1. Giriş
Kişisel verilerin yurtdışına aktarılması, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 9. maddesi uyarınca ilgili kişinin açık rızasının alınmasına bağlıdır. Ancak aynı maddenin 2. fıkrasında istisna olarak kişisel verinin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda kişisel veriler, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
Kurul, bu kapsamda ilgili tarafların yeterli bir korumayı yazılı olarak taahhüt etmelerine imkân sağlayan yöntemlerinden birini “Taahhütnameler” olarak belirlemiştir. Bununla birlikte Kişisel Verileri Koruma Kurumu’nun (“Kurum”) 10.04.2020 tarihinde yayımladığı Duyurusu ile çok uluslu şirket toplulukları arasında yapılacak uluslararası veri aktarımlarında kullanılmak üzere diğer bir yöntem olarak da “Bağlayıcı Şirket Kuralları” belirlenmiştir.
2. Bağlayıcı Şirket Kuralları (BŞK) Tanımı
Kurum’un ilgili Duyurusu uyarınca Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır. Bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kuruma, Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir.
3. Başvuruya İlişkin Usul ve Esaslar
3.1. Başvuru Yapma Yetkisi
Grubun Türkiye’de yerleşik merkezi var ise başvuruyu yapmaya burada faaliyet gösteren şirket yetkilidir. Grubun Türkiye’de yerleşik merkezi yok ise Türkiye’de yerleşik bir Grup üyesi kişisel verilerin korunması konusunda yetkilendirilmelidir. Bu durumda, Grup adına başvuru yapma yetkisini burası haizdir.
3.2. Başvuruda Sunulacak Belgeler
– Başvuru Formu
– Bağlayıcı Şirket Kuralları
– Başvuru ile ilgili gördüğünüz diğer tüm bilgi ve belgeler
Başvurucu, başvuru belgelerini hazırlayarak başvuru aşamasında Kurum’a sunar. Gerekmesi halinde Kurum’a başkaca bilgi ve belge talep edilebilir.
3.3. Başvurunun Yöntemi
Başvurular, Kurum’a elden veya posta yoluyla iletilir.
3.4. Başvurunun Sonuçlandırılması
Başvurular, Kurum tarafından, resmi başvuru tarihinden itibaren bir (1) yıl içerisinde değerlendirilerek sonuca bağlanır. Gerekmesi halinde bu süre, altı (6) aylık sürelerle uzatılabilir. Başvurunun Kurulca onaylanması halinde, bu durum Kurum tarafından ilgilisine bildirilir ve gerekmesi halinde ilan edilir.
4. Bağlayıcı Şirket Kuralları’nda Bulunması Gereken Temel Hususlar
Bağlayıcılığın sağlanması amacı ile Bağlayıcı Şirket Kuralları kapsamında yer alacak veri sorumlusu ile veri işleyen arasında Türk hukukunda geçerli yasal bir sözleşme ya da diğer bir hukuki işlem düzenlenerek, bunun tüm veri işleyenler tarafından imzalanması sağlanmalıdır. Veri sorumluları için Bağlayıcı Şirket Kuralları ile belirlenen yükümlülükler, hizmet sözleşmesine aykırı düşmeyecek şekilde, grup şirketleri içerisinde veri işleyen olarak veri aktarılan yapılara da uygulanır.
4.1. Bağlayıcılık Unsuru
4.1.1. Bağlayıcı Şirket Kuralları’na uyma yükümlülüğü:
Bağlayıcı Şirket Kuralları hukuken bağlayıcı olmalı ve Bağlayıcı Şirket Kuralları’na uyma hususunda çalışanları da dâhil olmak üzere tüm grup üyelerine açık bir yükümlülük getirmelidir.
4.1.2. Kuralların, grup içerisindeki Bağlayıcı Şirket Kuralları üyeleri ve çalışanlarını hukuken nasıl bağladığına ilişkin açıklama:
Grup şirketleri, kuralların bağlayıcı niteliğini başvuru formunda açıklamak zorundadır:
– Gruptaki her üye için hukuken geçerli ve ispatlanabilir bir veya daha fazla yöntem ile BŞK’nin bağlayıcılığı sağlanmalıdır.
– Çalışanlar üzerinde bağlayıcılığın sağlanması için iş sözleşmesi, toplu iş sözleşmesi, gizlilik sözleşmesi, etik kurallar, şirket politikaları, iş yeri iç yönetmelikleri vb. yöntemlerden bir veya birkaçı kullanılabilir.
4.1.3. İlgili kişinin hakları ve yasal iddialar (KVKK ve Mahkemeler nezdinde şikâyette bulunma imkânı dâhil):
BŞK’de, ilgili kişinin asgari olarak aşağıda sayılan maddelerin uygulanmasını isteme hakkı yer almalıdır: Genel ilkeler (m.4), İlgili kişinin aydınlatılması (m. 10), Kişisel verilerin silinmesini, yok edilmesini talep etme hakkı (m. 7), İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı (m. 11/1/g), Verinin aktarıldığı ülkede, Bağlayıcı Şirket Kurallarına uymayı engelleyen ulusal bir mevzuatın bulunup bulunmadığı ve bulunması halinde açıkça belirtilmesi, Veri sorumlusuna başvuru hakkının tanınması (m. 13),Kurum ile koordinasyon yükümlülüğü, Grup üyelerinden herhangi birinin yabancı bir ülkede tabi olduğu ve BŞK ile ilgili kişiye sağlanan teminatlar üzerinde önemli olumsuz etkileri olma ihtimali bulunan tüm yasal yükümlülüklerinin belirtilmesi, Yetki tespiti hükümleri (m.14) BŞK ile ilgili kişilere Kanun’un 11. maddesinin (ğ) bendinde yer alan zararın giderilmesini talep etme hakkı da dâhil olmak üzere her türlü yasal yolun kullanılabilmesi imkânı açıkça tanınmalıdır.
4.1.4. Şirket grubunun Türkiye’de yerleşik merkezinin/kişisel verilerin korunması konusunda yetkilendirilmiş Türkiye’de yerleşik bir üyesinin/ veri aktaran veri sorumlusunun BŞK’den kaynaklanan tazminatın ödenmesi ve ihlallerin giderilmesi konusundaki yükümlülüğünü kabul etmesi:
Türkiye dışındaki bir BŞK üyesi BŞK’yi ihlal ederse, bu konuda yetki Türkiye’deki mahkemeler ve yetkili makamlarda olacaktır. İlgili kişinin, sanki ihlal yurtdışında değil Türkiye’de gerçekleşmiş gibi sorumluluk ve yükümlülüğü kabul etmiş olan BŞK üyesine karşı hak ve tazminatlarını talep etme yetkisi olacaktır. Tüm sorumluluğun belirli bir kişi tarafından üstlenilmesinin mümkün olmadığı kurumsal yapıya sahip bir şirket grubu bakımından Türkiye’de kurulu bir BŞK üyesinden veriyi alan, Türkiye dışında kurulu bir BŞK üyesi tarafından meydana getirilecek tüm ihlaller bakımından her bir BŞK üyesinin sorumlu olması sağlanabilir.
4.1.5. Şirketin yeterli malvarlığının bulunması:
Başvuru formu, BŞK ile bağlı Türkiye dışında kurulu bulunan diğer üyelerin fiilleri bakımından sorumluluğu kabul eden tüm BŞK üyelerinin, BŞK’nin ihlalinden kaynaklanan zararların tazmini için yeterli varlığa sahip olduğu yönünde bir taahhüt içermelidir.
4.1.6. İspat yükünün bireysel değil şirket üzerinde olması:
BŞK ile; ilgili kişi tarafından iddia edilen zararların yurt dışında bulunan üyeden kaynaklanıp kaynaklanmadığı konusunda, sorumluluğu alan BŞK üyesinin ispat külfetini kabul ettiği açıkça düzenlenmelidir.
4.1.7. İlgili kişilerin BŞK’ye kolay erişimi ve şeffaflığın sağlanması:
Bağlayıcı Şirket Kuralları, her bir ilgili kişinin bu haklarına kolayca erişim hakkını içermelidir.
4.2. Etkili Uygulama
4.2.1. Uygun eğitim ve farkındalık çalışmalarının bulunması:
BŞK’nin, kişisel verilere sürekli veya düzenli erişime sahip olan, veri toplamaya dâhil olan veya kişisel verileri işlemek için kullanılan araçların geliştirilmesinde çalışan personele uygun eğitim programını içermesi gerekir. Eğitim programı başvuruda açıkça belirtilmelidir.
4.2.2. Şikâyet mekanizmasının bulunması:
Şikâyet kapsamında ilgili kişilerin talepleri, talebin niteliğine göre en geç otuz gün içinde sonuçlandırılır. Başvuru formunda, şikâyet sisteminin uygulanma aşamaları hakkında ilgili kişilerin nasıl bilgilendirileceği açıklanmalıdır.
4.2.3. Uyumluluk denetiminin bulunması:
BŞK, taahhüt edilen kurallara uygun hareket edilmesini sağlamak üzere düzenli olarak denetim yapılması/yaptırılması ve bu denetimi kimlerin yapacağı gibi konularda açıklamalar içermelidir. Ayrıca BŞK’de, denetim sonuçlarından Grup üyelerinin ilgili birim ve çalışanlarının haberdar edilmesi ile ilgili hususlar belirtilmelidir. BŞK’de, Kurumun talebi halinde denetim sonuçlarına erişme yetkisi ve Kuruma gerekli durumlarda herhangi bir BŞK üyesi üzerinde denetim yapma yetkisi tanınmalıdır. Başvuru formunda uyumluluk denetim sistemine ilişkin açıklamalar bulunmalıdır.
4.2.4. BŞK’nin Uygulanması Konusunda Görevli Personel yapılanmasının bulunması:
Tüm Grup bakımından BŞK’ye uyumun sağlanması ve bunun takibi için görevlendirilmiş uygun bir personel yapılanması bulunmalıdır. BŞK’ de bu personel yapılanmasının oluşumu, görev ve sorumlulukları gibi hususlar açıklanmalıdır. Söz konusu personel, üst yönetimi bilgilendirir ve tavsiyede bulunur, yetkili denetim otoritesinin incelemeleriyle ilgilenir, uyumluluğu izler ve grup düzeyinde yıllık olarak raporlar.
4.3. Kurum İle Koordinasyon
Bağlayıcı Şirket Kuralları, gerekmesi halinde tüm üyelerin Kurum tarafından denetlenmesini ve bu kurallarla ilgili herhangi bir konuda Kurum’un tavsiyelerine uymayı kabul ettiğini içeren açık bir yükümlülük içermelidir.
4.4. Kişisel Verilerin İşlenmesi ve Aktarılması
4.4.1. BŞK’nin içeriği hakkında açıklama:
BŞK, üçüncü ülkelerde yürütülen işlemlerin uyumlu olup olmadığının Kurum tarafından değerlendirilmesini sağlamak üzere Kuralların kapsamı ve aktarımların genel bir tanımını içermelidir. BŞK; aktarıma konu kişisel verinin niteliği, aktarım amaçları ve süreleri, veri konusu kişi grubu veya grupları, veri aktarımının hangi yöntemle gerçekleştirileceği, veri aktarımının hukuki sebebi/sebepleri, aktarılacak verilerin grup içerisindeki dağılımı ve sonraki aktarımlar gibi hususları içermelidir.
4.4.2. BŞK’lerin yer bakımından kapsamı hakkında açıklama:
BŞK’de, her bir grup üyesi dâhil olmak üzere grubun yapısı ve iletişim bilgileri açıkça belirtilmelidir.
4.4.3. BŞK ile bağlı yapılar:
Grubun tanımlanmış bir temas kişisinin, BŞK ile bağlı olan şirketlerin/varlıkların tamamen güncellenmiş bir listesini tutma ve listede değişiklik yapılması durumunda Kurumu ve ilgili kişileri bilgilendirme yükümlülüğü bulunmaktadır.
4.5. Raporlama ve Kayıt Değişikliği Mekanizmaları
BŞK değiştirilebilir/güncellenebilir ancak değişikliklerin gecikmeksizin tüm BŞK üyelerine ve Kuruma bildirilmesi konusunda bir yükümlülük öngörülmelidir. Bununla birlikte aşağıdaki durumlarda tekrar bildirim yapmaya gerek bulunmamaktadır:
– Belirli bir kişi veya ekip/birim, BŞK üyelerinin tam ve güncel bir listesi ile kurallardaki güncellemelere dair kayıtları tutar, ilgili kişilere ve Kuruma talep üzerine gerekli bilgileri sağlar.
– Yeni Grup üyesine, BŞK’ye bağlılığı ve uyumu tam olarak sağlayıncaya kadar herhangi bir kişisel veri aktarımı yapılmaz.
– BŞK veya BŞK üyelerindeki herhangi bir değişiklik, güncellemeyi haklı kılan sebeplerin kısa bir açıklamasıyla birlikte Kuruma yılda bir kez bildirilir.
– BŞK’nin sunduğu koruma seviyesini veya BŞK’yi önemli şekilde etkileyen değişiklikler (bağlayıcılık niteliğini etkileyen değişiklikler gibi) derhal Kuruma bildirilir.
4.6. Veri Güvenliği
4.6.1. Türkiye’den aktarım ya da sonraki aktarımları kapsar şekilde veri koruma ilkelerine ilişkin bir açıklama:
BŞK açıkça şirket tarafından izlenecek aşağıdaki hususları içermelidir:
– Hukuka ve dürüstlük kurallarına uygun olma (Kanun m. 4/2/a)
– Doğru ve gerektiğinde güncel olma (Kanun m. 4/2/b)
– Belirli, açık ve meşru amaçlar için işlenme (Kanun m.4/2/c)
– İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma (Kanun m. 4/2/ç)
– İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme (Kanun m. 4/2/d)
– Özel kategorideki kişisel verilerin işlemesi
– Güvenlik (idari ve teknik tedbirler alınacaktır)
– Grubun bir parçası olmayan veri işleyenlere ve veri sorumlularına yapılan aktarımlar ve sonraki aktarımlar üzerindeki kısıtlamalar.
Ayrıca, bu teknik ve idari tedbirler herhangi bir kişisel veri ihlali durumunda şirketin Türkiye’de bulunan genel merkezine veya kişisel verilerin korunması konusunda yetkili Türkiye’de bulunan BŞK üyelerine ve ilgili veri koruma birimi ile hak ve özgürlüklerinin ihlalden etkilenme riski bulunan ilgili kişilere gecikmeksizin bildirimde bulunma yükümlülüğünü de içermelidir. Tüm kişisel veri ihlalleri belgelenmeli ve ilgili dokümanlar istenmesi halinde Kuruma sunulmalıdır.
4.6.2. Ulusal mevzuatın, grubun BŞK’ye uymasını engellediği durumlarda şeffaflık:
Bir BŞK üyesinin uymakla yükümlü olduğu mevzuatta, şirketin BŞK’deki yükümlülüklerini yerine getirmesini engelleyen veya BŞK ile düzenlenen kuralların uygulanmasını önemli ölçüde etkileyen hükümler varsa, derhal Grubun Türkiye’de yerleşik merkezi veya Türkiye’de yerleşik merkezi yok ise kişisel verilerin korunması konusunda yetkilendirilmiş ve Türkiye’deki Grup üyesi bilgilendirilmelidir. Ayrıca, bir BŞK üyesinin üçüncü bir ülkede tabi olduğu hukuki gerekliliklerin, BŞK’nin sağladığı garantiler üzerinde önemli bir olumsuz etkiye sahip olması durumu da Kuruma bildirilmelidir. Kanunla yetki verilen bir otorite veya milli güvenliği sağlamakla yükümlü bir kurum tarafından kişisel verilerin açıklanmasının istendiği talepler de bu duruma dâhildir. Böyle bir durumda, Kurumun, talep hakkında açıkça bilgilendirilmesi gerekir. Askıya alma ve/veya bildirimin yasaklanması gibi belirli durumlar bakımından BŞK’ler; BŞK üyesinin, mümkün olan en kısa sürede ve olabildiğince fazla bilgi vermek üzere bu yasaktan feragat etme hakkını elde etmek üzere elinden gelen çabayı göstereceği ve bunu ispat edeceğine ilişkin hüküm içermelidir. Eğer, yukarıdaki durumlarda, bilgi talep edilen BŞK üyesi tüm çabasına rağmen Kurumu bilgilendirebilecek bir konumda değilse, kendisine gelen talepler hakkında yıllık olarak Kuruma genel nitelikte bir bilgilendirmeyi sağlamayı BŞK’de taahhüt etmelidir. Her durumda BŞK’lerin şunu belirtmesi gerekir; Bir BŞK üyesi tarafından kişisel verilerin herhangi bir kamu otoritesine aktarılması, demokratik bir toplumda gerekli olanın ötesine geçecek şekilde büyük, orantısız ve rastgele şekilde yapılamaz.
4.6.3. Ulusal mevzuat ve BŞK arasındaki ilişkinin açıklanması:
Zorunlu olmamakla birlikte, BŞK ve ilgili meri ulusal mevzuat arasındaki ilişkiyi belirlemek faydalı olacaktır.
4.7. Hesap Verilebilirlik ve Diğer Araçlar
Her bir veri sorumlusu BŞK’ye uyum göstermekle yükümlü ve sorumludur. Uyumun sağlanabilmesi için BŞK üyelerinin, tüm kategorilerdeki veri işleme faaliyetlerinin elektronik yöntemler de dâhil olmak üzere yazılı şekilde kaydını tutması ve talep halinde Kuruma sunması gerekmektedir. Uyumluluğun artırılması ve gerektiğinde, gerçek kişilerin hak ve özgürlükleri bakımından yüksek risk oluşturması muhtemel olan veri işleme faaliyetleri için risk analizi yapılmalıdır. Yapılan risk analizine göre, veri sorumlusu tarafından riski hafifletmek için gerekli tedbirlerin alınmamış olması ve veri işlemenin yüksek risk doğuracağının ortaya çıkması durumunda, veri işleme faaliyetinden önce Kuruma danışılmalıdır.
4.8. Yardımcı Bilgi ve Belgeler
Aşağıdaki hususlarda bilgi verilmesi zorunlu olmamakla birlikte başvurunun değerlendirilmesi bakımından faydalı olacaktır: Aktarımın yapılacağı ülkelerin taraf olduğu, kişisel verilerin korunması konusunda hüküm içeren uluslararası sözleşmelerin, ilgili kısımlara atıf yapılarak, belirtilmesi; Kişisel verinin aktarılacağı ülkede, kişisel verilerin korunması konusunda ulusal mevzuat ile yetkili bir kişisel verileri koruma otoritesinin varlığı ve varsa konuyla ilgili mevzuatı ve uygulamasının kısaca belirtilmesi.
5. GDPR açısından bağlayıcı şirket kuralları prosedürü
Denetim otoritesi, AB Veri Koruma mevzuatına uyumu sağlayan ulusal hukuktaki başlıca organ olup yetkileri ve organizasyon yapısı ana hatlarıyla GDPR’da belirtilmiştir. Denetim otoriteleri bu görevlerini yerine getirmek için GDPR’ın 58. Maddesinde belirtilen yetkilerle beraber bağlayıcı şirket kuralları düzenleme görevine sahip olması gerekmektedir. AB hukuku altında, bir üçüncü ülkeye ya da uluslararası kuruluşlara kişisel veri aktarımına ancak veri sorumlusu ya da veri işleyen uygun korumaları ve uygulanabilir veri sahibi haklarını sağlarsa ve ancak veri sahiplerinin etkin hukuk yollarına erişimi varsa izin verilmektedir. AB veri koruma hukukunda kabul edilebilir ‘uygun koruma’ listesi münhasıran sağlanmaktadır. Bağlayıcı şirket kuralları da uygun korumanın oluşturulmasında gereken unsurlardandır.
5.1. Bağlayıcı şirket kurallarına tabi aktarımlar
AB hukuku da aynı teşebbüs ya da ortak ekonomik faaliyetlerde bulunan kuruluş bünyesindeki şirketler grupları arasında gerçekleşen uluslararası aktarımlar için bağlayıcı şirket kurallarına dayalı kişisel veri aktarımlarına izin vermektedir. Bağlayıcı şirket kurallarına kişisel verilerin aktarımı için bir araç olarak dayanılmasından önce, yetkin denetleyici otoritenin, bağlayıcı şirket kuralları doğrultusunda, süreklilik mekanizmasını kullanarak onları onaylaması gerekmektedir. Onaylanmaları için, bağlayıcı şirket kurallarının hukuken bağlayıcı olmaları, temel veri koruma prensiplerini kapsamaları ve ilgili grubun tüm üyelerine uygulanabilir olmaları gerekmektedir. Veri sahiplerine yönelik uygulanabilir hakları açıkça sunmalı, tüm temel veri koruma prensiplerini içermeli ve teşebbüsün yapısını belirtmek, aktarımı açıklamak ve veri koruma prensiplerinin nasıl uygulanacağını belirtmek gibi belirli şekli yükümlülüklere uymalıdırlar. Bu söz konusu bilgilerin veri sahiplerine sunulmasını da içermektedir. Bağlayıcı şirket kuralları, diğer şeylerin yanı sıra, veri sahiplerinin haklarını ve kuralların ihlaline dair hükümleri de belirtmelidir.
Bağlayıcı şirket kuralları onaylanırken, denetleyici otoriteler arasındaki işbirliği için süreklilik mekanizması tetiklenecektir. Süreklilik mekanizmasının çerçevesinde, ilgili denetleyici otorite teklif edilen bağlayıcı şirket kurallarını gözden geçirir, bir taslak karar oluşturur ve EDPB’ye iletir. Kurul, konu hakkında bir görüş yayımlar ve ilgili denetleyici otorite bağlayıcı şirket kurallarını, Kurul’un görüşünü “mümkün olduğunca dikkate alarak” resmi olarak onaylayabilir. Ve son olarak Avrupa Konseyi hukuku altında, hukuken bağlayıcı belgelerin içerisinde gömülü geçici ya da standardize korumalar bağlayıcı şirket kurallarını da içermektedir.
6. Taahhütname süreci açısından bağlayıcı şirket kuralları
Kanunun ilgili maddesi gereğince, yeterli korumanın bulunmaması durumunda, kişisel veriler, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. Bu taahhütnameler, genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımlarını kolaylaştırmakla birlikte çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalmaktadır. Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma politikalarıdır.
Bu kapsama giren şirketlerin, bağlayıcı şirket kuralları başvuru formunu doldurup gerekli talimatları izleyerek Kişisel Verileri Koruma Kurumuna (Kurum) Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir. Ayrıca Kanun’un ilgili maddesi gereğince, kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı sağlayacaklarına ilişkin olarak hazırladıkları yazılı taahhütler, Kurul’un iznine tabidir.