Bağlantıları atla

Binding Corporate Rules (BCR)

A. GENEL BAKIŞ

Kişisel verilerin hızla boyut değiştirdiği günümüz teknolojisinde, verilerin doğrudan bireylerin temel hak ve özgürlüklerine temas etmesi sebebiyle bu verilerin gerek ulusal gerekse uluslararası yasal düzenlemelerde korunması gerekliliği doğmuş ve bu süreçle birlikte pek çok mevzuat düzenlemeleri gündeme gelmiştir.

İlk adım olarak, 95/46/EC sayılı AB Veri Koruma Direktifi’nde benimsenen ilkelerin modernize edilmesi ihtiyacı doğmuş ve bu doğrultuda Avrupa Parlamentosu tarafından 24 Mayıs 2016 tarihinde General Data Protection Regulation (“GDPR”) onaylanmış ve öngörülen iki yıllık geçiş süreci sonrasında ise, yürürlülük tarihi olarak 25 Mayıs 2018 öngörülmüştür. Bu alanda en geniş kapsamlı düzenleme GDPR olarak kabul edilmektedir.

Nihayet, 1981 yılından bu yana yapılan yasalaşma çalışmalarının sonucu olarak 95/46 Sayılı Veri Koruma Direktifi referans alınarak hazırlanmış olan 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK“, “Kanun“), 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Hiç kuşkusuz KVKK ile hukukumuza giren en önemli kavramlardan birisi de “Veri Aktarımı”dır.

B. VERİ AKTARIM SÜRECİ

– Kişisel verilerin üçüncü ülkelere aktarımı, GDPR’ın m.44 ila m.50 arasında düzenlenmiştir. GDPR’ın üçüncü ülkelere kişisel veri aktarımı ile ilgili yaptığı ayrıntılı düzenlemenin amacı, gerçek kişilere kişisel verileri üzerinde Avrupa Birliği mevzuatı ile sağlanan korumanın, bu verilerin üçüncü ülkelere aktarımı yoluyla zayıflatılmasının önüne geçmektir.
– KVKK’da veri aktarım’dan ne anlaşılması gerektiği konusunda detaylıca açıklama yapılmamakla birlikte; yurtiçi/yurtdışı veri aktarımı kavramlarına yer verilmekte ve kişisel veri aktarımı kavramı bu iki alt başlık maddeleri altında incelenmektedir. Uygulamada gerek mehaz Direktifin gerekse KVKK’nın veri aktarımına ilişkin hükümleri, ticari hayatta ortak ekonomik faaliyet yürüten kuruluşlarda, grup şirketlerde, sürece ilişkin hızlı ve kesin bir çözüm sunamamaktadır. İşte bu sebeple ortak ekonomik faaliyet yürüten kamu kurum ve kuruluşların veri aktarımını güvenli ve hızlı bir şekilde sağlayabilme ihtiyaçları neticesinde, Avrupa Birliği Madde 29 Çalışma Grubu (Article 29 Working Party, WP29) tarafından, uluslararası veri aktarım kurallarını ihtiva eden BCR (Binding Corporate Rules/ Bağlayıcı Şirket Kuralları) sistemi geliştirilmiştir.

Avrupa Birliği Komisyonu tarafından alınan bir karar olmaması halinde, ancak bir veri sorumlusu veya işleyenin uygun güvenceler sağlamış̧ olması halinde ve uygulanabilir veri sahibi hakları ve veri sahiplerine yönelik etkili kanun yollarının mevcut olması koşuluyla, söz konusu veri sorumlusu veya işleyen bir üçüncü ülke veya uluslararası bir kuruluşa kişisel veri aktarabilir. Bu kapsamda uygun güvenceler, bir denetim makamından spesifik bir onay alınmasına gerek olmaksızın nasıl sağlanabileceği Tüzükte sayılmıştır. Tüzüğün 46 ve 47.maddeleri uyarınca, uygun güvencelerin sağlanma yöntemlerinden birisi de bağlayıcı kurumsal kurallar’dır

C. BCR: AN APPROPRIATE SAFEGUARD

KVKK’da yer almayan BCR kavramı GDPR’ın 4.maddesi “Tanımlar” başlığı altında şu şekilde tanımlanmıştır:

“Bağlayıcı Kurumsal Kurallar’ ortak bir ekonomik faaliyetle iştigal eden bir teşebbüsler grubu veya bir işletmeler grubu içerisinde bir veya daha fazla sayıda üçüncü ülkedeki bir kontrolör veya işleyiciye kişisel veri aktarımları veya aktarım dizisiyle ilgili olarak Birliğin üye devletlerinden birinin topraklarında kurulmuş olan bir kontrolör veya işleyici tarafından uyulan kişisel veri koruma politikalarıdır”.

BCR’ler belirlenirken GDPR m.47’ye uygun olarak belirlenmeli ve de bu maddede yer alan şartlar BCR uyum sürecine dahil edilmelidir.

BCR’ler vasıtasıyla, bir grup şirketin kendi içerisinde belirlemiş olduğu veri koruması ilkelerinin ulusal veri koruması otoritesi tarafından onaylandığı çerçevede mevcut grup şirketi kendi alt şirketleri arasında uluslararası kişisel veri aktarımını yapabilmektedir8 . Diğer bir anlatımla, BCR’nin amacı; Avrupa Birliği kurallarının geçerli olmadığı, dolayısıyla Avrupa Birliği düzeyinde veri koruma kurallarının olmadığı ülkelere veri transferinin sağlanabilmesidir.

BRC’lerin içermesi gereken unsurlar nelerdir? (GDPR art.47)

1) YAPI: Şirket yapısı ve şirketin kurallarını yansıtmalı
2) UYGULAMA KAPSAMI: Şirketin işlediği kişisel veri kategorilerini, işlemlerin türü ve amaçlarını, veri aktarım bilgilerini ve bu faaliyetlerin hangi amaçlarla gerçekleştirildiği bilgilerini içermelidir.
3) İLGİLİ KİŞİ HAKLARI: BCR’ler, ilgili kişilerin sahip oldukalrı hakları ve ihlal durumunda başvuru yollarını belirtmelidir.
4) ŞEFFAFLIK: İlgili kişi, kişisel verilerin işlenmesine yönelik haklarını ve kişisel verilerin korunmasına ilişkin hükümleri bilmelidir.
5) HESAP VEREBİLİRLİK: Veri sorumlusu olarak hareket eden teşebbüs, kabul etmiş olduğu BCR’lere uygun davranmalıdır.
6) VERİ KORUMA İLKELERİ: BCR’ler aynı zamanda, kanunuilik veri minimizasyonu, saklama ve imha ilkelerine uygun hazırlanmalıdır.
7) HİZMET SÖZLEŞMESİ: Veri sorumlusu ve işlemci BCR arasında sözleşme akdedilmeli ve bu neticede tarafların hak ve yükümlülükleri netleştirilmelidir.

BCR, Code Of Conducts, Standard Contractual Clauses Farkı Nedir?

Bu kavramların hepsi GDPR’de ayrı düzenlemelere sahiptir.

Code Of Conduct: Bir şirketin kendi içerisinde veri korumanın nasıl olacağını belirleyen politikalardır. Veri akışıyla ilgili herhangi bir rolü olmamakla beraber; Avrupaki pek çok şirkette de uygulaması görülmektedir.

Standard Contractual Clauses : Yeknesak sözleşme hükümleri. Bu düzenlemede ise, B2B denilen bir şirketten Avrupa’nın veri koruma sisteminde yer almayan bir başka şirkete cveri transferi yapılacağı zaman kullanılmaktadır. Örneğin Türkiye’deki bir şirkete veri transferi yapılacağı zaman bu “Standard Contractual Clauses “uygulama alanı bulacaktır.

BCR: Yukarıda da tanımlandığı üzere; BCR ile, bir şirketler grubu içerisinde, veri transferi yapılmak isteniyorsa süreç yerine getirilip izin alındıktan sonra artık tekrar tekrar ilgili veri koruma otoritesinden izin almaya veya bildirim yapmaya veya taahhüt almaya gerek kalmaksızın veri transferi yapılabilmektedir.

Belirtmekte fayda var ki, holding şirketlerinin kendi şirketleri arasında yapacağı veri transferleri için BCR’ler uygulama alanı bulamayacaktır. Diğer bir ifadeyle, yatay düzlemde belirli bir iş alanında çalışan tek bir şirket bünyesinde AB dışında pek çok yerde şube ve/veya fabrikaların mevcut olduğu bir senaryoda bunlarla veri transferi yapılması gerektiği takdirde BCR hükümleri bu noktada devreye girmektedir.

BCR’nin avantajları ve dezavantajları nelerdir?

AVANTAJLARI:

– İlgili kişi veri aktarım güvenliğini bilir.
– Hızlı ve güvenli veri aktarımı söz konusu olur.
– Kurumlarda veri koruma bilinci artar.
– Kurallar, Kurum çalışanları için iç rehber niteliğinde olur.
– Hesap verilebilirlik artar.

DEZAVANTAJLARI:

– Sisteme dahil olmak isteyen şirketin hedeflerinin tamamını kapsar nitelikte olmayabilir.;
– Sistem üyesi şirketlerin, grup üyesi şirketlerinin yerel yasalarına bağdaşmama riski olabilir.
– Önemli miktarda bütçe ayrılması gereken bir yatırımdır.
– Prosedürün uzunluğu sebebiyle sisteme dahil olma süreci de uzun olabilir.

BCR’ye başvuru prosedürü nasıldır?

1) Başvuru formu doldurulur ve baş yetkili olduğu düşünülen veri koruma otoritesine bildirilir. “Lider Otorite”. Örneğin uluslarası x şirketi’nin pek çok yerde fabrikası ve merkezlere varsa, bir tanesini baş yetkili seçmeli. Genellikle şirketin genel merkezinin/genel müdürlüğünün olduğu ülkedeki veri koruma otoritesi (Baş yetkili otoritenin belirlenmesi aşaması yaklaşık olarak 6 ay sürmektedir)
2) Baş yetkili veri koruma otoritesi tarafından baplaycıı kurumsal kuralların onayı için tüm otoritelerle iş briliği sağlanıyor ve taslak kararı Avrupa Birliği veri koruma otoritesi supervisor’ına gönderilir ve kurallar AB veri koruma otoritesinin görüşüne göre tamamlanır ve kuralların bir örneği de, AB içerisineki tüm veri koruma otoritelerine dağıtılır.
3) Kurallarda değişiklik olması durumunda, gereklim şartların yerine getirilmesinden sonra tekrardan başvurulmak zorunda kalınmaksızın bağlaycıı şirket kurallarının güncellenmesi mümkündür. Değişikliği haklı kılacak nedenler ve açıklamalar ile birlikte ilgili veri koruma otoritesine yılda 1 kez mutlaka rapor edilmelidir.

SONUÇ:

GDPR’in vazgeçilmez unsurlarından birisi olarak kabul edilen BCR kavramı hakkında, ulusal ve uluslararası doktrinde sistemin avantajlarını ve dezavantajlarını içerir yorumlar mevcut. Masoch; BCR’nin veri aktarımının sürekliliği/sürdürülebilirliği bakımından tek temel yöntem olmadığını belirtmekle beraber ancak aynı zamanda bu onaylanmış BCR sistemi ile kuruluşların/şirketlerin/teşebbüslerin düzenleyicilere, tüketicilere, müşterilere ve iş ortaklarına karşı kişisel veri güvenliği süreçlerinin ve şirket politikalarının ne kadar da şeffaf olduğunun kanıtlanmasına olanak tanıdığı belirtmektedir. Dülger, BCR uyum sürecinin Türkiyedeki uyum süreçleriyle kıyaslandığında gerek maliyet gerekse kaynak bakımından daha katı ve zor olabileceğini belirtmektedir.

Gelişen ve değişen bilimsel teknolojilerin karşısında kişilerin anayasal haklarına doğrudan temas eden bu denli önemli bir kavramın düzenlenmesi aşamasında güncel uluslararası gelişmeleri takip ederek ulusal mevzuat ile AB mevzuatı arasında paralellik sağlanmalıdır.

Bu web sitesi, web deneyiminizi geliştirmek için çerezleri kullanır. Size en iyi web deneyimini sağlamak için çerezleri kullanıyoruz. Gizlilik politikasını buradan okuyabilirsiniz.