i) (h) bendinde belirtilen denetim ve doğrulama faaliyetinin sonuçlarının sunulması başta olmak üzere teşebbüs grubunun üyeleri tarafından bağlayıcı şirket kurallarına uyumun sağlanması amacıyla Kurum ile iş birliği yükümlülüğü.
j) Bağlayıcı şirket kuralları kapsamında aktarılacak kişisel verilere ilişkin olarak, teşebbüs grubu üyelerinin aktarımın yapılacağı ülkede veya ülkelerde bağlayıcı şirket kurallarının sağladığı güvencelere aykırı herhangi bir ulusal düzenleme olmadığına dair taahhüt ve söz konusu güvenceler üzerinde olumsuz bir etki yaratması muhtemel bir mevzuat değişikliği yapılması hâlinde durumu Kurula bildirmeye yönelik mekanizmalar.
k) Kişisel verilere sürekli veya düzenli olarak erişimi bulunan personele yönelik uygun veri koruma eğitimlerinin verileceğine dair taahhüt.
(2) Kurul, birinci fıkrada belirtilenlere ilave hususlar belirlemeye yetkilidir. Bağlayıcı şirket kuralları başvurusunda kullanılacak belgeler Kurul tarafından belirlenir.
Standart sözleşmeyle uygun güvencenin sağlanması.
MADDE 14- (1) Veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşme vasıtasıyla uygun güvence sağlanabilir.
(2) Standart sözleşme, Kurul tarafından belirlenerek ilan edilir.
(3) Standart sözleşme metninin, üzerinde herhangi bir değişiklik yapılmaksızın kullanılması zorunludur. Standart sözleşmenin yabancı dilde de akdedilmesi hâlinde Türkçe metin esas alınır.
(4) Standart sözleşme, kişisel veri aktarımının tarafları arasında akdedilir. Standart sözleşmenin, aktarımın taraflarınca veya tarafları temsile ve imzaya yetkili kişilerce imzalanması zorunludur.
(5) Standart sözleşme, imzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ya da Kurul tarafından belirlenen diğer yöntemlerle Kuruma bildirilir. Aktarım tarafları standart sözleşmede, bildirim yükümlülüğünün kimin tarafından yerine getirileceğini belirleyebilir. Eğer bu konuda bir belirleme yapılmamışsa standart sözleşme veri aktaran tarafından Kuruma bildirilir.
(6) Yapılacak bildirime, standart sözleşmeyi imzalayanların yetkili olduğuna dair tevsik edici belgeler ile yabancı dildeki her belgenin noter onaylı çevirisi eklenir.
(7) Kurulca ilan edilen standart sözleşme metninde değişiklik yapılması veya standart sözleşmede aktarım taraflarından biri veya her ikisinin geçerli imzasının bulunmaması hâlinde Kanunun 15 inci maddesi uyarınca Kurul tarafından inceleme yapılır.
(8) Standart sözleşme taraflarında veya standart sözleşme içeriğinde taraflarca yer verilen bilgi ve açıklamalarda bir değişiklik olması veya standart sözleşmenin sona ermesi hâlinde beşinci fıkrada belirtilen usule uygun olarak Kuruma bildirim yapılır.
Taahhütnameyle uygun güvencenin sağlanması
MADDE 15- (1) Aktarım tarafları arasında akdedilecek yazılı bir taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla uygun güvence sağlanabilir.
(2) Taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik hükümler özellikle aşağıdaki hususları içerir:
a) Kişisel veri aktarımının amacı, kapsamı, niteliği ve hukuki sebebi.
b) Kanun ve ilgili mevzuata uygun olarak temel kavramlara ilişkin tanımlar.
c) Kanunun 4 üncü maddesinde belirtilen genel ilkelere uyum sağlanacağına yönelik taahhüt.
ç) İlgili kişilerin taahhütname ve taahhütname kapsamında yapılacak kişisel veri aktarımı hakkında aydınlatılmasına ilişkin usul ve esaslar.
d) Kişisel verileri aktarılan ilgili kişilerin Kanunun 11 inci maddesinde belirtilen haklarının kullandırılmasına yönelik taahhüt ve bu hakların kullanımı amacıyla yapılacak başvuruya ilişkin usul ve esaslar.
e) Uygun veri güvenliği düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınacağına yönelik taahhüt.
f) Özel nitelikli kişisel verilerin aktarılması hâlinde Kurul tarafından belirlenen yeterli önlemlerin alınacağına yönelik taahhüt.
g) Kişisel verilerin sonraki aktarımına yönelik kısıtlamalar.
ğ) Taahhütnamenin ihlali hâlinde ilgili kişinin başvurabileceği hak arama yöntemleri.
h) Veri alıcısının aktarıma konu kişisel verilerin işlenmesi hususunda Kurulun karar ve görüşlerine uyacağına yönelik taahhüt.
ı) Veri alıcısının taahhütnameye uygunluk sağlayamamasına neden olacak ulusal düzenlemenin bulunmadığına ve buna yol açabilecek muhtemel bir mevzuat değişikliğini veri aktarana en kısa sürede bildireceğine dair taahhüt ile bu durumda veri aktaranın veri aktarımını askıya alma ve taahhütnameyi feshetme hakkına sahip olacağına yönelik düzenleme.
