8. Yargı Paketi ile KVKK'ya eklenen 'bağlayıcı şirket kuralları' (BCR) nedir ve kişisel verilerin yurt dışına aktarılmasında ne gibi bir işlev görür?

'Bağlayıcı Şirket Kuralları' (BCR), çok uluslu bir teşebbüs grubuna (örneğin holding) bağlı şirketlerin, grup içinde gerçekleştirecekleri sınır ötesi veri aktarımlarına ilişkin uymayı taahhüt ettikleri, kişisel verilerin korunmasına yönelik hükümler içeren iç politika kurallarıdır. 8. Yargı Paketi ile değiştirilen KVKK m. 9/4(b)'ye göre BCR'ler, yeterlilik kararı bulunmayan ülkelere veri aktarımı için bir 'uygun güvence' mekanizması olarak kabul edilmiştir. İşlevi şudur: Bir şirketler grubu, hazırladıkları BCR'leri Kişisel Verileri Koruma Kurulu'na sunar ve onaylatır. Kurul'un onayıyla bu kurallar, grup içindeki tüm şirketler için bağlayıcı hale gelir. Bu sayede, grup şirketleri arasında, yeterlilik kararı olmayan ülkelere dahi, her bir aktarım için ayrı bir izin veya taahhütname almalarına gerek kalmaksızın, onaylanmış BCR'ler çerçevesinde sürekli ve sistematik veri aktarımı yapabilirler. Bu, özellikle büyük şirketler için pratik ve hukuki güvenlik sağlayan bir yöntemdir.