Yayınlarımız

Image

SON DEĞİŞİKLİKLERLE YURTDIŞINA KİŞİSEL VERİ AKTARIMI VE BAĞLAYICI ŞİRKET KURALLARI

Yurtdışına kişisel verilerin aktarılmasında esas alınacak kriterler 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9. Maddesinde düzenlenmiştir. İlgili maddede, kanunda öngörülen veri  işleme şartlarının gerçekleşmesi halinde, ilgili kişinin rızası olmaksızın Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli korumaya sahip yabancı ülkelere veri aktarımı yapılabileceği belirtilmiştir. Yeterli korumaya sahip olmayan ülkelere veri aktarımı yapılabilmesi ise Türkiye’deki ve yabancı ülkedeki veri sorumlularının yeterli korumanın sağlandığına ilişkin yazılı taahhüt sunulması ve bu taahhütnamenin Kurul tarafından onaylanması ile mümkün olabilmektedir.

Ancak Kişisel Verileri Koruma Kurumu’nun 10.04.2020 tarihinde yayınladığı duyuru ile yurtdışına veri aktarımında yeni bir yöntem açıklanmıştır. Kurum, “taahhütnamelerin, çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımında uygulama pratiğini sağlamakta yetersiz kalabildiğini” belirterek Bağlayıcı Şirket Kuralları’na (Avrupa Birliği’ndeki karşılığı Binding Corporate Rules) ilişkin temel hususları yayınlamıştır. İlgili duyuruda, Bağlayıcı Şirket Kuralları Kurum tarafından, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketler için kişisel verilerin yurtdışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kuralları olarak tanımlanmıştır.

Nasıl Başvurulabilir?

Başvuru formunda, Kurallarının bağlayıcı niteliği ve bağlayıcılığın sağlanmasına ilişkin yöntemlere, ilgili kişiye tanınan haklara, ihlal durumunda üstlenilecek yükümlülüklere, kuralların değiştirilmesi halinde bildirim ve rapor yükümlülüklerine, Kurum ile koordinasyon içinde çalışmaya, veri güvenliği ve aktarımına, hesap verilebilirliğe yönelik hükümler bulunmaktadır. Başvuru formu ile birlikte Bağlayıcı Şirket Kuralları metni ve başvuru ile ilgili görülen tüm bilgi ve belgeler Kurum’a sunulacaktır.

Başvuru, çok uluslu şirket grubunun Türkiye’deki merkezi veya Türkiye’de merkez olmaması halinde kişisel verilerin korunması konusunda yetkilendirilmiş Türkiye’de yerleşik bir grup üyesi tarafından elden veya posta yoluyla Kurum’a iletilerek yapılacaktır. Kurum, başvuruyu resmi başvuru tarihinden itibaren 1 yıl içerisinde değerlendirecek, bu süre gerek duyulması halinde 6 aylık sürelerle uzatılabilecektir.

Detaylı bilgi için :https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU