10.04.2020 Tarihli KVKK Bildirisi ile Çalışma Grubu 29’un (WP29) Bağlayıcı Şirket Kuralları Dökümanı ve İlgili GDPR Maddeleri İncelemesi

I. Giriş

Yurt dışı aktarım yollarından/araçlarından biri olup yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu şirketlerin yurtdışında olan merkezlerine veri aktarımının, Kişisel Verileri Koruma Kanunu (“Kanun”) 9. maddesi 2. fıkrası uyarınca yurtdışına veri aktarımı yöntemlerinden biri olarak getirilmiş bağlayıcı şirket kuralları (“Binding Corporate Rules”) Genel Veri Koruma Tüzüğü’nün (GDPR) (“Tüzük”)  3. ülkelere kişisel veri transferi adlı  5. bölümü 47. maddesinde düzenlenmektedir. Kanun’un 9. maddesi 2. fıkrası (b) bendinde bahsi geçen yeterli koruma bulunmayan ülkelere veri aktarımı için çok uluslu şirketler için taahhütname yoluyla[1] veri aktarımı ve veri sahibinin açık rızasının alınması halleri dışında alternatif bir veri aktarımı yolu olan bağlayıcı kurumsal kurallar Kurul tarafından 10.04.2020 de yapılan bir bildiri ile açıklanmıştır.

Kurul, yaptığı bildiride bağlayıcı şirket kurallarını “Bir şirketler topluluğuna bağlı olarak Türkiye’de yerleşik bir veri sorumlusu tarafından, bu şirketler topluluğuna bağlı olarak yurtdışında bir veya daha fazla ülkede faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularına yapılacak olan kişisel veri aktarımları veya aktarım setlerinde uyulması gereken kişisel veri koruma kuralları” olarak ifade etmektedir.

Mevzuatımızda yurt dışına veri aktarımı 9. maddede düzenlenmiş olup yurtdışına veri aktarımı ancak açık rıza ile yapılabilmektedir. Ancak Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması halinde veri açık rıza aranmaksızın aktarılabilecektir. Yeterli korumanın bulunmaması durumunda da verinin açık rıza bulunmadan aktarılabilmesi için Türkiye’de ve verinin aktarılacağı ilgili ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması aranmaktadır. Yurtdışına veri aktarımı yöntemlerinden biri olan bu yönteme ek olarak Bağlayıcı Şirket Kuralları (“Binding Corporate Rules”) çok uluslu şirketler tarafından kendi şirket grupları arasında uluslararası veri aktarımı için yapılacak kuralların ve başvurunun çerçeveleri 10.04.2020 de Kişisel Verileri Koruma Kurulu’nun (Kurul) bahsedilen bildirisiyle kurulmuştur.

–

II. Avrupa Birliği Hukukunda Bağlayıcı Şirket Kuralları (“Binding Corporate Rules”)

AB’de bağlayıcı şirket kuralları ise 95/46/EC sayılı Direktif’in yürürlükte olduğu dönemde oluşturulmuştur. Direktif’e göre çok uluslu şirketler grup şirketlerine veri aktarımı yaparken birden fazla ülkenin mevzuatından kaynaklanan yükümlülükleri aynı anda yerine getirmeliydiler. Şirketler de bu düzenlemenin yarattığı zorlukları aşmak adına kendi gizlilik politikalarını oluşturarak bunları veri otoritelerine kabul ettirmeye çalışmışlardır fakat bu veri koruma politikaları pek de koruyucu olmamaktaydılar. Bu nedenle Avrupa Komisyonu Çalışma Grubu 29 (WP29) bu şirketlerin düzenleyecekleri gizlilik politikalarının çerçevesini çizmek adına birtakım şartlar belirlemiş ve bunlara Bağlayıcı Şirket Kuralları denilmiştir. Tüzük’te ise Çalışma Grubu 29’un oluşturduğu bu şartlara, kurallara eklemeler yapılarak Bağlayıcı Şirket kuralları şimdiki halini almıştır.

Çalışma Grubu 29’un Bağlayıcı Şirket Kuralları hakkında 2008 yılında düzenlenmiş dokümanı 2017 yılında yenilenmiştir.[2] Bu yenilenmiş hali Türkiye’deki bağlayıcı şirket kuralları ve başvuru formu için esin kaynağı olduğundan genel hatlarıyla incelenmesi konuyu anlamak bakımından yararlı olacaktır. Çalışma Grubu 29’un bağlayıcı şirket kurallarına ilişkin dokümanında; bağlayıcılığın doğası, etkililik[3], denetleyici otoritelerle iş birliği yükümlülüğü, veri akışlarının ve işlemenin tanımı[4], raporlama ve kayıt değişikliği mekanizmaları[5] ve veri güvenliği olarak 6 konu başlığından oluşmaktadır. WP256 bağlayıcılığın doğasını içselliği ve dışsallığı olarak ikiye ayırarak inceleyerek başlamış olup burada bağlayıcı şirket kurallarına uyma yükümlülüğü, grup üyelerinin bilgilendirilmesi ve çalışanlar için bağlayıcı olması[6], veri sahibinin yararına veri koruma ilkelerine uygun ve açıkça verilecek hakları, şeffaflık ve kolay erişebilirlik ve ispat yükünün şirkette olması gibi önemli uygunluk kriterleri getirmiştir.

Tüzük’te yurtdışına veri aktarımının yeterli koruma bulunan ülkeler ve uluslararası organizasyonlara aktarımı (m. 45/1) ve yeterli koruma bulunmayan ülkeler ve uluslararası organizasyonlara aktarımı (m. 46/1, 2) olarak ikiye ayrıldığı görülmektedir. Yeterli koruma bulunmayan ülkeler ve uluslararası organizasyonlar için Komisyon tarafından bir karar alınamaması halinde (m. 45/3)[7] veri sorumlusu ve veri işleyenin, veri sahibine veri aktarımı için uygun güvenceler sağlamış olması gerekir. Ayrıca veri sahibi haklarının ve etkili yasal çözümlerin mevcut olması şartıyla denetim makamından  özel bir izin alınmadan yeterli koruma bulunmayan ülkelere bağlayıcı şirket kurallarınca kişisel verilerin aktarılabileceği belirtilmiştir (m. 46/2(b)).[8] Tüzük 47. madde kapsamınca bağlayıcı şirket kuralları çok uluslu şirketlerin, aynı kurumsal grupta bulundurulan kişisel verilerinin, Tüzük’e uygun olduğu ölçüde yeterli düzeyde koruma sağlamayan grup üyelerin bulunduğu ülkelere uluslararası düzeyde aktarmalarına izin verir. Bu kuralların uygulanabilmesi ve bu kurallara dayanılarak aktarıma izin verilmesi veri sahibine haklarının uygulanabilirliği ve kendi verilerinin korunması ve aktarımı sırasında korunacağına dair güvenceler içermesi halinde mümkün olacaktır. Bağlayıcı şirket kuralları yasal olarak bağlayıcı olup çalışanlarda dahil olmak tüm grup üyelerine[9] açık bir yükümlülük getirecektir. Tüzük’ün 47. maddesi 2. fıkrasında ise bağlayıcı şirket kurallarının asgari şartları belirtilmiştir[10]. Bunlar[11] :

• Ortak ekonomik faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun ve her üyesinin yapısı, irtibat bilgileri; (Art.47.2.a)
• Kişisel veri kategorileri, işleme türü ve amaçları, etkilenen veri sahiplerinin türü ve söz konusu üçüncü ülke veya ülkelere ilişkin açıklama da dahil olmak üzere veri aktarımları veya aktarım dizisi; (Art.47.2.b)
• Bunların hem içsel hem de dışsal olarak hukuki bağlayıcılık yapısı; (Art.47.2.c)
• Amaç sınırlaması, verilerin en alt düzeye indirilmesi, sınırlı saklama süreleri, veri kalitesi, özel ve olağan veri koruması, işleme faaliyetine yönelik yasal dayanak, özel kategorilerdeki kişisel verilerin işlenmesi başta olmak üzere genel veri koruma ilkeleri, veri güvenliğinin sağlanmasına ilişkin tedbirler ve bağlayıcı kurumsal kurallara bağlı bulunmayan organlara transit aktarımlara ilişkin gerekliliklerin uygulanması; (Art.47.2.d)
• 22. madde uyarınca profil çıkarma da dahil olmak üzere yalnızca otomatik işleme faaliyetine dayalı kararlara tabi olmama hakkı, 79. madde uyarınca üye devletlerin yetkili denetim makamına ve yetkili mahkemelerin şikâyette bulunma ve tazminat alma hakkı ve uygun olduğu hallerde bağlayıcı kurumsal kurallara ilişkin bir ihlalden dolayı tazminat hakkı da dahil olmak üzere veri ilgililerinin işleme faaliyetine ilişkin hakları ve bu hakları kullanma yöntemleri; (Art.47.2.e)
• Bir üye devletin topraklarında kurulu veri sorumlusu veya işleyicinin Birlik içerisinde kurulu olmayan herhangi bir üye tarafından bağlayıcı kurumsal kuralların ihlal edilmesi hususunda yükümlülüğü üstüne alması; (Art.47.2.f)
• (d), (e) ve (f) bentlerinde atıfta bulunulan hükümler başta olmak üzere bağlayıcı kurumsal kurallara ilişkin bilgilerin 13. ve 14. maddelere ek olarak veri ilgililerine nasıl sağlandığı; (Art.47.2.g)
• 37. madde uyarınca belirlenen herhangi bir veri koruma görevlisinin ya da ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubu veya bir işletmeler grubu içerisinde bağlayıcı kurumsal kurallara uyumluluğun izlenmesinin yanı sıra eğitimin izlenmesi ve şikayetlerin ele alınmasından sorumlu olan diğer kişiler veya kuruluşların görevleri;(Art.47.2.h)
• Şikâyet prosedürleri; (Art.47.2.i)
• Ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubu veya bir işletmeler grubu içerisinde bağlayıcı kurumsal kurallara uyumluluğun doğrulanmasının sağlanmasına yönelik mekanizmalar; (Art.47.2.j)
• Kurallara ilişkin değişikliklerin raporlanması ve kaydedilmesi ile bu değişikliklerin denetim makamına raporlanmasına ilişkin mekanizmalar; (Art.47.2.k)
• Teşebbüs grubunun herhangi bir üyesinin veya ortak bir ekonomik faaliyette bulunan şirketler grubu uyumluluğunu sağlamak için özellikle denetim makamına (j) maddesinde atıfta bulunulan önlemlerin doğrulama sonuçlarını sunarak denetim makamı ile iş birliği mekanizması, (Art.47.2.l)
• Teşebbüsler grubunun üyesi veya ortak bir ekonomik faaliyette bulunan şirketler grubunun garantiler üzerinde önemli bir olumsuz etkiye sahip olması muhtemel üçüncü bir ülkede tabi olduğu herhangi bir yasal gereksinimi yetkili denetim otoritesine bildirme mekanizmalarının bağlayıcı şirket kurallarıyla sağlanması ve (Art.47.2.m)
• Kişisel verilere düzenli ve kalıcı erişimi olan personele uygun veri koruma eğitimi verilmesi. (Art.47.2.n)

–

Ayrıca bu paralelde Tüzük madde 63’te[12] düzenlenen tutarlılık mekanizmasına (“consistency mechanism”) e uygun olarak yetkili denetleyici otorite bağlayıcı şirket kurallarını kabul etmelidir.

–

III. Türk Hukukunda Bağlayıcı Şirket Kuralları ve Kurul’un 10.04.2020 Tarihli Bildirisi

Dünyada şirketlerin globalleşmesiyle birlikte çok uluslu şirketler günümüzde çokça görülmekte olup ülkemizde işlenen bir verinin yurtdışındaki şirket merkezine aktarılacak olması bu globalleşmenin beklenen bir sonucudur. Kurul, Kanun’un 9. maddesi 2. fıkrası (b) bendi uyarınca şirketlerin kişisel verileri yurtdışındaki şirket merkezlerine göndermeyi yazılı olarak taahhüt etmelerine imkân sağlayarak yeterli koruma bulunmayan ülkelerde veri aktarımının yolunu daha önceden açmış ve bu taahhütnamelerin içeriğinde bulunması gereken hususları ilan etmiştir. Fakat bu yol pratikte çok uluslu, global şirketler için uygulamada yetersiz kalabilmekteydi. Bu yetersizlikler 95/46/EC sayılı Direktif döneminde Avrupa’da yaşanılan türden olup Avrupa Birliği’nde ihtiyaç duyulduğu gibi Türkiye’de de benzer bir ihtiyaçtan doğmuştur. Kurul 10 Nisan 2020 itibarıyla da web sitesinden yaptığı bir bildiri ile bağlayıcı şirket kurallarını uluslararası veri aktarımları için diğer bir yöntem olarak belirlemiştir.

Kurul aynı zamanda Tüzük’te olduğu gibi bağlayıcı şirket kuralları hakkında asgari şartlar belirleyerek “Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu” ve “Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman”[13] adlı iki içerik yayınlamıştır.

Kurul’un bildirisine baktığımızda öncelikle belirtilen taahhütnamedeki hususları esas ve usul yönünden değerlendirerek, açıklamalar getirildiğini görmekteyiz. Bildiri, veri sorumlusu ve veri işleyeni Kanun’un 3’uncu maddesine atıfta bulunarak tanımlamış ayrıca veri sorumlusundan veri sorumlusuna veya veri sorumlusundan veri işleyene yapılacak aktarımlarda tarafların hukuki statülerine ilişkin anlaşılır ve açık açıklamalara yer verilmesi ve aradaki ilişkiyi gösteren herhangi bir belgenin (sözleşme vb.) bulunması halinde bu belgelerin de taahhütname ile gönderilmesini talep edilmiştir. Kurul ayrıca bağlayıcılığın sağlanması adına veri sorumlusu ile veri işleyenin birlikte hareket ettiği durumlarda aralarında Türk Hukuku bakımından geçerli ve yazılı bir sözleşme yapılmasının gerekliliğini (hizmet sözleşmesi) ve bunun tüm veri işleyenler tarafından imzalanmasının sağlanmasını ifade ederek Kişisel Veri Güvenliği (Teknik ve İdari Tedbirler) Rehberi’ne de atıfta bulunmuştur.

Bağlayıcı şirket kurallarına başvuruyu yapacak kişi ise ilgili dokümanda belirtildiği üzere grubun Türkiye’ de yerleşik merkezi varsa burası grubun Türkiye’de yerleşik merkezi yok ise kişisel verilerin korunması konusunda yetkili ve Türkiye’de yerleşik bir Grup üyesi “Yetkili grup üyesi”[14] sıfatıyla başvuruyu yapacaktır.

Kurul’un bağlayıcı şirket kuralları ile ilgili düzenlediği doküman kısaca bağlayıcı şirket kuralları başvuru formu ve bağlayıcı şirket kuralları metninde belirtilecek ve belirtilmeyecek hususların karşılaştırılmalı bir tablo şeklinde düzenlenmesidir. Dokümanda bağlayıcı şirket kuralları için bir takım uygunluk kriterleri ve onların yasal dayanakları da düzenlenmiştir. Bu uygunluk kriterleri aslında bağlayıcı şirket kuralları için Tüzük’te getirilen asgari şartların mantığından esinlenen ve Çalışma Grubu 29’un (WP29) 2017 yılında düzenlediği Çalışma Dokümanının[15] ise bir nevi çevirisidir. WP256 (2017) da düzenlenen ve Kurul’un bildirisiyle duyurduğu Başvuru Formu ve Bağlayıcı Şirket Kurallarında bulunması gereken  içerikler genel hatlarıyla; bağlayıcı şirket kurallarına uyma yükümlülüğü, veri sahibinin yararlanacağı hakların veri koruma ilkeleri uyarınca korunması ve açıkça bu hakların sağlanması yetkili otorite (Türkiye’de yetkili otorite KVKK, KVKK’nin bu konuda  yetkili birimi ise Kurul’dur) ve mahkeme nezdinde veri sahibinin şikayette bulunma hakkı (Art.47.2.d, KVKK m.4, 7, 11, 13, 14),grup üyelerinin BŞK (Bağlayıcı Şirket Kuralları) hakkında bilgilendirilmesi ve BŞK’nin çalışanlar için de bağlayıcılık içermesi şeffaflık ve BŞK’ye kolayca erişebilirlik (Art.47.2.g), BŞK’nin ihlal edilmesinden kaynaklanacak maddi veya manevi zararların giderilmesi için şirketin tazminat ödemesi[16], ispat yükünün şirkette olması (Art.47.2.f, KVKK m. 9), uygun eğitimin varlığı, (kişisel verilere kalıcı/düzenli erişimi olan personele sağlanması) BŞK’nin uygulanması konusunda tüm grup tarafından görevlendirilmiş uygun bir personel yapılanması bulunması[17], kurum ile koordineli çalışma, veri güvenliğine ilişkin düzenlemeler, ulusal mevzuatların grubun kurallara uymasını engellediği hallerin belirtilmesi, şeffaflık gibi uygunluk kriterleridir.

Bağlayıcı şirket kuralları ve başvuru formu için bir düzenleme yapılmasına rağmen Türkiye’de yasal anlamda bağlayıcı şirket kuralları hakkında yasal bir düzenleme yoktur.

–

IV. Değerlendirme ve Sonuç

Sonuç olarak bağlayıcı şirket kurallarının yurtdışına veri aktarımı konusunda çok uluslu şirketlere yeni bir nefes getireceği bariz olmakla birlikte duyuruyla paylaşılan Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman’ın Çalışma Grubu 29’un bağlayıcı şirket kuralları hakkındaki çalışmasının bir nevi çevirisi olması, özgünlük açısından yetersiz olduğumuzu göstermektedir. Ayrıca Tüzük’teki (GDPR) detaylı, kapsamlı düzenlemelerden Kanun’umuzun uzak oluşu çevirilerin kendi kültür ve toplumsal gerçeğimizle uyumlanamamasına ve teoriyle pratiğin çatışmasına yol açmaktadır. Bağlayıcı şirket kuralları hakkında bir madde düzenlemesi de elzem olup bir bildiri ve dokümanın bu gibi bir konuda yetersiz kalacağını düşünmekteyim; böylece bağlayıcı şirket kuralları hakkında düzenlenen uygunluk kriterlerinin Tüzükte düzenlendiği gibi detaylı bir yasal dayanağı da olmuş olacaktır. Fakat bu yasal dayanak düzenlenirken toplumsal, kültürel gerçeklerimiz de dikkate alınarak yapılmalı ve bu noktada özgünlüğe de dikkat edilmelidir. Ayrıca uygulamada sıkıntı yaratabilecek bir diğer hususta Kurul’un bağlayıcı şirket kurallarını onaylamak için 1 yıllık bir süre belirlemiş olması uzun bir zaman aralığı olup bu süre zarfında çok uluslu şirketlerin yurtdışındaki teşebbüslerine, şirket gruplarına veri aktarımının hukuka aykırı bir şekilde devam edileceğinin de hesaplanarak bağlayıcı şirket kurallarının onaylanma sürecinin de Kurul tarafından hızlandırılması teoriyle uygulamanın paralel ilerlemesi için gereklidir. Aynı zamanda Kurul şirketlerin hazırladığı bağlayıcı şirket kurallarına yönelik olumlu ve olumsuz kararlarını ve nedenlerini açıklayarak uygulamanın gelişmesi için şirketlere ışık da tutmalıdır.

Dipnotlar

• [1] Verinin aktarılacağı ilgili ülkedeki ve Türkiye’deki veri sorumlularının aktarılan verileri yeterli düzeyde korumayı taahhüt etmeleri ve Kurul’un izin vermesi
• [2]Daha ayrıntılı bilgi için bkz. Article 29 Data Protection Working Party “Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules “ https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/binding_corporate_rules_for_controllers.pdf,Çevrimiçi, 02.06.2020
• [3]Kişisel verilere düzenli ve sürekli erişimi olan personellere ve grup üyelerine uygun eğitim programlarının varlığı
• [4]BŞK’ler materyal kapsamlarını (işlenecek veri türleri, kategorileri vs.) ve denetim otoritelerinin üçüncü ülkelerde yürütülen işlemlerin uyumlu olduğunu değerlendirebilmeleri için transferlerin genel bir tanımını içermelidir.BŞK’ler özellikle 3. ülke/ ülkelere veri aktarımlarını veya kişisel verilerin niteliği ve kategorileri, işleme türü ve amaçları, etkilenen veri konularının türleri (çalışanlara, müşterilere, tedarikçilere ve ilgili iş faaliyetlerinin bir parçası olarak diğer üçüncü taraflara ilişkin veriler) ve kimliklerini içeren aktarımlarını belirtmelidir.
• [5]BŞK değiştirilebilir/güncellenebilir ancak değişikliklerin gecikmeksizin tüm BŞK üyelerine ve yetkili denetim otoritelerine bildirilmesi konusunda bir yükümlülük öngörülmelidir. Tanımlanmış bir kişi veya ekip / departman BŞK üyelerinin tam güncellenmiş bir listesini ve güncellemelerini takip eder ve kaydederek veri öznesi ve yetkili denetim otoritelerine önemli olan bilgileri istemleri dahilinde gösterir.
• [6]BŞK hakkında çalışanların, grup üyelerinin bilgilendirilmesi ve ayrıca çalışanlar üzerinde bağlayıcılığın sağlanması için iş sözleşmesi, toplu iş sözleşmesi, gizlilik sözleşmesi, etik kurallar, şirket politikaları, iş yeri iç yönetmelikleri vb. yöntemlerden bir veya birkaçı kullanılabilecektir.
• [7]Daha ayrıntılı bilgi için bkz. https://advisera.com/eugdpracademy/gdpr/transfers-on-the-basis-of-an-adequacy-decision/,Çevrimiçi,01.06.2020.
• [8]Daha ayrıntılı bilgi için bkz. https://advisera.com/eugdpracademy/gdpr/transfers-subject-to-appropriate-safeguards/ ,Çevrimiçi,01.06.2020.
• [9]“Şirketler topluluğuna bağlı bir şirket ya da teşebbüs ile ortak bir ekonomik faaliyette bulunan ya da veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan bir gruptaki veri sorumlularını ifade eder. “Tanım için bkz.”, “Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman”, s.2.
• [10] Daha ayrıntılı bilgi için bkz. https://advisera.com/eugdpracademy/gdpr/binding-corporate-rules/, Çevrimiçi,01.06.2020.
• [11] Çeviri için bkz. “KVKK’dan Kişisel Verilerin Yurt Dışına Aktarımında Önemli Bir Adım: Bağlayıcı Şirket Kuralları”, Murat Volkan Dülger, Cansu Ceren Kahraman.
• [12] Daha ayrıntılı bilgi için bkz. https://advisera.com/eugdpracademy/gdpr/consistency-mechanism/, Çevrimiçi, 01.06.2020.
• [13]Daha ayrıntılı bilgi için bkz. https://kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU , Çevrimiçi, 01.06.2020.
• [14]“Grubun Türkiye’de yerleşik bir merkezinin bulunmadığı durumda kişisel verilerin korunması konusunda yetkilendirilen Türkiye’de yerleşik bir grup üyesini ifade eder.” tanım için bkz., “Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman”, s.2.
• [15]Dokümanın 2017’deki güncellenmiş versiyonu için bkz. https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/binding_corporate_rules_for_controllers.pdf , Dokümanın 2008’deki güncellenmemiş hali için bkz. https://ico.org.uk/media/for-organisations/binding-corporate-rules/1042457/bcr_table_wp153.pdf , Çevrimiçi, 08.06.2020.
• [16]İhlalin yurtdışında gerçekleşmesi halinde de bu konuda yetkinin Türkiye mahkemelerinde ve yetkili makamlarında olacağı belirtilmiştir.
• [17]Article 29 Data Protection Working Party “Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules “2017 yılı yenilenmiş dokümanında BŞK’nin uygulanmasında yetkili DPO (Data Protection Officer) iken Türkiye’de bu tüm grup tarafından görevlendirilen bir/birkaç personeldir, bu personel üst yönetimi bilgilendirir, tavsiye verir, yetkili denetim otoritesinin incelenmesiyle ilgilenir, uyumluluğu izler ve grup düzeyinde yıllık raporlama yapar.

[zombify_post]