Kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılabilmesi 6698 sayılı Kişisel Verilerin Korunması Kanununun 9. Maddesi uyarınca kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması koşuluna bağlanmıştır. Kişisel verinin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda kişisel veriler, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (“Kurul“) izninin bulunması şartıyla, açık rıza aranmaksızın yurt dışına aktarılabilmektedir.

Türkiye’de yerleşik veri sorumlusu tarafından yeterli korumanın bulunmadığı ülkelerdeki veri sorumlusuna veya veri işleyene kişisel verilerin aktarımında, ilgili tarafların yukarıda bahsedilen şartlardan biri olan yeterli korumayı yazılı olarak taahhüt edebilmeleri açısından asgari unsurları Kurul tarafından belirlenmiş “Taahhütnameler” ilan edilmişti ve söz konusu taahhütnamelerin Kurul tarafından onaylanması şartıyla yurt dışına veri aktarımı yapılabilmekteydi.

Taahhütnameler, genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımlarını kolaylaştırmakla birlikte çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından pratik bir yol olarak görülmemekte ve uygulamada zorluklara neden olmaktaydı. Bu nedenleri öne sürerek Kurul, 10.04.2020 tarihli duyurusuyla, çok uluslu şirket toplulukları arasında gerçekleştirilecek yurt dışına veri aktarımlarında kullanılmak üzere Bağlayıcı Şirket Kurallarını yayınlandı.

Kurul’un yayınladığı duyuruda Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kuralları olarak tanımlanmıştır. Bu kapsama giren şirketlerin yurt dışına veri aktarımında bahsedilen hukuki yolu izlemek istedikleri takdirde “Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu” nu doldurmaları ve form ile birlikte hazırladıkları bağlayıcı şirket kuralları metnini gerekli talimatları izleyerek Kişisel Verileri Koruma Kurumu’na (“Kurum”) iletip Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir. Bu kapsamdaki başvuru; şirketler grubunun Türkiye’de yerleşik merkezi var ise bu teşebbüs tarafından, yok ise grubun kişisel verilerin korunması konusunda yetkilendirdiği Türkiye’de yerleşik bir üyesi tarafından yapılabilecektir.

İlgili duyuruya aşağıdaki linkten ulaşabilirsiniz.

https://kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU

Pursuant to Article 9 of the Personal Data Protection Law, in order to transfer personal data abroad without explicit consent of the data subject sufficient protection has to be provided in the foreign country where the data is to be transferred. In cases where sufficient protection is not provided in the country to which personal data will be transferred, such data may be transferred abroad without explicit consent of the data subject upon the existence of guarantee of an adequate protection in writing by the data controllers in Turkey and authorization of such transfer by the Personal Data Protection Board (“Board”).

Previously, the Board had announced “Commitments” with regard to which it had determined the minimum criteria that must be included therein,  to enable the relevant parties to guarantee in writing the existence of an adequate level of protection in cases of data transfer by data controllers established in Turkey to data controllers and data processors in countries where sufficient protection was not provided. In this context, it was possible to transfer data abroad following the Commitments’ approval by the Board.

While these Commitments generally facilitated bilateral data transfers between companies, they were not considered a practical way for data transfers between multinational corporations as there were often difficulties in their implementation. Based on these reasons, the Board announced the Binding Corporate Rules to be used in data transfers to be carried out among multinational corporations on 10.04.2020.

In the announcement the Board defines the Corporate Binding Rules as data protection rules used in the transfer of personal data among multinational corporations operating in countries where adequate protection is not provided and that enable such corporations to guarantee in writing the existence of adequate protection. If such multinational companies want to follow this legal remedy in the transfer of data abroad, they are required to make an application for Binding Corporate Rules to the Personal Data Protection Authority (“Authority”) by filling the “Binding Corporate Rules Application Form for Data Controllers” and transmitting the company’s binding corporation rules along with the form to the Authority by following the necessary instructions. The application in this context will be made by the Turkey branch of the corporate group or in the absence thereof, by the member of the corporate group established in Turkey who is authorized by the group with the protection of personal data.

You can find the announcement through the following link.

https://kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU