The transfer of personal data abroad is regulated under article 9 of the Personal Data Protection Law numbered 6698 (“Law”). Pursuant to this article, in the event that adequate protection is not provided in the country to which the personal data will be transferred, such data may be transferred abroad without the explicit consent of the relevant personsubject to the existence of commitment for adequate protection in writing by the data controllers in Turkey and abroad and authorization of the Personal Data Protection Board (“Board”).

The Board has announcedthe “Commitments” as one of the methods that enable the relevant parties to commit the adequate level of protection in writing for the data transfer to be made by the data controllers established in Turkey to the data controllers/data processors established in countries where the adequate protection is not provided. The Board has also determined and announced the minimum criteria that must be included in the commitments to be prepared by the parties and submitted to the Board for approval. In  this scope, the data transfer will be possible upon the approval of the commitments by the Board. Thesecommitments generally facilitate the bilateral transfers to be made between the companies, however they may fall short in providing a practical implementation in respect to the data transfers to be made between the multinational companies. Thus, the Board has determined the “Binding Corporate Rules” as another method to be used in cross-border data transfers between companies.

Binding Corporate Rules are data protection rules used in the transfer of personal data for the multinational group companies operating in countries where adequate protection is not provided which enable the commitment of adequate protection in writing. Companies that fall under this scope are required to make an application for Binding Corporate Rules to the Personal Data Protection Authority (“Authority”) by filling out the relevant form and following the instructions.The application form contains questions on how the Binding Corporate Rules become binding on the group members,the envisaged mechanisms ensuring the effective application of the Binding Corporate Rules, coordination with the Authority, details on the transfer and processing of personal data, mechanisms for reporting and recording changes, matters regarding data protection safety, accountability, questions about the supporting documentation and the general provisions of the Binding Corporate Rules.

This system enables the group companies whose applications for Binding Corporate Rules are approved by the Authority, to conduct the data transfer within the scope of the relevant Binding Corporate Rules without the necessity of conducting any other transaction.

Please do not hesitate to contact us at  info@heuvels-uras.com for any questions.

Kişisel verilerin yurt dışına aktarılması, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 9. maddesi kapsamında düzenlenmektedir. İlgili madde hükmüne göre, kişisel verinin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda kişisel veriler, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Kurul, Türkiye’de yerleşik veri sorumlusu tarafından yeterli veri koruması bulunmayan ülkelerde yerleşik veri sorumlusuna/veri işleyene kişisel verilerin aktarımında, ilgili tarafların yeterli bir korumayı yazılı olarak taahhüt etmelerine imkân sağlayan yöntemlerden birini “Taahhütnameler” olarak belirlemiş ve taraflarca hazırlanarak Kurul onayına sunulacak Taahhütnamelerde bulunması gereken asgari unsurları da belirleyerek ilan etmiştir. Bu kapsamda söz konusu TaahhütnamelerinKurul tarafından onaylanması akabinde yurt dışına veri aktarımı mümkün olabilmektedir.Bahsi geçen taahhütnameler, genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımlarını kolaylaştırmakla birlikte çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalabilmektedir. Bu nedenle Kurul tarafından, söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere diğer bir yöntem olarak  “Bağlayıcı Şirket Kuralları” belirlenmiştir.

Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır. Bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kişisel Verileri Koruma Kurumuna (“Kurum”), Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir.Başvuru formunda Bağlayıcı Şirket Kurallarının tüm grup üyeleri ve grup adına veri işleme faaliyetini gerçekleştirenler bakımından bağlayıcılığının nasıl sağlanacağı, etkili bir uygulamayı temin için öngörülen mekanizma, Kurum ile koordinasyon, kişisel verinin aktarılması ve işlenmesi ile ilgili detaylar, raporlama ve kayıt değişikliği mekanizmaları, veri güvenliği konuları, hesap verebilirlik, Bağlayıcı Şirket Kuralları başvurusuna ilişkin yardımcı bilgi ve belgeler hakkında sorular ile genel hükümler yer almaktadır.

Bağlayıcı Şirket Kuralları Kurum tarafından onaylanan grup şirketlerinin, ilgili Bağlayıcı Şirket Kuralları kapsamında ayrıca başka bir işleme gerek olmaksızın kendi aralarında veri aktarımı yapmaları mümkün kılınmaktadır.