Bağlayıcı Şirket Kuralları (BCR) nedir ve KVKK kapsamında hangi amaçla kullanılır? Başvuru süreci nasıl işler? (KVKK md. 9, Kurul Kararları) (vonahukuk.com/baglayici-sirket-kurallari-hakkinda-duyuru/)

Bağlayıcı Şirket Kuralları (Binding Corporate Rules - BCR), çok uluslu bir şirketler topluluğu içinde yer alan ve farklı ülkelerde faaliyet gösteren grup şirketleri arasında kişisel verilerin sınır ötesi aktarımları için grup üyeleri tarafından uyulması gereken, hukuken bağlayıcı iç veri koruma politikalarıdır. KVKK md. 9(2)(b) kapsamında, kişisel verilerin yeterli korumanın bulunmadığı ülkelere aktarılabilmesi için Kurul'dan izin alınması gereken bir 'yeterli korumayı yazılı taahhüt etme' yöntemidir. BCR'lar, grup içindeki tüm şirketlerin kişisel verileri KVKK ve AB GDPR gibi standartlara uygun olarak işleyeceğini ve koruyacağını taahhüt etmesini sağlar. Başvuru süreci, genellikle grubun Türkiye'de yerleşik ve veri aktarımından sorumlu olan merkezi veya bu amaçla yetkilendirilmiş bir grup üyesi tarafından, Kurul'un belirlediği başvuru formu, BCR metni ve diğer destekleyici belgelerle birlikte Kişisel Verileri Koruma Kurumu'na yapılır. Kurul, başvuruyu ve BCR metnini inceleyerek, yeterli güvenceleri sağladığına kanaat getirirse veri aktarımına izin verir. Kurul, BCR başvurularının değerlendirilmesine ilişkin usul ve esasları duyurular ve kararlarla belirlemiştir.