MADDE 12- (1) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü olduğu kişisel verilerin korunmasına yönelik bağlayıcı şirket kuralları vasıtasıyla uygun güvence sağlanabilir. Bağlayıcı şirket kurallarına dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için Kurula onay başvurusunda bulunulur.
(2) Yapılacak başvuru kapsamında bağlayıcı şirket kuralları metni ve Kurul tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgeler Kurula sunulur. Bağlayıcı şirket kurallarına ilişkin yapılacak başvuruda sunulan yabancı dildeki her belgenin noter onaylı çevirisi başvuruya eklenir. Bağlayıcı şirket kuralları metninin yabancı dilde de düzenlenmesi hâlinde Türkçe metin esas alınır.
(3) Kurul tarafından bağlayıcı şirket kuralları onaylanırken özellikle aşağıdaki hususlar dikkate alınır:
a) Bağlayıcı şirket kurallarının çalışanları da dâhil olmak üzere ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki ilgili her üye bakımından hukuken bağlayıcı ve uygulanabilir olması.
b) Bağlayıcı şirket kurallarında, ilgili kişi haklarının kullanılabileceğine dair taahhütte bulunulması.
c) Bağlayıcı şirket kurallarının asgari olarak 13 üncü maddede belirtilen hususları içermesi.
(4) Kişisel veri aktarımına, bağlayıcı şirket kurallarının Kurul tarafından onaylanmasından sonra başlanır.
Bağlayıcı şirket kurallarında bulunması gereken hususlar
MADDE 13- (1) Bağlayıcı şirket kuralları asgari olarak aşağıdaki hususları içerir:
a) Ortak ekonomik faaliyette bulunan teşebbüs grubunun her üyesinin organizasyon yapısı ve irtibat bilgileri.
b) Kişisel veri kategorileri, işleme faaliyeti ve amaçları, ilgili kişi grubu veya grupları ve aktarımın yapılacağı ülke veya ülkeler başta olmak üzere bağlayıcı şirket kuralları kapsamında gerçekleştirilecek aktarımlara ilişkin hususlar.
c) Ortak ekonomik faaliyette bulunan teşebbüs grubunun hem iç ilişkisinde hem de diğer hukuki ilişkilerinde bağlayıcı şirket kurallarının hukuken bağlayıcı olduğuna yönelik taahhüt.
ç) Kanunun 4 üncü maddesinde belirtilen genel ilkelere uyum, kişisel verilerin işlenme şartları, özel nitelikli kişisel verilerin işlenme şartları, veri güvenliğinin sağlanmasına yönelik teknik ve idari tedbirler, özel nitelikli kişisel verilerin işlenmesinde alınacak yeterli önlemler ve kişisel verilerin sonraki aktarımına yönelik kısıtlamalar gibi veri koruma önlemleri.
d) Kişisel verileri aktarılan ilgili kişilerin Kanunun 11 inci maddesinde belirtilen hakları ile Kanunun 14 üncü maddesinde öngörülen usul ve esaslara uygun olarak Kurula şikâyette bulunma hakkının kullandırılmasına yönelik taahhüt ve bu hakların kullanımına ilişkin usul ve esaslar.
e) Türkiye’de yerleşik olmayan herhangi bir üye tarafından bağlayıcı şirket kurallarının ihlalinde Türkiye’de yerleşik bir veri sorumlusu ve/veya veri işleyenin ihlalden sorumluluğu üstleneceğine dair taahhüt.
f) Kanunun 10 uncu maddesi uyarınca aydınlatma yükümlülüğü kapsamında ilgili kişilere bilgi verilen konulara ilave olarak (ç), (d) ve (e) bentlerinde belirtilenler başta olmak üzere bağlayıcı şirket kurallarına ilişkin hususlarda ilgili kişilere ne şekilde bilgi verileceğine ilişkin açıklamalar.
g) Çalışanlara kişisel verilerin korunması konusunda verilecek eğitime ilişkin açıklamalar.
ğ) İlgili kişi başvurularının sonuçlandırılması faaliyetleri dâhil olmak üzere, teşebbüs grubunun bağlayıcı şirket kurallarına uyumunun takibinden sorumlu olan kişilerin veya birimlerin görevleri.
h) İlgili kişilerin haklarının korunmasına yönelik düzeltici faaliyetlerin sağlanmasına ilişkin veri koruma denetimleri ve yöntemleri başta olmak üzere bağlayıcı şirket kurallarına uyumun teşebbüs grubu içinde denetlenmesi ve doğrulanmasına yönelik mekanizmaları ve bunların sonuçlarının (ğ) bendinde belirtilen kişi veya birime ve ilgili teşebbüs grubu bünyesindeki hâkim şirketin yönetim kuruluna ve talebi üzerine Kurula sunulacağına dair taahhüt.
ı) Bağlayıcı şirket kurallarına ilişkin değişikliklerin raporlanması ve kaydedilmesi ile bu değişikliklerin Kurula bildirilmesine ilişkin mekanizmalar.
i) (h) bendinde belirtilen denetim ve doğrulama faaliyetinin sonuçlarının sunulması başta olmak üzere teşebbüs grubunun üyeleri tarafından bağlayıcı şirket kurallarına uyumun sağlanması amacıyla Kurum ile iş birliği yükümlülüğü.
j) Bağlayıcı şirket kuralları kapsamında aktarılacak kişisel verilere ilişkin olarak, teşebbüs grubu üyelerinin aktarımın yapılacağı ülkede veya ülkelerde bağlayıcı şirket kurallarının sağladığı güvencelere aykırı herhangi bir ulusal düzenleme olmadığına dair taahhüt ve söz konusu güvenceler üzerinde olumsuz bir etki yaratması muhtemel bir mevzuat değişikliği yapılması hâlinde durumu Kurula bildirmeye yönelik mekanizmalar.