Güncel BilgilerKişisel Verileri Koruma Kurumu Standart Sözleşmeler ve Bağlayıcı Şirket Kurallarına İlişkin Belgelerin Nihai Halini Yayımladı.

11 Temmuz 2024

Kişisel Verileri Koruma Kurumu (“Kurum“) internet sitesinde 10 Temmuz 2024 tarihinde yaptığı duyuru (“Duyuru”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK“)’nun 9. maddesinin dördüncü fıkrası uyarınca kişisel verilerin yurt dışına aktarılması için uygun güvence sağlama yöntemleri olarak öngörülen standart sözleşme ve bağlayıcı şirket kurallarına (“BŞK”) ilişkin nihai belgeleri içeren bir kamuoyu duyurusu yayımlanmıştır.

Hatırlanacağı üzere, Kurum tarafından 17 Mayıs 2024 tarihinde Kurum resmi internet sitesinde yapılan duyuru ile Standart Sözleşmeler ve Bağlayıcı Şirket Kurallarına ilişkin belgeleri kamuoyunun görüşlerine sunma sürecini başladığını duyurmuştu. Kamuoyu görüşlerinin alınması ve değerlendirilmesi sonucunda Kişisel Verileri Koruma Kurulunun 4/6/2024 tarihli ve 2024/959 sayılı kararı ile kişisel verilerin yurt dışına aktarılmasında kullanılacak standart sözleşme metinleri, bağlayıcı şirket kuralları başvuru formları ve bağlayıcı şirket kurallarında bulunması gereken temel hususlara ilişkin yardımcı kılavuzların aşağıda yer alan şekliyle kabul edilmesine karar verilmiştir:

  1. Standart Sözleşmeler

Standart Sözleşmeler, kişisel verilerin veri sorumlusu ve veri işleyenlerce aktarılabileceği dört muhtemel senaryoya özgü sözleşme metinleri olarak yayınlanmıştır. Bunlar aşağıdaki gibidir:

  • Standart Sözleşme – 1 (Veri Sorumlusundan Veri Sorumlusuna): İşbu sözleşme, Türkiye’de yerleşik veri aktaran ve yurt dışında bulunan veri alıcı veri sorumlusuna kişisel veri aktarımı yaparken uyması gereken kuralları ve güvenceleri belirlemektedir.
  • Standart Sözleşme – 2 (Veri Sorumlusundan Veri İşleyene): İşbu sözleşme, Türkiye’de yerleşik veri sorumlusunun yurt dışındaki bir veri işleyene kişisel veri aktarımı yaparken uyması gereken kuralları ve güvenceleri belirlemektedir.
  • Standart Sözleşme – 3 (Veri İşleyenden Veri İşleyene): İşbu sözleşme, Türkiye’de yerleşik veri işleyenin yurtdışındaki başka bir veri işleyene kişisel veri aktarımı yaparken uyması gereken kuralları ve güvenceleri belirlemektedir.
  • Standart Sözleşme – 4 (Veri İşleyenden Veri Sorumlusuna): Türkiye’deki bir veri işleyenin, yurtdışındaki veri sorumlusuna kişisel veri aktarımı yaparken uyması gereken kuralları ve güvenceleri belirlemektedir.

Standart Sözleşmelerde değişiklik yapılmaması, üçüncü taraf yararlanıcı hakları, aktarım detayları; kişisel verilerin korunmasına yönelik güvenceler, talimatlar, bilgilendirme yükümlülüğü, veri güvenliği, özel nitelikli kişisel veriler, hak arama yöntemleri, sonraki aktarımlar, denetim, sorumluluk, belgeleme ve uyumluluk, hak arama yöntemleri gibi taraf yükümlülükleri, ulusal hukuk ve kamu makamları tarafından erişim hâlinde yükümlülükler, sözleşmeye uyulmaması halinde fesih ve sözleşmenin Kurum’a bildirilmesine ilişkin düzenlemeler yer almaktadır.

Tarafların Standart Sözleşmeler’e veri aktaranın ve veri alıcısının adresleri, bunların irtibat noktasının adı ve soyadı, unvanı ve iletişim bilgileri, imzalayanların adı ve soyadı ve unvanı,  imza ve tarih gibi bilgileri yazması gerekmektedir. Duyuru ile aynı tarihte yayımlanarak yürürlüğe giren Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’te (“Yönetmelik”) düzenlendiği üzere, standart sözleşmenin imzalanmasından itibaren 5 iş günü içinde Kurum’a bildirilmesi ve standart sözleşme taraflarında veya standart sözleşme içeriğinde bir değişiklik olması ya da standart sözleşmenin sona ermesi halinde de bu hususun Kurum’a bildirim yapılması şarttır. KVKK’da, Standart Sözleşmeye ilişkin bu bildirim yükümlülüğünün yerine getirilmemesi halinde ise 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası öngörülmektedir.

Ayrıca, veri sorumlusundan ve veri işleyenden veri işleyene yapılacak aktarımlarda, alt veri işleyen hususuyla ilgili olarak özel düzenleme yer almış; burada taraflara alt veri işleyenlerin atanması için her seferinde veri aktaranın belirli bir süre öncesinde yazılı iznini alma veya sözleşmenin imzalanması esnasında veri aktaranın önceden onayladığı listeye göre hareket etme ve bu listeye herhangi bir değişiklik olması halinde veri aktaranın önceden yazılı iznini alma şeklinde iki seçenek sunulmıştur.

Veri işleyenden veri sorumlusuna aktarımı düzenleyen standart sözleşmede, uygulanacak hukuku Türk hukuku olarak zorunlu kılan ve uyuşmazlıkların Türk mahkemelerinde çözümleneceğini öngören diğer standard sözleşmelerden farklı olarak taraflara uygulanacak hukuk ve uyuşmazlıkların çözümünde yetkili ülke mahkemelerini belirleme yetkisi tanınmıştır.

  1. Bağlayıcı Şirket Kuralları

Bağlayıcı şirket kurallarına ilişkin olarak ise yine veri sorumlusu ve veri işleyenler özelinde ayrı ayrı hazırlanmış başvuru formu ve yardımcı kılavuzlar yayınlanmıştır.

Hem Veri Sorumluları için Bağlayıcı Şirket Kuralları (“VS BŞK”) hem de Veri İşleyenler için Bağlayıcı Şirket Kuralları (“Vİ BŞK”) için Kurum’a onay başvurusu yapılması halinde, her başvuru için ayrı form düzenlenmesi gerektiği düzenlenmiştir.

Başvuru formunda, öncelikle Vİ BŞK veya VS BŞK grubuna ait temel bilgileri ile Kurum’un iletişim kuracağı kişi veya birimin iletişim bilgileri talep edilmektedir.

Her iki başvuru formunda da BŞK kapsamında aktarılması öngörülen kişisel verilerin niteliği, veri kategorileri, kişisel veri işleme faaliyetinin amaçları, kişisel verilerin işlenmesinden etkilenen ilgili kişi kategorileri ile kişisel veri aktarımlarının amaçları ve kapsamı hakkında detaylı açıklamalar istenmektedir.

Hem VS BŞK hem de Vİ BŞK Başvuru Formu, sorumlu her bir BŞK Üyesinin, VS BŞK’nın veya Vİ BŞK’nın ihlalinden kaynaklanan zararların tazmini için yeterli mal varlığına sahip olduğunu veya kendisini söz konusu zararları tazmin edebilecek duruma getirecek uygun düzenlemeleri yaptığını doğrulayan bir taahhüt içermektedir.. Bu taahhüt VS BŞK’nın veya Vİ BŞK’nın güncellenmesine ilişkin her yıl yapılacak olan bildirimde yenilenmelidir.

VS BŞK’da, Türkiye’de yerleşik bir BŞK üyesi diğer üyelerin eylemlerinden sorumlu tutulurken, Vİ BŞK’da veri işleyenler öncelikle veri sorumlusuna karşı sorumlu tutulmaktadır.

Yine hem VS BŞK hem Vİ BŞK’ye ilişkin kılavuzda, ilgili BŞK’nin hukuken bağlayıcı olması ve BŞK’ya riayet edilmesi hususunda çalışanları da dâhil olmak üzere grubun tüm üyelerine açık bir yükümlülük getirmesi gerektiği belirtilmiştir.

Ayrıca gerek VS BŞK’de gerek Vİ BŞK’de söz konusu BŞK’nın çalışanlar bakımından bağlayıcılığının nasıl sağlandığına ilişkin politika, prosedür, gizlilik sözleşmesi ve sair enstrümanlardan alıntılarla desteklenen bir özet bilginin başvuru formunda sunulması gerektiğine yer verilmiştir.

Duyuru’ya takip eden bağlantıdan ulaşabilirsiniz:

https://www.kvkk.gov.tr/Icerik/7938/Standart-Sozlesmeler-ve-Baglayici-Sirket-Kurallarina-Iliskin-Dokumanlar-Hakkinda-Kamuoyu-Duyurusu

İşbu Hukuki Duyuru güncel hukuki konular hakkında sadece genel bilgilendirme amacı ile hazırlanmış olup, bu belge içerisinde yer alan değerlendirmeler hukuki tavsiye ya da hukuki görüş niteliği teşkil etmemektedir. İşbu belgenin içeriğinden dolayı herhangi bir şekilde SRP-Legal Hukuk Ofisine sorumluluk tahmili mümkün değildir. Bu belge kapsamındaki soru ve sorunlarınız bakımından hukuki danışman görüşü alınması tavsiye edilir.