Vaka Çalışması: Yurt Dışı Veri Aktarımında BCR ile Uyum ve Kurul Onayı — Av. Bilal Alyar
Çok uluslu teknoloji şirketinin Türkiye iştiraki, müşteri verilerini ABD’deki merkez ofise aktarıyordu. KVKK m.9 çerçevesinde Bağlayıcı Şirket Kurallarına (BCR) dayalı yurt dışı veri aktarımı için Kurul onayı alındı; uygulamada 9 ay süren süreç sonunda onay verildi ve şirketin Türkiye operasyonları KVKK uyumlu hale getirildi.
Olayın Özeti
Müvekkil — global teknoloji şirketinin Türkiye iştiraki. ABD’deki grup merkezinde Türk müşterilerin verileri saklanıyor ve analiz ediliyordu. ABD KVKK m.9 anlamında “yeterli koruma” listesinde değildi; aktarım için ek mekanizma gerekiyordu.
Hukuki Strateji
- KVKK m.9 yurt dışı aktarım seçenekleri analiz edildi: (a) açık rıza, (b) yeterli koruma, (c) sözleşmesel garanti, (d) BCR (Bağlayıcı Şirket Kuralları), (e) ad-hoc Kurul onayı.
- Müşteri bazlı açık rıza pratik değildi (milyonlarca kullanıcı). BCR seçeneği değerlendirildi.
- BCR taslağı hazırlandı: grup şirketler arası bağlayıcı veri koruma kuralları, denetim yapısı, ihlal müdahale, veri sahibi hakları, sorumluluk paylaşımı.
- Kurul’a BCR onayı için başvuruldu — gerekli belgeler, etki değerlendirmesi, sözleşme örnekleri sunuldu.
- Kurul ile 4 ay süren karşılıklı görüşmeler, eksiklik tamamlamaları yapıldı.
- BCR’nin GDPR/KVKK ile birlikte uyumlu olduğu — çift uyumluluk argümanı sunuldu.
Sonuç
KVKK Kurulu 9 ay sonunda BCR’yi onayladı. Müvekkilin grup şirketlere yurt dışı veri aktarımı yasal mevzuata uygun hale getirildi. Önceki aktarımlar için de geçici onay verildi.
Çıkarılan Dersler
- BCR uzun süre alır: 6-12 ay arası onay süreci; planlamayı erken yapın.
- GDPR-KVKK çift uyum: AB’de zaten BCR onayı varsa Türkiye süreci hızlanır.
- Alternatif: SCC: Standart Sözleşme Hükümleri (SCC) BCR’den daha hızlı çözüm sunar; daha az kapsamlı ama yeterlidir.
Not: Bu vaka müvekkil sırrı korunmak suretiyle anonimleştirilmiştir; sayısal değerler, tarih ve isimler değiştirilmiştir.