduğunu da hatırlatmakla birlikte; Kurul tarafından yayınlanmış yardımcı doküman uyarınca Grup içinde yapılacak BŞK’larda başlıca ve kısaca aşağıdaki hususlar yer almalıdır: (BŞK kapsamında yer verilen tüm ifade ve tanımlar KVKK ile uyumlu olmalıdır.)
BŞK’nın hukuken bağlayıcı olmasının sağlanması ve çalışanları da dahil olmak üzere Gruba BŞK’ya uyma yükümlülüğü getirilmesi,
İlgili kişinin asgari olarak;
o KVKK m. 4 (Genel ilkeler),
o KVKK m. 10 (İlgili kişinin aydınlatılması),
o KVKK m. 7 (İlgili kişinin kişisel verilerin silinmesini, yok edilmesini veya anonim hâle getirilmesini talep hakkı),
o KVKK m. 11/1-g (İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı) ve KVKK m. 11/1-ğ bendinde yer alan zararın giderilmesini talep etme hakkı da dâhil olmak üzere her türlü yasal yolun kullanılabilmesi imkânı
o KVKK m. 13 (Veri sorumlusuna başvuru hakkı),
o Kurum ile koordinasyona ilişkin yükümlülük,
o Verilerinin aktarıldığı ülkelerde BŞK’ya uymayı engelleyen ulusal bir mevzuatın bulunup bulunmadığı ve bulunması halinde açıkça belirtilmesi,
o Yetki tespiti hükümleri (BŞK bakımından yetkili otorite Kurumdur ve BŞK yetkili otorite olan Kurum’un bu konuda yetkili birimi olan Kurula şikâyet hakkını ve mahkemelere başvuru hakkını tanımalıdır.)
üzerinde talep haklarının sağlanması, (Third party beneficiary rights of data subjects, Avrupa Birliği’nin rehberleri içerisinde yer alan bir ifade olup, bizde doğrudan “üçüncü taraf yararlanıcı hakları” ifadesiyle yeni bir tanım gibi konumlandırılması doğru bir yaklaşım değildir.)
Grubun Türkiye’de yerleşik merkezi veya Grubun merkezi Türkiye’de değil ise kişisel verilerin korunması konusunda yetkili ve Türkiye’de yerleşik bir Grup üyesinin, ülke dışında bulunan BŞK ile bağlı diğer Grup üyelerinin eylemlerinin düzeltilmesi için gerekli girişimlerde bulunmak ve BŞK’den kaynaklanan tazminatı ödemek yönünde yükümlülüğünü kabul etmesi:
- Türkiye dışındaki bir BŞK üyesi BŞK’yi ihlal ederse, bu konuda yetkinin Türkiye’deki mahkemeler ve yetkili makamlarda olacağı,
- İlgili kişinin, sanki ihlal yurtdışında değil Türkiye’de gerçekleşmiş gibi sorumluluk ve yükümlülüğü kabul etmiş olan BŞK üyesine karşı hak ve tazminatlarını talep etme yetkisi olacağı,
- Tüm sorumluluğun belirli bir kişi tarafından üstlenilmesinin mümkün olmadığı kurumsal yapıya sahip bir Grup bakımından, özellikle Türkiye dışındaki herhangi bir BŞK ihlali durumunda, bir diğer seçenek olarak, Türkiye’de kurulu bir BŞK üyesinden veriyi alan, Türkiye dışında kurulu bir BŞK üyesi tarafından meydana getirilecek tüm ihlaller bakımından her bir BŞK üyesinin sorumlu olacağı
hususlarına yer verilmesi,
İlgili kişi tarafından iddia edilen zararların yurt dışında bulunan üyeden kaynaklanıp kaynaklanmadığı konusunda, sorumluluğu alan BŞK üyesinin ispat külfetini kabul etmesi, (Sorumluluğu kabul eden BŞK üyesi, yurt dışındaki üyenin zarara yol açacak olayda sorumluluğu olmadığını kanıtlayabilirse kendisi de sorumlu olmaktan kurtulacaktır.) (Bu ve bir üst paragrafta yer verdiğimiz düzenleme uyarınca sorumluların belirlenmesi ile ilgili kişi haklarının ve Kurul temasının karşılık bulmasına yönelik çabalara yabancı ülke şirketlerinin nasıl bir tepki vereceği, veri koruma kurulları arası iş birliği süreçlerinin yürütülmesi yerine dolaylı şekilde veri sorumlularının muhatap alınmasının ne kadar uygulanabilir olacağı merak uyandırmaktadır.)
İlgili kişi haklarından yararlanan kişilere, KVKK m. 11’de düzenlenen hakları ile KVKK m. 10’da düzenlenen veri sorumlusunun aydınlatma yükümlülüğü kapsamında yer alan hususlar başta olmak üzere kişisel verilerinin işlenmesiyle ilgili hakları, bu hakların kullanımı, sorumluluk, genel ilkeler konusunda kapsamlı bilgilendirme, bu haklara kolayca erişme ve şeffaflığın sağlanması, (Şeffaflık ilkesinin KVKK’da yer almamasına rağmen düzenleme içinde kullanılması kanunun geniş yorumlanmasıdır.)
Kişisel verilere sürekli veya düzenli erişime sahip olan, veri toplamaya dâhil olan veya kişisel verileri işlemek için kullanılan araçların geliştirilmesinde çalışan personele sunulan uygun eğitim programına yer verilmesi,
Herhangi bir ilgili kişinin kendi haklarını kullanabilmesi ve herhangi bir BŞK üyesi hakkında başvuruda bulunabilmesini sağlayacak dâhili bir şikâyet yönetimi süreci kurulması:
Başvurunun yapılış usulü, hangi formatta yapılacağı,
Başvuru cevaplama süresi,
Cevabın gecikmesi ile ilgili durumlarda bilgilendirme yapılması,
Başvurunun yapılış usulü,
Başvurunun kabulü, reddi ve sonuçları,
Başvuru şikayetinin veya mahkemeler nezdinde hak taleplerinin yürütülmesi gibi
hususlarına yerilmesi, (KVKK kapsamında veri sorumlusunun başvuru cevabını sunmasında GVKT m. 12/3 benzeri “gecikmesi” veya “gecikmeye ilişkin bilgi vermesi” hali düzenlenmemiştir. Dolayısıyla bu ifadeye yer verilmesi uygun değildir.)
Taahhüt edilen kurallara uygun hareket edilmesini sağlamak üzere düzenli olarak denetim yapılması/yaptırılması ve bu denetimi kimlerin yapacağı; uyumluluk denetim programı ile düzeltici faaliyetlerin gerçekleşmesini sağlayacak yöntemler düzenlenmesi, denetim sonuçlarına ilişkin Grup üyeleri ilgili birim ve çalışanlarının veya gerektiğinde genel merkez yönetim biriminin haberdar edilmesi,
Taahhüt edilen kurallara uygun hareket edilmesini sağlamak üzere düzenli olarak yapılan/yaptırılan denetimlere Kurumun erişim yetkisinin ve Kurumun herhangi bir BŞK üyesi üzerinde denetim yapma yetkisinin hükme bağlanması,
Tüm Grup bakımından BŞK’ya uyumun sağlanması ve bunun takibi için görevlendirilmiş uygun bir personel yapılanmasının sağlanması, (GVKT m. 37’de yer alan Veri Koruma Görevlisi doğrultusunda bir düzenlemedir. Kanunumuzda veri koruma görevlisi mekanizması henüz bulunmamakla birlikte, kanuni bir düzenlemeye dayanmaksızın bu mekanizmanın getirilmesi ve mekanizmanın alt yapısının oluşturulmaması sakıncalı olabilecektir.)
Gerekmesi halinde tüm üyelerin Kurum tarafından denetlenmesini ve bu kurallarla ilgili herhangi bir konuda Kurumun tavsiyelerine uymayı kabul ettiğini içeren açık bir maddeye yer verilmesi,
· Üçüncü ülkelerde yürütülen işlemlerin uyumlu olup olmadığının Kurum tarafından değerlendirilmesinin sağlanması ve bu kapsamda:
Aktarıma konu kişisel verinin niteliği (Kişisel ve/veya özel nitelikli kişisel veri),
Veri kategorileri (Kimlik, iletişim, lokasyon, özlük gibi),
Aktarım amaçları ve süreleri, veri konusu kişi grubu veya grupları (Çalışan, stajyer, ziyaretçi, ürün veya hizmet alan kişi gibi),
Veri aktarımının hangi yöntemle gerçekleştirileceği,
Veri aktarımının hukuki sebebi/sebepleri, aktarılacak verilerin grup içerisindeki dağılımı (ilgili Grup üyelerinin adı ve iletişim bilgilerine yer verilmesi aranmaktadır.),
Sonraki aktarımlar (GVKT’de yer aldığı şekilde birinci, ikinci ve üçüncü tarafa yapılan aktarım sonrasındaki dördüncü tarafa yapılan aktarım için kullanılan onward transfer ifadesinin kastedildiği düşünülmektedir. Yine, KVKK’da yer almayan bir ifadeye tanımlama yapılmadan yer verilmesinin uygun olmadığını düşünmekteyiz.)
hakkında bilgi verilmesi,
- Her Grup üyesinin yapısı ve iletişim bilgilerine yer verilmesi,
- BŞK’nın değişmesi ya da güncellenmesi halinde tüm BŞK üyelerine ve Kuruma bildirilmesi yönünde yükümlülük düzenlenmesi, (Ek olarak, açıkça belirtilmesine gerek olmamakla birlikte, yeni bir Grup üyesine BŞK’ya bağlılığı ve uyumluluğu sağlanılana kadar veri aktarımı yapılmayacaktır. Dolayısıyla sıklıkla gelişen ve değişen yapılar için BŞK verimli bir uygulama alanı sağlamayacaktır.)
- Türkiye’den aktarım ya da sonraki aktarımları kapsar şekilde veri koruma ilkelerine ilişkin bir açıklama yapılması, (KVKK m. 4, KVKK m. 6, KVKK m. 12 kapsamında olarak ve ayrıca veri ihlali özelinde bildirim yapma yükümlülüğü üzerine açıklama yapılmalıdır.)
- Ulusal mevzuatın, BŞK üyesinin BŞK’ya uyulmasını engellediği durumlarda şeffaflığın sağlanması; BŞK üyesinin uymakla yükümlü olduğu mevzuatta, şirketin BŞK’daki yükümlülüklerini yerine getirmesini engelleyen veya BŞK ile düzenlenen kuralların uygulanmasını önemli ölçüde etkileyen hükümler varsa veya BŞK garantilerinde olumsuz etkiye sahip oluyorsa gerekli bilgilendirme süreçlerinin yürütülmesi,
- BŞK üyelerinin BŞK’ya uyum gösterme yükümlülüğü ve sorumluluğunun belirtilmesi:
Tüm kategorilerdeki işleme faaliyetlerinin elektronik yöntemler de dahil olmak üzere yazılı şekilde kaydının tutulması ve talep üzerine Kuruma bildirilmesi, (GVKT m. 30’da yer alan İşleme Faaliyetlerinin Kaydı doğrultusunda bir düzenlemedir. Kast edilenden kişisel veri işleme envanterinin kast edilmesi söz konusu ise, ifade bu yönde düzeltilmelidir.)
Uyumluluğun artırılması ve gerektiğinde, gerçek kişilerin hak ve özgürlükleri bakımından yüksek risk oluşturması muhtemel olan veri işleme faaliyetleri için risk analizi yapılması, Yapılan risk analizine göre, veri sorumlusu tarafından riski hafifletmek için gerekli tedbirlerin alınmamış olması ve veri işlemenin yüksek risk doğuracağının ortaya çıkması durumunda, veri işleme faaliyetinden önce Kuruma danışılması, (GVKT m. 35’te yer alan Veri Koruma Etki Analizi doğrultusunda bir düzenlemedir. Kanunumuz bakımından yer almayan bir güvenlik mekanizmasının dolaylı şekilde uygulanması halinin yine uygun olmadığını düşünmekteyiz.)
Veri koruma ilkelerini uygulamak ve uygulamada BŞK’ler tarafından belirlenen gereksinimlere uyumu kolaylaştırmak için uygun teknik ve idari tedbirlerin alınması
gerekmektedir.
Bağlayıcı Şirket Kuralları yaygın olarak bilinenin aksine 95/46 sayılı AB Veri Koruma Direktifi’nin 26’ıncı maddesinin 2’nci fıkrasında belirtilen yeterli önlemler çerçevesinde değerlendirilen bir yöntem olarak ortaya çıkmıştır. Bu yöntem 29. Madde Veri Koruma Çalışma Grubu’nun (Çalışma Grubu GVKT ile birlikte yerini Avrupa Veri Koruma Kuruluna bırakmıştır.) 2003’den 2015 yılına kadar yayınlamış olduğu toplam 12 belgede çeşitli detaylarla belirtilmiştir. Çalışma Grubu’nun bu yöntemi detaylandırma ihtiyacı ise çok büyük ihtimalle 2002 yılında iki Alman şirketinin Alman veri koruma otoritelerine başvurup BŞK’lar için onay almasından kaynaklanmaktadır. Daha önce detayları hiç belirtilmeyen bu önleme ilişkin olarak Çalışma Grubu yeknesak bir uygulama oluşturmaya çalışmış ve 2004 yılında da ilk defa sektör paydaşlarıyla yalnızca bu konuya özel bir toplantı yapmıştır.
Dahası, Bağlayıcı Şirket Kurallarının ilk kez dile getirildiği 29. Madde Veri Koruma Çalışma Grubu’nun 3 Haziran 2003 tarihli Çalışma Belgesinde BŞK’nın en iyi çözüm olmadığı, AB mevzuatı çerçevesinde getirilen diğer mekanizmaların yetersiz olduğu noktalarda kullanılacağı ifade edilmiştir.
Kısaca yaklaşık 18 yıllık bir geçmişe sahip olan Bağlayıcı Şirket Kuralları uygulaması Avrupa Birliği’ne öncülük eden çok uluslu ülkelerin önemli şirketlerinin kişisel verilerinin korunması için etkili bir yöntem olarak ortaya çıkmıştır. Böyle bir yapının Türkiye’nin gerçekleri gözardı edilerek, orijinal tanımını kırpılarak ve Kanunda yer almayan ifadelerle genişletilerek uygulamaya konulması gerçekçi bir yaklaşım değildir.
Türkiye’de yurt dışına veri aktarımı açısından uygulamanın henüz emekleme aşamasında olması nedeniyle etki analizi ve veri koruma yetkilisi gibi diğer mekanizmaların tam olarak devreye alınmadan son derece kompleks bir yapı olan BŞK’lara yelken açılması, oldukça zorlu bir macera olmaktan öteye gidemeyecektir.
Av. Anıl Can Alpyılmaz
Comments