TR
  2. Anasayfa
  3. 5. Bölüm (Md. 44 - 50) Üçüncü ülkeler veya uluslararası kuruluşlara veri aktarımları
  4. Madde 47 - Bağlayıcı kurumsal kurallar

Madde 47 - Bağlayıcı kurumsal kurallar

  1. yetkin denetim makamı, aşağıdaki koşulları sağlamaları durumunda, bağlayıcı kurumsal kuralları 63. maddede ortaya konan tutarlılık mekanizması uyarınca onaylar:
    1. çalışanları da dahil olmak üzere ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun ilgili her üyesi açısından yasal bağlayıcılığının olması, bu üyelere uygulanması ve bu üyeler tarafından yürütülmesi;
    2. veri sahiplerine kişisel verilerinin işlenmesi ile ilgili olarak uygulanabilir hakları açık bir şekilde vermesi ve
    3. 2. paragrafta belirtilen gereklilikleri yerine getirmesi.
  2. 1. paragrafta atıfta bulunulan bağlayıcı kurumsal kurallarda en azından aşağıdakiler belirtilir:
    1. ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun ve her üyesinin yapısı ve irtibat bilgileri;
    2. kişisel veri kategorileri, işleme türü ve amaçları, etkilenen veri sahiplerinin türü ve söz konusu üçüncü ülke veya ülkelere ilişkin açıklama da dahil olmak üzere veri aktarımları veya aktarım dizisi;
    3. bunların hem içsel hem de dışsal olarak hukuki bağlayıcılık yapısı;
    4. amaç sınırlaması, verilerin en alt düzeye indirilmesi, sınırlı saklama süreleri, veri kalitesi, özel ve olağan veri koruması, işleme faaliyetine yönelik yasal dayanak, özel kategorilerdeki kişisel verilerin işlenmesi başta olmak üzere genel veri koruma ilkeleri, veri güvenliğinin sağlanmasına ilişkin tedbirler ve bağlayıcı kurumsal kurallara bağlı bulunmayan organlara transit aktarımlara ilişkin gerekliliklerin uygulanması;
    5. 22. madde uyarınca profil çıkarma da dahil olmak üzere yalnızca otomatik işleme faaliyetine dayalı kararlara tabi olmama hakkı, 79. madde uyarınca üye devletlerin yetkin denetim makamına ve yetkin mahkemelerine şikayette bulunma ve tazminat alma hakkı ve, uygun olduğu hallerde, bağlayıcı kurumsal kurallara ilişkin bir ihlalde dolayı tazminat hakkı da dahil olmak üzere veri sahiplerinin işleme faaliyetine ilişkin hakları ve bu hakları kullanma yöntemleri;
    6. bir üye devletin topraklarında kurulu kontrolör veya işleyicinin Birlik içerisinde kurulu olmayan herhangi bir üye tarafından bağlayıcı kurumsal kuralların ihlal edilmesi hususunda yükümlülüğü üstüne alması; kontrolör veya işleyici, ancak üyenin zarara neden olan olaydan sorumlu olmadığını kanıtlaması durumunda, bu yükümlülükten tamamen veya kısmen muaf tutulur;
    7. bu paragrafın (d), (e) ve (f) bentlerinde atıfta bulunulan hükümler başta olmak üzere bağlayıcı kurumsal kurallara ilişkin bilgilerin 13 ve 14. maddelere ek olarak veri sahiplerine nasıl sağlandığı;
    8. 37. madde uyarınca belirlenen herhangi bir veri koruma görevlisinin ya da ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubu veya bir işletmeler grubu içerisinde bağlayıcı kurumsal kurallara uyumluluğun izlenmesinin yanı sıra eğitimin izlenmesi ve şikayetlerin ele alınmasından sorumlu olan diğer kişiler veya kuruluşların görevleri;
    9. şikayet usulleri;
    10. ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubu veya bir işletmeler grubu içerisinde bağlayıcı kurumsal kurallara uyumluluğun doğrulanmasının sağlanmasına yönelik mekanizmalar. Söz konusu mekanizmalar veri sahibinin haklarının korunmasına yönelik düzeltici eylemlerin sağlanmasına ilişkin veri koruma denetimleri ve yöntemlerini kapsar. Söz konusu doğrulamanın sonuçları (h) bendinde atıfta bulunulan kişi veya kuruluşa ve ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun ya da bir işletmeler grubunun denetleyici teşebbüsünün yönetim kuruluna iletilir ve talep üzerine yetkin denetim makamına sağlanmalıdır;
    11. kurallara ilişkin değişikliklerin raporlanması ve kaydedilmesi ile bu değişikliklerin denetim makamına raporlanmasına ilişkin mekanizmalar;
    12. özellikle (j) bendinde atıfta bulunulan tedbirlere ilişkin doğrulamaların sonuçlarının denetim makamına sağlanması suretiyle, ortak bir faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun herhangi bir üyesinin uyumluluğunu sağlamak üzere denetim makamı ile kurulan işbirliği mekanizması;
    13. ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun bir üyesinin üçüncü bir ülkede tabi olduğu ve bağlayıcı kurumsal kuralların sağladığı teminatlar açısından kayda değer bir olumsuz etkisinin bulunmasının muhtemel olduğu yasal gerekliliklerin yetkin denetim makamına raporlanmasına ilişkin mekanizmalar ve
    14. kişisel verilere daimi veya geçici olarak erişimi bulunan personele uygun veri koruma eğitimi.
  3. Komisyon kontrolörler, işleyiciler ve denetim makamları arasında bu madde kapsamındaki bağlayıcı kurumsal kurallara yönelik bilgi alışverişine ilişkin format ve usulleri belirtebilir. Bu uygulama tasarrufları 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca kabul edilir.